下面是小编精心推荐的《个人信息泄露论文(精选3篇)》,欢迎大家借鉴与参考,希望对大家有所帮助!【摘要】用人单位对劳动者的个人信息享有知情权,但在一定程度上也侵犯劳动者个人信息安全。综观国外对个人信息的立法,借鉴欧盟模式及美国安全港模式的先进经验,我国的劳动立法应从明确用人单位知情权的权利界限、规定用人单位保护劳动者个人信息的规章制度以及设定特定的劳动法责任三个方面,有效保护劳动者的个人信息。
第一篇:个人信息泄露论文
论大数据时代个人隐私数据的泄露与保护
大数据时代的数据管理是信息时代各国治国理政的重要课题。近年来,大量个人隐私数据泄露的现状已成为当前全球关注的一个重大社会问题。它关涉经济运行、商业伦理、文化安全、社会安定,乃至政治清明的众多领域。本文选择中外三年来的重要案例来分析隐私数据泄露的原因。研究发现,目前隐私数据泄露有四种类型。如何从顶层全面降低或进一步杜绝大规模隐私数据泄露,构建我国信息保护和数据管理的新格局,是我们当前面临的一项紧迫任务。
隐私; 数据泄露; 黑客攻击; 技术漏洞; 数据管理; 数据保护
F490.6; G203-A-0018-12
大数据时代的数据管理是信息时代各国治国理政所面对的新现实、新课题。近年来,大量个人隐私数据泄露的現状已成为当前全球关注的一个重大社会问题。它关涉各国的经济运行、商业伦理、文化安全、社会安定,乃至政治清明的众多领域,也关涉普通民众的个人隐私、家庭关系、消费活动、文化背景,乃至个体自由等诸多方面。本文选择中外三年来的重要案例来分析隐私数据泄露的原因。研究发现,目前隐私数据泄露有四种类型:黑客作为数据泄露的主因之一,通过攻击企业技术漏洞带来了严重后果;网络企业观念上的诸多问题和管理上的漏洞,造成攻击者可乘之机;利益驱使第三方企业非法获取、利用个人隐私数据获利;数据管理松弛,企业内部人员作案,外泄数据非法获益。如何从顶层全面降低或进一步杜绝大规模隐私数据泄露,构建我国信息保护和数据管理的新格局是我们当前面临的一项紧迫的任务。
本文的逻辑为:问题导向—调研筛选—案例分析—讨论建议—理论探讨。
一、 隐私数据泄露已成为互联网时代全球重大的社会问题
隐私数据泄露已成为互联网时代全球重大的社会问题,严峻现实要求我们必须对此作出回答。近年来,随着大数据运用的日益频繁、技术的日益成熟,隐私数据的泄露到了触目惊心、令人恐惧的状态。隐私数据泄露的案例比比皆是,据不完全统计,各类案例多达数百万起。受隐私数据泄露影响的人数已达数十亿。隐私数据泄露的总量仅2018年以来就达到数百亿条,并且有不断增加的趋势。隐私数据泄露的频次也越来越密集,由2013年以前的偶发变为密集性常态。
案例2018年8月,澎湃新闻从绍兴市越城区公安分局获悉,该局日前侦破一起特大流量劫持案,涉案的新三板挂牌公司北京瑞智华胜科技股份有限公司,涉嫌非法窃取用户个人信息30亿条,非法操控公众账号进行加粉或关注,涉及百度、腾讯、阿里、京东等全国96家互联网公司。
案例安全研究者Sanyam Jain先后5次发现Elasticsearch服务器不安全。第1台服务器存有3300万中国用户简历。他将问题报告给中国国家计算机应急响应小组(CNCERT),4天后数据库得到修复。第2台服务器存有8480万份简历,在CNCERT的帮助下,问题得以解决。第3台服务器存放着9300万份简历。第4台服务器同样存放着来自中国企业的900万份简历数据。第5个泄露点是Elasticsearch服务器集群,里面存放逾1.29亿份简历。Jain无法确认所有者,但数据库仍为开放状态。
案例据Wired报道,2018年曝光的市场和数据汇总公司Exactis服务器信息暴露的事情经调查为实,该数据涉及大约3.4亿条记录,容量接近2TB,据说涵盖2.3亿人。这些数据包含的隐私深度超乎想象,包括一个人是否吸烟、有什么宗教信仰、是否养狗或养猫以及各种兴趣等。Exactis事后对数据进行了加密防护,以避免信息的进一步泄露。
隐私数据泄露所涉及的范围日益扩大,陷入困境的行业、部门越来越多。互联网信息业、大数据行业、快递业、酒店业、航空业、综合类商业,以及医疗行业、餐饮业等,越是与人们现代生活、商务、出行有密切关系的行业,受到的影响越大。以酒店业为例,近年来,酒店业的信息泄露问题越来越严重,原因就在于巨大的经济利益。截至2018年底,全国住宿业的设施总数为482,603家,客房总规模18,164,158间,其中的酒店类住宿业设施344,313家,客房总数16,858,721间。盈蝶咨询、北京第二外国语学院旅游科学学院:《2019中国大住宿业发展报告(上)》,盈蝶咨询网站,http://inntie.com,2019年10月10日。每位住客的身份证号、电话号码、房间号等个人信息将同步上传至酒店内部的管理系统。因此,从行业来看,酒店业是黑客获取核心隐私数据最方便、最集中的行业之一,而国际连锁酒店因其客源质量很高,信息量巨大,经济效应也十分可观,故其往往成为黑客或犯罪人员的最佳选择。
案例信息业2018年9月份,研究人员在一个配置错误的服务器上发现了存储有超过200GB数据的数据库。据悉,该服务器处于完全无防御的状态且面向公众开放,任何人都能够公开查询和访问其数据。研究人员介绍称,该数据库中存储有来自Veeam公司的约4.45亿客户记录,其中包含客户的个人信息,如姓名、电子邮件地址以及居住地等。此外,该服务器上提供的其他详细信息还包括部分营销数据,例如:客户类型和组织规模、IP地址、来源地址(referrer)、当前页面地址(URL)以及用户代理等。
案例快递业2018年6月,“暗网”一位ID“f666666”的用户开始兜售圆通10亿条快递数据,该用户表示售卖的数据为2014年下旬的数据,数据信息包括寄(收)件人姓名、电话、地址等信息,10亿条数据经过处理,数据重复率低于20%,数据被该用户以1比特币打包出售。网友验证了其中一部分数据,发现在所购“单号”中,姓名、电话、住址等信息均属实。
案例酒店业万豪国际集团于2018年11月30日发布公告称,旗下喜达屋酒店客房预订数据库遭黑客入侵,最多约5亿名客人的信息可能被泄露。万豪酒店在随后的调查中发现,有第三方对喜达屋的网络进行未经授权的访问。目前,未经授权的第三方已复制并加密了某些信息,并且采取措施试图将这些信息移出。万豪披露,大约3.27亿名客人的个人姓名、通信地址、电话号码、电子邮箱、护照号码、喜达屋SPG俱乐部账户信息、出生日期、性别等信息可能已经全部泄露。
案例航空业2018年10月24日晚间,国泰航空发布公告称,公司及子公司港龙航空共有940万名乘客信息遭泄露,包括乘客姓名、出生日期、电话号码、护照、身份证号码、过往飞行记录等资料。约86万个护照号码及24.5万个香港地区身份证号码曾被不当取阅。另有403张已逾期信用卡号码和27张无安全码的信用卡号码被不当取阅。
案例综合商业类(含电子商务)美国功能性运动品牌Under Armour(安德玛)旗下饮食和营养管理App及网站myfitnesspal多达1.5亿用户的信息被盗。此次数据泄露事件影响到的用户数据包括用户名、邮箱地址和加密的密码。安德玛表示,该数据泄露事件并没有涉及用户的社会安全号码、驾驶证号、银行卡号等隐私信息。
从以上的案例及梳理我们看到:隐私数据泄露是一个危及全球各国的国际性重大事件,是一个侵害公民生命财产安全的重大危机,是一个渗透到社会经济的各个领域的普遍性困境,是一个互联网时代网络安全、法律保护、制度建设的新课题,也是尊重人权、隐私权、知识产权等有关新时代网络伦理、商业伦理、文化伦理的理论和实践研究的重大课题。
隐私数据的大规模泄露是在4G/5G条件下互联网、大数据、人工智能、云计算、物联网等新科技支撑下发生、发展并迅速蔓延的。一方面,随着技术的进步,我们享有着现代社会高科技带来的高速、便捷、共享和智能的服务;另一方面,反向的控制、盗窃等技术也日益精细,我们也因此不得不面对因隐私数据泄露而带来的巨大危害的新困境。
