社会网络应用中数据迁移的隐私风险模式研究

马振萍

〔摘 要〕由于在社会网络应用程序站点上自愿添加个人身份信息的人数不断增加，站点服务商可以从中获益，但是同时数据误用的风险会威胁个人用户的隐私信息以及服务商的商业模式。本文根据最近的调查，分析了开发隐私保护社会网络应用的主要需求，在此基础上提出了隐私风险模式，以增强数据或社会网络迁移过程中的信息隐私保护。通过确定与个人身份信息迁移过程中重要的问题设计出了该隐私风险模式。

〔关键词〕隐私；社会网络应用；数据迁移；社会网络迁移

ＤＯＩ：１０．３９６９／ｊ．ｉｓｓｎ．１００８－０８２１．２０．０１．００６

〔中图分类号〕Ｇ２５０.７ 〔文献标识码〕Ａ 〔文章编号〕１００８－０８２１（２０）０１－００２４－０５

The Research of Privacy Threat Model for Data

Portability in Social Network ApplicationsMa Zhenping１，２

（１．School of Continuting Education，Central University of Finance and Economics，Beijing 100081，China；

２．School of Information，Central University of Finance and Economics，Beijing 100081，China）

〔Ａｂｓｔｒａｃｔ〕Social network application providers benefit from the increasing amount of personally identifiable information willingly displayed on their sites,at the same time,risks of data misuse threaten the information privacy of individual users as well as the providers business model.From recent research,this paper reported the major requirements for developing privacy-preserving social network applications and proposed a privacy threat model that can be used to enhance the information privacy in data or social network portability initiatives by determining the issues at stake related to the processing of personally identifiable information.

〔Ｋｅｙｗｏｒｄｓ〕privacy;social network applications;data portability;social network portability

隐私问题已经以各种形式和主题被律师、哲学家、社会学家、心理学家、经济学者、技术人员和其他相关人员讨论了超过100年。1980年Harvard Law Review主张，隐私权的定义是“不受干扰的权利（the right to be let alone）”，该定义为今天现有的大多数隐私法指定了方向。1967年Alan Westin对隐私的定义是“被要求提供信息的个人、团体或者机构自己决定与其他人交流的时间、方式和信息范围”，该定义给隐私概念和构成中添加了个人自己决定，这是隐私法的基础（例如EU Directive）。40年后，随着参与式Web和社会网络应用程序（Social Network Application，SNA）的出现，个人自我决定再一次成为Web应用中增强隐私的手段。最新统计表明，MySpace和Facebook的注册用户数都超过2亿，开心网的注册用户数也已经超过4 000万(2009年8月初数据)。

网络上社会网络应用程序中用户提供的大量个人身份信息（PII）已经引起了隐私保护提倡者的关注。此外，社会网络应用中越来越多的隐私滥用现象广泛存在，比如不必要的信息披露、信息失真、不文明信息、身份盗用、网霸行为或者声誉损毁。因此需要严格控制隐私，使个人用户不会因为自己注册信息而遭受损害。同时，SAN是使用顶级技术建立的，这种技术还没有多少内部控制方法。构建网络最初目的是在一组相互信任的人之间进行开放式交流，而相互信任的人之间不存在隐私问题。

本文指出了SNA技术的复杂性和数据概念、社会网络迁移，以及社会网络迁移的相关隐私风险。然后提出社会网络应用中数据迁移的隐私风险模式。该模式可用于增强数据或者社会网络迁移过程中的信息隐私，具体方法是确定与个人身份信息处理过程相关的重要问题。

１ 社会网络应用中隐私保护的需求分析

网络上SNA使用的不断增加使很多隐私保护提倡者感到迷惑。个人身份数据必定是任何隐私增强技术需要保护的核心，如今这些数据是由社会网络站点上的用户自愿提供的，这些数据必须经过加密、隐藏或者匿名(Kolbitsch & Maurer，2006)。但是，最近关于在线社区的隐私研究显示大部分用户没有意识到隐私侵害活动的具体风险，并且不清楚他们的在线个人档案和PII中有多少信息是可见的并且是显示给其他人的(Acquisti & Gross，2006)。很多事实也显示用户总是声称他们很重视自己的隐私，接着就泄露有关自己的PII数据，这种做法和他们关心自己的隐私相矛盾(Flinn & Lumsden，2005)。Acquisti and Grossklags(2004)已经详细说明隐私态度和行为的矛盾，推论出个人处理敏感隐私信息时，既不能计算出风险的概率和数量，也不能察觉到长远的风险和损失。

