手机看中经经济日报微信中经网微信

客户信息泄露谁之责? 企业急需升级“防盗门”

2013年11月26日 09:42    来源: 企业观察报    

  导读:目前中国企业的客户隐私泄露情况已经达到了相当严重的程度,有的社交网站甚至成为诱导网民泄露隐私、记录隐私、利用隐私牟利的巨大商业集团。因此,防范企业隐私泄露、升级企业防盗“安全门”、加大打击恶意泄露个人隐私行为的力度,已成为当务之急。

   现状

   客户信息频繁泄露 企业苦不堪言

  一家社会调查中心对2422名公众展开的针对客户信息泄露根源分析调查发现,“电信机构、金融机构、招聘网站和猎头公司、各类中介机构”被公众列为泄露个人信息的“罪魁祸首”。

  互联网浏览器泄露用户账号

  11月7日,搜狗CEO王小川度过了难捱的一天。

  之前的11月5日,国内杀毒软件论坛“卡饭”上有网友反映搜狗浏览器存在重大安全漏洞,使用QQ账号登录搜狗浏览器可以查看数千其他用户的个人账号,包括QQ、邮箱、支付宝、银行等涉及用户财产的账户信息,甚至可以直接进入其他人的支付宝进行转账购物,直接支付交易。紧跟着360发出安全提示,称搜狗浏览器“智能填表”功能出现重大漏洞,并呼吁用户尽快更换密码。接着,又有央视等媒体、第三方机构站出来声称证实搜狗漏洞。王小川腹背受敌。

  11月7日下午,360与搜狗相继召开媒体发布会。

  360从公证视频、泄密原理、第三方旁证等方面做了大量功课。公司首先播放了一段“展示法律公证的、完整的搜狗泄密视频”,视频显示,在一台只有基本应用程序的电脑中,下载安装搜狗浏览器,点击搜狗浏览器的账号登录系统,使用QQ账号和密码进行注册和登录,双击退出该系统,然后,在工具栏里点击“智能填表”,再选择管理表单数据,网页上就会弹出一个表单,继续点击,就会出现大量不同用户的个人账号密码等信息。视频显示,使用这些账号和密码能够进入到这些用户的淘宝、邮箱、QQ等系统中。360透露,被泄露的用户账号信息主要包括三类:登录账号和密码、收藏夹数据和上网历史记录。经360公司初步验证以及根据网民反馈的信息不完全统计,遭到泄漏的用户账户类型主要有:电子邮箱、社交媒体、电商、电子支付、手机应用账户、电信运营商、政府、高校和企业内部管理系统等。

  当天,搜狗CEO王小川在媒体通气会上回应,360曝出的“搜狗浏览器漏洞视频”存在多个致命漏洞和逻辑硬伤,真实性存疑。王小川对《企业观察报》称,目前没有收到任何真实用户信息泄露投诉,搜狗将会就这件事向工信部举报,并起诉360。

  不过,OWASP中国北京负责人陈亮对《企业观察报》表示,在搜狗没有提供严密证据的前提下,仅凭猜测不能自证清白。

  瀚海源CEO方兴表示,出了泄露隐私问题,无论是漏洞还是不小心,从本质上都对用户的权益造成伤害,在这种情况下企业应该回应问题到底存不存在,在安全圈,不忌讳自身问题是共识,如果存在就马上承认,如果不存在就直接拿证据证明清白。

  安全宝CEO马杰告诉记者,前段时间JAVA出现了漏洞,各大网站均有不同程度的沦陷。他认为泄露了用户隐私,网站要负责任,就好比顾客去商场购物如果受到伤害,商场有连带责任,道理是一样的。

  “查开房”困扰酒店

  沸沸扬扬的“查开房”事件发生于今年10月份。国内知名安全漏洞监测平台“乌云”发布称,国内多家酒店比如汉庭、如家、7天连锁酒店、南苑e家、格林豪泰连锁酒店、布丁酒店、杭州维景国际大酒店等,使用了浙江慧达驿站网络有限公司开发的酒店WIFI管理、认证管理系统,此系统存在漏洞。

