中国电子信息产业发展研究院信息安全研究所所长刘权
我们个人的网络隐私保护意识淡薄
中央网信办、教育部、工业和信息化部、公安部、新闻出版广电总局、共青团中央等部委于9月19日至25日联合举办2016国家网络安全宣传周,以培育有高度的安全意识、有文明的网络素养、有守法的行为习惯、有必备的防护技能的好网民为目标。在“互联网+”时代,移动互联网给我们的生活带来便利,我们如何在享受这些便利的同时,保护自己的信息安全呢?来听听信息安全专家怎么说吧。
“互联网+”时代的到来给人们的工作和生活带来了极大的便利,如“互联网+”助推下的滴滴专车、拼车等网约车服务方便了人们的出行, Airbnb等短租房产服务解决了人们个性化短租需求,菜鸟网络等零售物流服务提升了物流运转效率,转转平台等二手物品交易服务解决了闲置资源利用的问题等等。但伴随着这些O2O应用及大数据等新技术的爆发式发展,平台运营商可以随时随地在用户不知情的情况下搜集、抓取、分析日常行为数据,这使我们逐渐成为“透明人”,与此同时,接二连三的个人隐私泄漏事件也成为网络晴朗天空中的一朵乌云,不时给人们的互联网生活投下阴影。
“互联网+”服务全面铺开,增加个人隐私泄露风险
我国网民数量急剧增长,各类互联网公共服务发展迅速,截至2016年6月,我国网民规模达7.10亿,互联网普及率达到51.7%,超过全球平均水平3.1个百分点,“互联网+”应用遍布政府服务、医疗、教育、金融、交通、能源、工业等各行各业,我国已成为名副其实的网络大国。但是,随着网民数量的急剧增长以及“互联网+”服务在各行业的全面铺开,个人隐私泄露风险大大增加,泄露后造成的影响范围急剧扩大。
一是网站平台漏洞频发,个人隐私数据遭到泄露。当前国内大多数网站、应用平台均采用注册机制搜集用户个人信息,但这些网站及平台多存在“重建设轻运维”问题,安全防护水平良莠不齐,这就导致部分网站平台漏洞频发,一旦遭到拖库、撞库攻击,就会大量泄露用户信息数据。如2015年1月,机锋科技旗下机锋论坛被曝存在高危漏洞,2300多万用户个人信息疑遭泄露;2015年2月万豪、喜达屋、洲际假日等十余家高端酒店预订网站存在高危漏洞,房客开房信息大量泄漏;2015年4月曝出超30省市社保系统存在高危漏洞,数千万用户社保信息疑遭泄露;2015年8月,线上票务网站大麦网被曝存在安全漏洞,600余万用户账号密码遭到泄露;2015年11月申通被曝13个信息安全漏洞,黑客借此窃取3万多条客户信息。
二是个人隐私安全防护意识薄弱,加剧隐私泄露程度。普通用户在进行问卷调查、购房买车、就医、办理会员卡时缺乏隐私保护意识,在微博、朋友圈、QQ空间中随意点击陌生链接,在发布心情、分享照片时泄露个人信息,这些情况都进一步加剧了隐私泄露的严重程度。如2016年4月曝出大量微信用户点击非法公众号参与“性格测试”、“幸运抽奖”、“分享有礼”等活动造成个人电话、通讯录信息泄露;2016年8月“裸条贷”事件爆发,部分在校大学生通过打“裸条”方式向非法P2P网络借贷平台借款,导致个人隐私信息严重泄露;2016年9月“手持身份证照片”事件曝光,据调查,这些认证照片多是用户随意向小网站小平台提交身份认证信息时所用。
三是主观散布他人隐私情况增加,人肉搜索屡禁不止。以人肉搜索曝光为代表的网络暴力情况日趋增加,在一些大型公众事件中,部分网民往往站在道德制高点,出于“义愤”主动搜集并曝光事件当事人及其家庭工作隐私信息,给当事人及其家庭造成严重身心伤害。如2015年5月成都女司机被打事件中,当事人的个人信息资料、违章记录、开房信息等被网友曝光;2015年7月,14岁少女潘梦莹因发表过激言论被网友人肉搜索并曝光个人信息,直接导致其割腕自杀;2016年8月王宝强离婚案中,相关当事人及父母亲友、代理律师的个人信息、照片、房产资料均被网友搜索翻出,对双方当事人造成进一步伤害。
随意的互联网行为可能导致信息的泄露
通过上述事件可以发现当前“互联网+”时代个人隐私泄漏情况日趋严重,相较传统互联网时代,当前移动互联网的高速发展使得个人隐私泄露的途径更加复杂,泄漏原因更加多样。