有趣的是，当询问隐私保护的有效解决方案时，大多数网络中推荐使用的隐私保护解决方案与SAN中推荐使用的隐私保护解决方案完全不同。首先，传统隐私增强技术（privacy-enhancing technologies，PET）优先考虑使用假名、匿名技术和数据访问权限管理。对于社会网络应用程序，可能的解决方法集中于透明、自动接受功能和主动通信技术，其中主动通信技术能构建察觉潜在风险的警告功能。

分析社会网络中隐私保护需求的框架由Preibusch等于2007年提出。但是他们的研究集中于从数据保护意义上进行隐私保护，也就是数据访问和数据处理方面的限制，没有关于数据透明度和控制机制的研发。在应用程序开发阶段隐私设计变得更加重要。由于需要数据更加透明、更加结构化以及个人用户更加可控，所以对于开发者和服务商来说就可能有更大的挑战。大部分人对服务商用目前的工具和程序从技术上控制用户的所有PII没有信心。

由于从SNA程序提取数据用到其他应用程序的实际状况越来越多，所以就需要增加一个维度来表示隐私信息的潜在风险。复杂的活动（比如注册大量新社会网络服务、输入个人资料信息的重复性工作和在这些站点中添加朋友）已经导致用户产生了社会网络疲劳问题。由于用户需要在各种应用程序和社会网络中一遍又一遍地输入同样的信息，这给社会网路用户造成了沉重的负担，所以形成了集成更多的应用程序和社会网络的需求。此外，SNA服务商不得不面对新的商业模式，在该模式中服务商们可以利用组合数据并从组合数据中获得商业价值。

数据迁移的缺点是逐渐增加的复杂性和不能控制涉及PII的数据流程。OpenSocial和Data Portability Workgroup等已经将隐私问题放在了议事日程上，但是集中于提供简单的隐私设置功能，该功能不能有效防护潜在的隐私风险。

Facebook的首席隐私官Chris Kelly在2008年接受IDG News Service采访时说，伴随数据迁移产生的问题开始越来越多，因为有各种隐私和安全困扰与数据迁移有关，如果能找到进入网络的一个点的话，一大群网络系统外的人很愿意尝试挖掘其他人的个人信息，比如试图导出尽可能多的数据。即使是与许多第三方应用程序连接的Facebook系统本身也被发现存在严重的隐私风险。例如，弗吉尼亚大学最近分析了150个顶级Facebook应用程序，确认其中90%的应用程序获取过他们无权访问的私人用户数据（Felt & Evans，2007）。

当问及哪种技术被认为是网络用户隐私信息保护的最大挑战，大部分人首先想到的是应用程序的“mashing up”，以及使用不成熟且脆弱的技术组合底层数据。此外还缺少可解释的数据管理系统和可审计的流程。

即使没有最近的社会网路数据迁移发生，社会网络中的信息也已被数据挖掘和屏幕抓取应用程序使用，这些应用程序能自动推断现实世界的关系并且发现、标注和分类群体和个人（Adamic & Adar，2003）。Adamic和Adar强调可迁移和导出到其他应用程序环境的数据越多，信息的副作用越可能发生。他们把这些信息副作用描述为数据的副产品——“用于一个用途的数据能被挖掘用于另一个用途，目的是为了理解有点离题并且范围可能更大的问题”。

保护SNA用户信息隐私的另一个问题是，大多数增加到SNA中的mash-up应用程序是用开源软件开发的，因此没有清晰的隐私设计原则和已定义的隐私需求。在没有设置隐私配置标准的应用程序环境中如何实现更加透明化、结构化和可控制的需求，以及在这样的应用程序中没有清楚地明确谁有权访问，以及访问哪部分数据，以上这些都是未解决的问题。

Google宣布在他们的OpenSocial中将采用friend-of-a-friend（FOAF）和XHTML Friends Network（XFN）标准，使开发者有权访问他们渴望获得的社会网络图表（朋友关系地图）和相关数据（Techcrunch，2008）。这将允许开发者以及第三方服务商随意使用PII，并且在他们的应用程序中整合PII。但是起码，Google在基本的数据迁移过程中使用了已知的标准。Facebook等其他服务商仅仅通过把所有责任转移给用户自己的方式来解决这个问题。Facebook目前的隐私策略是和应用程序开发者签订合同达成协议，合同中规定应用程序开发者必须保证尊重用户的隐私设置，但是同时Facebook声明他们不担保所有开发者将遵守该协议。

