个性化信息服务中用户个人信息保护研究

赵 敏

(周口师范学院音乐舞蹈学院,河南 周口 466001)

个性化信息服务中用户个人信息保护研究

赵 敏

(周口师范学院音乐舞蹈学院,河南 周口 466001)

个性化信息的获取和个人信息保护是个性化信息服务中的一对矛盾。通过梳理个性化信息服务流程,指出个性化信息服务中个人信息泄露的两种形式,据此提出相应的个人信息保护措施建议。

个性化信息服务;个人信息保护;信息泄露

随着网络技术的发展,个性化信息服务作为满足特定用户在特定时间内对特定信息需求的一种服务,其实施的范围已从实体空间拓展到虚拟网络空间,呈现出时空个性化、服务方式个性化、服务内容个性化的趋势。服务方式也从传统的信息定制、信息推送等扩展到了个性化导航、个性化过滤、个性化推荐、个性化信息检索、个人化情景感知服务等方式。个性化的产品、个性化的服务正成为当今信息服务的主流。

个性化信息服务得以开展的前提是获知用户的个性化需求。也就是说,用户要想获得信息服务机构提供的个性化信息服务,就必须向信息提供者提供自己的个性化信息。在这个过程中,用户的个人信息面临被泄露的风险,从而产生了不同用户个人信息的安全问题。在大数据出现以后,每年仅有不足20%的数据得到保护,大量的数据尤其是个人信息面临着空前的威胁[1]。然而,很多情况下,用户并不知道自己的信息被哪些机构和个人获取或盗用了,也不知道他们获取这些信息的目的。这就出现了矛盾：信息服务机构要向用户提供更好的、更有针对性的服务就需要获取更多的个人化信息,而这又可能会加剧用户个人信息泄露的风险。因此,随着互联网中个性化服务的发展,用户个人信息保护问题也日益突出。那么,如何在注重用户个人隐私保护的情况下提升个性化服务的水平与质量呢?也就是如何在二者之间找到一个平衡点呢?

一、个性化信息服务的概念

根据用户的个性化需求,向用户提供的有针对性的、个人化的信息服务,叫作个性化信息服务。其过程可以描述为：收集、整理、分析用户的信息需求、兴趣爱好、信息行为等,通过多次分析用户行为记录和监测用户反馈,构建个性化信息用户需求模型,并利用这个模型所提供的用户需求信息,提供高效、准确的个性化信息服务。满足用户差异化的、多样化的信息需求是个性化信息服务的动力。

图1 个性化服务中的信息流程

图1的个性化信息服务流程可以描述为：(1)对用户的注册信息、定制内容、信息行为等收集与整理,借助数据挖掘、需求分析等技术,构建用户个性化信息需求模型。(2)构建外部数据信息库。该数据库主要由服务机构的信息资料库形成,服务机构有针对性收集分析用户需求相关的信息,作为用户提供信息资料的依据。(3)在用户需求信息的基础上建立其个性化信息需求数据库。该库通过与外部数据信息库交互提取用户的信息需求,供给用户个性化的信息服务。(4)在接受个性化信息服务的过程中,用户将信息需求通过信息定制等方式反馈以便更新用户个性化信息需求库和外部数据信息库。其中,个性化信息需求库不仅是服务机构提供个性化信息服务的前提,也是用户个人信息存储地,其信息不仅包括用户注册登记的基本信息,还储存有用户的网络行为、兴趣爱好、所处情景等信息。由此可见,用户个性化信息需求库的安全性显得十分重要,如果对其保护不当会直接导致用户个人信息泄露。用户个人信息泄露与个性化信息需求库的建立、处理、使用等过程密不可分。

二、个性化信息服务中个人信息泄露的主要方式

根据个性化信息需求库的构建和使用过程,个性化信息服务中个人信息泄露主要分为两种方式：第一种是用户个人信息泄露至信息服务机构,出现在用户个性化信息需求库构建过程中;第二种是信息服务机构将用户个人信息泄露给他人,出现在信息服务机构对用户个性化信息需求库的管理和使用过程中。

(一)用户个人信息泄露至信息服务机构

当用户希望得到某信息服务机构的个性化信息服务时,其个人信息泄露不可避免。这是因为,充分认识和了解用户个性化需求是信息服务机构开展个性化信息服务的前提。用户将个人信息泄露给信息服务机构有主动和被动之分。用户注册个人信息、信息定制时详细描述个人需求偏好等都属于主动的个人信息泄露,而信息服务机构利用数据挖掘等技术捕获和分析用户行为则是被动的个人信息泄漏行为。