隐私数据泄露的事件具有普遍性、多发性、爆发性特征。从目前来看,隐私数据泄露已经十分普遍,除了上述大型案件,中小企业、普通民众都受到骚扰和侵害。在云存储服务平台MEGA上,7.73亿个电子邮件地址和近2200万个密码被黑客公开窃取。这些文件一共超过1.2万份,数据超过87GB。这类事件具有很高的发生频率,随着技术的更新,案件发生率不断升高。隐私数据泄露往往会引发爆发性事件。事件一旦发生就会产生严重后果:其危害程度很高,往往产生共振效应,引发社会不满和动荡,影响广泛;在时间上也可能会延续数年,短时间很难消除影响。
从社会安定和谐来看,我国隐私数据泄露带来了非常多的社会问题,甚至造成了严重社会危机事件。国内外信息犯罪团伙涉及的养老、养生、医疗、房地产、金融、股市、债市、慈善等巨量诈骗案件,都是从信息泄露开始的,给众多受害人带来了严重损害,造成财产损失、家庭破裂、身心受损等后果,甚至带来社会动荡,大大破坏了社会的安定团结。
二、 大数据时代的数据管理是信息时代各国治国理政的重要课题
大数据时代的数据管理是信息时代各国治国理政的重要课题。习近平总书记多次提出关注推进数字化时代的大数据、数据治理、数据运行、网络安全等一系列关乎治国理政的重大问题。随着世界多极化、经济全球化、社会信息化、文化多样化的深入发展,互联网对人类文明进步将发挥更大促进作用。数字信息流的全球流动将不断引领技术流、资金流、人才流,信息资源日益成为重要生产要素和社会财富,信息掌握的多寡成为国家软实力和竞争力强弱的重要标志。我国积极倡导发展5G背景下的移动网、大数据、云计算、人工智能、区块链、物联网等当代数字信息科技,大力构建数字中国。习近平总书记强调:“信息技术和产业发展程度决定着信息化发展水平,要加强核心技术自主创新和基础设施建设,提升信息采集、处理、传播、利用、安全能力,更好惠及民生。”《习近平:让企业成为信息产业发展主体》,人民网,http://finance.people.com.cn/n/2014/0228/c7084624495058.html, 2014年2月28日。
在2018年4月20日召开的全国网络安全和信息化工作会议上,习近平总书记强调互联网等高新科技代表着新的生产力和新的发展方向,他指出,“要发展数字经济,加快推动数字产业化,依靠信息技术创新驱动,不断催生新产业新业态新模式,用新动能推动新发展。要推动产业数字化,利用互联网新技术新应用对传统产业进行全方位、全角度、全链条的改造,提高全要素生产率,释放数字对经济发展的放大、叠加、倍增作用”《习近平:要发展数字经济加快推动数字产业化》,每经网,http://www.nbd.com.cn/articles/20180421/1210367.html, 2018年4月21日。。在这里,习近平总书记从顶层设计出发,提出了“五新”“四全”“三大作用”的总体要求。这是我们未来一段时间数字中国发展的总纲领。
在发展数字科技的同时,我国也大力推动全面实施网络安全、数据保护和信息管理的升级换代。早在2014年2月27日,习近平总书记在主持召开中央网络安全和信息化领导小组第一次会议时就提出,“没有网络安全就没有国家安全,没有信息化就没有现代化”②《习近平:没有网络安全就没有国家安全》,中华人民共和国国家互联网信息办公室网站,http://www.cac.gov.cn/201812/27/c1123907720.htm, 2018年12月27日。。他要求我们树立正确的网络安全观,加强信息基础设施网络安全防护,加强网络安全信息统籌机制、手段、平台建设,加强网络安全事件应急指挥能力建设,积极发展网络安全产业,做到关口前移,防患于未然。2016年4月19日,习近平总书记在网络安全和信息化工作座谈会上指出:“网络空间是亿万民众共同的精神家园。网络空间天朗气清、生态良好,符合人民利益。网络空间乌烟瘴气、生态恶化,不符合人民利益。谁都不愿生活在一个充斥着虚假、诈骗、攻击、谩骂、恐怖、色情、暴力的空间。互联网不是法外之地。”②
习近平总书记还指出:“利用网络进行欺诈活动,散布色情材料,进行人身攻击,兜售非法物品,等等,这样的言行也要坚决管控,决不能任其大行其道。没有哪个国家会允许这样的行为泛滥开来。我们要本着对社会负责、对人民负责的态度,依法加强网络空间治理,加强网络内容建设,做强网上正面宣传,培育积极健康、向上向善的网络文化,用社会主义核心价值观和人类优秀文明成果滋养人心、滋养社会,做到正能量充沛、主旋律高昂,为广大网民特别是青少年营造一个风清气正的网络空间。”④《习近平:在网络安全和信息化工作座谈会上的讲话》(2016年4月19日),载《人民日报》,2016年4月26日。“不能搬弄是非、颠倒黑白、造谣生事、违法犯罪,不能超越了宪法法律界限。”④面对复杂变化的现实,习近平总书记要求全党“认清我们面临的形势和任务,充分认识做好工作的重要性和紧迫性,因势而谋,应势而动,顺势而为”⑥⑦《习近平主持召开中央网络安全和信息化领导小组第一次会议强调总体布局统筹各方创新发展努力把我国建设成为网络强国李克强刘云山出席》,载《人民日报》,2014年2月28日。。
如何把握和运用我国目前已经拥有的互联网高位势能,解决发展和安全、开放与法制、数据管理与隐私保护等一系列的现实难题?习近平总书记提出辩证治理、对位发展的总体战略:“网络安全和信息化是一体之两翼、驱动之双轮,必须统一谋划、统一部署、统一推进、统一实施。做好网络安全和信息化工作,要处理好安全和发展的关系,做到协调一致、齐头并进,以安全保发展、以发展促安全,努力建久安之势、成长治之业。”⑥习近平总书记高瞻远瞩,从顶层设计把握看来矛盾的双方,将之视为同一事物的两个侧面,实施四个统一,方能建久安之势、成长治之业。
要想保证数字信息发展与网络安全保护的对位性辩证治理,保证网络空间风清气朗,习近平总书记提出了时、度、效三个重要策略⑦。所谓时,即时间节点的把握。进入第四次工业革命,时间代表速度、代表机遇、代表竞争。在互联网、移动网时代,经济变革时时发生,技术创新瞬息万变,社会思潮动荡不已,政治斗争如箭在弦。在这种环境下,时间节点的精准把握就显得尤为重要。度,是指度的界限的把握,审大局,度大势。在不同维度之间,在质量与数量之间,在前进与后撤之间,在国际与国内之间,都存在着度的把握问题。效,是指效果、效应、效能。它包含:直指数字信息发展与网络安全保护的对位性辩证治理的目标、可能实现的实效;由效能极值而选择的合理路径;量力而行,适度选择的风险值与难度值;特别是由效果要求而来的溯源探究和效果历史意识。
三、 当前隐私数据泄露的四种类型及其防范
本文选择中外三年来的重要案例来分析隐私数据泄露的原因。习近平总书记指出:“要依法严厉打击网络黑客、电信网络诈骗、侵犯公民个人隐私等违法犯罪行为,切断网络犯罪利益链条,持续形成高压态势,维护人民群众合法权益。”⑨《习近平在全国网络安全和信息化工作会议上强调敏锐抓住信息化发展历史机遇自主创新推进网络强国建设李克强主持栗战书汪洋王沪宁赵乐际韩正出席》,载《人民日报》,2018年4月22日。“网信事业发展必须贯彻以人民为中心的发展思想,把增进人民福祉作为信息化发展的出发点和落脚点,让人民群众在信息化发展中有更多获得感、幸福感、安全感。”⑨
研究发现,目前隐私数据泄露有四种类型:黑客作为数据泄露的主因之一,通过攻击企业技术漏洞带来严重后果;网络企业观念上的诸多问题和管理上的漏洞,造成攻击者可乘之机;利益驱使第三方企业非法获取、利用个人隐私数据获利;数据管理松弛,企业内部人员作案,外泄数据非法获益。
第一,黑客攻击是数据泄露的首要原因。黑客入侵企业的技术漏洞是导致个人隐私与企业机密暴露的首要原因。一批或以营利等为目的的职业黑客,专门在未经许可的情况下,载入对方系统。
案例2016年9月22日,雅虎证实至少5亿用户的信息在2014年遭人窃取,内容涉及用户姓名、电子邮箱、电话号码、出生日期和部分登录密码。3个月后,雅虎再次发布声明,2013年8月,未经授权的第三方盗取了超过10亿用户的账户信息。2017年10月3日,雅虎公司证实,其所有30亿个用户账号应该都受到了黑客攻击的影响,公司已经向更多用户发送提示,请其更改登录密码以及相关登录信息。
