個人隱私是如何“泄漏”的：國內外互聯網企業隱私策略對比

編者按：2013中國互聯網安全大會上，安全專家王清曾現場演示程序僅通過QQ號在1分鐘內就可以查出你的真實姓名及社交圈，并不是靠黑客入侵電腦竊取信息，僅僅是收集你在各個網站上的個人資料進行匯總和分析就可以做到，大數據對個人隱私來說無疑是一劑“毒藥”?；蛟S你會認為這是網站對你個人隱私的侵犯，然而，在使用各網站服務時，你有沒有關注過其隱私策略聲明？他們都是在你的默許下得到的這些信息。各大公司或網站真的重視用戶隱私？用戶個人信息被用在了什么地方？就網絡隱私問題，國內外是否有本質不同？有沒有相關的法律規定？IDF實驗室團隊負責人裴偉偉，通過對比國內外互聯網企業隱私策略，進行了探討。

一、前言

隨著2013年愛德華?斯諾登爆料美國NSA秘密執行的“棱鏡計劃”，使得網絡信息隱私安全問題在一夜之間走到臺前，成為倍受大眾關注的焦點話題，尤其是該計劃涉及面之廣輻射至全球10多個國家。并由此引發了關于個人隱私安全的輿論熱潮，掀起了新一輪信息安全、網絡隱私話題的討論：個人隱私應當如何得到保護？企業又當如何承擔起個人隱私保護的責任？政府和企業是如何對待公眾隱私保護？

關于以上問題一時難以取得定論，在本文中亦不會對以上問題進行探討，而是由筆者選取十四家國內國際知名互聯網企業的隱私策略進行分析對比，以說明國內互聯網企業與國外互聯網企業在對待公眾隱私問題上的不同與差距。

• 各大公司或者網站對于用戶隱私真的重視么？
• 被收集的用戶個人信息到底在什么地方使用？
• 就網絡隱私問題，國內同國外是否有著本質的不同？
• 相關法律是否可以對網絡隱私問題進行解釋呢？

二、對比企業

以下是為進行隱私策略對比而選取的14家國內外互聯網企業：

國內企業：新浪、百度、奇虎、淘寶、騰訊、網易、搜狐

國外企業：Google、IBM、Microsoft、Facebook、YouTube、twitter、YAHOO

三、對比方式

在本文中，首先會介紹現階段各個互聯網企業隱私策略內容概要，然后對于已存在隱私策略進行對比分析，最后針對隱私策略漏洞和用戶隱私安全進行探討。

四、網站隱私策略內容

• 71%（10家）的互聯網企業提供對于用戶資料信息的收集說明。

4.1 個人資料信息

互聯網企業對于用戶的個人信息進行儲存和收集，其目的通常是為更加人性化地為用戶進行定制化服務，并且強調不會利用這些信息做出違反用戶利益的事情。

個人信息資料，通常包括注冊時需要輸入的年齡、性別、郵件以及擴展內容中的工作、生活地點、愛好等等，其中一些需要認證實名的網站需要進行身份認證。每次用戶登錄時間、瀏覽操作等會記錄在相應的網絡系統日志中。

除淘寶、京東、twitter和YouTube以外，其他互聯網企業均有在隱私策略中都明確地說明為什么會對個人信息進行收集，以及會將個人信息應用在什么用途。例如網易在其隱私策略中聲明：

網易收集這類關于個人身份的信息主要是為了用戶能夠更容易和更滿意地使用網易的網頁。網易的目標是向所有的互聯網用戶提供刺激、有趣及有教益的上網經歷。而這些個人信息有助于我們實現這一目標。

4.2 Cookie

• 71%（10家）的互聯網企業提供對于cookie的記錄說明。

網站所存儲的Cookies中可能包括用戶的登陸帳號、訪問記錄、訪問偏好等等。比如，當用戶在該網站進行搜索的時候，網站會記錄并儲存用戶的搜索內容，而網站中第三方廣告商由于和網站有合作因而可以共享用戶的搜索信息，此后如果用戶前往其他網站進行訪問，而該網站使用的是同樣的第三方廣告，那么用戶就會發現廣告中所展現的內容即是一開始用戶曾搜索內容相關的偏好內容。總而言之，第三方廣告會通過記錄用戶的cookie來存儲用戶的輸入信息或瀏覽信息，如此第三方廣告商可利用數據共享自動鏈接用戶感興趣的內容進行廣告展示。

