除網(wǎng)站遭受攻擊致使用戶隱私泄露外 一些企業(yè)“利誘”用戶提供敏感信息也為用戶隱私保護(hù)埋下隱患

“我們團(tuán)隊(duì)決定無(wú)條件刪除數(shù)據(jù)庫(kù)，在未來(lái)不打算再出售任何有關(guān)Acfun的數(shù)據(jù)和漏洞……”13日深夜，暗網(wǎng)上一條《關(guān)于不再出售Acfun數(shù)據(jù)庫(kù)的說(shuō)明》引起互聯(lián)網(wǎng)安全行業(yè)的廣泛關(guān)注。至此，深受二次元愛(ài)好者青睞的“A站”算是緩了一口氣。在此次A站受攻擊事件之后，網(wǎng)民的焦慮情緒再次被點(diǎn)燃——我們?cè)诰W(wǎng)站里儲(chǔ)存的個(gè)人信息和數(shù)據(jù)還安全嗎？誰(shuí)能保護(hù)我們的“網(wǎng)絡(luò)隱私權(quán)”？

關(guān)注

A站數(shù)據(jù)泄露是否該追究網(wǎng)站責(zé)任

近日，以提供二次元視頻內(nèi)容為主營(yíng)業(yè)務(wù)的Acfun發(fā)布了一則《關(guān)于AcFun受黑客攻擊致用戶數(shù)據(jù)外泄的公告》，稱其網(wǎng)站中包含用戶ID、用戶昵稱、加密存儲(chǔ)的密碼等信息的近千萬(wàn)條用戶數(shù)據(jù)外泄。

盡管有自稱為“攻擊者”的黑客在暗網(wǎng)上發(fā)文稱將刪除有關(guān)數(shù)據(jù)信息，并不再傳播販賣獲取的用戶數(shù)據(jù)，但仍有不少網(wǎng)友認(rèn)為，應(yīng)該根據(jù)去年頒布的網(wǎng)安法來(lái)追究“攻擊者”的責(zé)任，同時(shí)對(duì)A站疏于用戶數(shù)據(jù)管理的行為做出處罰。

“是否應(yīng)該追究網(wǎng)站責(zé)任應(yīng)該視情況判斷。”360企業(yè)安全研究院院長(zhǎng)裴智勇認(rèn)為，如網(wǎng)站此前接收到漏洞報(bào)告卻沒(méi)有主動(dòng)處理，并缺乏日常安全維護(hù)工作，或者在發(fā)生安全事件后并未告知用戶，就需要承擔(dān)相關(guān)法律責(zé)任。

裴智勇指出，網(wǎng)站管理和維護(hù)人員缺失安全防護(hù)意識(shí)是造成用戶信息數(shù)據(jù)泄露的重要?jiǎng)右蛑?。這從去年勒索病毒爆發(fā)事件中就可看出端倪，2017年3月14日微軟發(fā)布相關(guān)安全補(bǔ)丁，到當(dāng)年5月12日WannaCry勒索病毒的爆發(fā)，政企機(jī)構(gòu)的安全人員有58天時(shí)間完成布防工作，然而從之后一些關(guān)鍵信息基礎(chǔ)設(shè)施遭到破壞的結(jié)果來(lái)看，一些政企機(jī)構(gòu)的安全防護(hù)意識(shí)和能力顯然和其掌握信息數(shù)據(jù)的數(shù)量是不匹配的。

裴智勇以“四不印象”總結(jié)了當(dāng)前一些互聯(lián)網(wǎng)企業(yè)和政府網(wǎng)站工作人員的安全防范意識(shí)——病毒預(yù)警不在乎、管理規(guī)定不遵守、應(yīng)急方案不執(zhí)行、風(fēng)險(xiǎn)提示不滿意?！吧踔劣械木W(wǎng)站明知自己存在安全漏洞也不修補(bǔ)，最后造成用戶數(shù)據(jù)大量外泄的嚴(yán)重后果?！迸嶂怯抡f(shuō)。

現(xiàn)狀

內(nèi)外因素交織為用戶隱私保護(hù)“埋雷”

除網(wǎng)站遭受網(wǎng)絡(luò)攻擊致使用戶隱私信息泄露外，部分政府網(wǎng)站信息披露不當(dāng)、一些企業(yè)“利誘”用戶提供敏感信息、少數(shù)機(jī)構(gòu)“明目張膽”與第三方共享用戶數(shù)據(jù)都為用戶隱私保護(hù)埋下隱患。