案例2018年9月6日,英国航空公司发布,因遭黑客攻击从而导致其乘客数据被盗,约有38万名乘客在此数据泄露事件中受到影响,这些被盗数据信息包括个人基本信息和付款记录,但不包括个人护照信息。英航董事长称,黑客作案手法“极其复杂”,为英航在线运营20多年来所未见。黑客没有破坏英航加密系统,而是用“另一种非常复杂”的方式侵入英航系统并获取用户信息。他没有说明黑客到底采用哪一种方式窃取信息。根据网络安全专家的调查,此事件很可能与黑客组织Magecart有关。此次网络攻击是为英航定制的。目前的技术无法确定攻击者在英航服务器上的覆盖范围,但可以确认黑客的访问权限极大,黑客可以修改站点资源。
根据本次调研结果来看,黑客攻击是当代互联网条件下数据泄露事件中最典型、最常见的原因。在课题组采集到的相关案例中,国泰航空、优步(Uber)、雅虎、优衣库、多个大型酒店集团等知名企业都是黑客入侵的受害者。黑客入侵具有巨大的破坏性。
黑客“黑客”一词,最初曾指热心于计算机技术、水平高超的电脑专家,尤其是程序设计人员。在互联网时代,这些具有互联网专业技能的“技术控”,由早先对互联网技术的迷恋和探索,分裂演变为“白帽”“灰帽”“黑帽”等,其中“黑帽”即黑客(cracker)。在媒体报道中,“黑客”一词常指软件黑客(software cracker),而与黑客(“黑帽子”)相对的则是“白帽”(维护计算机和互联网安全),“灰帽”则居于其间。黑客们精通各种编程语言和各类操作系统,伴随着计算机和网络的发展而成长。的兴起具有其发生、发展的历史。黑客一般具有较高的技术能力,是“一种热衷于研究系统和计算机(特别是网络)内部运作的人”。但他们无视当代社会的道德和伦理规范,破坏信息安全。为某种經济利益不惜以身犯险,甚至践踏法律,走上犯罪的境地。
雅虎信息泄露事件是有史以来规模最大的单一网站数据泄露事件,当前,重要商业网站的海量用户数据是企业的核心资产,也是民间黑客甚至国家级攻击的重要对象,重点企业的数据安全管理面临更高的要求,企业必须建立严格的安全能力体系,不仅需要确保对用户数据进行加密处理,对数据的访问权限进行精准控制,还要为网络破坏事件、应急响应建立弹性设计方案,与监管部门建立应急沟通机制。
雅虎数据泄露事件的性质非常严重,海量用户账号失窃,令网民对账户安全产生强烈的不信任感,今后更多互联网用户会设法避免在互联网的系统上存储敏感信息。
口令简单或疏于管理是数据泄露的重要原因。口令是网络系统保密的第一道防线。当前的网络系统都是通过口令来验证用户身份、实施访问控制的。口令攻击是指黑客以口令为攻击目标,破解合法用户的口令,或避开口令验证过程,然后冒充合法用户嵌入目标网络系统,夺取目标系统控制权的过程。然而在现实生活中,人们常会不经意间使用了弱口令(即简单、易破解口令)去防护自己或企业的资产。全球最大的漏洞响应平台“补天平台”的数据显示,52.2%的数据泄露事件是由于使用弱口令导致其所在机构被攻击的。虽然人们或企业已经在隐私数据保护方面有所改进,但弱口令问题依然是黑客能够攻击成功的关键因素。黑客破解或绕过网站设置的口令,进入目标网络系统后,即可随心所欲地窃取、破坏和篡改被侵入方的信息,直至完全控制被侵入方。
更令人惊诧的是,黑客通过更新解码技术侵入网络软件公司思杰(Citrix Systems)多个员工账号获得内网权限,窃取了6TB—10TB的敏感数据,包括电子邮件、网络共享文件,以及项目管理和采购相关文档等。美国联邦调查局(FBI)表示黑客可能使用了一种名为“密码喷雾”(Password Spraying)的密码破解技术。黑客侵入英航的作案手法“极其复杂”,为英航在线运营20多年来所未见。黑客没有破坏英航加密系统,而是用“另一种非常复杂”的方式侵入英航系统并获取用户信息。这些案件也告诉我们,大企业的网络安全技术其实是一场与黑客组织的军备竞赛,尤其是那些配备了支付形式的网站,其敏感的财务数据和信用卡信息必须受到最高级别的网络安全防护。
第二,隐私数据泄露与企业技术操作的失误有密切关系,网络系统亟待技术升级。隐私数据泄露的一个重要原因是一些企业部门出现了特别重大的失误,他们直接将数据包误传到公共网络,甚至让那些没掌握黑客技术的普通网民亦可顺利获取;或者发生误发送邮件、权限设置错误和服务器配置不当等失误操作,导致数据泄露事件正在显著上升,这也从中反映了内部人员缺乏基本的安全意识或风险评估能力。2018年全球重大数据泄露事件统计分析显示,11.1%的事件是由于配置错误或操作不当导致的政企机构数据泄露。
案例2018年8月,华住酒店集团旗下酒店用户信息在“暗网”售卖,售卖者称数据已在8月14日脱库。售卖的公民信息包括身份证号、手机号等,共涉及5亿条。涉及酒店范围包括:汉庭、美爵、禧玥、诺富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡莱、海友。全部信息的打包价为8比特币,或者520门罗币(约合人民币38万元)。卖家还称,以上数据信息的截止时间为2018年8月14日。华住集团酒店官方微博回应此事称,“已经报警了。真实性目前无法查证,我们信息安全部门在紧急处理中”。同时官方微博也呼吁,请相关网络用户、网络平台立即删除并停止传播上述信息,保留追究相关侵权人法律责任的权利。
从本研究采集到的多起酒店系统数据泄露事件来看,起因虽为黑客入侵,但大量公开媒体披露及案情分析报告均显示,酒店系统本身的安全漏洞其实由来已久,泄露事件的发生,并非偶然,实属必然。华住公司程序员将数据库连接方式大规模地上传至代码托管服务平台(Github),而且系统本身没有报警设施。在这樣几乎不设防的网络安全措施之下,黑客无须有太过高明的技术手段,只要对数据库知识简单了解,就可以轻松截获大量客户隐私数据。
根据保密原则,企业(含政府)数据库为了安全起见应该只限内部IP访问,但华住的数据库IP是允许外网访问的;最夸张的是,数据库的用户名是“root”,密码是“123456”。黑客进入企业内网毫无阻隔,如入无人之境。如果IT部门的网络安全工作到位,注意保密技术的升级,堵塞漏洞,黑客的得手概率会大大降低。所以除了道德伦理和精神价值的引导、教育之外,从建设的角度看,政府、企业的互联网防护技术需要不断升级。
第三,企业在信息安全的投入与需要被保护目标的商业价值、社会价值不匹配,不能满足安全运维的需要,也是政企数据泄露的重要因素。安全投入不足与保护目标价值不匹配,一方面反映出企业在技术和管理层面目前仍未达到国家安全标准;另一方面也反映出网络安全保障的意识、认知和能力均落后于信息网络技术及其应用的爆发式增长。
案例2018年4月,脸书(Facebook)在官网发布声明,共有8700万Facebook用户的个人资料被泄露给了剑桥分析公司(Cambridge Analytica),这些用户主要集中在美国。事件起源于Facebook与剑桥分析公司的合作。剑桥分析公司为了学术研究,在Facebook上创建了预测用户性格喜好的App,但它不仅收集了用户的测试结果,还在未经允许的情况下收集了5000万用户在Facebook上的个人信息。剑桥分析公司在获得了5000万活跃用户数据后,建立起用户画像,通过计算机对每个用户的兴趣爱好、性格和行为特点进行精确分析,预测他们的政治倾向,然后定向向用户推送新闻,借助Facebook的广告投放系统,影响用户的投票行为。于是,Facebook对美国大选产生了难以推脱的影响。第三方Facebook应用程序数据泄露了5.4亿条记录。2019年4月,安全研究人员透露,有两个第三方开发的Facebook应用程序数据集已暴露于公共互联网中。一个数据库来自墨西哥的媒体公司Cultura Colectiva,数据高达146GB,其中有5.4亿条记录详细记录了评论、喜好、反应、账户名、Facebook ID等。研究人员说,另一个第三方应用“At the Pool”通过Amazon S3存储桶公开访问了公共互联网。该数据库备份包含例如用户名ID、朋友、喜好、音乐、电影、书籍、照片、事件、组、签到、兴趣、密码等诸多隐私信息。这是一起典型的社交网络平台以牺牲用户隐私数据为商业模式背书的案例。
