去年十二月,國內(nèi)知名的程序員網(wǎng)站、IT技術(shù)社區(qū)CSDN的600多萬個(gè)注冊郵箱賬號和密碼數(shù)據(jù)庫被黑客在網(wǎng)上曝光,并引發(fā)一系列的連鎖影響。聯(lián)系近年國內(nèi)外的許多網(wǎng)站信息泄露事件,網(wǎng)絡(luò)信息安全問題成為我們必須思考和重視的話題。
“我的QQ號被盜了!”這是全國人大代表胡小燕在兩會召開前夕的遭遇。網(wǎng)絡(luò)釣魚、黑客攻擊、密碼泄露……近年來,幾乎每次兩會都有代表委員呼吁立法保障網(wǎng)絡(luò)信息安全。全國人大常委會委員長吳邦國作全國人大常委會工作報(bào)告時(shí)明確指出,完善網(wǎng)絡(luò)法律制度,發(fā)展健康向上的網(wǎng)絡(luò)文化,維護(hù)公共利益和國家信息安全。網(wǎng)民的個(gè)人信息前如何豎起一道法律屏障?記者 裴鑫 攝 |
|
國內(nèi)外的“泄密門”成為嚴(yán)重挑戰(zhàn) |
此次密碼泄露事件中,有一點(diǎn)可怕的是,這些用戶密碼是以明文方式保存的,即網(wǎng)站方面未采取任何加密安全措施,從而使這些被曝光的用戶密碼數(shù)據(jù)庫在網(wǎng)上被公開傳播。雖然過去也有類似事件,但此次流傳的范圍超出了以往的黑客技術(shù)圈界限,普通用戶也可通過數(shù)據(jù)包下載方式獲得網(wǎng)站泄露的用戶資料和密碼。這無疑突破了用戶密碼這一個(gè)人數(shù)據(jù)與隱私的最基礎(chǔ)防線,讓心懷不軌之不法之徒有可能竊取他人的個(gè)人數(shù)據(jù)。
而按照許多用戶的注冊密碼使用習(xí)慣(特別是早期上網(wǎng)的老用戶),他們用一個(gè)注冊賬號(電子郵箱地址或個(gè)人ID)登錄多家網(wǎng)站,包括門戶網(wǎng)站、電子郵件服務(wù)、網(wǎng)絡(luò)銀行、社交網(wǎng)站、游戲網(wǎng)站等,并在多家網(wǎng)站同時(shí)使用相同密碼。這種做法雖然簡單省事,易于操作,但是在網(wǎng)絡(luò)安全泄密事件頻發(fā)的今天,其風(fēng)險(xiǎn)程度令人堪憂。按竊密者操作路徑,他們會用這些公開密碼進(jìn)入他人郵箱或其他網(wǎng)絡(luò)賬戶,并舉一反三,在獲取用戶多賬戶信息的同時(shí)進(jìn)一步獲得用戶的聯(lián)系人信息,然后將這些信息轉(zhuǎn)讓、出售或直接用其謀取利益。
CSDN網(wǎng)站用戶信息被泄引發(fā)了國內(nèi)多家網(wǎng)站的連鎖反應(yīng),許多著名門戶網(wǎng)站和商業(yè)網(wǎng)站未能幸免。不僅如此,一些政務(wù)網(wǎng)站也身陷“泄密門”。不久前,有網(wǎng)友通過新浪微博發(fā)帖稱,廣東省公安廳出入境政務(wù)服務(wù)網(wǎng)后臺存在漏洞,造成大范圍用戶數(shù)據(jù)泄露,暴露的用戶申請資料高達(dá)440多萬條,這些記錄包括用戶的出身年月、郵寄地址、郵編、電話、通行證件有效期、出境事由等詳細(xì)信息。
前段時(shí)間集中爆發(fā)的網(wǎng)站密碼泄密事件并非偶然,去年四月下旬,電子游戲巨頭日本索尼公司的PS3、PSP網(wǎng)絡(luò)平臺PSN因受到黑客攻擊而停止服務(wù)。事后索尼發(fā)出正式公告,約7700萬用戶個(gè)人數(shù)據(jù)被盜,包括用戶ID、住址、電子郵箱地址、出生日期、密碼、登錄日志、信用卡號碼等。事發(fā)后,索尼向用戶支付了7000萬美元的賠償金,但索尼對黑客的真實(shí)目的和攻擊策略仍不甚了了。