从泄露途径上来看,主要体现在以下四个方面:
一是个人隐私数据的过度搜集。在当前共享经济模式下,信息资源就是财富,网络运营商、平台服务商为了掌握更大市场的主动权,会千方百计地通过各种渠道搜集用户个人隐私数据。在搜集方式上又分直接和间接两种,直接方式如服务提供商以各种理由要求用户注册,提供手机号、姓名、生日、邮箱、地址等相关信息;间接方式则是在用户不知情的情况下,利用后台权限读取用户通讯录、通话记录、GPS位置信息。
二是个人隐私数据的不当使用。部分非法微信公众号在掌握大量用户隐私数据后,通过地下产业链将其出售谋取暴利,如在网站注册或参加某调研后,会收到大量垃圾短信和垃圾邮件;另外,部分平台通过对掌握的数据进行大数据分析,进而利用用户行为习惯进行精准广告轰炸。
三是个人隐私数据的非法窃取。该类型主要是网络黑客利用各大系统平台漏洞,通过撞库、拖库、钓鱼等方式窃取用户隐私数据,近几年国内知名平台数据泄露事件多是此类。
四是个人隐私数据的故意散布。典型代表是人肉搜索,如“王宝强”事件、“成都女司机”事件、“死亡博客”事件、“晕机女”事件等等,部分用户出于所谓“义愤”将事件当事人个人隐私数据曝光网络。
从泄漏原因上看,主要体现在以下四个方面:一是个人隐私数据买卖黑产巨大利益驱使。在当前市场条件下,许多新公司、新企业、新商户、新平台、新网站在推广初期都急需大量目标客户资料,而掌握这些信息数据的商家或管理者利用信息管理漏洞,将用户数据当作一种“特殊商品”进行贩卖。
二是缺乏专门针对个人隐私数据保护的法律法规。目前我国尚无专门个人隐私数据保护法律,对个人信息数据保护条款散落于《民法通则》、《刑法》、《身份证法》、《互联网电子公告服务管理规定》、《未成年人保护法》等诸多法律中,同时由于缺乏个人隐私数据泄露后的救济与惩罚措施,无法震慑盗窃、买卖个人数据信息的犯罪者。
三是缺乏统一协调的行业监管措施。目前互联网行业日新月异,监管部门缺乏对互联网服务商在个人信息数据搜集、使用、保管等方面的有效监管,公民遇到个人隐私泄漏问题往往不知道向哪个部门举报、申诉。
四是个人网络隐私保护意识淡薄。比如随意接受“问卷调查”,向陌生网站提交“手持身份证照片”,在人才招聘网站、保险销售网站、旅游服务网站实名登记个人信息,登陆钓鱼挂马的网站等等。
我们如何保护自己的信息?
效保护用户个人隐私需要社会力量的广泛参与。从国家立法、行业监管、社会宣传、技术保护、个人意识五个方面入手,全面提升用户个人隐私保护能力水平。
一是加强个人隐私数据保护的立法工作。由于我国目前个人信息数据安全立法尚处于空白,侵犯个人隐私信息的行为得不到应有的制裁致使个人隐私信息泄露情况日趋严重。因此,国家应健全完善相关个人数据隐私保护法律法规,形成全方位立体化的个人数据信息保障体系。
二是加强个人隐私数据应用的行业监管。建立统一规范的网络行为标准体系,成立个人信息安全综合监管机构。定期对相关系统运营商、平台服务商进行评估审核,保证其在个人数据搜集、加工、存储和使用过程中符合法律法规。
三是加强社会媒体的宣传引导。新闻媒体应主动承担起舆论引导责任,主动曝光侵害个人隐私安全的企业、行为,积极宣传个人隐私数据安全防护方法,组织协调相关个人信息安全教育培训。
四是加强网络平台信息安全防护水平。网络运营商及平台服务商在日常运营过程中应定期对系统进行修补维护,及时更新软件版本,消除系统漏洞,从技术上防范拖库、撞库及其他黑客数据窃取行为的发生。
五是加强个人隐私信息保护意识。具体如下:(1)网上注册时尽量减少个人私密信息填写,不在身份不明网站上填写个人信息。(2)远离社交平台来源不明的互动类活动,如各种测评、分享、抽奖。(3)使用安全的计算机上网,尽量避免在网吧等公共场合输入账号密码,安装并定时更新防病毒软件及防火墙软件。(4)公共场所上网不连接陌生WIFI,警惕钓鱼陷阱。(5)警惕电信诈骗,不轻信各类中奖、汇款信息。(6)妥善处理废弃个人信息数据单据,如银行小票、快递单、消费小票等。
微信扫描二维码,关注公众号。