事件发生之后,Facebook在网络平台上发布暂时关闭剑桥分析公司、战略交流实验室公司等Facebook账号,同时宣布,此后6个月终止与多家大数据企业合作,以更好地保护用户隐私。在“终止合作”清单上,Facebook列出九家知名大数据企业,包括安客诚、益百利、甲骨文云数据和WPP集团。媒体推断,Facebook迫于政府和民众的压力终止与大数据企业合作,希望扭转外界“保护用户隐私不力”的印象。
2009年,《华尔街日报》曾有一篇名为“Putting Your Best Faces Forward”(《展示你最好的一面》)的文章。该文分析了Facebook何以能够在当时激烈的社交媒体大战中脱颖而出,其原因就是用户基于信任而“愿意用自己的隐私换取一个基于信任的沟通平台”。与诸多的匿名平台相比,Facebook要求用真实身份信息注册获得了用户的信任。
但是,“真实身份信息注册”是不是意味着无底线地“透支隐私”?对此,需要界定何为隐私,何为个人信息。尽管我们经常在媒体上看到隐私和个人信息的讨论,但是这两者的内涵和外延并不尽一致,甚至存在巨大差别。
虽然本案的主要责任不在Facebook,但社交网络平台是剑桥分析公司在监测数据时最重要的依仗,Facebook负有不可推卸的责任。此外,通过本案可以看出,Facebook的技术和管理有着巨大的漏洞,即与用户有关的信息,未经用户的同意,在用户完全不知情的状况下,同样可能被第三方获取,只要这个第三方经过我好友的同意即可。也就是说,社交网络上的个人信息,能否被搜索到,决定权不在用户,而在搜索用户的其他人。
在当下这样一个人人都在社交网络上的信息时代,Facebook一案的警示意义重大。在中国,所有社交网络平台的隐私保护方案可能都存在漏洞,而这些漏洞到底是客观存在的,还是平台运营方借由商业模式考量而放任其存在的?这关乎所有网民的隐私安全。
案例2019年3月,中国跨境大卖旗下自营网站Gearbest泄露了数百万用户的档案和购物订单。名为Elasticsearch的服务器每周泄露了数百万条记录,包括客户数据、订单和付款记录。该服务器未受密码保护,允许任何人搜索数据。总部位于深圳的Gearbest在欧洲拥有大量业务,在西班牙、波兰、捷克和英国设有仓库,这些国家都适用欧盟数据保护和隐私法。任何违反通用数据保护法规(GDPR)的公司都可能要求缴纳高达其全球收入4%的罚款。Gearbest称自己的服务器是安全的,但是用来临时存储数据的外部工具可能已被其他人访问,导致安全性受到损害。该公司解释,使用外部工具的本意是提高效率和防止数据超载,只有在自动销毁前的三日内的数据才会存储在此类工具中。考虑到可能的数据安全漏洞,他们使用了功能强大的防火墙保护这些工具,以避免任何数据被其他人恶意破坏。
之后的调查证明,这并不是一起单纯的黑客攻击事件,更重要的原因来自技术人员的误操作。2019年3月1日,安保团队成员错误地将这些防火墙拆除(具体原因还在调查当中)。这种不受保护的状态直接暴露了这些工具无须进一步验证即可进行扫描和访问的问题。
这是Gearbest多年来发生的第二起安全问题。2017年12月,该公司在所谓的“凭证填充物攻击”之后,账户被攻破。
案例当前,人脸识别成为应用最为广泛的AI技术之一,尤其是在智慧安防中,国内大多数城市都会借助人脸识别、视频监控去打击罪犯、寻找失踪人员等等。但智能化的监控也不得不面临着数据泄露的问题。荷兰安全研究人员Victor Gevers在推特上曝光,中国一家面部识别公司深网视界(SenseNet)存在数据泄露问题,任何人都可以访问其人脸跟踪数据的记录。深网视界是一家专注于计算机视觉和深度学习,主要为视频监控提供智能分析产品服务。而此次数据泄露事件涉及256万人的数据,共计680万条记录。由于开放了数据库,任何人都可以根据SenseNet的实时面部识别来查看个人的身份证信息,可以获取这些记录并跟踪个人,捕捉其行动轨迹。这非常容易引发各种犯罪行为。
在本研究采集的案例中,有大量因操作失误或管理漏洞导致的数据泄露事件,如上述人脸识别案例,深网视界的数据库保持公开状态长达半年之久。企业的这种疏忽可能带来巨大的危险。另如数据营销公司Exactis服务器未设置加密防火墙导致数亿条记录暴露在公众面前,招聘网站Ladders也沒有为数据库设置访问的权限。
在黑客技术愈加强大的当下,攻破企业网站已非难事,没有安全防护的网络服务期,就像没有上锁的大门一样,而数据对于现代企业而言,可视为最核心的商业资产,未加任何保护措施,或安保纪律松散,无异于玩火自焚。
第四,企业内部人员作案,外泄数据非法获益。内部人员在高额利益的驱使下铤而走险,利用职务之便非法获取大量公民个人信息,这已经成为数据泄露的重要源头。2018年全球重大数据泄露事件统计分析显示,16%的政企机构数据泄露事件是由于内部威胁导致的,内部威胁已经成为数据泄露的第二大源头。内部人员违规操作、出卖公司利益已经成为公司数据安全的重要威胁。
案例2017年11月20日,趣店超过百万条学生信息数据疑似外泄,数据维度极为细致,除学生借款金额、滞纳金等金融数据外,甚至还包括学生父母电话、男女朋友电话、学信网账号密码等隐私信息。这家企业的内部员工称此事与企业在此前的大规模裁员后赔偿金是否到位有关,可能系内部员工所为。有离职员工称,早期趣店数据管理就存在巨大安全隐患。
趣店方面后续回应称,趣店一直高度重视用户个人信息安全,不断提高数据安全能力与信息加密强度。同时,在内部建立了严格的用户信息保护制度,针对可能存在信息安全风险的用户进行安全升级提示。趣店还回应称,地下黑色产业是行业毒瘤,此前多家知名互联网企业都曾深受其害。针对地下黑色产业链中盗取用户账号资产和贩卖用户信息等不法行为,趣店将与警方密切合作,建立长效合作机制,对不法行为进行坚决打击,切实保护用户信息安全。
作为一家互联网金融企业,用户隐私安全是所有商业模式的核心部分,但趣店因企业信息保密制度不健全、用户数据管理模式疏漏松散、数据管理权限门槛过低等问题,给内部人员窃取数据外泄以可乘之机。很多内部员工都可导出用户数据表格,重要数据一览无余,没有任何脱敏,员工级别越高,可导出的数据就越多。趣店上市前就已经有多个高管离职,而一份多达百万用户的数据,则很有可能是其离职高管泄露的。
案例2018年9月,杭州警方破获菜鸟驿站信息泄露案。本案中,1000余万条快递信息被非法获取。作案人身份为菜鸟服务商,其在推广本公司的闸机、微信公众号的同时,将控件程序安装到各个驿站的“巴枪”,获取包裹入库数据,私自打通“菜鸟驿站”同微信公众号之间的数据壁垒,为以后利用微信公众号进行商业推广做准备。至2018年6月份,该程序已非法获取“菜鸟驿站”的快递数据达1000余万条。作为菜鸟驿站的运营方,菜鸟网络在本案中有不可推卸的责任。
案例自2014年起,新三板上市公司瑞智华胜及合作伙伴以竞标的方式,先后与覆盖全国十余省市的电信、移动、联通、广电等多家运营商签订营销广告系统服务合同,为其提供精准广告投放系统的开发、维护等服务,进而拿到了运营商服务器的远程登录权限。软件开发业务的收入不高,但却能接触到运营商流量,该企业开始清洗账号的登录凭证,操纵用户账户。第三方公司通过cookie不需要输入账号和密码,就可以进入账号,从中获取注册信息、搜索记录、开房记录等数据,也可以用用户的账户执行加关注、刷量等操作。该企业利用用户数据通过加粉等所谓的“互联网营销和推广”手段盈利。
案例从2019年1月20日凌晨开始,拼多多网站出现巨大漏洞,用户可以领取100元无门槛券。有大批用户开启“薅羊毛”的节奏,利用无门槛券来充值话费、Q币。4毛就可以充100元话费,疯狂者“一夜未眠”,利用这一漏洞给自己储备好了够用十几年的话费,有网友甚至晒出截图,表示自己账户内有超过50万Q币余额。拼多多在20日中午发表《关于“黑灰产通过平台优惠券漏洞不正当牟利”的声明》,表示被盗取了数千万元平台优惠券。
电子商务和快递企业掌握着海量公民个人信息,这些信息一旦泄露将造成恶劣社会影响和严重危害后果。网购在在线下单、仓库发货、快递物流运输、末端配送等多个环节都存在信息泄露的可能性。过去曾出现多起快递员出售信息的案件,导致大量个人、家庭信息被犯罪团伙掌握,引发巨量诈骗案件发生。我国手机用户的电话受扰率逐年走高,就与此有密切联系。
