數據可以“打補丁” “人的漏洞”如何補
個人信息泄露頻發 凸顯企業數據安全短板
近日,國內最大的多品牌酒店企業之一華住集團被曝大量用戶數據遭泄露。中國青年報·中青在線記者從華住方面獲悉,目前警方還在調查此事,最新進展以警方消息為準。
8月28日,網上曝出,網絡黑客通過“暗網”(存儲在網絡數據庫里、但不能通過超鏈接訪問的資源集合)中文論壇以8比特幣的價格出售約5億條華住旗下酒店的用戶數據,涉及1.3億人。當日,華住集團通過官方微博接連發布2份聲明,表示已經報警并且聘請專業技術公司核查此事。
9月4日,在2018年互聯網安全大會上,360公司董事長周鴻祎呼吁,對個人信息安全的關注和討論不該停止。“最近層出不窮的安全事件,讓我們很多人都沒有安全感。”“現在每次一發生(此類)事件,好像企業是受害者,其實應該(對其)問責。”
從“永恒之藍”勒索病毒全球爆發,到Facebook用戶數據泄露,再到趣店被曝數百萬學生數據疑泄露......涉及隱私的用戶數據總是被不法分子盯上,有的企業對此束手無策,有的企業并未做好準備。
包含個人信息的用戶數據是許多企業發展新興業務的重要基礎,而不斷出現的個人信息泄露事件又在提醒:企業該如何真正將保護用戶個人信息的責任履行好?制度層面可以做出怎樣的安排?
一邊是個人信息頻頻泄露,一邊是個人數據過度收集
這并不是華住或其他酒店企業第一次出現用戶個人信息被泄露的事件。
早在2013年,華住集團旗下漢庭酒店就被曝出數據泄露,后來的調查發現,這是因為酒店所使用的WiFi管理和認證管理系統存在網絡安全漏洞,數據傳輸加密失效。
2017年,另一家酒店連鎖企業凱悅集團遭遇黑客攻擊,導致11個國家的41家凱悅酒店面臨數據泄露。同年,由于遭到黑客入侵,洲際酒店集團旗下超過1000家酒店發生用戶支付卡信息泄露的現象。
據《2018年中國大住宿業發展報告》,截至2017年年底,全國酒店類住宿業設施31萬家,每位住客入住酒店后,包括其身份證件、電話號碼、房間號等在內的所有個人信息將會同步上傳至公安信息系統以及酒店內部的管理系統。按照公安部的要求,相關的開房記錄將被保留一定年限,以隨時備查。
雖然酒店行業所收集、存儲的數據規模巨大,而且其中有很多都是用戶的敏感隱私信息,但當前我國制度層面對此類事件的處罰還欠缺具體標準,而歐盟的《通用數據保護條例》(GDPR)則明確規定,對泄漏用戶數據的互聯網公司最高處罰其全球營業額的4%。
觀韜中茂(上海)律師事務所合伙人王渝偉表示,華住事件也反映了許多企業在保護用戶個人信息方面還有很多欠賬。如果此次事件確是由華住的程序員將數據庫連接方式上傳于GitHub用于交流而導致,那么說明其內部安全管理制度和操作規程存在紕漏,對于其程序員上傳數據庫連接方式的行為未做預防。
根據目前已知的各種信息,他認為,華住對包含大量個人信息的數據未做加密、脫敏等必要措施在內的安全處理,在數據泄露過程中,華住很可能也未采取恰當的補救措施來減少數據的泄露。
在大量用戶隱私信息被泄露、企業對此投入不足的同時,還有許多企業在通過互聯網不斷收集個人數據,甚至違規也在所不惜。
中國消費者協會于今年7月17日~8月13日開展 的“App個人信息泄露情況”問卷調查結果顯示,經營者未經本人同意、擅自收集成個人信息泄露的主要途徑,約占調查總樣本的62.2%;網絡服務系統存有漏洞造成個人信息泄露57.4%。
而手機App在自身功能不必要的情況下,獲取用戶隱私權限的情況也比較嚴重,有67.2%的受訪者遇到這種情況,其中讀取位置信息權限、訪問聯系人權限是出現最多的情況,讀取通話記錄、讀取短信記錄、打開攝像頭、打開話筒錄音等權限也被過度要求授權。
技術可以“打補丁”,可怎么堵上“人的漏洞”
中消協的上述調查結果顯示,個人信息泄露后,受訪者會采取多種措施維護自身權益,但最終有大約三分之一的受訪者選擇“自認倒霉”。這一方面可能是基于無力應對做出的選擇,另一方面也可能是應對無效后不得不接受現狀。
“能力越大,責任越大。”這是許多互聯網企業常標榜自我的一句話。作為用戶個人信息最直接的利用者和保護者,企業應該怎么彌補過去在這方面的欠賬?
