數(shù)據(jù)可以“打補(bǔ)丁” “人的漏洞”如何補(bǔ)
個人信息泄露頻發(fā) 凸顯企業(yè)數(shù)據(jù)安全短板
近日,國內(nèi)最大的多品牌酒店企業(yè)之一華住集團(tuán)被曝大量用戶數(shù)據(jù)遭泄露。中國青年報·中青在線記者從華住方面獲悉,目前警方還在調(diào)查此事,最新進(jìn)展以警方消息為準(zhǔn)。
8月28日,網(wǎng)上曝出,網(wǎng)絡(luò)黑客通過“暗網(wǎng)”(存儲在網(wǎng)絡(luò)數(shù)據(jù)庫里、但不能通過超鏈接訪問的資源集合)中文論壇以8比特幣的價格出售約5億條華住旗下酒店的用戶數(shù)據(jù),涉及1.3億人。當(dāng)日,華住集團(tuán)通過官方微博接連發(fā)布2份聲明,表示已經(jīng)報警并且聘請專業(yè)技術(shù)公司核查此事。
9月4日,在2018年互聯(lián)網(wǎng)安全大會上,360公司董事長周鴻祎呼吁,對個人信息安全的關(guān)注和討論不該停止。“最近層出不窮的安全事件,讓我們很多人都沒有安全感。”“現(xiàn)在每次一發(fā)生(此類)事件,好像企業(yè)是受害者,其實(shí)應(yīng)該(對其)問責(zé)。”
從“永恒之藍(lán)”勒索病毒全球爆發(fā),到Facebook用戶數(shù)據(jù)泄露,再到趣店被曝數(shù)百萬學(xué)生數(shù)據(jù)疑泄露......涉及隱私的用戶數(shù)據(jù)總是被不法分子盯上,有的企業(yè)對此束手無策,有的企業(yè)并未做好準(zhǔn)備。
包含個人信息的用戶數(shù)據(jù)是許多企業(yè)發(fā)展新興業(yè)務(wù)的重要基礎(chǔ),而不斷出現(xiàn)的個人信息泄露事件又在提醒:企業(yè)該如何真正將保護(hù)用戶個人信息的責(zé)任履行好?制度層面可以做出怎樣的安排?
一邊是個人信息頻頻泄露,一邊是個人數(shù)據(jù)過度收集
這并不是華住或其他酒店企業(yè)第一次出現(xiàn)用戶個人信息被泄露的事件。
早在2013年,華住集團(tuán)旗下漢庭酒店就被曝出數(shù)據(jù)泄露,后來的調(diào)查發(fā)現(xiàn),這是因為酒店所使用的WiFi管理和認(rèn)證管理系統(tǒng)存在網(wǎng)絡(luò)安全漏洞,數(shù)據(jù)傳輸加密失效。
2017年,另一家酒店連鎖企業(yè)凱悅集團(tuán)遭遇黑客攻擊,導(dǎo)致11個國家的41家凱悅酒店面臨數(shù)據(jù)泄露。同年,由于遭到黑客入侵,洲際酒店集團(tuán)旗下超過1000家酒店發(fā)生用戶支付卡信息泄露的現(xiàn)象。
據(jù)《2018年中國大住宿業(yè)發(fā)展報告》,截至2017年年底,全國酒店類住宿業(yè)設(shè)施31萬家,每位住客入住酒店后,包括其身份證件、電話號碼、房間號等在內(nèi)的所有個人信息將會同步上傳至公安信息系統(tǒng)以及酒店內(nèi)部的管理系統(tǒng)。按照公安部的要求,相關(guān)的開房記錄將被保留一定年限,以隨時備查。
雖然酒店行業(yè)所收集、存儲的數(shù)據(jù)規(guī)模巨大,而且其中有很多都是用戶的敏感隱私信息,但當(dāng)前我國制度層面對此類事件的處罰還欠缺具體標(biāo)準(zhǔn),而歐盟的《通用數(shù)據(jù)保護(hù)條例》(GDPR)則明確規(guī)定,對泄漏用戶數(shù)據(jù)的互聯(lián)網(wǎng)公司最高處罰其全球營業(yè)額的4%。