在新形势下,在巨大利益驱使下,黑灰产团伙通过平台漏洞不正当牟利。一些第三方企业不惜铤而走险,或直接盗取算法,或借由委托项目等渠道非法获取个人隐私数据,利用隐私获取巨额利益。此类侵害的组织性更强,泄露一旦发生,对企业的商业损害更大,速度也更快。瑞智华胜的财报数据显示:2015年,其软件开发服务的营收仅187万元,净利润2万元;转型为互联网营销后的2016年,公司营收3028万元,净利润达1053万元,比上年增长500倍。截至该案告破,该企业共窃取30亿条用户数据,对社会造成了巨大损害。值得注意的是,该企业的数据来源于合作的多家通信运营商,通过本案可以看出,这些运营商对于用户数据的权限管理相当松弛,一家营收不到200万的小公司就可以轻松获取所有运营商用户隐私数据。因此,各级各类企业及其相关人员,一定要树立明确的法律意识,不能见利忘义。企业也要严格建立网购信息的相关保密机制,堵塞漏洞,严防犯罪。
案例数据堂公司在8个月时间内,日均传输公民个人信息1亿3000万余条,累计传输数据压缩后约为4000GB。此次查获的数据隐私性高,案件涉及的数据包含了手机号码、上网基站代码等40余项信息要素,还可记录手机用户具体的上网行为,甚至通过部分数据能够直接进入公民个人账号主页,危害巨大。2016年下半年,“交易”二字逐渐淡出数据堂的官方宣传和对公司的定位描述。数据堂的交易平台属性已经渐渐隐藏,但其标榜的数据服务业务依然继续。
数据堂是一家上市公司,已采取停牌措施,各项业务受到很大影响。事件发生后,数据堂重新审视了自己的风控体系,为所有业务设定了更高标准的红线。2017年,数据堂的产品营销线和金融征信线已被关停,目前仅剩余人工智能业务维持公司运行。
其实,數据堂并非没有意识到数据交易可能涉及隐私而触雷的风险。其在2017年报中称,“公司作为一家数据收集和交易公司,必然会和形形色色的数据打交道,国家在不断出台各种法律法规来确保数据来源及交易的合法性,因此如何合法合规地获取交易数据成为大数据企业,特别是数据收集和交易公司重点关注的问题”。但不管宣言有多么响亮,内部管理则必须建立严格的制度,老老实实遵守法律法规,不踩红线,不存侥幸。数据与商业价值之间的关系必须得到有效监管,才能预防此类事件的再次发生。
四、 全面推动我国数据管理升级换代,实施数据保护的全民教育
数据管理是信息时代的基础商业素养。从以上案例的调研和分析中,我们看到,隐私数据泄露关涉一个国家的经济运行、商业伦理、文化安全、社会安定,乃至政治治理的众多领域。
从政治治理来看,隐私数据泄露的治理是一个全局性的国家系统工程,需要各级政府及企业首先在理念上给予充分关注,认识到这个问题的严重性。目前从政府各级官员到企业都对这个问题认识不足,将其看成小事,这是很危险的。同时,隐私数据泄露的治理也是维护人民群众根本利益的重要工作。从本文列举的案件来看,隐私数据一旦泄露,受害面往往十分广泛,社会影响恶劣,给社会舆论带来极大的负面效应。对此我们必须有充分的认识和警觉。
从经济运行来看,隐私信息泄露事件造成了大型企业出现严重危机,带来了经济运行的不同程度的混乱和损失。如黑客攻破雅虎用户账户保密算法,窃得用户密码,造成30亿账户信息泄露。这一事件是至今全球规模最大的单一网站数据泄露事件,最终导致雅虎关张。实际上,不仅仅是雅虎、数据堂等企业,许多互联网金融企业、跨境电商都是大数据时代的商业新形态,用户隐私安全是新型数字商业模式的核心部分。它们的成功和兴盛,关乎国家整体经济的升级换代与高质量创新发展,绝不可等闲视之。
从商业伦理来看,产业运行中商业道德的缺失、企业信息保密制度的漏洞,都会带来严重问题。特别是第三方公司在巨大利益驱使下,公然盗窃运营商用户账号,严重违背商业伦理,并涉嫌违法。如新三板上市公司瑞智华胜及合作伙伴曾以竞标的方式获得多家运营商营销广告系统服务合同,为其提供精准广告投放系统的开发、维护等服务,因而拿到了运营商服务器的远程登录权限。如果到此为止,瑞智华胜并未违反商业伦理和市场规则。然而,在巨额利润的驱使下,企业主或完全丧失商业道德,或根本认识不到这种做法是错误或违法的,因为很多企业主在崭新的数字环境下尚未普遍具备新数字伦理的教育准备。
从道德价值与文化伦理来看,前述案例表明,近年来我国隐私数据泄露的事件发生频繁,数量惊人。过度收集、违规甚至违法滥用用户个人隐私信息的事件大量存在,非法数据共享与交易带来的安全挑战愈加严峻。李彦宏在谈到数据保护和用户隐私保护的重要性时说,“在过去的几年当中,中国越来越认识到这个问题,而且也一直在加强相关的法律法规的建设”。②《李彦宏谈大数据:中国人不敏感愿意用隐私换便利》,新浪网财经频道,http://finance.sina.com.cn/meeting/20180326/docifysqfnf8646820.shtml?from=finance_zaker,2018年3月26日。但李彦宏也表示,中国人相对开放,对隐私问题没有外国人那么敏感。“如果用隐私来交换便捷性或者是效率的话,很多情况下,他们是愿意这么做的。”②美国联邦贸易委员会(FTC)通过投票批准了与Facebook达成的和解协议,对后者开出50亿美元的罚单以结束有关针对其隐私问题的调查。FTC的这项50亿美元罚款创下了一项新的纪录,成为有史以来该机构对违反隐私承诺的科技公司开出的最大罚单。此后,巴西司法部以同一原因对Facebook处以660万雷亚尔(约合164万美元)的罚款;欧洲隐私管制機构爱尔兰数据保护委员会也着手调查,Facebook又被罚款超过16亿美元。受一系列事件的影响,Facebook股价已受到影响。这也从一方面震慑了涉嫌违规的企业,同时也维护、教育和鼓励了消费者。比起欧美国家,我国大众普遍缺乏明确的个体隐私保护意识,对于大量违背现代道德伦理和文化伦理的错误观念不敏感、不警觉;对于个人隐私权益受到侵害往往采取息事宁人的态度,维权不坚决、不在行,对于互联网信息世界的复杂的运作方式往往会采取简单接受的态度。如前述Facebook用户信息泄露的事件就在欧美引起轩然大波。创始人扎克伯格,在6份英国报纸和3份美国报纸上,采用道歉信形式为5000万Facebook用户信息被剑桥分析公司泄露和利用一事道歉。信中,扎克伯格直接对用户表示了歉意,称:“这是对信任的违背,我很抱歉我们没有在当时做得更多。”④承天蒙:《扎克伯格在英美9家报纸登报道歉,正式为泄密说了Sorry》,澎湃新闻,https://www.thepaper.cn/newsDetail_forward_2042694,2018年3月26日。报纸页面用较大字体写着:“我们有责任保护你们的信息。如果做不到,我们就不配提供服务。”④但在中国,尽管互联网数据泄露案件频发,但所引发的关注度却令人叹息。李彦宏所谓中国用户往往愿意以隐私来换方便和效率的论调引发了广泛争议,也带来了业界的深入思考。中国用户隐私泄露严重,就能够倒推得到中国用户愿意用隐私换便利的结论吗?其实,中国用户并不是“愿意用隐私交换便利”,当骚扰电话、骚扰邮件和骚扰微信铺天盖地时,数据泄露已经成为常态,而我们又不得不被迫接受,不得不出卖隐私交换便利,甚至于出了问题往往无可奈何,难以维权,这才是当前的现实。毫无疑问,这种不合理、不道德的状况恰恰需要我们进行一场全民的学习和维权教育。
从文化安全角度来看,像密码/口令这种网民/企业保护自身网络安全的第一道防护门,却由于多数网民设置的密码/口令十分随意,简单重复,使其极易被破解。这种弱口令给大多数网民/企业带了巨大损失,成为黑客攻击成功的关键因素。案例证明,52.2%的泄露事件是由于使用弱口令导致的。一系列的案例告诉我们,必须认真严谨地把好口令第一关。随后发生数据泄露的口令也要迅速采取措施,如封锁IP地址、关闭一些服务器及在整个网络环境内设立进阶威胁侦测系统等。一些企业管理者不是不能防止这种现象发生,而是因为种种原因忽视甚至不愿意预先设置有效的安全措施予以防范。这里,黑客问题固然是个全球头疼的严峻问题,而普遍的公民网络安全教育则是刻不容缓的。
