从公众个人信息泄露看信息安全防护
开篇:润墨网以专业的文秘视角,为您筛选了一篇从公众个人信息泄露看信息安全防护范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
摘要:文章针对当前个人信息保护的焦点问题进行分析研究,探寻针对个人信息安全问题解决办法,提高社会公众个人信息保护意识,促进个人信息的合理收集与利用,规范信息系统对个人信息的处理活动,形成良好的公众个人信息安全保护意识。
关键词:个人信息;用户隐私;互联网;信息安全
一、个人信息安全保护的现状
2012年1月16日,中国互联网络信息中心(CNNIC)在京《第29次中国互联网络发展状况统计报告》,截至2011年12月底,中国网民数量突破5亿,达到5.13亿,全年新增网民5580万。互联网普及率较上年底提升4个百分点,达到38.3%。商务类应用在经历了2009-2010年的快速增长后,迎来了相对平缓的发展期。《报告》显示,电子商务类应用稳步发展,网络购物、网上支付、网上银行和在线旅行预订等应用的用户规模全面增长。与2010年相比网购用户增长3344万人,增长率达到20.8%,网上支付、网上银行使用率也增长至32.5%和32.4%。另外,团购成为全年增长第二快的网络服务,用户年增速高达244.8%,用户规模达到6465万,使用率提升至12.6%。CNNIC预测,2011年我国网络购物市场交易金额为7566亿元人民币,较2010年增长37.4%,网络购物交易总额预计占到全国社会消费品零售总额的4.2%。
互联网在保持平稳较快发展的同时,安全问题已经渗透到网络生活的方方面面,如网络游戏用户对帐号盗取的关注度要高于其他网民,而网络购物的用户则更为关注网银盗号、支付劫持等安全问题。特别是在2011年末,我国互联网遭遇史上最大规模“泄密事件”,微博XSS蠕虫爬上社交圈轰动一时,频发的重大安全事件理应使身处互联网的我们警钟长鸣。
2011年12月21日,国内最大程序员社区CSDN上的600万用户账号和密码被公开。随后,密码泄露事件开始大范围发酵,天涯社区、世纪佳缘、当当网等国内知名网站也被曝出存在“类似泄密问题”,上千万用户账号和密码在网上被公开扩散,该事件被媒体称为“中国互联网史上最大规模的用户信息泄露事件”。
2012年3月19日,当当网公告,要求用户在3月19日至3月22日修改账户密码。在此期间账户中的礼品卡和余额将被冻结。据称,事件源于近日极个别账户被盗,造成少数消费者的账户余额被盗用。当当网还对外透露,信息的根源在CSDN。
今年“3・15”消费者权益日,中国电子信息产业发展研究院、中国软件评测中心举办“2012中国个人信息保护大会”,会上的《公众个人信息保护意识调研报告》显示,超过60%的被访者遇到过个人信息被盗用的情况。
二、个人隐私信息泄露途径分析
近几年,各种信息秘密泄露事件比比皆是。人民网此前开展了一次有关个人信息泄露的调查,结果显示,90%的网友曾遭遇个人信息被泄露;有94%的网友认为,当前个人信息泄露问题非常严重。
一些商家或个人通过问卷调查、网络注册、会员登记等方式收集用户信息;消费者在就医、求职、买车、买房、买保险、办理各种会员卡或银行卡时填写的个人信息被出售;网络登录申请邮箱、注册进入聊天室时填写的个人信息被非法搜索或链接;名片代印机构储存的大量个人信息被泄露;物业泄露业主信息;废旧电脑磁盘恢复数据等等。而非法获取个人信息的渠道主要有以下几种:旅馆住宿、保险公司投保、租赁公司、银行办证、电信、移动、联通、房地产、邮政部门等需要身份证件实名登记的场所,利用登记的便利条件,泄露他人信息;各打字店、复印店利用复印、打字之便,将那些个人信息资料存档留底,装订成册,进行对外出售;借各种“问卷调查”之名,窃取市民个人信息。商家宣称市民只要在“调查问卷表”上填写详细联系方式、收入情况、信用卡情况等内容,以及简单的“勾挑式”调查,就能获得不等奖次的奖品,以此诱使市民填写其个人信息。
此外,购物中的抽奖活动也有可能泄露你的个人隐私。商家通过在抽奖券的正副页上填写姓名、家庭住址、联系方式等方法,获取个人信息;在购买电子产品、车辆等物品时,一些非正规的商家填写非正规的“售后服务单”,从而被人利用了个人信息;各大超市、商场通过向市民邮寄免费资料、申办会员卡等促销方式,从而轻松掌握到市民的个人信息。