(1)注册。很多信息服务机构在向用户提供个性化信息服务时,要求用户注册。注册往往需要用户填写年龄、性别、身高、体重、通信方式、职业、学历、收入情况、健康状况等个人基本信息,信息服务机构以此为基础为用户建立初始用户模型。用户一般也高度认可以注册方式将个人信息透漏给信息服务机构,但是对所透漏的个人信息具有一定的偏好性。杨涛等[2]使用问卷调查图书馆用户的个人信息提供意愿时发现,用户对为享受个性化服务而注册的认同度非常高,大多数用户愿意在注册的时候提供多种个人信息,电子邮件地址是用户最愿意提供的。

(2)信息定制及标注。信息定制作为一种常见的个性化服务定制形式,在信息定制的过程中,用户不可避免地会表达出个人的兴趣偏好、关注的内容领域。标注行为是网络资源的利用者对某一数字资源赋予标签的过程或结果。其目的在于方便自己或他人获取、使用。在标注的过程中,判定的依据和标准不尽相同,特别是个人用户的标注行为,往往会不自觉地形成对某一特定领域特定话题的评论。这一行为会透露用户的兴趣爱好、关注领域、信息习惯等。这种个性化的标签也较容易形成个人信息泄露[3]。

(3)用户网络使用行为挖掘。用户网络行为中包含了大量个人化的行为和信息。因此,通过网络可以显示出用户登录网站的ID/IP、登录时间、搜索的主题词和次数、网上消费记录、输出的检索结果等兴趣偏好信息,这些能反映出用户个人化信息都被记录在相关的网站中。随着经济社会的快速发展,个人信息在商业上的利用价值已越来越大。因此,网站及相关商家迫切需要获得用户个人信息,通过分析、处理和归类,以发掘其潜在的利用价值。信息服务提供机构借助网络挖掘技术、基于位置的服务等,向用户提供更好的更具针对性的服务。但这个过程中,用户也在不知情的情况下被信息服务提供商实时监控,个人信息被信息服务提供商获取。

(二)信息服务机构将用户个人信息泄露给他人

近年来,有多起泄露用户个人信息的案件,这些事件大都发生在用户个性化信息需求库存储和转移过程中。

(1)个性化信息需求库存储期间。信息服务机构如果对用户个性化信息需求数据库保护不当,会造成严重的用户信息泄露事件。由于技术上和经济上的原因,现有网络系统中不可避免存在各种技术上的漏洞[4]。例如,由于保密措施不强,2011年12月程序员网站CSDN、天涯社区、美团网等数据库遭黑客攻击,600多万个注册的邮箱账号和密码泄露;由于乌云平台存在系统漏洞,2014年8月东方航空被曝SQL注入漏洞,致大量用户订单信息,如姓名、出生日期、护照ID和地址等泄露。

(2)个性化信息需求库转移期间。转移是指通过委托他人加工而将个人信息复制到其他信息系统中,将个人信息提供给个人信息获得者的行为,如向公众公开、向特定群体披露。在未经用户同意的情况下,信息服务部门在开展信息服务过程中,应保证不得将所掌握的大量用户个人信息滥用或传递给第三方。然而复旦大学移动互联网数据安全技术研究中心监测发现了大量的手机安卓应用软件存在的隐私信息泄露问题,其中大部分应用软件能够把个人隐私信息传送回软件开发商和广告商,还有一部分被送到不知名的其他网站去了[5]。

三、个性化信息服务中用户个人信息保护策略

(一)立法方面

法律是保护个人隐私权最根本的手段。网络技术的发展,使个人信息得到了最大程度的利用,但也出现了多起侵犯个人信息的案例。要从法律层面上,加快制定个人信息保护的相关法律,从法律上保障个人信息不被侵犯。2009年通过的《刑法修正案(七)》第253条明确规定了个人信息保护：“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。”2012年,中国工业和信息化部制订了《信息安全技术公共及商用服务信息系统个人信息保护指南》;2014年11月,工业和信息化部起草了《通信短信服务管理规定(征求意见稿)》,用于规范短信服务业务。这些法律法规既有助于个人信息保护,也方便于人们合理合法地使用信息资源。尽管如此,但随着移动互联应用技术的发展与普及,网络个人信息隐私保护问题也越来越多。因此,只有不断完善的法律体系才能保障我们的个人网络信息安全。

(二)用户方面

用户应当增强个人信息保护意识。如果用户自身不重视,那么其隐私极容易被泄露。一些调查研究发现,由于受传统文化的影响,大多数用户保护自我隐私信息的意识并不强烈,他们往往忽略了自身隐私信息泄露带来的严重后果[6]。因此,为接受更好的个性化信息服务而向信息服务机构提供个人信息时,用户应当采取必要的自我保护措施以防止个人信息过度泄露。用户的自我保护包括自我选择、自我控制和自我防卫[7]。