为了理解在前面介绍的环境中生成数据中涉及的信息隐私含义，以及SNA中具体的PII迁移的信息隐私含义，本文根据如下3个假设提出了隐私风险模式：①信息隐私需要被控制在数据（PII）级；②用户必须能确定所提供的PII的敏感度和环境；③如果用户能用个人隐私参数标记所提供的PII，隐私保护数据迁移才能起作用。

该隐私风险模式描述了对应于各种类型的PII，用户可设置的隐私参数，如图１所示。其中，实线箭头表示用户的控制，通过用特殊属性标记应用程序中的PII来设置一个参数。相反，虚线箭头表示不存在用户甚至应用程序服务商的完全控制，图１中用小方块表示一个mash-up应用程序。也许存在一种情形，由一个应用程序开发者提供和开发一个mash-up应用程序集。图１ 设置隐私参数选项

用户可以设置的隐私参数选项如下所示：

①用户的PII敏感度级别（例如，“婚姻状况”也许对某些用户非常敏感，然而对一些正在找男女朋友的人来说对“婚姻状况”根本不敏感）。

②期望使用PII的环境（例如，只在提供注册私人服务的环境中，比如音乐会入场券提示服务而不是商业网络环境，使用“流行音乐粉丝”群组关系）。

③PII需要被处理的特殊用途（例如，收集出生日期只是为了身份确认而不是为了在SNA个人资料中展示，除非经过授权）。

④特定类型的PII的过期时间（例如，重新确认与特定朋友的关系或者特定时间段后的联系）。

⑤为具体的个人和群组设置PII访问和查看权限（例如，允许用户的SNA网络上的所有成员查看“婚姻状况”和“出生日期”，但不允许“流行音乐粉丝”群组联盟查看）。

图１中，用户的数据可以在应用程序X和应用程序Y之间迁移。一些数据处理发生在应用程序X和一些mash-up应用程序之间。那些数据交换关系中的一些是被应用程序控制的（实线箭头表示的），另外一些不受应用程序的控制（虚线箭头表示的）。但是即使应用程序X控制所有数据流，一旦数据导出到应用程序Y就会立刻产生新数据流，在这个过程不存在控制系统。这个例子中虽然应用程序Z好像不能实现和其他应用程序的数据迁移，但是一些第三方mash-up应用程序也许能够通过数据挖掘或者屏幕抓取技术访问用户的PII。

为了强调在这种数据迁移情形中存在的潜在固有风险，本文提出了隐私风险模式，试图构想最重要的隐私保护需求，使其成为任何数据迁移项目的组成部分。

３ 社会网络迁移的隐私风险模式

无论用户是否提供了PII给其他人，个人的隐私都存在潜在威胁。即使像隐居者一样生活，与网络和电话没有连接，个人隐私也存在潜在的威胁。比如，其他人会因为某些原因侵入隐居者的生活空间。为了保护隐居者的隐私，认识到构成入侵隐居者隐私的因素（他自己的隐私偏好）是很重要的。有多大可能是其他人无意中发现这个隐居者的空间，甚至都没有察觉到它的存在（公众可达性），以及隐居者为自己建立了什么程度的自我防护（自我控制）机制。当然这个例子与社会网络迁移比起来是微不足道的，但是它给我们评估风险提供了基础。

为了让隐私保护机制在社会网络应用程序中发挥有效的作用，隐私保护机制中涉及到的所有成员（其中最重要的是应用程序开发者）都需要理解已存在的潜在风险。那些风险不仅威胁个人用户和相关的PII，而且也威胁社会网络应用服务商的商业模式。社会网络站点中的隐私风险种类和严重性已经于2007年在Weiss学术文献中进行了说明，该文献尤其解释了社会网络应用程序的开放性本质。

隐私风险应该包括三维：个人隐私参数、公众访问方便性、用户控制PII的程度。

３.１ 个人隐私参数

处理信息隐私时能想到的最显而易见的方面就是设置隐私参数。隐私参数总是直接并且主观地与用户链接，用隐私参数属性来标记（图１中的a、b、c）隐私参数。隐私参数取决于很多因素，这些因素创建了用户对提供的PII的相应关注级别，用户是在规定的环境中使用特殊的技术提供自己的PII。用户的个人隐私部署取决于自己对所使用的技术的理解、社会背景、所提供的数据的敏感度、过去的经历和社会心理因素。大多数SNA提供允许用户设置隐私参数的各种选项。典型的选项是，允许单个人或者一群人访问社会网络个人资料。但是，SNA用户应该有比访问和查看个人资料更高的权限。此外，用户应该能设定数据期望被使用的环境、在特定用途中数据应该做相应处理和数据也许需要的过期日期。