觀韜中茂(上海)律師事務(wù)所合伙人王渝偉表示,華住事件也反映了許多企業(yè)在保護(hù)用戶個人信息方面還有很多欠賬。如果此次事件確是由華住的程序員將數(shù)據(jù)庫連接方式上傳于GitHub用于交流而導(dǎo)致,那么說明其內(nèi)部安全管理制度和操作規(guī)程存在紕漏,對于其程序員上傳數(shù)據(jù)庫連接方式的行為未做預(yù)防。
根據(jù)目前已知的各種信息,他認(rèn)為,華住對包含大量個人信息的數(shù)據(jù)未做加密、脫敏等必要措施在內(nèi)的安全處理,在數(shù)據(jù)泄露過程中,華住很可能也未采取恰當(dāng)?shù)难a(bǔ)救措施來減少數(shù)據(jù)的泄露。
在大量用戶隱私信息被泄露、企業(yè)對此投入不足的同時,還有許多企業(yè)在通過互聯(lián)網(wǎng)不斷收集個人數(shù)據(jù),甚至違規(guī)也在所不惜。
中國消費(fèi)者協(xié)會于今年7月17日~8月13日開展 的“App個人信息泄露情況”問卷調(diào)查結(jié)果顯示,經(jīng)營者未經(jīng)本人同意、擅自收集成個人信息泄露的主要途徑,約占調(diào)查總樣本的62.2%;網(wǎng)絡(luò)服務(wù)系統(tǒng)存有漏洞造成個人信息泄露57.4%。
而手機(jī)App在自身功能不必要的情況下,獲取用戶隱私權(quán)限的情況也比較嚴(yán)重,有67.2%的受訪者遇到這種情況,其中讀取位置信息權(quán)限、訪問聯(lián)系人權(quán)限是出現(xiàn)最多的情況,讀取通話記錄、讀取短信記錄、打開攝像頭、打開話筒錄音等權(quán)限也被過度要求授權(quán)。
技術(shù)可以“打補(bǔ)丁”,可怎么堵上“人的漏洞”
中消協(xié)的上述調(diào)查結(jié)果顯示,個人信息泄露后,受訪者會采取多種措施維護(hù)自身權(quán)益,但最終有大約三分之一的受訪者選擇“自認(rèn)倒霉”。這一方面可能是基于無力應(yīng)對做出的選擇,另一方面也可能是應(yīng)對無效后不得不接受現(xiàn)狀。
“能力越大,責(zé)任越大。”這是許多互聯(lián)網(wǎng)企業(yè)常標(biāo)榜自我的一句話。作為用戶個人信息最直接的利用者和保護(hù)者,企業(yè)應(yīng)該怎么彌補(bǔ)過去在這方面的欠賬?
360網(wǎng)絡(luò)安全響應(yīng)中心負(fù)責(zé)人蔡玉光表示,數(shù)據(jù)泄露事件發(fā)生時,涉事企業(yè)要第一時間開展事件應(yīng)急處置,包括事件回溯和負(fù)責(zé)任的影響面評估等,也要及時對外披露各種進(jìn)展。而在安全事件發(fā)生前,應(yīng)該開展?jié)B透測試, 及時對有漏洞的網(wǎng)絡(luò)服務(wù)“打補(bǔ)丁”(修補(bǔ)網(wǎng)絡(luò)安全漏洞)。
作為服務(wù)眾多企業(yè)信息安全的一線技術(shù)專家,蔡玉光建議,其他企業(yè)可以從華住事件中吸取教訓(xùn),做好完整可靠的數(shù)據(jù)安全措施, 杜絕明文密碼存儲, “這樣即便被黑也能降低損失”;對用戶數(shù)據(jù)交互點(diǎn)進(jìn)行防御, 如注冊登錄點(diǎn)加驗證碼等二步驗證方式, 增加不法分子“撞庫”(通過收集互聯(lián)網(wǎng)已泄露的用戶和密碼信息,嘗試批量登陸其他網(wǎng)站)攻擊的成本。
不過,不同于技術(shù)問題,企業(yè)在個人信息管理方面“人的漏洞”,并不是通過“打補(bǔ)丁”就可以解決的。
“我們研究過所有安全事件,最后歸根到底天大的事件都是從攻擊一個很小的終端開始。”周鴻祎表示,在很多網(wǎng)絡(luò)安全事件中,“人的漏洞”是很大的問題,即使病毒被檢測到,很多企業(yè)和機(jī)構(gòu)依然不修補(bǔ)漏洞。
