个人信息仍处“危险期”
广东中安律师事务所合伙人、深圳仲裁委员会仲裁员潘翔介绍,刑法修正案(七)对侵犯公民个人信息罪进行了立法,规定国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。窃取或者以其他方法非法获取上述信息,情节严重的,依照前款的规定处罚。
此外《网络安全法》也明确,网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
网络安全专家、白帽汇创始人赵武表示,目前信息泄露不断发生,但相应的技术安全规范和要求仍未出台,公民的个人信息仍处于“危险期”。
对于外卖平台涉嫌泄露客户隐私的问题,赵武分析称,有可能是外卖平台程序存在漏洞,比如API(应用程序编程接口)没有做认证,网络入侵者可以根据订单序列号爬取用户信息。历史上出现过很多起类似案例,例如一些招聘网站的简历大规模泄露等。
第二种可能是跟商家合作的第三方泄露信息。比如有的商家会搞一些积分、返利、赠券等活动,这些活动一般是第三方公司承做。他们在活动中会搜集用户的信息,而本身对数据的保护不如平台严密,因此很容易被入侵。“此前12306网站信息泄露就是这种情况。”赵武说。
赵武介绍,去年6月份我国的《网络安全法》已经正式实施,总的指导要求已经明确,但相应的具体技术安全规范仍未出台,尤其是对商业公司的信息监管没有很具体的要求。
如何防范信息泄露,赵武表示,一方面国家应该尽快出台网络安全保护具体细则,严格立法要求企业对安全事故负责,尤其是跟隐私相关的数据泄露必须有惩罚和赔偿机制,不允许企业增加“黑客攻击导致的数据泄露不承担责任”类似的霸王免责条款。同时,严格管束企业方对数据的利用情况,出一次事,处罚一次。
另一方面,商业公司要及时更新信息保护手段,建立深层防护机制,在做数据分析和使用时,可以先将客户的敏感信息隐去,用虚拟ID代替;再将其隐私信息通过加密的手段做二次防护。
此外赵武表示,商业公司还应完善信息管理机制,“比如技术加密的算法是什么,什么样的人才能接触到用户数据,建立详细的技术标准规范”。
(文中许昕、陈京宏、覃华、李德为化名)
投稿邮箱:chuanbeiol@163.com 详情请访问川北在线:http://www.guangyuanol.cn/