内鬼操作?
但在张力看来,在不考虑黑客因素下,公司内部人员数据泄露尤为普遍。
这种说法也得到王怡赞同。他说,类似金融产品明细、用户账户等安全级别相对较低的信息,少部分信息可以通过爬虫程序直接抓取。但从技术的角度看,大部分平台是没有办法通过爬虫软件获取用户电话、账户和其他明细。
王怡称,爬虫软件是模拟人的操作,直接登录抓取页面等常规操作。如果互联网上没有这些数据,那就需要从公司后台数据库直接抓取信息,这是没法使用爬虫程序的。
在王怡看来,通过爬虫软件就能够获得数据,说明安全级别并不高,如果直接获得安全级别高的数据,那就需要一定技术。
王怡表示,一般而言,获取公司数据库内部数据有三种方法,这也是市面上最常使用的方式。一是对方平台服务器的安全措施等级低,技术手段进入对方系统,获取操作权限。二是黑客通过渗透测试工具,通过软件漏洞进行攻击。三是内外勾结,公司内部人进行信息贩卖。
实际上,这已不是网易邮箱出事。
对此,网易免费邮箱当时称,用户对信息安全的重视,网易感同身受,并一向注重对用户隐私的保护。网易邮箱一天处理约2亿封邮件,不存在任何个人参与窥探用户隐私的可能性。网易现在和将来都不存在、也不会容忍收集用户隐私用于商业目的的行为。同时,网易邮箱将对销售部门进行规范,避免因夸大宣传,引起误导。
华为资深工程师张合表示,如果网易出现邮箱账号泄露,不管是否参与交易,网易都应承担责任,“保护用户的数据隐私是平台最起码的责任。”
“网易应该承担责任。”张宏也说,网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的时候,应当立即采取补救措施。但是,这次网易邮箱账号泄露,尚未证实由网易内部人士所为。
买卖数据不违法?
在卖家李娜看来,通过爬虫技术获取网易邮箱并进行交易不违法,“爬虫程序是我男朋友做的,爬取的是网络上公开信息,不涉及违法行为。”
“爬取数据的合法性其实很窄,只有不妨害网站的正常运行、严格遵守网站设置的robots协议,不强行突破网站的反爬措施,这才是真正合法的数据爬取行为。”张宏表示,从法律角度来看,虽然数据的爬取是从公开数据当中进行数据抽查,但如果使用不当,也会突破法律的边缘。
《网络安全法》第四十二条规定,网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的时候,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
另外,《电信和互联网用户个人信息保护规定》第十条规定,电信业务经营者、互联网信息服务提供者及其工作人员对在提供服务过程中收集、使用的用户个人信息应当严格保密,不得泄露、篡改或者毁损,不得出售或者非法向他人提供。
2017年6月1日,《“两高”关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》规定了较低的入刑门槛——该司法解释将个人信息根据敏感度的高低分为三档,非法出售的数量分别达到50条、500条、5000条,或违法所得达5000元以上即可定罪,如果是在履行职责、提供服务过程中“监守自盗”的,标准减半。
“这说明,所有的条件都必须是共同存在,才可以保证最终的合法性,但凡有一个条件违反了,就是违法行为。据我所知,大量程序员在从事数据的爬取过程中,或多或少都有违法的嫌疑。”张宏说。
在张宏看来,企业若要实现数据合法获取,必须满足两个条件。一是互联网企业只能收集其提供服务所必需的个人信息,非必需信息一概不得收集;二是企业必须明示收集、使用的目的、方式和范围,并征得用户的同意,最常见的形式是平时注册账号前需要打勾的“隐私协议”。
如何保护数据隐私?
近年来,在互联网市场快速成长的背景下,个人信息保护不力的事件屡见不鲜。
3月27日,上海市消保委发布了针对39款网购、旅游、生活类常用手机APP涉及个人信息权限的评测结果。结果显示,25款APP存在数据问题,尤其关于“日历”权限的过度申请和随意授权更令人担忧。
这也就是说,这些APP申请了发送短信、录音、拨打电话、读取联系人、监控外拨电话、重新设置外拨电话的路径、读取通话记录等敏感权限,却未在应用中进行使用。
张合向人民网创投频道表示,在市场中,侵权行为俯拾即是,有显性的,也有隐性的。
所谓显性,就是数据泄露已经影响市民生活。商家通过电话、邮件等方式对市民狂轰滥炸发送广告,甚至开展诈骗行为。
所谓的隐形数据泄露最简单也是最常见的表现形式是,当你在搜索软件进行搜索的时候,关于你的数据已经传播至其他软件公司,任何公司都能够根据用户需求,提供相应产品,然后以机票、新闻、商户等推荐形式展现。
“这是令人不寒而栗的。”张合说,人的记忆并不可靠,每个人都对自己没有绝对的理解,但是互联网数据是固定的,互联网会比你更了解你自己,如果不加以控制,任何人都没有隐私。
在我国,随着《网络安全法》及《“两高”关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》等政策的实施,配合既有的法律、法规、规章,已形成刑事、行政、民事三位一体的法律保护体系。
张宏认为,从惩戒力度上看,在我国侵犯隐私的行为入刑门槛低、刑罚重,但行政处罚力度不及欧盟,民事诉讼也较难取得大额赔偿;相较之下,欧洲更为推崇行政监管,美国则倚重民事救济,体现了各国政府选择治理手段上的不同侧重。
责任编辑:林晗枝
- 最新国内新闻 频道推荐
-
中国科学家参与发现寒武纪大爆发“密钥”2019-05-07
- 进入图片频道最新图文
- 进入视频频道最新视频
- 一周热点新闻
已有0人发表了评论