个人隐私参数的焦点是每个自己提供的PII。允许访问整个社会网络个人资料不能达到人们关于隐私参数设置的期望。我也许允许我的一位朋友查看我的个人资料，但是如果这个朋友又与其他人是朋友，那么我不想让第二级朋友或者第三级朋友也浏览我的个人资料。我认为特定环境中数据集越敏感或者越机密，我的信息隐私潜在风险就越高。

３.２ 公众访问方便性

公众访问方便性是隐私风险模式中的一维，大多数SNA用户在确保自己的信息隐私受保护时没有把公众访问作为基本考虑因素，用户关于公众访问或者PII可见性的意识非常低。然而，提高用户意识和使PII数据流更加透明是SNA服务商的主要责任。

PII已经在SNA应用程序中，因此社交图表或者数据迁移功能只要集成已有的内容就行了。但是信息隐私是自我决策的。在Facebook或者Xing站点上发布PII的用户不认为PII是公共的。Wang and Kobsa提出了如何处理社会网络站点上PII公众访问的解决方法。这个方案包括根据之前规定的环境实施更加透明的分组访问权限。此时，在这样的环境中被显示的数据透明度越高，用户自己的隐私意识也就被自动提升了。

３.３ 用户控制PII的程度

第三维是用户控制PII的程度，这是欧洲主要隐私法的基础部分。需要确定用户能实施控制的每个PII部分，但是存在一个困难的先决条件，即如果数据迁移意味着数据能广泛传播并且不需要进行任何控制。这个协议对水平非常低的自我控制显示了清楚的信号，就像前面提到的Facebook隐私策略。图２描述了社会网络迁移的隐私风险模式。图２ 隐私风险模式

为了在基于数据迁移原理的SNA中设计有效的隐私保护机制，需要根据隐私风险模式的3个维度评估每个数据集。

维度1：如果用户设置自己的隐私选项，例如把特定的相片标记为“机密”（在图２的模式中是最高的隐私选项级别），那么必须有特定的保护措施保证照片是保密的。也许用户希望照片只在一段时间给一个人或者一些人展示（例如医师的诊断）。也需要保证照片不被其他应用程序访问，以及不会和社会网络个人资料一起被导入到其他社会网络应用程序中。

维度2：如果标记为“机密”的照片由于未知的原因被普通公众访问，比如，用户没有意识到如果照片上传到普通属性照片集中，其他人都能查看到这张照片，那么隐私风险将非常高。这种情况需要采取的保护措施是自动警告打算上传照片的用户，假定用户对照片要上传到哪里和谁会访问照片完全是透明的（也包括照片在网上是如何检索和显示的）。用户也许认为数据上传过程发生在私有的受限制的区域，然而实际上照片是被上传到普通照片集数据库中，其他人都可以通过用户输入的照片标志使用特定的mash-up应用程序搜索这张照片。

维度3：最后，如果用户对上传的照片没有采取任何控制，原因是应用程序在数据级没有预知任何控制机制，用户的隐私风险也是非常高的。用户已经把自己的照片的隐私选项设置为“机密”，但是因为应用程序服务商有各种第三方应用程序管理相片集和上传功能，或者因为用户没有确保用任何技术方法来加强和转移个人的隐私选项设置，那么用户的信息隐私也处于险境。

４ 进一步的研究和挑战

本文提出的隐私风险模式只是一个开始，用于支持设计和开发SNA隐私保护。这个模式能够帮助敏感隐私情形中的应用案例研究。将来的研究是建立控制和保护机制，这些机制要超越社会网络应用程序当前的数据保护和隐私查看设置的解决机制。

还要在社会网络应用程序中应用一系列的技术概念。以下的技术解决方法是相关的下一步研究：①语义技术（根据环境、用途和处理时间给数据加标签）；②增强的透明技术；③使用DRM技术开发个人数据权限管理解决方案。