每一家互聯網企業都會對用戶的cookie進行儲存，但各家有各家的說明，且其存儲及應用目的均說明是為配合網站的個性化功能進行服務。例如新浪網關于cookie存儲的聲明如下：

新浪網站有時會使用cookies以便我們知道哪些網站受歡迎，使您在訪問我們的網站時得到更好的服務。cookies不會跟蹤個人信息。當您注冊我們的網站程式時，新浪亦會使用cookies。在這種情況下，會存儲有用信息，使我們的網站在您再次訪問我們的網站時可辨認您的身份。來自新浪網站的cookies只能被新浪網站讀取。如果您的瀏覽器被設置為拒絕cookies，您仍然能夠訪問我們的大多數網站。

4.3 存儲個人信息說明

并不是每家互聯網企業都會說明他們收集用戶個人信息用于何處，其中的信息包括用戶個人信息和cookie。在前面的內容中已經提到71%（10家）的網站提供有對存儲用戶個人信息用途的說明，相比之下僅有57%（8家）的網站提供有對cookie用途的聲明，這八家互聯網企業分別是新浪、網易、搜狐、百度、微軟、IBM、Google以及Yahoo。

4.4 免責聲明

免責聲明是國內與國外的互聯網企業最為明顯的不同點，盡管每家企業都有免責聲明，但其免責內容側重點略有不同：

• 國外企業將免責聲明附于其他策略中，并說明何種情況下不適用其隱私策略；

• 國內企業的免責聲明中對于各類不同的情況均有說明，如一旦用戶隱私相關的問題出現，那么企業將不會對該問題進行負責，包括用戶的利益和隱私受到侵害的情況下。?

各網站個人資料、Cookie、免責聲明是否提供選擇的情況

4.5 涉及用戶隱私行為是否征求用戶同意

• 0.7%（1家）的網站提供隱私行為征求用戶同意的服務。

盡管沒有一家互聯網企業有對此做出明確說明，但谷歌仍然在事實上提供有該服務。涉及用戶隱私行為征求用戶同意意味著，對于用戶即將進行的有關用戶隱私的操作進行提示或詢問，以確認用戶是否要繼續進行操作，并且將用戶選擇后會發生的事情提前告知。而網站的隱私策略直接跳過這一步，以用戶默認會同意來進行策略的制定，因為如果用戶選擇不同意便會導致無法繼續訪問該網站。以下是谷歌的相關說明：

Google征得您的同意
在征得您的同意后，我們會與 Google 以外的公司、組織和個人分享您的個人信息。我們必須您選擇同意才會共享任何敏感的個人信息。

4.6 用戶數據保護措施

• 50%（7家）的互聯網企業提供有對用戶數據保護的安全措施聲明。

企業對于用戶數據保護的安全措施包括但不限于驗證、審查、保密、SSL加密等措施。例如Google聲明如下：

我們努力為 Google 和我們的用戶提供保護，以免我們保存的信息在未經授權的情況下被訪問、篡改、披露或破壞。為此，我們特別采取了以下措施：

• 我們使用 SSL 對許多服務進行加密。
• 我們提供了兩步驗證供您在訪問 Google 賬戶時使用，并在 Google Chrome 瀏覽器中提供了安全瀏覽功能。
• 我們會審查信息收集、存儲和處理方面的做法（包括物理性安全措施），以避免各系統遭到未經授權的訪問。
• 我們只允許那些為了幫我們處理個人信息而需要知曉這些信息的 Google 員工、承包商和代理商訪問個人信息，而且他們需要履行嚴格的合同保密義務，如果其未能履行這些義務，就可能會被追究法律責任或被終止其與 Google 的關系。

