本文目录一览:
个人信息泄露:是黑客还是内鬼
5月16日,最高人民检察院发布6起侵犯公民个人信息犯罪典型案例,从不同角度反映了检察机关依法履行审查批捕、审查起诉、立案监督等检察职能,旨在为各地检察机关办理相关案件,正确适用法律和司法解释,规范统一司法,提供指引、参考。
公民个人信息泄露,导致广告推销、骚扰电话不胜其烦,这是让每个人都很烦恼的事情。更可怕的是,近年来一些骗子利用公民个人信息实施“精准诈骗”,让不少人遭受到财产损失,甚至发生了被骗者猝死的悲剧。但是在这样一个“大数据时代”,守护好个人信息并不容易,似乎有太多的环节和漏洞可能导致个人信息的泄露。而一旦我们的信息泄露,要想追责也是难上加难,任何一个可疑的环节都有可能推三阻四,说是别人的责任。
但是最高检发布的典型案例显示,相关部门完全可以利用专业手段查出信息泄露的源头,让犯罪分子依法受到惩处。从这一批案例来看,很多时候都是“内鬼”导致了个人信息的泄露。例如,上海疾控中心一工作人员窃取新生婴儿信息并出售;河北高邑县一派出所民警获取公安系统内公民个人信息……
针对这样的情况,显然需要相关部门苦练“内功”,定期“清理门户”,严防内鬼滋生。为了敦促他们做到这一点,除了依法惩处内鬼本身,应该要求出了问题的单位承担赔偿责任。这样一来,既可以让信息被泄露、利益受损害的人感受到公平与正义,也可以提供动力,让那些在人事管理上存在漏洞的单位改进工作。
除了内鬼,泄露公民信息的另一大渠道就是黑客。今天就有媒体报道说,一些电商用户的信息遭到售卖。通过“扫号撞库”的方式,黑客可以拿到用户在网购平台上的数据。“扫号撞库”也就是黑客用技术手段入侵一些安全防范不是很高的网站,取得大量的用户注册名和密码数据,有些网站的登录名包括用户的手机号、邮箱甚至身份证号,这些登录名可以与其他网站关联上,是信息泄露的载体,信息贩子掌握这些信息后,可以用“撞库”方式尝试登录其他网站。
互联网不是法外之地,黑客的技术手段不断更新,这就要求我们的公安部门“道高一丈”,让违法犯罪者付出代价。与此同时,一些平台的用户信息之所以遭到泄露,也是因为这些平台缺少对这种“撞库攻击”的防范。电商平台在获取个人信息的同时,就有义务保护好客户的个人信息。相关防范措施不足,被黑客钻了空子,这就说明电商平台也要苦练内功、扎好篱笆。如果电商平台没有尽到保护消费者个人信息的义务而导致泄露问题,那么该平台理应承担赔偿责任。
除了防范内鬼、黑客以及二者勾结的情况,还有一种人也是个人信息泄露的罪魁,那就是倒卖信息产业链上的“掮客”——做买卖就得吆喝,百度一下数据收购、个人信息收购,就会发现一些人并不是偷偷地干活。互联网上这些显而易见的线索,也可以视为犯罪嫌疑人的“自我举报”,相关部门理应顺藤摸瓜,发现一起惩处一起。
此外,每一个信息泄露的举报,哪怕尚未有人受到真金白银的损失,也都是有价值的、需要认真对待的。很多时候,我们自己要想调查取证信息泄露的源头十分困难,但是对公安检察机关来说,却是专业范畴之内的工作。
黑客攻击和数据泄露怎么办
如果是企业用户的话,建议还是提早部署安全防护软件,例如红线防泄密系统,不仅可以对文件目录进行保护,阻止网络攻击,非法篡改数据或盗取文件,也可以防止内部的人员进行内部泄密,不管是网络攻击还是内部“内鬼”都不能造成数据泄露,因为数据离开授权环境,即是密文显示,获取不到真实内容。
而且拥有拥有高度的集中管理、集中策略控制、灵活的分组(部门)管理机制。企业可以根据实际的需求对不同的部门设置不同的加密策略及相应的控制策略。
“内鬼”卖信息集采单位也要问责对吧?
由于信息采集单位在信息保护或监管方面存在太多漏洞,信息采集单位成了泄露公民信息的“重灾区”。
刚生完孩子,各种推销婴幼儿用品的电话就打进来了。许多妈妈苦思,到底是谁泄露了自己的信息。最高检5月16日发布了包括韩某等8人买卖新生婴儿信息在内的6起典型案例。其中上海市疾病预防控制中心工作人员韩某利用其工作便利,非法获取新生婴儿信息共数十万条出售。
公民信息泄露,主要有四个途径:
一是“内鬼”非法出售获利,比如银行员工、电信公司员工、保险公司员工、自来水公司员工、快递公司员工、医院职工、招生办工作人员等,都有机会掌握着众多用户的信息,这些也是公民信息泄露的“重灾区”;
二是从事信息技术工作的人员、电脑维修工等利用其技术优势获取公民信息;
三是黑客入侵获取信息;
四是少数人缺少保护信息的安全意识,粗心大意泄露信息,或者信息采集单位及个人被骗而泄露信息,比如贫困生信息被不法分子骗走等。
除了公民个人由于自己的原因泄露信息以外,其他三种主要类型的信息泄露都离不开信息采集单位的责任。比如,信息采集单位“内鬼”盗卖公民个人信息之所以能够得逞,一个非常重要的原因是信息采集单位缺乏信息安全意识,没有建立保护公民个人信息的严密制度,信息采集单位工作人员略用心计就可以获取大量公民个人信息,然后神不知鬼不觉地把其非法获取的信息卖掉牟利。常常,不仅信息采集单位相关人员毫不知情,事后没有承担任何责任,即使公安部门揪住了“内鬼”,往往也难追究信息采集单位的责任。
于是,在防范公民个人信息泄露的法律链条上,信息采集单位的责任缺席了。信息采集单位保护不力,监管存在严重的漏洞,事前没有做好防范,事发后也没有承担丁点儿责任,这等于对信息采集单位漫不经心、监管不力的纵容,也是“内鬼”胆大妄为和屡屡盗窃信息得逞的原因。目前来看,由于信息采集单位在信息保护或监管方面存在太多漏洞,信息采集单位成了泄露公民信息的“重灾区”,这实质上提醒信息采集单位要加强保护和监管,包括技术的、制度的、追责的等各个方面都要完善,堵住信息泄露漏洞。
权利和责任要对等,一些公共服务单位采集了公民信息,就有责任和义务保障公民信息安全,否则,信息采集单位就没有资格采信公民个人信息。即使法律法规要求采集公民个人信息,比如执行“实名制”要求,也要保障公民信息安全,这应该是单位采集公民信息的法律义务,这种义务就体现在泄露信息要承担责任。但当下每次发生信息泄露事件,除了惩罚“内鬼”以外,追究信息采集单位的责任往往没了下文,这种放过单位的做法让人好郁闷,也是公民信息一再泄露的一个重要因素。
事实上,信息采集单位是保护公民信息链条上极其重要的一环,出事后岂能不承担责任?这样处理公民信息泄露事件,不公平。同时,更不利于有效保护公民信息安全。毋庸置疑,信息采集单位责任一旦缺席,管理就不可能跟上,泄露公民信息的漏洞百出,“内鬼”始终经不住利益的诱惑,这不明摆着放纵“内鬼”吗?这真是一件令人着急而又非常费解的怪事。