据了解,当你上网进入某些网站为享受其服务而提交自己的有关信息进行注册时,也许你会因其可靠的名声自然而然地认为你的信息在它们那里是安全的。其实,事情往往恰好相反。美国研究人员新完成的研究显示,100多家为数以千万计的用户提供服务的网站中,有3/4的网站将用户的个人信息直接泄露给第三方网站。
日前,在美国加州奥克兰市举办的“网络2.0安全和隐私”会议上,研究人员指出,迄今为止人们所做的防止个人信息通过网站和在线社交活动泄露的努力(包括美国联邦贸易委员会2010年出台的关于保护消费者隐私的建议)在很大程度上并不奏效。他们强调,网站需要为保护用户个人隐私负更大的责任。
美国伍斯特工学院(WPI)计算机科学教授格里格·威尔斯是研究报告的合著者。他表示,尽管研究人员、政府机构和提倡保护隐私权者提出了不少建议和发表了许多报告,但是隐私问题却变得更为糟糕。随着现存的和倡导的隐私保护措施间逐步脱节以及各类网站中个人信息不断增加,目前到了应确定网站在保护用户隐私方面发挥何种作用的关键时刻。
网站泄露的个人信息被分类分级
据悉,研究人员曾披露许多流行社交网站存在着用户个人信息泄露的问题,引起了人们的关注。此次,他们决定了解常规网站处理个人信息的情况,这在过去几乎没有人调查过。研究人员分析研究的主要是那些鼓励或要求用户注册才能享受其服务的网站。在注册过程中,用户通常会向网站提供他们的个人信息,如姓名、家庭住址和电子邮件信箱。同时,研究人员还分析了那些受欢迎的健康和旅游网站,用户在这些网站的搜索行为能够反映他们的健康问题或显示他们的旅游计划。
研究人员发现,用户的个人信息通过一些路径泄露给了那些为帮助广告商而追踪用户浏览行为的第三方网站。
在某些案例中,个人信息被有意地传给第三方网站;而在其他的案例中,要么是故意要么是不经意地将个人信息作为与第三方网站进行例行信息交换的部分内容。不同的网站信息泄露方式各不相同,有的是在用户创建、查看、编辑时;有的是用户登录账户时;有的则是用户在网站切换时。研究人员还注意到,有关健康的网站将用户搜索的敏感词组(如胰腺癌)和旅行网站将用户的行程泄露给第三方网站。
研究人员将网站泄露的信息进行分类检查,并根据信息的敏感度和信息对暴露用户身份的能力进行了分级。例如,用户的姓名、电话号码或电子邮件地址在身份识别分级中排在最高,而健康信息和旅游行程在敏感度分级中排在最高。尽管泄露的多数信息在两种分级中排列并不高,但是研究人员认为这并不是说用户不应关注网站个人信息泄露的问题。
事实上,研究人员注意到,追踪信息的第三方网站从流行网站获得了涉及面十分广泛的信息,这些信息可能被用来与过去泄露的各种零碎信息相连,并与各个用户的身份联系起来。这些信息包括网站认可的用户名、独一无二的身份识别代码(如电子邮箱地址或家庭地址)以及浏览器设置等。
保护隐私只靠技术不行
研究人员还对用户可能为保护自己信息不被泄露而采取的多种措施进行了评估,这些措施包括阻止信息记录设置、使用广告过滤功能或开启某些流行浏览器最新版本自带的阻止功能。他们发现,这些技术漏掉了一些特定的泄露,如“广告杀杀杀”(Ad Blockers)不能可靠地阻止网站将其用户信息泄露给隐藏的第三方网站,同时还会损害用户浏览某些网站。
此外,研究人员还回顾了过去人们提出的防止用户信息泄露的建议,包括2010年12月美国联邦贸易委员会公布的在线隐私报告。
研究人员表示,他们拥护在设计阶段植入主动式隐私保护、隐私默认和将所有与用户有关的敏感数据聚会存储的“通过设计保护隐私”的倡议。然而,即使这些建议也没能防止用户信息泄露给第三方网站或泄露给隐藏的第三方,同时这些建议既不包括按照指南核查第三方网站的措施,又不能处罚那些不遵守规定的网站。
同时,威尔斯表示,美国联邦贸易委员会报告的主要缺陷是它极大地忽略了网站保护其用户隐私的责任。这些网站应该在保护用户和防止用户敏感或身份信息泄露方面起监护作用。实际上,第三方网站在强烈的经济刺激下将继续收集和汇集用户的信息,因此依靠它们来保护用户则会输掉信息保卫战。现在到了要集中精力让网站发挥作用的时刻,它们能够也应该做到。