由于黑客攻擊導(dǎo)致用戶個(gè)人數(shù)據(jù)大規(guī)模泄露,曾力主實(shí)行網(wǎng)絡(luò)實(shí)名制的韓國不得不提出分階段逐步廢止網(wǎng)絡(luò)用戶實(shí)名制。此前,韓國三大門戶網(wǎng)站之一的Nate和社交網(wǎng)站賽我網(wǎng)分別外泄了3500萬多名用戶的個(gè)人數(shù)據(jù)。這起韓國歷史上影響最大的網(wǎng)絡(luò)安全事件所泄露的用戶信息非常詳盡,包括用戶名、本人姓名、生日、電話號碼、住址、網(wǎng)站密碼和身份證號碼,范圍之廣,幾乎涉及韓國所有網(wǎng)民,并很有可能引發(fā)垃圾電郵和電信詐騙等衍生犯罪活動。
信息技術(shù)的高速發(fā)展和互聯(lián)網(wǎng)的迅速普及給網(wǎng)絡(luò)安全帶來了日益嚴(yán)重的挑戰(zhàn),也對信息安全相關(guān)法律及其監(jiān)管提出了新的課題。
網(wǎng)絡(luò)用戶的密碼其實(shí)是一種口令(Password),它與用戶其他個(gè)人信息組合成為個(gè)人數(shù)據(jù),它不是專業(yè)意義上的密碼。但它的認(rèn)證、保管與使用也需要相應(yīng)的密碼技術(shù)與密碼產(chǎn)品(如網(wǎng)絡(luò)銀行使用的U盾)。所以二者是密不可分的。
目前我國關(guān)于信息系統(tǒng)安全的相關(guān)法律和法規(guī)有:《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《商用密碼管理?xiàng)l例》、《信息安全等級保護(hù)管理辦法》,以及修改后的刑法與其他法規(guī)的相應(yīng)條款。其中,《商用密碼管理?xiàng)l例》規(guī)定了商用密碼的科研、生產(chǎn)、管理和銷售具體辦法,其中第二十三規(guī)定:泄露商用密碼技術(shù)秘密、非法攻擊商用密碼或者利用商用密碼從事危害國家的安全和利益的活動,情節(jié)嚴(yán)重,構(gòu)成犯罪的,依法追究刑事責(zé)任。
2007年,公安部、國家密碼管理局、國家保密局和國務(wù)院信息辦公布了《信息安全等級保護(hù)管理辦法》(以下簡稱辦法),該辦法對信息安全保護(hù)的基本思路是:國家通過統(tǒng)一的信息安全等級保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn),組織公民、法人和其他組織對信息系統(tǒng)分等級地實(shí)行安全保護(hù),并對等級保護(hù)工作的實(shí)施進(jìn)行監(jiān)督、管理。
信息系統(tǒng)的安全保護(hù)等級的確定依據(jù)主要有兩條:一是根據(jù)它在國家安全、經(jīng)濟(jì)建設(shè)、社會生活中的重要程度;二是系統(tǒng)一旦遭到破壞,它對國家安全、社會秩序、公共利益以及公民、法人和其他組織合法權(quán)益的危害程度。據(jù)此,辦法將我國信息系統(tǒng)共分為五個(gè)等級。第一級是指信息系統(tǒng)被破壞后,會對公民、法人和其他組織的合法權(quán)益造成損害,但不損害國家安全、社會秩序和公共利益。第二級指信息系統(tǒng)受到破壞后,會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害,或者對社會秩序和公共利益造成損害,但不損害國家安全。第三級、第四級分別指信息系統(tǒng)受破壞后,會對社會秩序和公共利益造成嚴(yán)重?fù)p害,或?qū)野踩斐蓳p害;會對社會秩序和公共利益造成特別嚴(yán)重?fù)p害,或?qū)野踩斐蓢?yán)重?fù)p害。等級最高的第五級是信息系統(tǒng)受破壞后,會對國家安全造成特別嚴(yán)重?fù)p害。
