新闻观察:个人数据信息亟待专门立法保护 2018年08月30日

channelId 1 1 2 9990da68a91c44daa04fd807150a9da0
联播
视频简介

新闻观察:个人数据信息亟待专门立法保护

  这两天,一条酒店数据泄露的消息刷爆朋友圈。有人在某中文论坛中出售华住旗下所有酒店数据,包括官网注册资料、入住登记信息、酒店开房记录等等,牵扯到近5亿条泄露信息。消息一出,引起舆论广泛关注。对此,华住酒店表示已经报警,并聘请专业公司核实信息来源。近年来,愈发频繁的数据泄露事件一次又一次为我们敲响警钟,这些数据泄露的背后有哪些问题值得我们关注?面对隐私保护,我们究竟还能做些什么?

  近5亿条酒店开房信息疑似泄露

  28号凌晨6点,某中文论坛中突然出现一条题为《华住旗下酒店开房数据》的数据出售帖。在该帖的出售数据中,包含姓名、手机号、邮箱、身份证号等网站登录信息约1.23亿条;包含姓名、身份证号、家庭住址等约1.3亿人身份证信息;包含姓名、入住时间、离开时间、房间号、消费金额等开房记录约2.4亿条。上述信息的打包售价为8比特币,约合人民币37万元。为了取信买家,发帖人还“附送”了约3万条的样本数据,供买家核实。有媒体对样本数据进行抽样比对后发现,该数据与真实信息吻合度较高。

  华住集团28号发布声明称,集团已在内部开展核查工作,同时聘请了专业技术公司对网帖中兜售的相关数据进行核实,并已向警方报案。上海市公安局 长宁分局 亦于同日发布通报,称警方已介入调查。 

  或诱发敲诈勒索犯罪

  网络安全专家表示,当前隐私信息泄露呈高发态势,这些个人信息可被不法分子用以实施精准诈骗,而诸如开房记录等敏感信息外泄,则有可能诱发针对个人的敲诈勒索等犯罪行为。 

  多重因素为数据泄露埋下伏笔

  在愈发频繁的数据泄露事件中,机构数据库安防力量薄弱、责任意识淡薄以及数据市场需求旺盛等因素为大规模数据泄露埋下伏笔。360互联网安全中心发布的分析报告显示,去年勒索病毒爆发前夕,各机构有58天的时间可以进行补丁升级等安全布防工作,但一些机构错误认为自身隔离措施足够安全、打补丁太麻烦,致使其最终遭受勒索病毒攻击。用户数据市场需求旺盛则是另一大诱因。随着数字化进程的推进,越来越多的人开始习惯刷微博、网购、线上理财等生活方式,在此背景下,根据用户画像进行精准信息推送就显得尤为重要。“好人用你的数据来给你推广告,坏人用你的数据来对你诈骗勒索。”有专家表示,用户数据倒卖在我国已形成相对成熟的黑灰产,打包出售用户数据的情况在黑市中随处可见。部分企业责任意识淡薄也为数据泄露埋下伏笔。有信息安全专家认为,用户数据在外卖、快递等行业随着商品同时流动,流转过程较为复杂,中间环节出现泄露的可能性也同时增加。一些企业认为自己并非互联网行业主要参与者,不会成为被攻击对象,因此在用户数据保管上没有做好安全措施,最终导致大批量用户数据泄露。另外,记者在梳理近来发生的用户数据泄露事件后发现,除今年年初部分金融机构因违规出售用户数据或瞒报虚报数据被处罚外,鲜见其他处罚案例。大部分机构在涉嫌数据泄露后以“一纸声明”的形式撇清关系,后续调查结果也未向公众披露,间接导致行业内对用户数据保护氛围恶化。

  APP已成个人信息泄露重灾区

  如今,移动互联网时代改变了人们的生活习惯和行为模式,人们已经习惯在移动终端上看新闻、聊微信和逛淘宝。越来越多的软件要求绑定手机号码、银行账户、身份证号码等个人信息。曾经有数据显示,国内平均每个人信息泄漏次数至少8条,现在应该远不止这个数。就在昨天,中消协发布《APP个人信息泄露情况调查报告》称,APP已经成为个人信息泄露的重灾区,超八成受访者都曾因此收到推销电话或短信的骚扰。权限管制问题最突出的就是获取位置和联系人信息。报告称,读取位置信息权限和访问联系人权限是安装和使用手机APP时遇到情况最多的,分别占86.8%和62.3%。报告认为,个人信息的安全保护意识淡薄和相关监管不到位是出现个人信息安全问题最主要的原因。

  【新闻观察:个人数据信息亟待专门立法保护】

  数据隐私是进入互联网时代后出现的一种公民个人隐私的重要构成部分。

  但是非常遗憾的是,我们现在对于这个部分的保护非常薄弱。薄弱到花点钱就能在网上买到,而且更要命的是,数据怎么泄漏的?泄漏者付出了什么代价?到最后都不了了之。这样的违法成本之低令人咋舌。就象华住酒店这样的当事主体,你看只要报警了,一切交予警方调查了,就跟他没关系了。连一句做做样子的道歉都没有,这对用户是何等的轻蔑!

  这是华住集团第二次卷入类似的信息泄漏事件。为什么一个本应以用户服务为核心价值的酒店企业对自己一而再的疏失会如此傲慢?说到底就是违规的零成本,根本无所谓。闹大了顶多发个声明就撇清了关系。这种现象在互联网领域正在蔓延,其恶果是出现了大量的电信诈骗和互联网诈骗现象。现在大家经常都会接到能准确说出你的名字或者你家人名字的推销电话,这就是数据泄漏之后的所谓精准营销,当然也有精准诈骗。

  我认为,要解决个人数据信息泄漏的问题,唯有专门立法保护。不仅严惩违法者,更要重罚违规企业,才是有效治理的唯一办法。在这方面,从今年5月26日开始实施的“欧盟一般数据保护法案”可以作为镜鉴。这部简称为GDPR的法案最核心的有两点:一、所有欧盟成员国都必须设立监管机构,这个机构有权调查任何科技公司的产品和服务可能存在的违法情形,并实施处罚。二、对于任何企业使用用户数据的边界、应当承担的责任义务都进行了清晰的阐述。它基本囊括了普通人绝大部分关于数据使用和保护的问题。特别是对数据的控制者,就是收集和使用数据的企业做出了严格的规定。只要被执法机构认定漠视用户隐私数据保护,就将面临将面临2000万美元或者全年营业额4%的重罚,而且在合规之前还要退出欧盟市场。这部法规的实施,可想而知对所有互联网巨头还有在欧洲市场经营的企业具有强烈的震撼作用。

  与此产生对比的是,我们目前国内的个人信息保护只有一些零散的司法案例。没有一部专门针对个人数据信息保护的法律,现在只是在做这方面的立法研究。但是说实话,这样的进程太慢了,远远跟不上我们现在互联网发展的速度。我想,现在我们能做的,除了呼唤专门立法尽快出台之外,就是个人要格外提高警惕,仔细甄别。不要轻易地为了一点蝇头小利去相信什么APP绑定和认证,因为那都有可能是坑,让你损失更大。

  (新媒体编辑:陈岚)

热词: 新闻观察 个人数据信息 立法保护

860010-1158020200