4.7 提高隱私安全強度方法

• 7%（1家）的互聯網企業提供強化安全方式。

在這個方面只有YOUTUBE進行了用戶安全操作以及安全意識方面的建議，其實針對提供不同服務的網站，安全建議也各不相同。具體方法為加強密碼強度、訪問網站的注意事項、計算機防火墻開起、識別詐騙消息的一般方法等等。

如何在 YouTube 上保護您的隱私：
請慎重考慮之后再發布個人信息。這包括居住城市、就讀的學?；蚣彝プ≈返刃畔ⅰ?br>保護賬戶數據，切勿與其他人分享您的密碼。YouTube工作人員絕不會要求您提供密碼。如果有人冒充 YouTube 的員工與您聯系，請不要上當受騙。
首先獲取許可。一般來講，獲取許可后，才能拍攝他人或發布其個人信息。
請訪問我們的隱私權和安全設置頁面，其中提供了可用工具列表，借助這些工具管理您在 YouTube上的內容和體驗。

4.8 詳細的聯系方式

• 50%（7家）的互聯網企業提供詳細的客服聯系方式。

當用戶有使用和訪問有可能是產品方面有問題或者建議的時候，可以通過聯系方式與企業取得聯系，包括公司地址、聯系電話、聯系傳真、網上客服等等。

對于解答效率而言，國外網站相對較有優勢，大多數網站會對用戶反饋問題后的第一時間進行回應。當然如Facebook和Twitter例外，社交網站處理反饋問題的效率相對較低。

4.9 信息收集方式

網站在用戶注冊的時候，會被動收集用戶名、密碼、注冊時間、電子郵件等注冊信息，之后在用戶完善用戶資料的情況下，還會收集諸如用戶偏好等其他信息。當用戶登錄在該網站登入的時候，網站將被動收集用戶登陸時間、訪問內容、搜索內容、偏好變更、用戶信息更新等數據。

Cookie的收集從用戶注冊的時候就已經進行了，網站服務器自動生成一份，而另一部分則會留在用戶本地硬盤中儲存，當用戶訪問網站時，將自動進行匹配，方便用戶登陸。當然cookie是默認進行加密的。

五、隱私相關的法律法規

5.1 國外的法律法規

美國加利福尼亞州擁有Online Privacy Protection Act（在線隱私保護法案），該方案要求每一個商業化網站都必須要注明隱私策略或者隱私聲明，標準位置在網站頁面的最下方，并且處于顯著位置。隱私策略或隱私聲明中需要將記錄的信息以及用途進行說明，允許用戶對其個人信息進行修改。擁有自己網站的任何個人或者企業，如其所擁有的網站會收集居住在加利福尼亞州的公民信息，則必須要遵守（就是面向用戶中有居住在加利福尼亞州的公民）該法案。但在線隱私保護法案不適用于涉及到ISP等記錄信息的第三方。

澳大利亞的隱私法中有明確的關于信息隱私原則（Information Privacy Principles,縮寫IPP共11條）的說明：

IPP1：收集的方式和目的
機構如進行用戶信息收集，則必須有必要的、公平、合法收集的信息。
IPP2：直接從個人收集的信息
機構必須采取相應的措施，并通知用戶機構所擁有的收集權利以及收集相關信息的理由。
IPP3：收集信息準則
機構必須采取相應的措施保證收集的用戶信息的時效性和完整性，但是不能用不可接受的入侵式的方法來收集。
IPP4：儲存和安全
收集到的個人信息必要保證安全的儲存，以免丟失或濫用。
IPP5-7：訪問和修改
有關機構需采取相應措施保證他們所掌握的用戶信息可以被信息來源訪問。如果信息有誤，則可以進行修正。
IPP8―10：信息使用
需保證用戶信息的完整，準確還有時效性（最新的），使用信息的目的，以及這些信息只可能用于什么樣的特殊情況，例如當信息源許可、生命安全相關或法律強制要求的情況。
IPP11：泄露
這項原則適用于機構將信息泄露給其他人員或機構時，并且，泄露信息只可以在特殊情況下進行，例如當信息源許可、生命安全相關或法律強制要求的情況。