从全球发展看,互联网领域发展不平衡、规则不健全、秩序不合理等问题日益凸显。不同国家和地区信息鸿沟不断拉大,现有网络空间治理规则难以反映大多数国家意愿和利益;世界范围内侵害个人隐私、侵犯知识产权、网络犯罪等现象时有发生,网络监听、网络攻击、网络恐怖主义活动等成为全球公害。在防止隐私数据泄露上,全球各国是一个“人类命运共同体”。2014年7月16日习近平总书记出访巴西时,就在巴西国会的演讲中指出,“虽然互联网具有高度全球化的特征,但每一个国家在信息领域的主权权益都不应受到侵犯,互联网技术再发展也不能侵犯他国的信息主权。在信息领域没有双重标准,各国都有权维护自己的信息安全,不能一个国家安全而其他国家不安全,一部分国家安全而另一部分国家不安全,更不能牺牲别国安全谋求自身所谓绝对安全”《“平语”近人——习近平的“互联网思维”》,新华网,http://www.xinhuanet.com/politics/201512/17/C_1120861474.htm, 2015年12月17日。。
如何落实习近平总书记的顶层规划,防范隐私数据泄露,如何全面规划网络数据安全的标准体系,从制度层面建设长效防火墙,减少和杜绝大规模的严重隐私数据泄露事件,是我们必须抓紧攻克的难关。
目前我国网络数据安全标准化工作仍存在三方面问题:一是标准体系性不强,标准制定工作缺乏统筹协调,术语定义、分类分级等基础性标准尚不完善;二是部分关键标准亟须制定,数据安全评估、重要数据保护等重点标准的制定工作进展缓慢;三是部分重点领域相关标准仍存在空白,网络数据安全标准对5G、移动互联网、车联网、物联网、工业互联网、云计算、大数据、人工智能、区块链等重点领域高质量发展的支撑作用有待加强。
2020年,工业和信息化部等单位编制完成《网络数据安全标准体系建设指南》(征求意见稿)及编制说明,通过顶层设计,制定政府引导和市场驱动相结合的网络数据安全标准体系建设方案,为行业网络数据安全管理提供有力支撑。虽然目前还只是一个征求意见稿,但其从标准体系入手,既可以解决当前的现实问题,又具有长远的历史意义。
工信部表示,网络数据资源与传统资源不同,其具有流动特性,需要切实加强网络数据全生命周期各个环节的安全保护,针对各应用领域和业务场景下的不同特点,形成闭环安全管理模式,有效保护用户合法权益,切实维护国家重要数据安全。《〈网络数据安全标准体系建设指南〉编制说明》,中华人民共和国工业和信息化部网站,http://miit.gov.cn,2020年6月8日。
《网络数据安全标准体系建设指南》(征求意见稿)指出,到2021年,初步建立网络数据安全标准体系,有效落实网络数据安全管理要求,基本满足行业网络数据安全保护需要,推进标准在重点企业、重点领域中的应用,研制网络数据安全行业标准20项以上。到2023年,健全完善网络数据安全标准体系,使标准技术水平、应用水平和国际化水平显著提高,有力促进行业网络数据安全保护能力提升,研制网络数据安全行业标准50项以上。
有了标准体系,就需要我们遵照体系要求,全面培育我国全体国民的網络安全与隐私保护意识。目前我国社会对此危机的认识还存在许多观念和认识上的问题。隐私数据泄露者与被泄露者均十分缺乏法律意识、维权意识。很多人对个人或企业信息被盗的危害性认识不足,或信息被盗取但无法维权,对此持无奈、消极态度。国家对防止隐私数据泄露的整体监管也还存在着诸多需要解决的问题。因此,推动一个网络安全与隐私保护的全民宣传教育活动十分必要。
在2015年12月16日召开的第二届世界互联网大会上,习近平总书记指出,互联网虽然是无形的,但运用互联网的人们都是有形的,互联网是人类的共同家园。让这个家园更美丽、更干净、更安全,是国际社会的共同责任。国际社会应该在相互尊重、相互信任的基础上,加强对话合作,推动互联网全球治理体系变革,共同构建和平、安全、开放、合作的网络空间,建立多边、民主、透明的全球互联网治理体系。《习近平在第二届世界互联网大会开幕式上的讲话》,新华网,http://www.xinhuanet.com/politics/201512/16/C_1117481089.htm, 2015年12月16日。
这就是本研究力图实现的最高目标。
On the Personal Privacy Data Leakage and Protection
in the Era of Big Data
JIN Yuanpu
School of Liberal Arts, Renmin University of China, Beijing 100872, China
Data management in the era of big data is an important subject of national governance in the information age. A large number of personal privacy data leaks in recent years, which has become a major social issue of global concern. It involves many areas of economic operation, business ethics, cultural security, social stability, and even political clarity. This article selects important cases from China and abroad in the last three years to analyze the causes of privacy data leakage. It can be found that there are currently four types of privacy data leakage. It is an urgent task to reduce or completely eradicate largescale privacy data leakage from the top level and to build a new pattern of information protection and data management in China.
privacy;data leakage;hacking;technical vulnerabilities;data management;data protection
作者:金元浦
第二篇:拿什么堵上劳动者个人信息泄露的缺口
【摘要】用人单位对劳动者的个人信息享有知情权,但在一定程度上也侵犯劳动者个人信息安全。综观国外对个人信息的立法,借鉴欧盟模式及美国安全港模式的先进经验,我国的劳动立法应从明确用人单位知情权的权利界限、规定用人单位保护劳动者个人信息的规章制度以及设定特定的劳动法责任三个方面,有效保护劳动者的个人信息。
【关键词】知情权 个人信息 劳动法保护
用人单位享有知情权背景下劳动者个人信息安全问题凸显
根据《劳动合同法》第八条规定,用人单位与劳动者订立劳动合同之时以及劳动合同存续期间,都有权获悉劳动者的相关个人信息。大数据时代,由于信息能够创造商业价值的诱惑,公民的个人信息日益陷入被非法买卖、泄露的困境。①
用人单位对劳动者行使知情权,收集和利用劳动者的个人信息是用人单位经营管理的常态,甚至整个单位内部秩序的正常运转、企业谋取利润都依赖于此。在这种形势下,用人单位对劳动者行使知情权欲尽可能“知”。基于“劳弱资强”的现实,劳动者个人信息安全面临着被侵犯的现实困境。
首先是用人单位招聘劳动者阶段。在与劳动者建立劳动关系之前,用人单位往往要求求职者投放简历或者填写内容详尽的表格,以此来选拔最适合招聘岗位的人才。求职者投放的纸质或电子文档形式的简历中包含了大量的个人信息,包括姓名、性别、移动电话、电子邮箱、家庭住址、学历等情况。用人单位收集了大量的应聘简历,如果筛选后将不被看中的简历随意丢弃,简历中求职者的个人信息将可能被他人非法收集使用,从而损害求职者个人信息隐私权的正当权益。用人单位即使未披露或公开任何信息,不当收集个人信息本身就足以侵害个人的信息隐私,进而侵犯劳动者的隐私权。