部分政府網(wǎng)站信息披露不當(dāng)。去年下半年以來(lái)，安徽、江西等地的政府網(wǎng)站以信息公開為由，將群眾的隱私信息在網(wǎng)站上“張榜公示”。這些隱私信息包括姓名、聯(lián)系電話、家庭住址、慢性病病情信息。此舉極易引起不法分子的注意，將上述信息保存后用以實(shí)施“精準(zhǔn)詐騙”等目的。

一些企業(yè)“利誘”用戶提供敏感信息。今年春節(jié)前夕，某資訊閱讀類APP在其官方舉辦的紅包活動(dòng)中，誘導(dǎo)用戶在紅包提現(xiàn)前，將自己的個(gè)人信貸、商業(yè)活動(dòng)交易記錄、違法違規(guī)等敏感信息查詢授權(quán)其及其合作伙伴。盡管事后其官方澄清相關(guān)信息授權(quán)是為了“反洗錢”等目的，但仍引發(fā)多位法律界人士質(zhì)疑，認(rèn)為此舉“既不合規(guī)，也不合法”。不少用戶甚至還不知道自己在該活動(dòng)中將自己的敏感信息查詢權(quán)“拱手相讓”，也為大規(guī)模用戶隱私信息泄露“埋下禍根”。

少數(shù)機(jī)構(gòu)“明目張膽”與第三方共享用戶數(shù)據(jù)。在某共享單車企業(yè)2018年1月1日起生效的用戶協(xié)議中，明確表示其“有權(quán)”將用戶注冊(cè)資料等用戶信息提供給第三方。耐人尋味的是，該條款生效的前提是“該第三方同意承擔(dān)與我們同等的保護(hù)用戶隱私的責(zé)任”。在如此語(yǔ)焉不詳?shù)募s束性前提下，一旦用戶的注冊(cè)信息發(fā)生泄露，企業(yè)就有可能以此條款“甩鍋”給第三方，為用戶維權(quán)“刻意制造”障礙。

分析

用戶隱私保護(hù)還需多方同向發(fā)力

一些受訪者向記者表示，隨著國(guó)家對(duì)互聯(lián)網(wǎng)行業(yè)在信息數(shù)據(jù)保護(hù)方面的監(jiān)管有所加強(qiáng)，同時(shí)保護(hù)用戶“網(wǎng)絡(luò)隱私權(quán)”的相關(guān)法律法規(guī)日益完善，自身對(duì)于隱私權(quán)利保護(hù)的意識(shí)明顯提高。

今年5月1日，又一保護(hù)用戶隱私數(shù)據(jù)的法律規(guī)范《信息安全技術(shù)個(gè)人信息安全規(guī)范》正式實(shí)施，這是我國(guó)在加強(qiáng)網(wǎng)絡(luò)空間內(nèi)公民個(gè)人信息保護(hù)的又一重大舉措。相較于已經(jīng)正式實(shí)施一年的網(wǎng)安法，規(guī)范進(jìn)一步細(xì)化，對(duì)于用戶的隱私數(shù)據(jù)范疇做了更為詳盡的說(shuō)明。

作為規(guī)范的主要起草者之一、中國(guó)信息安全研究院副院長(zhǎng)左曉棟認(rèn)為，在過(guò)去一年的時(shí)間里，我國(guó)主要互聯(lián)網(wǎng)企業(yè)對(duì)于用戶隱私的保護(hù)有了一定改觀，但就全行業(yè)而言，仍有較大的提升空間。

“無(wú)論是網(wǎng)安法還是個(gè)人信息安全規(guī)范，目前來(lái)看最大的作用就是喚醒了用戶對(duì)自身隱私權(quán)利的關(guān)注和重視，在一系列安全事件背后，用戶對(duì)自身信息保護(hù)的維權(quán)意識(shí)空前增強(qiáng)?！弊髸詶澱f(shuō)，在這樣的大環(huán)境下，互聯(lián)網(wǎng)企業(yè)更應(yīng)該在用戶信息數(shù)據(jù)保護(hù)上與廣大用戶相向而行，在信息搜集、處理和使用及信息存儲(chǔ)上符合法律和規(guī)范要求。

專家建議，互聯(lián)網(wǎng)用戶隱私保護(hù)任重而道遠(yuǎn)，國(guó)家有關(guān)部門應(yīng)盡快厘清權(quán)責(zé)歸屬，讓用戶在發(fā)現(xiàn)侵權(quán)行為時(shí)“有地說(shuō)理、有門可訴”。