5.2 國內的法律法規

由于國內并沒有關于網絡隱私或者隱私策略等的法律明文規定，在我國現行法律中,只有《侵權責任法》第二條講民事權益范圍中包括了隱私權。《侵權責任法》第三十六條規定：“網絡用戶、網絡服務提供者利用網絡侵害他人民事權益的，應當承擔侵權責任?！睆亩状螢榘l帖者、跟帖者、人肉搜索者、網絡博客等網絡用戶及網絡服務提供者名譽侵權、著作權侵權的處理提供了依據。

根據我國國情及國外有關資料，下列行為可歸入侵犯隱私權范疇：

1. 未經公民許可，公開其姓名、肖像、住址、身份證號碼和電話號碼。
2. 非法侵入、搜查他人住宅，或以其他方式破壞他人居住安寧。
3. 非法跟蹤他人，監視他人住所，安裝竊聽設備，私自拍攝他人私生活鏡頭，窺探他人室內情況。
4. 非法刺探他人財產狀況或未經本人允許公布其財產狀況。
5. 私拆他人信件，偷看他人日記，刺探他人私人文件內容，以及將他們公開。
6. 調查、刺探他人社會關系并非法公諸于眾。
7. 干擾他人夫妻性生活或對其進行調查、公布。
8. 將他人婚外性生活向社會公布。
9. 泄露公民的個人材料或公諸于眾或擴大公開范圍。
10. 收集公民不愿向社會公開的純屬個人的情況。
11. 未經他人許可，私自公開他人的秘密。

而涉及到可用于網絡隱私策略的定制的方面如下列列出的幾條：

1. 個人登錄的身份、健康狀況。網絡用戶在申請上網開戶、個人主頁、免費郵箱以及申請服務商提供的其他服務（購物、醫療、交友等）時，服務商往往要求用戶登錄姓名、年齡、住址、身份證、工作單位等身份和健康狀況，服務者得以合法地獲得用戶的這些個人隱私，服務者個人有義務和責任保守個人的這些秘密，未經授權不得泄露。
2. 個人的信用和財產狀況，包括信用卡、電子消費卡、上網卡、上網賬戶和密碼、交易賬戶和密碼等。個人在上網、網上購物、消費、交易時，登錄和使用的各種信用卡、賬戶均屬個人隱私，不得泄露。
3. 郵箱地址。郵箱地址同樣也是個人的隱私，用戶大多數不愿將之公開。掌握、搜集用戶的郵箱，并將之公開或提供給他人，致使用戶收到大量的廣告郵件、垃圾郵件或遭受攻擊不能使用，使用戶受到干擾，顯然也侵犯了用戶的隱私權。
4. 網絡活動蹤跡。個人在網上的活動蹤跡，如IP地址、瀏覽蹤跡、活動內容，均屬個人的隱私。顯示、跟蹤并將該信息公諸于眾或提供給他人使用，也屬侵權。比如，將某人的IP地址告訴黑客，使其受到攻擊；或將某人瀏覽黃色網頁、辦公時間上網等信息公諸于眾，使其形象受損，這些也可構成對網絡隱私權的侵犯。
5. 通過使用純網頁版本的軟件有利于保護隱私，比如純網頁版本的PPMEET視頻會議；而類似于需要安裝到電腦硬盤上的軟件會對用戶隱私安全保護方面造成相當大的影響，存在潛在危機。

六、國內外隱私策略對比

依據美國加州在線隱私保護法案和中國《侵權責任法》下覆蓋的法律法規，我們可以對以上所列舉的國內外互聯網公司的隱私策略做如下對比：

個人信息：對于網站對用戶個人信息的收集，這是不可避免的問題，雖然或許涉及到一些用戶的個人隱私，但是大多數網站都需要提供此項，無論從用戶名還是從性別，從某種角度上是一種明謀，因為如果你想享受網站的服務，就必須要對個人信息進行更新。而更多的社交類網站越來越多的出現和發展，對于用戶個人信息這一項的非法泄露問題卻更加嚴重。