360網絡安全響應中心負責人蔡玉光表示,數據泄露事件發生時,涉事企業要第一時間開展事件應急處置,包括事件回溯和負責任的影響面評估等,也要及時對外披露各種進展。而在安全事件發生前,應該開展滲透測試, 及時對有漏洞的網絡服務“打補丁”(修補網絡安全漏洞)。
作為服務眾多企業信息安全的一線技術專家,蔡玉光建議,其他企業可以從華住事件中吸取教訓,做好完整可靠的數據安全措施, 杜絕明文密碼存儲, “這樣即便被黑也能降低損失”;對用戶數據交互點進行防御, 如注冊登錄點加驗證碼等二步驗證方式, 增加不法分子“撞庫”(通過收集互聯網已泄露的用戶和密碼信息,嘗試批量登陸其他網站)攻擊的成本。
不過,不同于技術問題,企業在個人信息管理方面“人的漏洞”,并不是通過“打補丁”就可以解決的。
“我們研究過所有安全事件,最后歸根到底天大的事件都是從攻擊一個很小的終端開始。”周鴻祎表示,在很多網絡安全事件中,“人的漏洞”是很大的問題,即使病毒被檢測到,很多企業和機構依然不修補漏洞。
周鴻祎認為,企事業機構應該建立健全其內部網絡安全制度,尤其重視涉及個人信息安全的人員管理。他舉例稱,前段時間某省不動產登記中心遭到“WannaCry勒索病毒”攻擊,而此前許多安全廠商早已發布相關的漏洞補丁,但包括該中心在內的許多單位,依然沒有及時修補自身的網絡安全漏洞。
“他不采取行動,確實我們也沒有辦法。”周鴻祎強調,相比病毒、黑客等攻擊,“人的漏洞”需要花費很多精力去修補,尤其是要建立健全企業自身的網絡安全制度。
個人信息保護還需更多細則,改善“用戶體驗”
事實上,在個人信息保護方面還存在欠賬不只是企業,還有制度層面。
在王渝偉看來,個人信息泄露事件頻頻發生,一方面顯示出很多企業在技術、管理層面仍然不能達到法律法規的要求,對數據泄露存在規避責任的僥幸心理;另一方面也說明當前對這類個人信息泄露事件責任主體的監管力度和懲罰力度不到位,縱容了企業的這種僥幸。
目前,我國已經出臺一些規范性文件和推薦性標準,對App收集個人信息行為進行規范和引導,但消費者普遍關心的懲戒手段、賠償等問題仍然需要完善和細化。
針對個人信息保護的具體問題,中消協在上述報告中建議,進一步明確網絡信息服務中交易雙方的權利和義務,嚴格準入門檻和登記備案,如對開發商資質的審核、App的登記備案、App服務功能和內容的審查、違規懲罰機制各個環節等都應形成聯動;嚴厲懲處各類違法違規行為,嚴厲打擊個人信息販賣的黑色產業鏈;嚴密關注市場App發展態勢,如聯合建立App抽查制度和黑名單制度,及時公示黑榜軟件,提醒消費者謹慎下載。
公安部第三研究所信息網絡安全法律研究中心主任黃道麗認為,當前的制度安排下,對泄露個人信息的懲戒力度仍然較為薄弱,已知的司法案例也難有對用戶支持的。雖然關于這一問題的法律法規有很多,但執行力差,“用戶體驗差”,執法的效力沒有監督評價,特別是沒有和最終的用戶建立聯系。
中國裁判文書網的數據顯示,截至9月初,全國侵犯公民信息的刑事犯罪案例有3100多起,而涉及隱私權糾紛的公民個人信息泄露的民事判例只有約20條。
在她看來,由于上述問題的存在,個人、企業和監管各方都維系著一種脆弱的平衡,一旦出現信息安全事件,這種平衡就會打破,大家才會發現,原來網絡安全法等法律針對許多問題早有規定。
“如果從權宜之計上,可能迫切需要一些典型的司法案例,樹立標桿和指引,讓一線執法部門認識到,確實可以按照網絡安全法的規定釋法和裁判。”她建議。
中國青年報·中青在線記者 王林 實習生 潘婷 來源:中國青年報