近年來,由于智能手機(jī)、移動互聯(lián)網(wǎng)、社交網(wǎng)絡(luò)、微博、即時(shí)通訊軟件等新技術(shù)的突飛猛進(jìn),互聯(lián)網(wǎng)已成為一個(gè)跨平臺的超級信息系統(tǒng)。然而,按照傳統(tǒng)的等級保護(hù)管理規(guī)定,國內(nèi)許多內(nèi)容服務(wù)商、門戶網(wǎng)站、社區(qū)網(wǎng)站、游戲網(wǎng)站最多屬于第一級或第二級保護(hù)范圍,而對這兩級監(jiān)管的法律規(guī)定是“依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù),國家信息安全監(jiān)管部門對其安全等級保護(hù)工作進(jìn)行指導(dǎo)。”其保護(hù)等級明顯低于第三、四、五級。
技術(shù)發(fā)展在給人們帶來便利的同時(shí)也帶來了潛在的危險(xiǎn)。今天,黑客和其他網(wǎng)絡(luò)犯罪行為的門檻越來越低了,并不需要高深的計(jì)算機(jī)專業(yè)知識。有時(shí),一個(gè)菜鳥級新手,只要稍加搜索和學(xué)習(xí),就能從網(wǎng)上方便地獲得大量資源和工具,同時(shí)還能輕而易舉地找到同道和犯罪同伙。黑客的組織化、社區(qū)化、匿名化和國際化已經(jīng)成為新趨勢。這些人通過社區(qū)、QQ群和各種即時(shí)通訊工具在第一時(shí)間互相切磋,破解用戶密碼并盜取資料,且用戶數(shù)據(jù)買賣銷售已成為相當(dāng)具有規(guī)模的固定產(chǎn)業(yè)鏈。雖然黑客社區(qū)聯(lián)系松散,甚至彼此從未謀面,尚不知對方是男是女,但利益鏈條將他們捆綁在一起。與商業(yè)網(wǎng)站的被動安全措施相比,由于利益驅(qū)動和貪欲渴望,這些人無時(shí)無刻地在尋找網(wǎng)站的安全漏洞,期待從中找出發(fā)財(cái)機(jī)會。
相比之下,商業(yè)網(wǎng)站、各種社交網(wǎng)站的安全維護(hù)并不能給網(wǎng)站帶來直接經(jīng)濟(jì)利益。許多網(wǎng)絡(luò)服務(wù)商、內(nèi)容提供商對安全的投入嚴(yán)重不足,從筆者接觸的研究資料看,除排名前百名的大型網(wǎng)站外,國內(nèi)鮮見有專門安全團(tuán)隊(duì)的商業(yè)網(wǎng)站。政府的政務(wù)網(wǎng)站也存在大量安全漏洞,一些政府網(wǎng)站被輕易篡改或掛馬。據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心監(jiān)測報(bào)告顯示,2011年6月的某一周,國內(nèi)僅網(wǎng)頁被篡改的網(wǎng)站就有660個(gè),其中政府網(wǎng)站105個(gè)。其中包括6個(gè)省部級網(wǎng)站,還有25個(gè)地市級政府網(wǎng)站。
為應(yīng)對網(wǎng)絡(luò)安全的挑戰(zhàn),可以從完善法律體系和行政監(jiān)管、行業(yè)組織協(xié)調(diào)和網(wǎng)站加強(qiáng)自律責(zé)任等方面入手,當(dāng)然用戶也需要提高風(fēng)險(xiǎn)防范意識。
幾年前,國務(wù)院信息產(chǎn)業(yè)主管部門曾起草過《信息安全條例》,但迄今未有下文。面對日益嚴(yán)重的網(wǎng)絡(luò)安全威脅,應(yīng)當(dāng)有一部層級較高、操作性強(qiáng)的信息安全綜合法規(guī),以便為信息安全的法律監(jiān)管提供法律依據(jù),同時(shí),應(yīng)強(qiáng)調(diào)行業(yè)組織的自律與企業(yè)自律,鼓勵企業(yè)提升安全保護(hù)措施。