网络安全导致个人信息泄露的几种主要渠道:第一种是通过利用互联网搜索引擎搜索个人信息,汇集成册,并按照一定的价格出售给需要购买的人;第二种是用发送垃圾电子邮件或者电话查询等方式,以各种“诱饵”,诱使受害人透露个人信息;第三种是用户的电脑或手机被木马软件劫持,也就是说远在天边的木马直接控制用户的硬盘;第四种是网站的服务商对个人信息没有尽到妥善保管的义务,在使用过程当中把个人隐私泄露出去;第五种是个人信息在互联网传输的过程中,经过一些传输路由时被他人控制。与技术因素相比,中国软件测评中心信息安全研究部副总经理刘陶认为,网站运营机构泄露用户隐私已经成为当下侵犯个人信息安全更为重要的原因。
很多网民在不知不觉中已经将个人信息存储在网站运营商的服务器中。例如,利用即时通讯工具聊天,聊天过程中涉及大量包括电话、邮箱以及更为私密的内容在内的信息,都作为聊天记录存储在服务器上;在电子商城购物,包括个人银行卡、支付密码、家庭住址等信息也都存储在网站运营商的服务器上。而公众所熟悉的杀毒软件重点在保护用户端的电脑安全,对于存储在运营商服务器上的数据安全鞭长莫及。
“虽然已经有不少网友对个人信息安全问题存在顾虑,但有时为了获取免费服务、免费产品,或者为了认识更多的朋友,仍然会在网上填写个人的真实信息,”中国电子学会电子商务专家委员会副主任、北京科技大学管理学院梅绍祖教授早在1998年就提出关于“隐私权在电子商务的实施中可能引发的问题”,将网友的上述行为称为“无奈的选择”。
据《2011年中国反钓鱼网站联盟工作报告》显示,2011年1月至11月,联盟认定并处理钓鱼网站共计36674个,较2010年同期大幅上涨78%,累计处理钓鱼网站72322个,2011年处理数量占全部处理总数的50.7%。,电子商务、金融证券、即时通信依然是排名前三的钓鱼网站。针对严峻的网络钓鱼现象,工业和信息化部通信保障局副局长熊四皓指出:钓鱼网站等网络安全和信任问题已经成为网络商务深层次发展的最大制约因素,需要大家同步努力精诚合作。公安部网络安全保卫局互联网安全管理处王晓阳处长认为,打击网络钓鱼行为是一项长期艰巨的工作,需要互联网管理机构和互联网企业乃至全体网民联合起来统一行动,组建全面的、系统的、无死角的打击体系。
三、个人信息安全亟待立法保护
信息社会,信息成为商品,个人信息更是商机无限的重要商品。但个人信息的边界在哪里?谁有权将你的个人信息商业化?个人信息流动存在巨大的市场需求,又该如何加以规范?近年来,立法保护公民个人信息显得越来越紧迫。
根据刑法修正案(七)第七条规定,公民个人信息是指国家机关或金融、电信、交通、教育、医疗等单位的工作人员,在履行职责或者提供服务过程中所获得的公民个人信息。法律专家认为,该法条仅规定了公民个人信息的来源,却未对公民个人信息应当具有哪些要素作出规定。
今年全国两会期间,个人信息安全问题成为热议话题之一。对于出台个人信息保护法,全国两会上,多位代表委员建议从立法宗旨、基本概念、信息资源主管部门、基本原则、适用范围、个人信息收集主体、收集范围、收集程序、部门或组织告知义务、个人信息的储存与使用、更改程序、共享程序、行业自律机制、监督机构及职责、损害赔偿、法律责任等方面做出规定。
郭为在提案中表示,国家应加快个人信息安全及隐私保护的相关立法工作。首先应该建立一套符合中国国情的网络公民身份体系并逐步推动网络实名制的真正实施,建立信息安全产品安全审查和管理制度,同时还应加大监管机制的建设并修订相关法律。
在“2012中国个人信息保护大会”上,工业和信息化部副部长杨学山曾表示,个人信息保护关系到每个人,也关系到产业发展、社会稳定和网络秩序。他认为,加快个人信息保护工作,要从三个方面着手:一是加快推动个人信息保护相关立法;二是收集个人信息的机构、单位、公司在业务开展过程中要切实做好个人信息保护工作;三是社会公众要提高个人信息不被盗卖或滥用认识,社会各界和媒体要加强监督。
早在2003年,国务院信息化工作办公室就委托中国社科院法学研究所个人数据保护法研究课题组承担“个人数据保护法”比较研究课题及草拟一份专家建议稿。经过近两年的工作,最终形成了近8万字的“中华人民共和国个人信息保护法(专家建议稿)及立法研究报告”,但时至今日却仍未正式进入国家立法程序。
2006年,我国的《2006-2020年国家信息化发展战略》明确提出,要加快推进信息化法制建设,妥善处理相关法律法规制定、修改、废止之间的关系,制定和完善信息基础设施、电子商务、电子政务、信息安全、政府信息公开、个人信息保护等方面的法律法规,创造信息化发展的良好法治环境。
