理论教育 社交网络企业对个人信息安全的管理水平有待提高

社交网络企业对个人信息安全的管理水平有待提高

时间:2023-11-21 理论教育 版权反馈
【摘要】:社交网络企业的目的是追求商业利益最大化。在用户个人信息受到侵害的案例中,社交网络企业作为过错方的比重正在不断增大。比如隐私保护设计,完全是以方便企业开展相关业务为出发点,而不重视用户遭遇的个人信息安全风险。一项有关在社交网络上发布个人信息的研究显示,MySpace上中西部地区18岁女性的个人信息对所有人都是公开的。

社交网络企业对个人信息安全的管理水平有待提高

社交网络企业的目的是追求商业利益最大化。在用户个人信息受到侵害的案例中,社交网络企业作为过错方的比重正在不断增大。本来社交网络企业是用户个人信息安全保护的义务主体,是第一责任人,但实践中,大部分社交网络企业并没有深刻意识到用户个人信息安全的重要性,没有完全履行保护用户个人信息安全的职责。他们一方面利用引诱、误导等方式,比如游戏积分奖励、优先享受新功能等方式鼓励用户填写用户真实信息,包括姓名、性别、年龄、家庭住址、E-Mail地址学历、经历、手机号码、QQ账号,另一方面却不重视安全保护,没有投入充足经费建设专业安全管理团队,没有能力防范黑客入侵。比如隐私保护设计,完全是以方便企业开展相关业务为出发点,而不重视用户遭遇的个人信息安全风险。一项有关在社交网络上发布个人信息的研究显示,MySpace上中西部地区18岁女性的个人信息对所有人都是公开的。在前50个个人主页上,有36个设置为“对所有人公开”,即可通过主页获得她们的联系方式。这些用户以为只有她们的朋友才会看到或者根本没有考虑过信息公开的问题,这其实是社会网络企业利用了用户不熟悉隐私设置的弱点14。而我国的人人网对用户信息相关数据有完备的隐私控制策略,但是这种策略并非不能够被利用,可以采用跳板的方式获取用户信息,即在查看用户个人信息时,如果用户设置了相应的隐私控制策略,一般用户已经无法访问该用户的个人主页信息,但是仍有可被恶意利用的信息就是该用户的好友列表信息。根据社交网站所具有的极强交互性的特点,可以通过该交互寻找到不同用户之间的关系,即所谓的社交网络虚拟人际关系网。在这种情况下,尽管无法直接通过目标用户的账号获取到用户信息,但是通过社交网站的交互性,可以通过其好友账号进行间接渗透攻击。一旦获得其好友账号信息以后,不但可以正常浏览目标用户的个人信息,还可以通过好友用户发私信或邮件的方式进行钓鱼攻击[15]。社交网站通常会(但并不总是)在自己网站上的“使用条款”“服务条件”或“条款和条件”协议中提供他们有关所有权、传播、使用、隐私、删除和更改数据的政策,但有些社交网站根本避而不谈用户信息安全保护、所有权等敏感问题,部分免责条款的法律效力有待商榷。比如社交网络企业将用户个人信息提供给用户决定使用的第三方企业,前者对后者收集用户个人信息的操作不负任何责任。事实上社交网络企业既没有将第三方企业的个人信息使用告知用户也没有经过用户的同意,这侵害了用户的知情权和选择权,是不能够完全免责的[16];又如某网站的隐私保护中写道,“用户须明白,在使用我们提供的服务存在有来自任何他人的包括威胁性的、诽谤性的、令人反感的或非法的内容或行为或对他人权利的侵犯(包括知识产权)的匿名或冒名的信息风险,用户须承担以上风险,**网和合作公司对服务不做任何类型的担保”17。一些网站使用大量ajax技术,很容易产生XSS和CSRF攻击,使用户电脑中毒、用户账户失窃等。比如2011年6月,新浪微博遭遇到XSS蠕虫攻击侵袭,在不到一个小时的时间,超过3万微博用户受到该XSS蠕虫的攻击。虽然此次XSS蠕虫攻击事件中,黑客并没有在恶意脚本中植入挂马代码或其他窃取用户账号密码信息的脚本,但是这至少说明,病毒木马等黑色产业已经将眼光投放到这个尚存漏洞领域[18]。2011年末中国互联网领域爆发的用户数据大规模泄露事件,曝光了许多网站在用户数据存储方面安全意识淡薄,对用户的核心数据保护不足的问题。一般站点的用户密码都是以密文加密后的形式存在的,例如用户密码是123,但是经过系统数据库加密后可能是以xyz的形式存储在数据库里面,这样即便是站长也不知道用户的原始密码(部分弱口令可以反算回来)。但是本次曝光的CSDN以及天涯等站点,居然违反操作规范和管理规定,使用明文存储密码[19]。(www.daowen.com)

免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。

我要反馈