其次是用人单位与劳动者劳动关系存续阶段。在这一阶段,用人单位收集的诸如身体健康情况、疾病历史、医疗记录等劳动者个人信息,属于劳动者的个人隐私信息,用人单位知悉后未经劳动者同意,不能向第三人公布。现实中,有的用人单位将劳动者的个人隐私信息转移给保险公司或金融机构,致使劳动者成为保险公司或金融机构销售人员产品销售的对象,可能导致劳动者做出不自愿的购买行为。用人单位对劳动者个人信息的这种处理方式,背离了劳动法律赋予其享有知情权的目的,在结果上极有可能侵害劳动者的个人信息隐私权。②另外,用人单位对劳动者的个人信息进行正常管理,也应做好适当的安全保护措施。否则,缺乏严谨系统化的信息管理制度,或者内部信息管理人员的不当操作,都可能会导致劳动者个人信息的遗失、被窃取、不当披露等,从而侵害劳动者的个人信息隐私权。
最后是用人单位与劳动者劳动关系结束之后。劳动者离职后,其个人信息转化为个人档案,为用人单位保管。根据《劳动合同法》相关法条规定,用人单位应在十五日内为离职劳动者办理档案转移手续。随着互联网的普及,整个社会档案的管理模式正在从以保管档案实体为重点,转向以数字化档案的形式向社会提供服务为重点。③数字化档案的普及,给用人单位留存劳动者的个人信息提供了无限可能。《劳动合同法》规定,用人单位对已经解除劳动关系的劳动合同文本至少应该保存两年。实践中,当劳动者离开所在用人单位后,有些用人单位主客观上并不采取措施销毁劳动者的人事档案,更有甚者,为了谋取经济利益,将其所掌握的在职和离岗劳动者的个人信息打包销售给猎头公司、非法调查公司以及保险公司等,肆无忌惮地出售、泄露劳动者的个人信息。
我国现行立法缺乏对劳动者个人信息的有效保护
第一,我国现行个人信息保护相关立法层级较低,且缺乏针对性。在较高层级的法律立法方面,首次涉及到公民个人信息保护的法律是2000年12月28日全国人大常委会发布的《关于维护互联网安全的决定》,该法将“侵犯公民通信自由和通信秘密”的行为入罪。后又于2012年12月通过了《关于加强网络信息保护的决定》,该决定直接指出企事业单位在收集、使用公民的个人电子信息时,应遵循合法、正当等原则,向个人信息提供者明示其收集处理信息的目的、方式和范围。民事立法方面,2014年3月15日实施的经过修订的《消费者权益保护法》第十四条提出,消费者在购买、使用商品和接受服务时,其个人信息依法应得到保护。刑事立法方面,2005年通过的《刑法修正案(五)》增加了“窃取、收买、非法提供信用卡信息罪”。《刑法修正案(七)》更是将非法获取公民个人信息的行为首次入罪。2015年8月《刑法修正案(九)》将“出售、非法提供公民个人信息罪”的犯罪主体扩大到所有单位以及个人,这其中自然包括用人单位及其内部人力资源管理人员。
其次,在较低层级的行政法规和部门规章方面,仅2013年,国务院及相关部门就相继修订了《征信管理条例》,发布了《电信和互联网用户个人信息保护规定》《信息安全技术-公用及商用服务信息系统个人信息保护指南》。其中,《信息安全技术-公用及商用服务信息系统个人信息保护指南》首次规定了我国个人信息保护国家标准。
综合以上关于个人信息保护的法律、行政法规及部门规章来看,对个人信息保护的规定在数量上并不缺乏,但总体上这些规范还较零碎、法条规定偏原则化、立法层级较低,能够适用于劳动者个人信息保护的法规较少,尚无对劳动者个人信息保护的针对性的适用条款。
第二,劳动法缺乏对劳动者个人信息保护的规定。《劳动合同法》总则中的第一条开宗明义,提出保护劳动者的合法权益,从而构建和谐的劳动关系,明确了倾斜保护劳动者权益的立法目的。其中第八条赋予了用人单位和劳动者对各自信息的知情权以及相互应尽的如实告知义务。该条规定对用人单位和劳动者而言,权利和义务是对等的。鉴于用人单位一些具有商业价值的信息的重要性,《劳动合同法》第二十三条规定,用人单位“可以”在劳动合同中与劳动者约定关于用人单位的相关信息的保密事项。为了保障第二十三条的法律效果,第九十条规定,劳动者如果违反了第二十三条中的保密义务,应当承担给用人单位造成损失的责任。反观劳动者方面,却无相关法条规定用人单位“应该”或“可以”采取相关措施保护劳动者的个人信息。显然,在劳动立法上,劳动者的个人信息是没有受到相应法律保护的。劳动者个人信息的保护在劳动法上处于缺失的状态,更无法谈及有效保护。
个人信息保护立法的欧盟模式与美国模式
第一,欧盟模式。早在1980年,当时的欧洲议会就通过了《保护自动化处理个人数据公约》适用于各成员国,至1995年10月24日,欧盟通过了《关于与个人数据处理相关的个人数据保护及此类数据自由流动的指令》即通称的“欧盟指令”。该指令明确规定了两个方面:一是个人数据管理者的责任和义务。具体指个人数据处理应基于特定、合法的目的公正收集,以数据主体能够识别的形态保存等的数据质量原则;处理个人数据应符合法定义务等的数据处理合法化原则;个人数据收集应告知数据主体的告知原则以及特殊类型数据(包括种族、宗教信仰、性生活等)处理原则。④二是个人数据主体的权利。数据主体享有的权利包括访问权(资料主体可以不受时间限制地确认个人资料是否经过处理)、拒绝权(资料主体能够拒绝处理或直营自己的个人资料)、自主决策权(资料主体可以不服从仅仅基于自动化处理的资料的基础之上的决定)以及获得救济的权利(资料主体对侵权行为有权获得赔偿)。
第二,美国模式。美国在1995年公布了《个人隐私和国家信息基础设施:个人信息的使用和提供原则》,提出了对个人信息的相关处理的基本原则。但该文件并不具备法律强制效力,只对个人信息保护起到引导作用。1997年美国政府又发布了《全球电子商务框架》,鼓励支持私营企业制定自律规范,进一步发挥保护网络隐私权的主导作用。相较于欧盟的统一立法,美国采取的正是“政府引导+行业自律”的模式,这就是所谓的“安全港”模式。安全港模式具有以下特点:首先,企业应当遵守自律规范中的实体内容和执行程序,其执行程序甚至可以代替联邦贸易委员会的审查执行程序。其次,全行业而非具体企业入“港”。联邦贸易委员会直接审查整个行业的个人信息保护自律规范,而非行业内具体的信息收集处理主体的自律规范。再次,对于进入安全港模式的信息处理主体而言,其制定的个人信息保护自律规范要接受行业和联邦贸易委员会的双重监督。最后,在安全港模式下,个人信息权利主体在权利受到侵害时,可依据自律规范寻求救济。为了保障救济的效力,实行联邦贸易委员会最终裁决的原则。⑤
保护我国劳动者个人信息的三条建议
综合以上对个人信息保护的欧盟模式和美国模式的分析,结合我国对劳动者个人信息保护的现实,笔者认为有以下两点启示:一是对欧盟指令中对“个人数据管理者的责任和义务”的借鉴。二是对美国安全港模式中的“行业自律”的借鉴。我国劳动者个人信息保护的具体措施包括以下几方面。
首先,明确用人单位知情权的权利界限。根据《劳动合同法》第八条的规定,劳动者对用人单位负有对本人“与劳动合同直接相关的基本情况”如实告知的义务。但“基本情况”到底指什么,在法条中并未划定具体范围。建议根据与劳动合同是否密切相关的不同,将劳动者的个人信息大致分为两类:直接关系到用人单位对劳动者的有效管理的信息和直接与劳动者的工作能力相关,决定着劳动合同是否能够履行的个人信息。对于这两类信息,建议将其确定为劳动者应如实告知的范围。对于那些与劳动者的劳动能力无关、涉及到劳动者的个人隐私的信息,劳动者有权拒绝告知。⑥
其次,规定用人单位保护劳动者个人信息的规章制度。对用人单位而言,作为劳动者个人信息的持有、利用者,其保有的个人信息量是集中的、巨量的,立法必须对此予以重视。建议将劳动者个人信息保护的内容以法定义务的方式列入用人单位的规章制度中,对劳动者个人信息保护的具体内容由用人单位自主决定,通过单位内部的民主程序取得劳动者的同意。根据《劳动保障监察条例》第十一条的规定,将劳动者个人信息保护的事项也纳入劳动监察部门对用人单位规章制度的监察范围,由此实现用人单位自律与劳动行政部门监管的结合。
