新華社:A站被黑之後,我們的“網絡隱私權”還有哪些威脅?
顏之巨集/新華社
“我們團隊決定無條件刪除數據庫,在未來不打算再出售任何有關Acfun的數據和漏洞……”13日深夜,暗網上一條《關於不再出售Acfun數據庫的說明》引起互聯網安全行業的廣泛關注。至此,深受二次元愛好者青睞的“A站”算是緩了一口氣。
在此次A站受攻擊事件之後,網民的焦慮情緒再次被點燃——我們在網站裡儲存的個人資訊和數據還安全嗎?誰能保護我們的“網絡隱私權”?
A站被黑折射網絡太空的數據保護之困
近日,以提供二次元影片內容為主營業務的Acfun發布了一則《關於AcFun受黑客攻擊致用戶數據外泄的公告》,稱其網站中包含用戶ID、用戶昵稱、加密存儲的密碼等資訊的近千萬條用戶數據外泄。
儘管有自稱為“攻擊者”的黑客在暗網上發文稱將刪除有關數據資訊,並不再傳播販賣獲取的用戶數據,但仍有不少網友認為,應該根據去年頒布的網安法來追究“攻擊者”的責任,同時對A站疏於用戶數據管理的行為做出處罰。
“是否應該追究網站責任應該視情況判斷。”360企業安全研究院院長裴智勇認為,如網站此前接收到漏洞報告卻沒有主動處理,並缺乏日常安全維護工作,或者在發生安全事件後並未告知用戶,就需要承擔相關法律責任。
裴智勇指出,網站管理和維護人員缺失安全防護意識是造成用戶資訊數據泄露的重要動因之一。這從去年勒索病毒爆發事件中就可看出端倪,2017年3月14日微軟發布相關安全補丁,到當年5月12日WannaCry勒索病毒的爆發,政企機構的安全人員有58天時間完成布防工作,然而從之後一些關鍵資訊基礎設施遭到破壞的結果來看,一些政企機構的安全防護意識和能力顯然和其掌握資訊數據的數量是不匹配的。
裴智勇以“四不印象”總結了當前一些互聯網企業和政府網站工作人員的安全防範意識——病毒預警不在乎、管理規定不遵守、應急方案不執行、風險提示不滿意。“甚至有的網站明知自己存在安全漏洞也不修補,最後造成用戶數據大量外泄的嚴重後果。”裴智勇說。
內外因素交織,為用戶隱私保護“埋雷”
除網站遭受網絡攻擊致使用戶隱私資訊泄露外,部分政府網站資訊披露不當、一些企業“利誘”用戶提供敏感資訊、少數機構“明目張膽”與第三方共享用戶數據都為用戶隱私保護埋下隱患。
——部分政府網站資訊披露不當。去年下半年以來,安徽、江西等地的政府網站以資訊公開為由,將群眾的隱私資訊在網站上“張榜公示”。這些隱私資訊包括姓名、聯繫電話、家庭住址、慢性病病情資訊。此舉極易引起不法分子的注意,將上述資訊保存後用以實施“精準詐騙”等目的。
——一些企業“利誘”用戶提供敏感資訊。今年春節前夕,某資訊閱讀類APP在其官方舉辦的紅包活動中,誘導用戶在紅包提現前,將自己的個人信貸、商業活動交易記錄、違法違規等敏感資訊查詢授權其及其合作夥伴。儘管事後其官方澄清相關資訊授權是為了“反洗錢”等目的,但仍引發多位法律界人士質疑,認為此舉“既不合規,也不合法”。不少用戶甚至還不知道自己在該活動中將自己的敏感資訊查詢權“拱手相讓”,也為大規模用戶隱私資訊泄露“埋下禍根”。
——少數機構“明目張膽”與第三方共享用戶數據。在某共享單車企業2018年1月1日起生效的用戶協定中,明確表示其“有權”將用戶注冊資料等用戶資訊提供給第三方。耐人尋味的是,該條款生效的前提是“該第三方同意承擔與我們同等的保護用戶隱私的責任”。在如此語焉不詳的約束性前提下,一旦用戶的注冊資訊發生泄露,企業就有可能以此條款“甩鍋”給第三方,為用戶維權“刻意製造”障礙。
用戶隱私保護還需多方同向發力
一些受訪者向記者表示,隨著國家對互聯網行業在資訊數據保護方面的監管有所加強,同時保護用戶“網絡隱私權”的相關法律法規日益完善,自身對於隱私權利保護的意識明顯提高。
今年5月1日,又一保護用戶隱私數據的法律規範《資訊安全技術個人資訊安全規範》正式實施,這是我國在加強網絡太空內公民個人資訊保護的又一重大舉措。相較於已經正式實施一年的網安法,規範進一步細化,對於用戶的隱私數據範疇做了更為詳盡的說明。
作為規範的主要起草者之一、中國資訊安全研究院副院長左曉棟認為,在過去一年的時間裡,我國主要互聯網企業對於用戶隱私的保護有了一定改觀,但就全行業而言,仍有較大的提升太空。
“無論是網安法還是個人資訊安全規範,目前來看最大的作用就是喚醒了用戶對自身隱私權利的關注和重視,在一系列安全事件背後,用戶對自身資訊保護的維權意識空前增強。”左曉棟說,在這樣的大環境下,互聯網企業更應該在用戶資訊數據保護上與廣大用戶相向而行,在資訊搜集、處理和使用及資訊存儲上符合法律和規範要求。
專家建議,互聯網用戶隱私保護任重而道遠,國家有關部門應盡快厘清權責歸屬,讓用戶在發現侵權行為時“有地說理、有門可訴”。
責任編輯:李鋒
香港九龍灣馬來街興發大廈15樓D室