  记者从乌云平台上发现,这个困扰漏洞其实早在8月份就已经被发现并确认,随后乌云按照报漏洞流程通知厂商,并逐步向专家和技术人员公开。该漏洞发现者称,如家、汉庭、咸阳国贸大酒店、杭州维景国际大酒店、驿家365快捷酒店、东莞虎门东方索菲特酒店全部或者部分使用了浙江慧达驿站网络有限公司开发的酒店WiFi管理、认证管理系统,而慧达驿站在其服务器上实时存储了这些酒店客户的记录,包括客户名、身份证号、开房日期、房间号等大量敏感、隐私信息。而从技术角度上看,这些信息是可以被黑客拿到的。

  慧达驿站已认领了乌云平台披露的漏洞信息,并通过网站公告回应,承认乌云平台所指出的安全隐患,但声称已完成软件系统的全面升级。

  业内人士透露,出现这种技术漏洞的根本原因在于,慧达驿站的无线认证系统要求酒店在提交开放记录的时候进行网页认证,但不是在酒店服务器上,而要通过慧达驿站自己的服务器,理所当然地就存下了客户的信息。而与之合作的酒店其住户信息就集中存放在了慧达驿站的服务器上。另外,客户信息的数据同步是通过http协议实现的,需要认证,但是认证用户名、密码竟然是明文传输的,从各个途径都可能被轻松嗅探到,用这个认证信息就可以从慧达驿站的数据服务器上获得所有酒店上传的客户开房信息。这是住户信息泄露的主要原因。至于其中有没有人为泄露的因素,公安机关尚在调查中。

  此后,网上出现“2000万条开房记录”供网友自由下载,文件大小达1.7G。之后甚至出现可直接查询开房信息的网站,记者登录该网站,发现其查询操作非常简单,只需在主页相应输入框内输入姓名、城市、出生年份、电话、身份证号就可进行检索。网上多位被查询到信息的当事人回忆,在网站显示的登记日期前后,他们曾在各地的经济连锁酒店预订房间、入住或办理过会员卡。

  不过,为多家酒店提供无线上网认证管理系统的浙江慧达驿站网络有限公司否认与此数据库有关。

  对此,记者联系到格林豪泰连锁酒店等单位,对方称已针对此事进行调查,并发表了公开声明,不过并未给记者提供这份声明。

  对于泄密丑闻,快递行业最近也出现重磅新闻。

  近日,圆通速递被曝近百万条快递单个人信息泄露,不仅可在网络上购买到,单号数据信息还能24小时刷新。

  10月22日晚,圆通速递发布声明,承认“快件面单信息倒卖”属实,并向消费者致歉。

  10月25日,圆通速递公布了事件最新进展,称截至24日下午,倒卖圆通快件单号的不法网站已关停,圆通已组织专门人员全天候开展网络监测,防止倒卖现象“死灰复燃”。

  圆通速递称,截至25日凌晨,公司内部发现的信息安全漏洞已经基本堵住,对部分信息安全管理不力的网点给予了严厉处理,并进行了全员教育、培训、考核。随后圆通公司承认消息属实并致歉,“双十一”购物顿时蒙上阴影。

  一位不愿公开姓名的快递协会工作人士对《企业观察报》表示,快递公司普遍存在管理不善的情况,这和快递公司野蛮式增长有关。

  除了互联网、酒店业与快递业,最近航空公司也频频爆出泄密事件,有著名航空公司涉足其中,不过有关部门对此予以否认。

  而此前,银行系统与电信系统泄露客户隐私的案例也有不少。有中国移动、联通员工涉嫌非法提供、出售公民个人信息成为被告,也有银行员工利用工作便利,非法将客户信息提供中介机构而被判处有期徒刑。

  有法律人士称,个人信息作为隐私权的一部分,是公民人格权的一个方面,公民对这一权利享有绝对的支配权。依据相关法律,有关商业机构均有保密的义务,可以允许使用客户信息,但不能转让信息。出卖他人资料和电话等个人信息的,特别是用于营利性行为,属于违法行为。

   对策

   堵住漏洞 企业急需升级“防盗门”