第三,设定用人单位侵犯劳动者个人信息的劳动法责任。目前,对于侵犯劳动者个人信息所应承担的责任尚适用民事法律和刑事法律来解决。由于个人信息在概念外延上与隐私权呈交叉关系,⑦因此侵犯个人信息的救济途径也部分适用民事法律《侵权责任法》中关于侵犯隐私权的责任体系。具体而言,其救济方式包括:停止侵害,排除妨碍,消除危险,返还财产,恢复原状,赔偿损失,赔礼道歉,消除影响、恢复名誉。就刑事责任方面,用人单位能够成为犯罪主体,承担罚金责任,其主管人员也面临个人刑罚。由于劳动法律关系具有人身依附性的专属特点,适用民事法律和刑事法律进行追责对劳动者而言有局限性,应设定特定的符合劳动关系特点的劳动法责任。建议在责任形式上,由劳动行政管理部门对用人单位实施的侵犯劳动者个人信息的不同情形给予不同程度的行政处罚;另外,劳动立法还应通过一定的措施鼓励劳动者向劳动行政部门举报其所属单位或其他用人单位侵犯劳动者个人信息的行为。劳动行政部门接到举报后,依职权展开调查,核实情况后对用人单位施以相应处罚,最终达到防止用人单位侵害劳动者个人信息的目的。
(作者单位:信阳师范学院政法学院)
【注:本文系河南省政府决策研究招标课题阶段性成果,项目编号:2015B296】
【注释】
①崔聪聪:《个人信息损害赔偿问题研究》,《北京邮电大学学报(社会科学版)》,2014年第6期。
②刘青杨:《社会多元化转型期隐私权与知情权关系研究》,《北方论丛》,2015年第5期。
③冯静:《档案信息化及档案信息化建设》,《兰台世界》,2014年第4期。
④郎庆斌:《国外个人信息保护模式研究》,《信息技术与标准化》,2012年第1期。
⑤齐爱民:《个人信息保护法研究》,《河北法学》,2008年第4期。
⑥廖宇羿:《我国个人信息保护范围界定—兼论个人信息与个人隐私的区分》,《社会科学研究》,2016年第2期。
⑦王利明:《论个人信息权的法律保护—以个人信息权与隐私权的界分为中心》,《现代法学》,2013年第4期 。
责编/潘丽莉 孙娜(见习) 美编/王梦雅(见习)
作者:李伶俐
第三篇:关于校园网站信息泄露、篡改等风险规避的探讨
摘要:“互联网+”时代的来到,信息化的快速发展改变着人们的生活,同时也改变着校园信息化建设中教育教学、教学办公的方式。校园资源里面涉及着师生的综合信息、个人信息以及一些敏感信息。我们的网络行为是否安全?这个重要的问题越来越引起人们的关注。学校的数字信息网络管理部门,更要做好网络安全的把关,尽最大努力排除安全隐患的同时,要带领全体师生建立更安全、稳定和令人满意的网络环境。
关键词:信息安全;信息泄露、篡改;数字化校园;风险规避
Key words: information security; information leakage and tampering; digital campus; risk aversion
1 引言
“互联网+”时代的来到,伴随着人们生活与互联网越来越紧密联系,传统的生活模式中加入了各种购物网站,打车软件,网上订餐,网上填报,支付宝付款……当然与此同时也必须告知个人信息。信息化的发展改变着人们的生活,同时也改变着校园信息化建设中教育教学、教学办公的方式,校园网站是管理校园资源的主要阵地之一。
2 校园网站面临的信息泄露、篡改
校园资源里面涉及着师生的综合信息、个人信息以及一些敏感信息例如身份证号码、薪酬、电话号码等。非法采集、窃取、贩卖、篡改和利用个人信息的黑色产业链不断“做大”。我们的网络行为是否安全?这个重要的问题越来越引起人们的关注。校园中保证网站网络的高效与稳定的同时,也要做好更高效的保障个人信息安全,防止篡改信息,保障信息的可靠性、真实性、完整性这项基础性工作。
日前由朴天漏洞响应平台的调查数据显示,千余高校网站存信息泄漏风险,多所顶级学府“上榜”。《经济参考报》记者日前对补天漏洞响应平台的数据梳理发现,自2014年4月至2015年3月的12个月间,补天平台上显示的有效高校网站漏洞多达3495个,涉及高校网站1088个。其中,高危漏洞2611个,占74.7%;中危漏洞691个,占19.8%;低危漏洞193个,占5.5%。
目前很多高校网站的信息安全都存在漏洞,利用这些漏洞可以入侵邮件系统,篡改网页,获取科研项目和领导机密,控制大量电脑并侵入校园网络,窃取账号密码等个人信息等会造成很严重的后果。
3 对校园信息安全的研究
良好的数字校园安全保障体系需要确保各用户之间通信链接的安全,对网络进行安全配置,确保数据传输的安全。由于现在还没有健全的信息安全泄露的问责机制,个人信息泄露与相关法律法规的不健全,很难将疏于防范或者没有及时为漏洞进行补丁修复等问题进行问责落实到具体相关部门和负责人身上,这就需要我们大家的共同努力。
针对校园信息安全方面除去物理安全风险(自然灾害,事故故障,设备老化等)这里主要分为三部分:
1)网络安全
网络技术已经成为现代技术中一个不可缺少的关键技术。网络也已经逐渐在改变着人们的生活方式。学校网站已不仅是对外宣传的窗口,也是进行办公自动化、智能化的综合服务平台。一旦网站遭受破坏,造成的影响是不可估量的。
首先营造最基本最根本的网络安全工作,对防火墙、杀毒软件、校园系统漏洞的实时管理,实时严控恶意访问、入侵检测;对病毒、木马以防为主,防杀集合;及时更新、修复漏洞等。
2)数据安全
当今信息化校园,各种数字化技术、自动化技术层出不穷。例如各种校园一卡通系统、办公OA系统等的使用与出现,为学校办公方面水平、质量、效率的提高做出了强有力的贡献与技术上的支持。部分经OA系统操作的办公事件中,保密性是相当高的,绝对不能发生泄露、篡改的情况。类似的软件系统进入使用阶段前都要把系统安全进行全方面的考虑。另外无线网络中所产生的便于使用此类系统的补充和延伸系统(例移动终端app)的应用也要注意网络安全的防范考虑。保证数据保密性、完整性、真实性、可用性。
要完善对人员的管理制度,对人员权限、密码口令的强度设定提出更高的要求。定时对系统进行信息流分析、安全风险评估,以防文件被盗,擅自扩大权限,越权访问、修改等,避免网络从内部攻破。还有必要建立应急处理小组能对紧急情况进行处理。
3)个人主动防范
校园网上用户众多,需求多样,行为复杂,我们需要进行更多的投入,普及师生们的自我网络安全防范意识,加强技术防范的教育、培训等提高对网络安全的认识,共同维护良性的网络环境。
增强个人对网络安全防范的主动性,例如陌生链接、文件不要打开、不要随便连接无线网、不要随意扫描二维码等等。提及主动防范性必须值得一提,在自己提高防范性的同时也要提醒身边的家人、朋友,免得一旦发生信息泄露,亲朋好友上当受骗产生不必要的损失。
个人信息泄露产生的危害极大,垃圾短信、邮件,骚扰电话这些都只是开始,利用你的个人信息编造各种事件对本人或身边的人进行诈骗,更有甚者冒名网上办卡透支,或者干脆伪造你的身份证,挂失银行账户补卡、改个密码等,有可能造成受害者巨大损失很难追查。如果发生个人信息泄露了怎么办?依据信息泄露严重性要进行应急处理最基本的是更换账号,切断泄漏源,然后马上更改密码,必要时要进行报警处理。但对个人信息的管理最主要的还是防范于未然,每个人都该意识到问题的严重性,校园信息网络管理部门也要提高重视。
4 结论
面对“互联网+”的时代,更好的利用网络令我们生活、办公更便捷、更效率的同时,一定也要看到网络安全问题的严峻考验,作为学校的数字信息网络管理部门,更要做好网络安全的把关,尽最大努力排除安全隐患的同时,要带领全体师生建立更和谐,安全、稳定的群体网络环境,推进“互联网+”的教育教学改革的同时也要为学校师生每个人的信息安全保驾护航。
参考文献:
[1] 张新刚, 田燕.数字化校园信息安全立体防御体系的探索与实践[J].实验技术与管理,2012(10).
[2] 吴海燕, 戚丽, 沈立强.数字校园信息安全保障体系的设计与实现[J].实验技术与管理, 2008(8).
[3] 王奇.数字校园信息安全管理体系建立与研究[J].信息系统工程, 2012(5).
[4] http://news.xinhuanet.com/politics/2015-05/20/c_127819967.htm.
作者:李迎 甘霖
【个人信息泄露论文】相关文章:
个人信息泄露论文提纲11-15
商业银行个人信息泄露论文题目05-04
泄露个人信息罪量刑04-26
泄露个人信息罪量刑08-30
五类行为易泄露个人信息04-11
信息泄露论文提纲11-15
信息泄露论文范文05-10
苹果手机泄露个人隐私01-27
泄露论文题目05-03
个人信息论文范文05-10