周鴻祎認(rèn)為,企事業(yè)機(jī)構(gòu)應(yīng)該建立健全其內(nèi)部網(wǎng)絡(luò)安全制度,尤其重視涉及個人信息安全的人員管理。他舉例稱,前段時間某省不動產(chǎn)登記中心遭到“WannaCry勒索病毒”攻擊,而此前許多安全廠商早已發(fā)布相關(guān)的漏洞補(bǔ)丁,但包括該中心在內(nèi)的許多單位,依然沒有及時修補(bǔ)自身的網(wǎng)絡(luò)安全漏洞。
“他不采取行動,確實(shí)我們也沒有辦法。”周鴻祎強(qiáng)調(diào),相比病毒、黑客等攻擊,“人的漏洞”需要花費(fèi)很多精力去修補(bǔ),尤其是要建立健全企業(yè)自身的網(wǎng)絡(luò)安全制度。
個人信息保護(hù)還需更多細(xì)則,改善“用戶體驗”
事實(shí)上,在個人信息保護(hù)方面還存在欠賬不只是企業(yè),還有制度層面。
在王渝偉看來,個人信息泄露事件頻頻發(fā)生,一方面顯示出很多企業(yè)在技術(shù)、管理層面仍然不能達(dá)到法律法規(guī)的要求,對數(shù)據(jù)泄露存在規(guī)避責(zé)任的僥幸心理;另一方面也說明當(dāng)前對這類個人信息泄露事件責(zé)任主體的監(jiān)管力度和懲罰力度不到位,縱容了企業(yè)的這種僥幸。
目前,我國已經(jīng)出臺一些規(guī)范性文件和推薦性標(biāo)準(zhǔn),對App收集個人信息行為進(jìn)行規(guī)范和引導(dǎo),但消費(fèi)者普遍關(guān)心的懲戒手段、賠償?shù)葐栴}仍然需要完善和細(xì)化。
針對個人信息保護(hù)的具體問題,中消協(xié)在上述報告中建議,進(jìn)一步明確網(wǎng)絡(luò)信息服務(wù)中交易雙方的權(quán)利和義務(wù),嚴(yán)格準(zhǔn)入門檻和登記備案,如對開發(fā)商資質(zhì)的審核、App的登記備案、App服務(wù)功能和內(nèi)容的審查、違規(guī)懲罰機(jī)制各個環(huán)節(jié)等都應(yīng)形成聯(lián)動;嚴(yán)厲懲處各類違法違規(guī)行為,嚴(yán)厲打擊個人信息販賣的黑色產(chǎn)業(yè)鏈;嚴(yán)密關(guān)注市場App發(fā)展態(tài)勢,如聯(lián)合建立App抽查制度和黑名單制度,及時公示黑榜軟件,提醒消費(fèi)者謹(jǐn)慎下載。
公安部第三研究所信息網(wǎng)絡(luò)安全法律研究中心主任黃道麗認(rèn)為,當(dāng)前的制度安排下,對泄露個人信息的懲戒力度仍然較為薄弱,已知的司法案例也難有對用戶支持的。雖然關(guān)于這一問題的法律法規(guī)有很多,但執(zhí)行力差,“用戶體驗差”,執(zhí)法的效力沒有監(jiān)督評價,特別是沒有和最終的用戶建立聯(lián)系。
中國裁判文書網(wǎng)的數(shù)據(jù)顯示,截至9月初,全國侵犯公民信息的刑事犯罪案例有3100多起,而涉及隱私權(quán)糾紛的公民個人信息泄露的民事判例只有約20條。
在她看來,由于上述問題的存在,個人、企業(yè)和監(jiān)管各方都維系著一種脆弱的平衡,一旦出現(xiàn)信息安全事件,這種平衡就會打破,大家才會發(fā)現(xiàn),原來網(wǎng)絡(luò)安全法等法律針對許多問題早有規(guī)定。
“如果從權(quán)宜之計上,可能迫切需要一些典型的司法案例,樹立標(biāo)桿和指引,讓一線執(zhí)法部門認(rèn)識到,確實(shí)可以按照網(wǎng)絡(luò)安全法的規(guī)定釋法和裁判。”她建議。
中國青年報·中青在線記者 王林 實(shí)習(xí)生 潘婷 來源:中國青年報
