數(shù)據(jù)可以“打補(bǔ)丁” “人的漏洞”如何補(bǔ)
個人信息泄露頻發(fā) 凸顯企業(yè)數(shù)據(jù)安全短板
近日���,國內(nèi)最大的多品牌酒店企業(yè)之一華住集團(tuán)被曝大量用戶數(shù)據(jù)遭泄露。中國青年報·中青在線記者從華住方面獲悉�����,目前警方還在調(diào)查此事����,最新進(jìn)展以警方消息為準(zhǔn)。
8月28日�����,網(wǎng)上曝出��,網(wǎng)絡(luò)黑客通過“暗網(wǎng)”(存儲在網(wǎng)絡(luò)數(shù)據(jù)庫里�、但不能通過超鏈接訪問的資源集合)中文論壇以8比特幣的價格出售約5億條華住旗下酒店的用戶數(shù)據(jù)���,涉及1.3億人���。當(dāng)日,華住集團(tuán)通過官方微博接連發(fā)布2份聲明�����,表示已經(jīng)報警并且聘請專業(yè)技術(shù)公司核查此事。
9月4日���,在2018年互聯(lián)網(wǎng)安全大會上����,360公司董事長周鴻祎呼吁����,對個人信息安全的關(guān)注和討論不該停止。“最近層出不窮的安全事件��,讓我們很多人都沒有安全感�。”“現(xiàn)在每次一發(fā)生(此類)事件,好像企業(yè)是受害者���,其實(shí)應(yīng)該(對其)問責(zé)���。”
從“永恒之藍(lán)”勒索病毒全球爆發(fā),到Facebook用戶數(shù)據(jù)泄露��,再到趣店被曝數(shù)百萬學(xué)生數(shù)據(jù)疑泄露......涉及隱私的用戶數(shù)據(jù)總是被不法分子盯上�����,有的企業(yè)對此束手無策,有的企業(yè)并未做好準(zhǔn)備��。
包含個人信息的用戶數(shù)據(jù)是許多企業(yè)發(fā)展新興業(yè)務(wù)的重要基礎(chǔ)���,而不斷出現(xiàn)的個人信息泄露事件又在提醒:企業(yè)該如何真正將保護(hù)用戶個人信息的責(zé)任履行好?制度層面可以做出怎樣的安排?
一邊是個人信息頻頻泄露��,一邊是個人數(shù)據(jù)過度收集
這并不是華住或其他酒店企業(yè)第一次出現(xiàn)用戶個人信息被泄露的事件�。
早在2013年���,華住集團(tuán)旗下漢庭酒店就被曝出數(shù)據(jù)泄露��,后來的調(diào)查發(fā)現(xiàn)����,這是因?yàn)榫频晁褂玫腤iFi管理和認(rèn)證管理系統(tǒng)存在網(wǎng)絡(luò)安全漏洞���,數(shù)據(jù)傳輸加密失效。
2017年�,另一家酒店連鎖企業(yè)凱悅集團(tuán)遭遇黑客攻擊,導(dǎo)致11個國家的41家凱悅酒店面臨數(shù)據(jù)泄露�。同年���,由于遭到黑客入侵,洲際酒店集團(tuán)旗下超過1000家酒店發(fā)生用戶支付卡信息泄露的現(xiàn)象��。
據(jù)《2018年中國大住宿業(yè)發(fā)展報告》��,截至2017年年底����,全國酒店類住宿業(yè)設(shè)施31萬家,每位住客入住酒店后����,包括其身份證件、電話號碼�、房間號等在內(nèi)的所有個人信息將會同步上傳至公安信息系統(tǒng)以及酒店內(nèi)部的管理系統(tǒng)。按照公安部的要求�,相關(guān)的開房記錄將被保留一定年限,以隨時備查���。
雖然酒店行業(yè)所收集���、存儲的數(shù)據(jù)規(guī)模巨大,而且其中有很多都是用戶的敏感隱私信息�,但當(dāng)前我國制度層面對此類事件的處罰還欠缺具體標(biāo)準(zhǔn)�,而歐盟的《通用數(shù)據(jù)保護(hù)條例》(GDPR)則明確規(guī)定���,對泄漏用戶數(shù)據(jù)的互聯(lián)網(wǎng)公司最高處罰其全球營業(yè)額的4%���。
觀韜中茂(上海)律師事務(wù)所合伙人王渝偉表示,華住事件也反映了許多企業(yè)在保護(hù)用戶個人信息方面還有很多欠賬����。如果此次事件確是由華住的程序員將數(shù)據(jù)庫連接方式上傳于GitHub用于交流而導(dǎo)致,那么說明其內(nèi)部安全管理制度和操作規(guī)程存在紕漏���,對于其程序員上傳數(shù)據(jù)庫連接方式的行為未做預(yù)防�。