對個(gè)人數(shù)據(jù)的保護(hù),國外有代表性的保護(hù)模式是歐盟與美國。歐盟有統(tǒng)一的個(gè)人數(shù)據(jù)保護(hù)法,在電子商務(wù)、電子政務(wù)方面擁有大量標(biāo)準(zhǔn)規(guī)范,歐盟各成員國必須遵守。美國模式則強(qiáng)調(diào)發(fā)揮商業(yè)企業(yè)的創(chuàng)新精神,但政府也不是無為而治。上個(gè)月,奧巴馬行政當(dāng)局就提出了網(wǎng)絡(luò)隱私保護(hù)準(zhǔn)則,旨在幫助消費(fèi)者控制網(wǎng)絡(luò)搜索對個(gè)人隱私的損害。新的隱私保護(hù)法律要求網(wǎng)絡(luò)企業(yè)必須為用戶提供一健式點(diǎn)擊或觸摸的告知程序,讓用戶決定他們是否愿意自己的個(gè)人數(shù)據(jù)被追蹤。美國國會也將起草有關(guān)個(gè)人數(shù)據(jù)搜集和使用的監(jiān)控法案,一旦通過,谷歌、微軟、蘋果和其他瀏覽器制造商都必須遵守相關(guān)法律。
從發(fā)生泄密的源頭看,近來幾大事件均發(fā)源于網(wǎng)站服務(wù)端。對此,處于客戶端的用戶是心有余而力不可及。因?yàn)橛脩粢坏┡c網(wǎng)站簽約(成為網(wǎng)站用戶,無論是否活躍),他的個(gè)人數(shù)據(jù)就處于本人不可控的狀態(tài)。因此,網(wǎng)站的個(gè)人數(shù)據(jù)保護(hù)責(zé)任是不可推卸的。
按照《侵權(quán)責(zé)任法》法定侵權(quán)要件和合同法的契約精神,無論是作為企業(yè)還是作為合同簽約一方,網(wǎng)絡(luò)服務(wù)商都有責(zé)任保護(hù)用戶數(shù)據(jù)安全。但許多企業(yè)不是視而不見,就是在格式合同中用含糊其辭的條款弱化自己責(zé)任,這極不公平,更違反了網(wǎng)絡(luò)企業(yè)的法定義務(wù)。
在保護(hù)用戶個(gè)人數(shù)據(jù)方面,網(wǎng)絡(luò)服務(wù)商、運(yùn)營商應(yīng)當(dāng)恪守以下義務(wù):
一、個(gè)人數(shù)據(jù)安全風(fēng)險(xiǎn)提示義務(wù):服務(wù)商應(yīng)當(dāng)向用戶說明提交個(gè)人數(shù)據(jù)的潛在風(fēng)險(xiǎn),并做出保護(hù)個(gè)人數(shù)據(jù)的安全承諾。
二、個(gè)人數(shù)據(jù)用途說明義務(wù):網(wǎng)站應(yīng)說明用戶數(shù)據(jù)的具體用途,說明這些數(shù)據(jù)是否與第三方分享,或是否可能向第三方轉(zhuǎn)讓。
三、保護(hù)用戶個(gè)人數(shù)據(jù)安全的義務(wù)。
四、安全措施說明義務(wù)。
五、發(fā)生數(shù)據(jù)泄漏后的告知、救濟(jì)義務(wù)。如即時(shí)通知用戶修改密碼,損害實(shí)際發(fā)生后的補(bǔ)救措施等相關(guān)善后事務(wù)。
普通網(wǎng)民也需要提高風(fēng)險(xiǎn)風(fēng)范意識,網(wǎng)民自身需要做好下列事項(xiàng):
用戶應(yīng)當(dāng)對自己的密碼進(jìn)行分類保管。在預(yù)見損害后果的基礎(chǔ)上按照風(fēng)險(xiǎn)等級將密碼分類,比如網(wǎng)絡(luò)銀行密碼、支付網(wǎng)站密碼、電子郵件密碼、即時(shí)通訊密碼、社區(qū)網(wǎng)站密碼等。如實(shí)在有困難,可退而求其次,將網(wǎng)絡(luò)銀行和支付工具密碼列為首位,將娛樂網(wǎng)站和社交網(wǎng)站放在較次要地位。
密碼應(yīng)盡量使用數(shù)字與字母組合,并力求避免生日密碼或普通排列數(shù)字密碼。
有些網(wǎng)民從不用網(wǎng)銀,也不用支付工具,他們覺得這樣就可以高枕無憂了,其實(shí)并不盡然。黑客可能用批量掃描方式獲取郵箱密碼和你的聯(lián)系人信息,下一步,無孔不入的營銷公司和詐騙團(tuán)伙會盯上你的社交圈子和朋友。
網(wǎng)絡(luò)信息安全是一場永遠(yuǎn)不會完結(jié)的貓捉老鼠游戲,我們每個(gè)人都置身其中,無法逃避。