  泄露客户信息,不仅仅是互联网与“查开房”。快递也大范围泄露客户面单信息。这折射出了相关企业管理上的缺陷。

  以民航业为例,据记者了解,从旅客预订飞机票到完成整个旅程,期间,可知道旅客个人信息的人数较多。

  据悉,一个航班上旅客的信息,航空公司销售系统上只要有工作账号的人员都可以看到。只是因为工作内容的不同,工作人员拥有的权限也会不同。此外,与航空公司有合作关系的,包括其他航空公司、旅行社、酒店、机票代理商等,均可看到旅客的部分信息。

  按常理而言,旅客通过航空公司官网预定机票,若有个人信息泄露情况发生,首先想到的便是航空公司。据记者了解,涉及的航空公司中,如东航、南航,皆未就此事作出官方解释。

  专家认为,客户信息泄露的途径有很多,如何有效杜防,是一个企业管理上的难题。

  内部管理不善是信息泄露主因

  从顾客填写地址信息到收到快递,期间,谁有可能知道顾客的个人信息呢?对此,有不愿透露姓名的快递公司内部人士告诉记者,中间知道信息的人是比较多的。

  据介绍,一个快件信息,在内部系统上都可以看到。因为工作内容和职务的不同,工作人员拥有的权限也会不同。泄露事件可能涉及管理层,因为各快递公司的内部资料阅读有权限设置,一般业务人员没有权限进入订单管理系统或者仓储管理系统。发生这样的事主要是各大快递企业老板对于保护用户隐私方面并不重视,而快递行业又存在山头众多、鱼龙混杂等乱象,各地负责人良莠不齐。

  而在互联网上,除管理不善造成的人为泄露外,安全宝CEO马杰表示,按照安全领域,泄露渠道可以分为个人、企业、网站三种,个人PC安全问题比前些年有所好转,大部分用户会安装安全软件,企业也会根据自身的情况保护信息安全,目前安全防护最弱的就是网站。马杰指出,除了几家最大的互联网巨头外,其他中小互联网企业没有精力投入安全,基本都没有安全团队,有的连专门负责安全的人员都未配备。

  马杰认为出现这种情况,主要是网站安全意识淡薄,安全手段有限。互联网企业的安全短板暴露无遗。而互联网公司的一个现状是,一个公司中有3人来专职负责网站安全的规模都是一种奢侈,5人以上算是豪华配制,10人的安全团队只有3家。一份来自知名券商的报告显示,目前,国内互联网公司的安全支出仅占IT支出的1%,而欧美国家的安全支出占到整个IT支出的8%-10%。

  现在一些网站一旦出问题就把责任推到程序员身上,马杰认为这是不公平的,“好比一所大厦失窃,如果归咎在设计师身上未免太冤枉,应该反思的是保安制度。”

  有专家认为云是不安全的,“没有一家权威机构证明云端数据安全”,相应安全建设及监管不到位。马杰不同意这种“云恐慌”,他指出,以前做网站也是把资料放在远程服务器上,所谓云,仍然是如此,只不过服务器集中放在一起了。

  有专家认为,云服务提供商一定要规范行为,任何功能都应在通过安全测试后方可使用,建议工信部加强对企业监管。负责乌云运营的孟先生告诉记者,从很多案例中就能看出来,云端问题一部分是在设计环节就没有设计好,要么是后期的维护出现差错,要么是一些第三方因素导致,再要么就是相关的内部人员出现短板。

  升级“安全门”成企业当务之急

  信息泄露渠道虽然较多,但相关企业也不是全无作为。

  马杰说,相对而言,银行业发生泄露用户信息的事情较少,因为银行从做网络开始就非常注意安全建设。“这就好比大家还夜不闭户,银行就装上门了,而且还是防盗门。”

  不过,多数互联网企业可能无法照搬银行的经验,因为银行的安全投入力度很大,包括软硬件、审计、外部审查等,这不是一般互联网企业所能承受的。

  北京邮电大学信息安全中心副主任辛阳认为,虽然预防泄露隐私这种事不能百分之百防止,较大的企业都发生过用户泄露的情况,但仍要加强安全方面的技术成熟度,加强企业自身管理。