根據(jù)目前已知的各種信息��,他認(rèn)為����,華住對包含大量個人信息的數(shù)據(jù)未做加密、脫敏等必要措施在內(nèi)的安全處理���,在數(shù)據(jù)泄露過程中,華住很可能也未采取恰當(dāng)?shù)难a(bǔ)救措施來減少數(shù)據(jù)的泄露��。
在大量用戶隱私信息被泄露、企業(yè)對此投入不足的同時��,還有許多企業(yè)在通過互聯(lián)網(wǎng)不斷收集個人數(shù)據(jù)����,甚至違規(guī)也在所不惜。
中國消費(fèi)者協(xié)會于今年7月17日~8月13日開展 的“App個人信息泄露情況”問卷調(diào)查結(jié)果顯示�,經(jīng)營者未經(jīng)本人同意、擅自收集成個人信息泄露的主要途徑����,約占調(diào)查總樣本的62.2%;網(wǎng)絡(luò)服務(wù)系統(tǒng)存有漏洞造成個人信息泄露57.4%。
而手機(jī)App在自身功能不必要的情況下��,獲取用戶隱私權(quán)限的情況也比較嚴(yán)重����,有67.2%的受訪者遇到這種情況,其中讀取位置信息權(quán)限��、訪問聯(lián)系人權(quán)限是出現(xiàn)最多的情況����,讀取通話記錄、讀取短信記錄、打開攝像頭��、打開話筒錄音等權(quán)限也被過度要求授權(quán)���。
技術(shù)可以“打補(bǔ)丁”�����,可怎么堵上“人的漏洞”
中消協(xié)的上述調(diào)查結(jié)果顯示�����,個人信息泄露后����,受訪者會采取多種措施維護(hù)自身權(quán)益�,但最終有大約三分之一的受訪者選擇“自認(rèn)倒霉”。這一方面可能是基于無力應(yīng)對做出的選擇��,另一方面也可能是應(yīng)對無效后不得不接受現(xiàn)狀�����。
“能力越大�,責(zé)任越大�����。”這是許多互聯(lián)網(wǎng)企業(yè)常標(biāo)榜自我的一句話。作為用戶個人信息最直接的利用者和保護(hù)者���,企業(yè)應(yīng)該怎么彌補(bǔ)過去在這方面的欠賬?
360網(wǎng)絡(luò)安全響應(yīng)中心負(fù)責(zé)人蔡玉光表示��,數(shù)據(jù)泄露事件發(fā)生時����,涉事企業(yè)要第一時間開展事件應(yīng)急處置�����,包括事件回溯和負(fù)責(zé)任的影響面評估等�����,也要及時對外披露各種進(jìn)展�����。而在安全事件發(fā)生前����,應(yīng)該開展?jié)B透測試, 及時對有漏洞的網(wǎng)絡(luò)服務(wù)“打補(bǔ)丁”(修補(bǔ)網(wǎng)絡(luò)安全漏洞)��。
作為服務(wù)眾多企業(yè)信息安全的一線技術(shù)專家����,蔡玉光建議��,其他企業(yè)可以從華住事件中吸取教訓(xùn)��,做好完整可靠的數(shù)據(jù)安全措施, 杜絕明文密碼存儲, “這樣即便被黑也能降低損失”;對用戶數(shù)據(jù)交互點(diǎn)進(jìn)行防御, 如注冊登錄點(diǎn)加驗(yàn)證碼等二步驗(yàn)證方式, 增加不法分子“撞庫”(通過收集互聯(lián)網(wǎng)已泄露的用戶和密碼信息����,嘗試批量登陸其他網(wǎng)站)攻擊的成本。
不過����,不同于技術(shù)問題,企業(yè)在個人信息管理方面“人的漏洞”��,并不是通過“打補(bǔ)丁”就可以解決的�。
“我們研究過所有安全事件,最后歸根到底天大的事件都是從攻擊一個很小的終端開始�。”周鴻祎表示,在很多網(wǎng)絡(luò)安全事件中�����,“人的漏洞”是很大的問題,即使病毒被檢測到���,很多企業(yè)和機(jī)構(gòu)依然不修補(bǔ)漏洞。