自我选择是指用户要主动了解个性化信息服务机构的隐私权保护政策,对所填写的个人信息内容和种类、使用主体、目的和使用期限、提供和不提供的后果与补偿等要有所预估,以便在不同的个人信息保护之间做出最佳选择;自我控制是指依靠技术手段实现个人信息控制,如利用安全登录工具、无痕阅读、伪装登录或别名注册、个人信息访问账号密码设置等;自我防卫,即运用法律武器保护合法权益。我国工业和信息化部2013年7月公布的《电信和互联网用户个人信息保护规定》第9条规定：“未经用户同意,电信业务经营者、互联网信息服务提供者不得收集、使用用户个人信息。”这一规定为用户利用法律武器来保护个人信息泄露提供了依据。因此,用户利用网络提供个人服务时,要针对不同的个人信息保护特点,自主选择不同的保护措施。

(三)信息服务机构方面

信息服务机构收集个人信息的目的是通过对用户个人化信息的挖掘,找出用户的个性化信息需求,更好地为用户提供个性化的信息服务。信息服务机构对待个人信息的保护往往面临一个相对的困境：如果放弃利用用户信息来挖掘用户信息,构建用户信息需求模式,严格对待隐私保护,则难以为用户提供更好的个性化信息服务,就将失去一部分愿意用个人化信息换取个性化服务的用户,同时丧失竞争优势;但另一方面,如果滥用用户的信任,以松懈的态度对待,用户的个人信息面临被泄露的风险则会急剧增加,一旦造成损失,用户忠诚度就将丧失,甚至会面临法律的惩罚。这就需要信息服务机构加强自律,做好平衡。信息服务机构收集个人资料应遵循“告知原则”。在信息用户注册过程中应告知用户所注册信息的安全性,并经过信息用户的本人许可,采取非强制手段对信息用户的个人信息进行收集。同时,信息服务机构也要制定完善的隐私保护政策,提供隐私政策公示,提供设定用户隐私公开程度的工具,运用保证隐私不外泄的保护技术。在技术应用方面,首先,信息服务机构应当注意信息技术的安全应用,避免或减少用户信息被恶意获取的情况;其次,信息服务机构应当合理有效地利用网络挖掘、位置服务等技术,避免过度获取用户个人信息。因此,只有把信息服务机构的职责、国家信息安全法律和信息安全技术体系等约束有机结合起来,才能最大限度地保障个性化服务中的用户信息不被泄露。

个性化信息服务是信息服务发展的重点和趋势,也是信息服务机构提升信息服务质量的必然要求。然而,快捷便利的网络信息服务是一把双刃剑,既可成为用户获取重要信息的有力帮手,亦可变化为用户个人隐私泄露的渠道,这就形成了在个性化信息服务中,个性化信息的获取和个人信息保护的一对矛盾。而要在个性化信息服务中解决这一问题,就需要提高用户的自我防范意识和信息服务机构信息服务质量,采取各种有效措施来保障个人信息的安全性,通过加强对用户隐私的保护,让用户更放心地享受个性化信息服务。同时,也要完善信息安全法律体系。只有通过立法建立长期而有效的管理规范机制,才能对不断出现的新问题起到制约作用。因此,在未来个性化信息服务中,需要将增强用户对个人隐私被泄露风险的认识、提高信息服务机构的技术和人员水平、规范信息安全法律体系等有机地结合在一起,这样才能在保障个人信息安全的基础上,使用户能够享受到优质的个性化信息服务,同时也能够促进信息服务机构更好的协调发展。

[1]崔聪聪.网络产业发展与个人信息安全的冲突与调和[J].情报理论与实践,2014(8)：37-40.

[2]杨涛,曹树金,冯彩芬.图书馆个性化服务的用户隐私保护需求实证研究[J].图书情报工作,2010(5)：55-58.

[3]郭明珠,魏来,魏佳珅.个性化信息服务中用户隐私保护对策探究[J].图书馆学研究,2010(8)：62-66.

[4]雷春蓉.档案用户信息隐私权保护研究[J].档案学研究, 2014(5)：68-70.

[5]乔楠.移动互联网时代的隐私权及其保护措施[J].公民与法,2014(4)：61-64.

[6]迟秀铭,崔新春,张帅.中美个性化信息服务隐私保护比较研究[J].新世纪图书馆,2014(1)：37-40.

[7]Deborah Faison.Privacy in the internet age[J].Commercial law bulletin,2000(6)：8-12.

Research on the user’s personal information protection during personalized information services

ZHAO Min

(College of Music and Dance,Zhoukou Normal University,Zhoukou 466001,China)

It is pointed out in the paper that the personal information protection and the personalized information acquirement is a contradiction.The principles and process of personalized information services are discussed and the two forms of personal information disclosure are analyzed too.In the end,some appropriate measures to protect personal information are proposed.

personalized information services;personal information protection;information disclosure

G252

：A

：1671-9476(2015)03-0150-04

10.13450/j.cnkij.zknu.2015.03.037

2015-02-04;

：2015-03-16

河南省科技厅软科学研究计划项目“基于本体的企业知识管理方法创新研究”(132400410466)的研究成果。

赵 敏(1964-),女,河南尉氏人,图书馆员,研究方向为网络信息资源管理。