Cookie：cookie被記錄的問題，其實可以通過對瀏覽器設置進行更改，并且可以通過瀏覽器進行cookie的清除。網站最初只是通過cookie來方便用戶登陸，但是隨著網絡商業化的日漸發展，被泄露到第三方的廣告商處的cookie也越來越趨于正常化，并且通常并沒有多少用戶會仔細閱讀或者查看有關cookie記錄和用途的說明，這樣就導致，一些用戶并沒有想到會受到cookie的記錄，來享受網站的相關服務（例如強迫癥患者），但卻認為自己受到了隱私侵犯。

收集用戶信息的理由及其用途：從這14家選取的互聯網公司的隱私策略中可以發現，幾乎所有被收集的信息的用途皆被定義為用于網站為用戶提供更好更舒適更人性化的服務。

免責聲明：國內大多數的隱私策略的側重點多數傾向于免責部分的敘述，以及一些不可抗拒事件（例如黑客入侵，自然災害）發生時的處理辦法。

征得用戶同意的行為：關于征得用戶等行為，但大多數網站或者網絡服務提供者并沒有進行說明或者有實際的行為，或者說用戶登陸網站的行為就是默認的征得了用戶的同意。

安全應對措施：多數隱私策略中的安全措施，一般都是用戶使用或者傳輸數據時對于信息的安全，而當發生一些網站束手無策的問題發生時，對應的安全措施手段缺乏，處理此類事件的方法單一，而直接的影響的就是用戶的隱私信息遭到非法泄露。

提高隱私安全：這一點需要用戶進行配合，只有用戶增強自身個人隱私安全防范意識，這樣才能更好的配合網站做好隱私安全保護。涉及到的方面頗多：上網習慣、系統操作、對網上虛假信息的分辨、安全軟件等都和隱私安全有關。

詳細聯系方式：對于隱私策略來講，一直都在完善中，這樣用戶的體驗就尤為重要，畢竟隱私策略的主要服務對象就是用戶，這樣當用戶有什么建議或者意見的時候，及時的溝通就顯得尤為重要。網站在隱私策略中的聯系方式一般分電子郵件，電話，在線聯系幾種，并且會留下地址，方便面對面聯系，但這一點也并非所有網站都滿足，有些網站或許只留下電子郵件地址，而這樣導致的結果是，用戶的被動，比如發出了建議或意見郵件，卻遲遲得不到官方回應。

法律法規：對于法律法規來講，國內仍然需要專家或者隱私學者們進行研究建議并擬定，缺乏正規且針對性的條款，而大多被《侵權責任法》覆蓋。而國外有很多針對性較強的法律，例如國際上都在使用或者沿用美國加州Online Privacy Protection Act（在線隱私保護法案）作為隱私策略標準。寥寥幾個國家擁有獨立網絡隱私法律條款，可見大多數國家都在這條路上摸索前進。

漏網之余

個人可識別信息，即PII（Personally Identifiable Information），是可以用來識別、聯系或找到一個人的信息，如姓名、電話、郵箱、地址、身份證號碼、信用卡信息、銀行信息、醫療信息等。非個人可識別信息，稱為匿名信息，如系統配置、身高、體重、血型、性取向等，但匿名信息如果和個人可識別信息（PII）相關聯，則可以轉換為個人可識別信息（PII）。

在美國及加拿大，通常情況下，企業如果被判定侵犯用戶隱私，會根據其情節輕重面臨以下一種或多種處罰：①修改隱私聲明；②修改軟件；③提高內部對隱私保護的監管；④接受外部（如政府或第三方機構）對齊隱私保護的監管；⑤罰款。

下圖是調查企業是否侵犯用戶隱私的流程圖：

原文鏈接：國內外互聯網企業隱私策略對比（責編：周小璐）

生活不易，碼農辛苦
如果您覺得本網站對您的學習有所幫助,可以手機掃描二維碼進行捐贈