采用语义技术使PII成为隐私敏感的数据并且应用隐私设置，这个方法可能是SNA系统环境中最有效的方法。在这种解决方案中，开发一种功能使系统帮助用户自动确定选择（比如隐私设置）是很重要的。2007年Berkovsky et al已经做了使用语义方法设置隐私选项的相关工作。目前的方法中，用户使用额外的大量环境数据添加过去的经验，随环境而变的个性化已经获得了成功。这种方法也许能应用到根据环境设置隐私选项规则中，并且能帮助用户减少在每个操作过程中的输入。

研究者将来要面对的主要挑战是开发隐私保护SNA，不扼杀社会网络服务商的商业模式。社会网络用户的PII是社会网络服务商最有价值的资产，并且社会网络服务商也有兴趣通过有效方法找到保护这些资产的解决方案。关于“谁应该拥有这些数据”的讨论将可能被“谁能够最好地保护这些数据”所代替，而且在这种环境中用户将从事建造他们的社会网络个人资料。

此外，能够预期随着更多的隐私侵入发生，立法者也将继续建立客户和隐私保护条例，使社会网络应用程序的服务商对保护方案负责。至少在欧洲最新发展显示，隐私权不会消失而会作为基本人权尤其在信息系统领域被进一步加强。例如，German Constitutional Court于2008年2月出版了里程碑式的法规，把新的“关于信息科技系统的保密性和完整性的基本权限”作为德国宪法普通个人隐私权的一部分。这个法规解释了使用信息科技系统显示用户的关联性，并且补充了早期宪法法院裁定的里程碑式的隐私权“信息自我决定的权利”（1983年）以及“绝对保护生活核心领域的隐私行为”的权利（2004年）。这个法规定义了在新的基本权利之下被保护的信息科技系统——单独的或者使用技术手段互联的系统在一定范围内用多种方式控制受影响的用户的PII，以致其他人访问系统后能了解到与此人生活行为相关的部分甚至收集到有意义的个性化图片。这个定义能够很容易地应用到社会网络个人资料数据中。

５ 结 论

本文提出的SNA中数据迁移的隐私风险模式概述了开发隐私保护SNA中的最重要因素，包括社会图表和应用程序中PII的迁移。用户的自我控制、对正在处理的PII有更高的透明度，以及应用程序开发者清晰的最佳隐私设计方案将帮助解决不断增加的保护SNA用户信息隐私的需求。

参考文献

［１］Kolbitsch,J.,& Maurer,H..The transformation of the Web:How emerging communities shape the information we consume［Ｊ］.Journal of Universal Computer Science,2006，12(2)：187－213.

［２］Acquisti,A.,& Gross,R.(2006).Imagined communities:Awareness,information sharing,and privacy on the facebook.In Privacy-Enhancing Technologies,LNCS vol.4258,6th Workshop on Privacy Enhancing Technologies(pp.36－58),Berlin/Heidel berg:Springer．

［３］Flinn,S.,& Lumsden,J.(2005).User perceptions of privacy and security on the Web［ＥＢ］.http:∥www.lib.unb.ca/Texts/PST/2005/pdf/flinn.pdf，retrieved 2008-02-27．

［４］Acquisti,A.,& Grossklags,J.(2004).Privacy attitudes and privacy behaviour.In J.Camp,& R.Lewis(Eds.),Economics of Information Security,2004，12（13）：165－178，New York,NY:Springer.

［５］Felt,A.,& Evans,D.(2007).Privacy protection for social networking APIs［ＥＢ］.http:∥www.cs.virginia.edu/felt/privacy/,retrieved 2008-02-27．

［６］Adamic,L.A.,& Adar,E..Friends and Neighbors on the Web,in First Monday,2003,8(6).

［７］Techcrunch(2008).Data is the new links.Tim berners-lee says sites that don餿 give users their data back are boring［ＥＢ］.In:Techcrunch,http:∥www.techcrunch.com/2008/02/28/data-is-the-new-links-tim-berners-lee-sayssites-that-dont-give-users-their-data-back-are-boring/，retrieved 2008-02-28．

［８］Weiss,S.(2007).The need for a paradigm shift in addressing privacy risks in socialnetworking applications.In:Post-Proceedings:The Future of Identity in the Informati on Society; Third International Summer School organized by IFIP WG 9.2,9.6/.7,.6 in cooperation with FIDIS Network of Excellence (pp.161－171),Sweden:Karlstad.

［９］张国荣.社会网络数据的隐私保护［Ｊ］.网络安全技术与应用,2009，（7）:42-44.

［１０］罗亦军,刘强,王宇.社会网络的隐私保护研究综述［Ｊ］.计算机应用研究,2010，27（10）：3601-3604.