  中国快递协会负责人日前向媒体透露,今年13家主要快递公司优化升级了信息系统、自动化分拣、安检等设备,仅硬件方面的投入,每家均在10亿元以上。

  除了技术升级之外,企业如何才能加强管理?西安交通大学信息法律中心博士王玥认为,为防止信息泄露,在日常工作中,企业需要建立严格的客户信息保密机制,制度中应包括哪些是客户保密信息、哪些人可以接触利用、如何利用、如何保存、如何销毁、相关责任等方面。另外,要加强客户信息保密薄弱环节的风险防范。未经客户同意,不得以任何形式向第三方透露。妥善保管记载客户个人信息的记录本或者是电脑记录等,防止因疏忽导致的客户个人信息被窃取。

  以互联网为例,王玥表示,网站收集用户的隐私数据需要告知用户收集的方式和目的,对这些数据的使用不能超过授权。一旦发生泄漏隐私事件,企业要做到:1.尽快处理泄露问题,防止用户信息进一步泄露;2.告知用户泄漏情况,保护用户知情权;3.如果涉及规模大、损失严重的泄漏,企业需要主动向主管单位汇报。

  还有专家表示,企业还可在技术方面对用户隐私容易泄露的环节进行强化控制。例如:企业员工对客户信息不可进行批量查询,禁止拷贝与导出数据,存有用户数据的服务器上禁止使用优盘等存储设备。同时企业严格控制负责维护客户信息数据库的技术人员的管理权限,加强针对可接触用户隐私信息员工的审计和监控。

  此外,企业还要加强培训教育,提高保密意识。通过培训,让员工了解客户信息具体内容、保密的重要性以及泄露个人客户信息可能承担的法律责任,提高保密意识,增强保密的自觉性。对离职人员要严格按照相关规定控制其对涉密文件资料复制、打印、拷贝权限,同时要建立离职人员信息安全审查机制,确保相关信息资料的安全。

   观点

   泄露个人信息 惩处力度亟待加强

  尽管频繁发生的客户信息泄露问题,已经引起监管部门的关注,但由于相关法律法规缺乏,加之广泛实施的信息共享机制的先天性缺陷,致使信息泄露监管仍然苍白无力,成效不佳。

  在快递业,从今年3月1日开始施行的《快递市场管理办法》,对泄露用户信息的处罚标准已有具体、明确的规定:经营快递业务的企业以及快递从业人员不得违法提供从事快递服务过程中知悉的用户信息,泄露用户信息的企业将被处以10000元以上50000元以下的罚款,对个人处5000元以上10000元以下的罚款,情节严重构成犯罪的,将依法追究刑事责任。

  在保险业,今年11月15日,中国保监会在其官方网站上发布了《人身保险客户信息真实性管理暂行办法》,要求人身险公司严格限定接触客户信息的机构、部门和人员范围,防止客户信息泄露,倒卖客户信息或将入罪。

  即便如此,企业客户信息泄露问题总体上仍然不容乐观。其最主要的原因是,除非客户有直接证据,能证明企业泄漏资料,并且证明造成了直接损失,否则即便申述也不太会有什么结果。所以,在现阶段我国法律不完善的情况下,个人信息的泄漏还是一个难解的问题。

  西安交通大学信息法律中心博士王玥表示,我国目前还没有专门的法律,如果出现个人隐私泄露并造成伤害,只有民法等法律有相应条款。《民法通则》第120条规定:公民的姓名权、肖像权、名誉权、荣誉权受到侵害的,有权要求停止侵害,恢复名誉,消除影响,赔礼道歉,并可以要求赔偿损失。

  目前的法律对用户隐私的侵权行为约束力有限,用户维权、寻求民事赔偿胜率不大,对损失评估难以确定金额,所以对隐私泄露的责任人追究还是非常困难。这也许是黑客入侵与贩卖用户隐私资料屡禁不止的原因。


(责任编辑: 关婧 )

    中国经济网声明:股市资讯来源于合作媒体及机构,属作者个人观点,仅供投资者参考,并不构成投资建议。投资者据此操作,风险自担。
上市全观察