2009年,刑法修正案(七)确定了“出售、非法提供公民个人信息罪”、“非法获取公民个人信息罪”罪名,首次将公民个人信息纳入刑法保护范畴,规定要追究泄露、窃取和售卖公民个人信息行为的刑事责任。但众多法律界人士表示,刑法未明确该罪的具体界定标准,譬如犯罪主体除“国家机关或者金融、电信、交通、教育、医疗等单位”外,还存在着互联网公司、房地产公司、物业公司、汽车厂商、宾馆酒店、会计师事务所等掌握个人信息的机构和单位。
中国人民西安政治学院军法教研室副主任、副教授傅达林认为,必须从不同方面完善相应的法律责任,对侵犯个人信息法律责任的设计也应完整囊括刑事责任、民事责任和行政责任。
在中国社会科学院法学研究所副研究员吕艳滨看来,由于个人信息保护涉及的行业部门过多,且不同行业之间差异较大,目前制定的国家标准还只是一个适用于各个行业的共同标准,还需要按照不同行业的自身特点进行细化。同时,他认为该标准并不具备强制性,依赖相关行业协会和企业自愿参加,仍然需要一部专门的个人信息保护法。
“国家需要完善立法,执法部门需要加大对违法犯罪的打击力度,完善监管措施,同时也需要建立行业诚信。”有专家指出,现实中更多的相关案件还达不到犯罪的标准,所以迫切需要的是行业自律,提高从业人员的法律意识,以阻断涉及公民个人信息违法犯罪的信息来源。
对于随意泄漏客户个人资料的机构,是否能追查到泄漏消息源头?对此,广东莞信律师事务所的王律师表示,因为业务关系掌握他人资料,又于商用的角度将他人资料泄漏,导致他人生活收到干扰的,已经侵害了他人的隐私权。“但从实际操作层面看,其损害度比较难以界定”。
王律师解释说,通常只有在对方抱着恶意侵犯的目的,使受害人私人信息在未经本人同意的情况下被公开,并使其经济、肖像、名誉权或精神受到很大损害的情况下,受害人才可诉诸法律。而从这个角度来说,车险推销员或者中介公司的骚扰电话对车主、业主的经济、精神等造成的损害往往较难界定,而车主、买房人取证也存在一定困难。
“消费者在买车买房的过程中,个人资料已经被很多人掌握。”王律师称,这些资料要经过很多环节,所以客户的资料泄漏究竟是公司行为还是个人行为,很难取证。
王律师表示,目前,在个人信息的保护上尚没有明确的、针对性的法律法规。据了解,被炒作得沸沸扬扬的《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)最早将在2008年出台。记者获悉,《个人信息保护法》规定保护的范围不仅仅是公民个人隐私,个人信息范围远大于隐私,包括个人手机号码、家庭住址、医药档案、职业情况等。比如你把个人简历交给应聘公司,对方就有义务给你保管个人信息。如果对方让其他人得知了你的这些信息,不管是故意还是过失,对方就是违法。
目前,世界上已经有50多个国家制定了个人信息法体系,是否有这部法律还成为一些西方国家的贸易壁垒。
四、个人隐私泄露防护
面对接二连三打来的骚扰电话,警方特别提醒市民,不要认为撂下电话就可以轻易解决这事。在日常生活中,各位必须要做一些必要的自我保护,才能让自己不被莫名电话侵扰。
1.自我保护措施
一是你要做到的是:第一,不泄露。为了便民及办证、办卡而需要登记个人信息的商家、培训班、银行、电信等单位,必须要保护好市民的个人信息,切勿将个人信息非法转让出售。第二是不留底。在复印店复印时,市民要确保个人资料不被留底复印。而在打印店打印时要确保资料不被复制,并要确保资料不被留存在回收站。同时,对废弃的资料,一定要带走或通过碎纸机进行处理。第三是不相信。不要相信街头各种不规范的市场调查,如确实需要协助调查,切勿填写自己真实的个人身份信息,以防被陌生人利用。不回应。不要回复向您索取个人信息的电子邮件,以及不要拨打电子邮件中的陌生号码。如有疑虑,可通过114提供的电话进行咨询。
2.网络保护措施
(1)采用匿名方式浏览,因为许多网站利用cookies跟踪网友的互联网活动,从而确定网友喜好。你可以在使用浏览器时关闭电脑接收cookie的选项,避免受到cookies的追踪。
(2)进行任何网上交易或发送电邮前,切记阅读网站的隐私保护政策,因为有些网站会将你的个人资料卖给第三方。