周鴻祎認(rèn)為�����,企事業(yè)機(jī)構(gòu)應(yīng)該建立健全其內(nèi)部網(wǎng)絡(luò)安全制度��,尤其重視涉及個人信息安全的人員管理��。他舉例稱����,前段時間某省不動產(chǎn)登記中心遭到“WannaCry勒索病毒”攻擊,而此前許多安全廠商早已發(fā)布相關(guān)的漏洞補(bǔ)丁��,但包括該中心在內(nèi)的許多單位����,依然沒有及時修補(bǔ)自身的網(wǎng)絡(luò)安全漏洞。
“他不采取行動����,確實(shí)我們也沒有辦法�。”周鴻祎強(qiáng)調(diào)���,相比病毒�����、黑客等攻擊���,“人的漏洞”需要花費(fèi)很多精力去修補(bǔ),尤其是要建立健全企業(yè)自身的網(wǎng)絡(luò)安全制度���。
個人信息保護(hù)還需更多細(xì)則���,改善“用戶體驗(yàn)”
事實(shí)上,在個人信息保護(hù)方面還存在欠賬不只是企業(yè)���,還有制度層面�。
在王渝偉看來�����,個人信息泄露事件頻頻發(fā)生,一方面顯示出很多企業(yè)在技術(shù)��、管理層面仍然不能達(dá)到法律法規(guī)的要求���,對數(shù)據(jù)泄露存在規(guī)避責(zé)任的僥幸心理;另一方面也說明當(dāng)前對這類個人信息泄露事件責(zé)任主體的監(jiān)管力度和懲罰力度不到位�,縱容了企業(yè)的這種僥幸����。
目前����,我國已經(jīng)出臺一些規(guī)范性文件和推薦性標(biāo)準(zhǔn),對App收集個人信息行為進(jìn)行規(guī)范和引導(dǎo)����,但消費(fèi)者普遍關(guān)心的懲戒手段、賠償?shù)葐栴}仍然需要完善和細(xì)化�����。
針對個人信息保護(hù)的具體問題��,中消協(xié)在上述報告中建議���,進(jìn)一步明確網(wǎng)絡(luò)信息服務(wù)中交易雙方的權(quán)利和義務(wù)�����,嚴(yán)格準(zhǔn)入門檻和登記備案��,如對開發(fā)商資質(zhì)的審核�����、App的登記備案��、App服務(wù)功能和內(nèi)容的審查����、違規(guī)懲罰機(jī)制各個環(huán)節(jié)等都應(yīng)形成聯(lián)動;嚴(yán)厲懲處各類違法違規(guī)行為,嚴(yán)厲打擊個人信息販賣的黑色產(chǎn)業(yè)鏈;嚴(yán)密關(guān)注市場App發(fā)展態(tài)勢���,如聯(lián)合建立App抽查制度和黑名單制度��,及時公示黑榜軟件���,提醒消費(fèi)者謹(jǐn)慎下載。
公安部第三研究所信息網(wǎng)絡(luò)安全法律研究中心主任黃道麗認(rèn)為���,當(dāng)前的制度安排下�,對泄露個人信息的懲戒力度仍然較為薄弱,已知的司法案例也難有對用戶支持的����。雖然關(guān)于這一問題的法律法規(guī)有很多,但執(zhí)行力差�,“用戶體驗(yàn)差”,執(zhí)法的效力沒有監(jiān)督評價���,特別是沒有和最終的用戶建立聯(lián)系���。
中國裁判文書網(wǎng)的數(shù)據(jù)顯示��,截至9月初����,全國侵犯公民信息的刑事犯罪案例有3100多起,而涉及隱私權(quán)糾紛的公民個人信息泄露的民事判例只有約20條�����。
在她看來����,由于上述問題的存在�,個人�����、企業(yè)和監(jiān)管各方都維系著一種脆弱的平衡���,一旦出現(xiàn)信息安全事件�,這種平衡就會打破��,大家才會發(fā)現(xiàn)��,原來網(wǎng)絡(luò)安全法等法律針對許多問題早有規(guī)定��。
“如果從權(quán)宜之計上��,可能迫切需要一些典型的司法案例�����,樹立標(biāo)桿和指引����,讓一線執(zhí)法部門認(rèn)識到����,確實(shí)可以按照網(wǎng)絡(luò)安全法的規(guī)定釋法和裁判����。”她建議。
中國青年報·中青在線記者 王林 實(shí)習(xí)生 潘婷 來源:中國青年報
標(biāo)簽:
數(shù)據(jù)
個人
信息
