大数据分析,你的个人信息是怎么被泄露的?
2017年6月1日起,《中华人民共和国网络安全法》(下文简称“《网络安全法》”)正式施行。《网络安全法》首次在法律层面规定了个人信息保护的基本原则。对于目前大肆横行的信息泄露问题,《网络安全法》明确指出,收集适用信息应经用户明示同意,不得收集无关信息,不得向他人提供个人信息,经过处理无法识别特定个人且不能复原的除外,不得非法出售个人信息。
信息泄露损失巨大
很多消费者对于个人信息泄露的危害没有切身体会,所以对个人信息安全满不在乎。实际上,个人信息泄露造成的损失有时候非常大。比如,目前有一些假冒的微信群或qq群会对特定人群进行精准诈骗。
近日,上海某公司的一位财务人员就遇到了这种情况。这位财务有一天被拉进一个公司工作交流的微信群,群里都是所谓的“公司员工”,在讨论日常的工作,突然有个使用老板头像的人在群里告诉他,有个项目需要他马上打款169万,让他去操作,因为真实性很高,他立即向指定账户进行了操作,到最后才发现上当受骗了,因为群里除了他,其他人都是骗子假扮的,所有人一起给他营造了一种逼真的场景。
这位财务之所以被骗子盯上,关键就在于他的职业职务信息、社交网络账号信息等真实个人信息都被骗子掌握了。
电商平台的受众面很广,也搜集了海量的个人信息。消费者们在各大电商网站注册、购物所留下的个人信息是一块宝贵的资源,泄露事件时有发生。
中国电子商务投诉与维权公共平台受理的用户投诉案例显示,包括小红书、达令、当当网、携程在内的多家电商平台用户投诉比较集中,其重大典型的包括5173中国网络服务网数次被“盗钱”、当当网多次用户账户遭盗刷、“1号店”员工内外勾结泄露客户信息、支付宝漏洞致用户信息泄露、如家和七天快捷酒店开房信息泄密、腾讯7000多万QQ群遭泄露、携程技术漏洞导致用户个人信息、银行卡信息等泄露、微信朋友圈小游戏窃取用户信息、快递单贩卖成“灰色产业链”、小米“泄密门”800万用户信息泄露、13万12306用户信息外泄事件等。
中国电子商务研究中心监测诸多案例后发现,绝大多数新型的网络骗术都与个人信息的泄漏有关,他们或者是充分利用已经窃取到的受害者个人信息实施网络诈骗,或者就是以受害者的个人信息为网络诈骗的攻击目标。
另外,根据中国互联网协会的《中国网民权益保护调查报告2016》,在近一年的时间内,国内共6.88亿网民因垃圾短信、诈骗信息、个人信息泄露等造成的经济损失估算达915亿元。
信息泄露防不胜防
各大网站的账户管理系统看似滴水不漏,个人信息是如何流出的?中国电子商务研究中心特约研究员、上海市信息安全行业协会专委会副主任张威认为,网站平台上的用户数据泄露主要有以下几种方式:黑客利用平台存在的安全漏洞入侵网站,盗取用户数据库;网站内部工作人员倒卖用户信息;通过撞库攻击,窃取用户数据;利用钓鱼攻击窃取用户信息;通过木马、病毒窃取用户隐私信息。
如果从电商平台订单的处理流程来看,各个环节都可能存在着漏洞。商家环节首先有内部员工倒卖订单数据的问题。网商对员工的管理松散,员工面对诱惑,很容易去倒卖数据。
其次是会有木马病毒潜入商家电脑中,监视员工的操作,从而获取订单软件系统内的数据。仓库管理、订单管理、面单打印所需的第三方软件有的就是由数据倒卖的黑产所开发,目的就是窃取订单信息。
现在有的公司为商家系统提供云服务器,一旦被突破就会导致一个大群体订单泄露。电商平台平台端除了内部员工可能接触并倒卖数据,还有系统开发、基础架构、客服等环节的外包员工可能作案。 平台主站再加上后台支撑系统,的各种问题五花八门。此外,物流端也有内部倒卖物流面单和系统被攻击的情况。
当然用户自身也会存在信息泄露的可能,比如账号被盗、伪基站和伪wifi热点的钓鱼、安卓远控类应用的窃取等。
信息泄露案件溯源难
用户遇到个人信息泄露问题后,往往第一反应就是将责任归于电商平台,于是就会产生投诉甚至司法纠纷。信息泄露责任究竟该如何认定呢?
中国电子商务研究中心特约研究员、北京盈科(杭州)律师事务所方超强律师认为,电商平台在获取个人信息的同时,就有保护个人信息的义务。信息泄露存在不同的情况,如果电商平台提供了符合其规模的保护措施,但在这种情况之下还是被黑客入侵了系统,这种情况属于不可抗力,电商不用承担责任。但如果初级黑客也可以攻破平台的安全保护措施,可以认为平台没有给予与其规模相匹配的保护,这样的情况下可以认为平台存在漏洞,需要承担责任。
方超强直言,网络平台存在漏洞导致信息泄露目前还很难有认定标准。若消费者向法院投诉电商平台,平台只要举证证明其尽到了安全责任保护义务,再要对平台进行追责就不容易了。同时,对于消费者因为在不同电商平台使用相同的账号密码,导致所有账号密码一同被盗,造成自身重大损失,此类情形,应当由谁承担责任要视账号泄密的不同情况分而论之。
而对于社交网络信息泄露,方超强认为社交网络信息泄露问题较为普遍,之前就代理过此类案件。这种案件溯源很难,各地法院判例不一,有以劳动争议判的,也有以一般民事财产损害判的。以劳动争议判的,员工承担责任一般不超过20%。这类欺诈案件实际办案过程确实很难,因为收款帐号都是马甲号,连账号开户人自己都不知道。
信息泄露的损害很难得到弥补,但消费者还是应该增强风险意识,在自己可控的范围内切断信息泄露的源头。比如,不要回复或者点击不明来源邮件的链接,不要在网吧、公用计算机上做在线交易或转账,避免在多个网站使用相同的账户名和密码,防止出现多个网站个人信息的连环失窃。
生活中还有各种采集信息的骗局,比如在朋友圈流行的”星座性格测试”之类的小游戏,利用网友们的好奇心,采集了大量用户的真实信息,像这种需要输入个人信息的小游戏尽量不要玩。