(3)安装个人防火墙,以防止个人资料和财务数据被窃取。及时升级是非常重要的一环,否则防火墙的作用就没有被完全发挥,被攻击的可能性依然很大。此外,你还可利用保安软件将重要资料保密,减少不慎把这些资料发送到不安全网站的可能性。
(4)使用保安软件或防火墙以防止黑客攻击和spyware(一个连接外部服务器并将个人资料传送至网络的软件)。这些软件能够保护个人电脑和资料免受黑客窃取,并防止spyware自动连接网站并发送你的资料。
(5)在网上购物时,确保已采用安全的连接方式。可以透过查看浏览器上方的闭锁图标(closedlockicon),以确定连接是否安全。
(6)黑客有时会假装成互联网服务供应商的代表,并询问你的密码及个人资料,谨记上网时不要向任何人透露这些资料。
(7)经常更改你的密码,使用包含字母和数字的七位数的密码,从而干扰黑客利用软件程序来搜寻最常用的密码。
(8)在不需要文件和打印共享时,关闭这些功能。文件和打印共享功能虽然非常有用,但也会暴露你的电脑,给予黑客寻找安全漏洞的机会。黑客一旦进入个人电脑,便能窃取隐私资料。
(9)不要打开来自陌生人的电子邮件附件。这些附件可能包含一个特洛伊木马程式,该程序让黑客长驱真入电脑文档,甚至控制外设,有些黑客甚至能潜入互联网照相机(Webcamera)进行监视。此外,你还应当安装一个具备防病毒程式的软件,保护电脑免受病毒、特洛伊木马程序和蠕虫的侵害。
(10)可以利用网络安全公司的实时检查。例如使用设于Symantec网站的securitycheck功能,以确定电脑是否备有防护电脑病毒和恶意代码的能力。此功能还可以扫描电脑,寻找安全漏洞和病毒,并将扫描结果与其他已经扫描的系统作比较。迄今为止,已经有超过300万的用户浏览过这个网站,推荐使用。
3.网上支付辨别
一是只和有信誉的公司打交道-在网络上提交你的任何信息之前,请认真考虑回答以下几个问题:你相信这笔交易吗?对方是一个被证实拥有良好信誉的组织或公司吗?在对方的网站上是否有关于保护使用者信息的隐私条款的提示?对方网站上是否有提供合法的联系方式?
二是在网络上提交信息的时候不要使用你的主要电子邮件地址。提交你的电子邮件地址可能会带来垃圾广告。如果你不想让你的主要电子邮件账号被汹涌而来的,并且是不想要的信息所冲击的话,请考虑开设另一个电子邮件账号专门为网络使用(请参阅“如何减少垃圾广告”了解更多详情)。请确保经常登陆你的账号,这样万一厂商发送了改变隐私协议的内容你也能够随时了解。
三是避免在网络上提交信用卡信息。有的公司提供一个电话号码,你可以通过拨打这个电话号码来提交你的信用卡信息。虽然这并不能保证你的信息一定不会被损害,但是它起码排除了在你提交信息进程中被黑客窃取信息的可能性。
四是在网上购物时集中使用一张信用卡。为了将黑客可能窃取你的信用卡信息的潜在危险性降到最小,请考虑开设一个信用卡账号专门为网络上的采购行为使用。将信用卡账号的信用贷款额度保持在最小状态以限制攻击者能够累积使用的消费总量。
五是避免使用借记卡进行网络购物。信用卡通常提供很多种保护措施以防止身份被盗取,并且能够限制你必须负责支付的货币总量。然而借记卡却并不提供诸如此类的保护。因为借记卡里的现金会在瞬间被扣除掉,因此当一个攻击者获得了你的借记卡信息的时候,你可能连发现都来不及就被偷光你银行账号里所有的存款。
总之,在网络安全越来越重要的今天,每个网友都不要抱着“被黑的不会是我”的侥幸心理,只有做好良好的防卫工作才行。
参考文献:
[1]徐丹.谁来保护个人信息安全. .[EB/OL]人民网.2012年03月27日
[2]方方.警方调查:个人隐私信息是怎么被泄露的 [C].城市商报. 2010年05月28日
[3] CNNIC《第29次中国互联网络发展状况调查统计报告》.2012年1月16日
[4] 岳杰松,叶虹.个人隐私泄露调查之二:数据公司卖个人数据每条2元起[C].广州日报. 2006年9月19日
[5] 范亚湘. 网络时代亟需个人隐私保护[C].长沙晚报.2010-03-12
[6] Mindi McDowell 文/刘亚萌 译.网络生活安全手册:如何保护你的个人隐私 [EB/OL] .赛迪网.省略/art/1099/20080219/1364781_1.html
[7]戴佳.个人信息频遭多渠道泄露 隐私安全亟待立法保[EB/OL].正义网-检察日报 .2012-03-27
作者简介:荣文晶(1990.1―),女,山东菏泽人,山东大学数学院大三学生,信息安全专业。