“很多人的手機(jī)號碼泄露了���,根據(jù)微博賬號就能查到手機(jī)號……”���,3月19日,默安科技創(chuàng)始人兼CTO���、微博名為“@安全_云舒”的用戶發(fā)博表示(相關(guān)微博已刪除)�����。
一石激起千層浪,輿論迅速發(fā)酵���。隨后���,有媒體爆出,3月5日����,國內(nèi)的一些安全公司通過監(jiān)控����,發(fā)現(xiàn)暗網(wǎng)[1]上有人發(fā)布了一則名為“5.38億微博用戶綁定手機(jī)號數(shù)據(jù)�,其中1.72億有賬號基本信息”的交易信息,售價(jià)1,388美元�����。該賣家稱����,這些信息“均為2019年年中左右抓取”,并給出了400條綁定手機(jī)號以及1500條賬號基本信息的測試數(shù)據(jù)�����。經(jīng)安全專業(yè)人士驗(yàn)證��,部分測試數(shù)據(jù)屬實(shí)����。
對于此次“微博數(shù)據(jù)泄露”事件,微博CEO王高飛稱是“2014年以前網(wǎng)易那次撞庫[2] 的”����。
而微博安全總監(jiān)羅詩堯則解釋稱����,此次泄露的手機(jī)號是“2019年通過通訊錄上傳接口被暴力匹配的�,其余公開信息都是網(wǎng)上抓來的”(相關(guān)微博已刪除)。
隨后����,微博進(jìn)一步表示,此次數(shù)據(jù)泄露應(yīng)追溯至2018年底�。當(dāng)時(shí)�����,有用戶通過微博相關(guān)接口通過批量手機(jī)批量上傳通訊錄���,匹配出幾百萬個(gè)賬號昵稱���,再加上通過其他渠道獲取的信息一起對外出售�����。
微博還強(qiáng)調(diào),微博一直有提供根據(jù)通訊錄手機(jī)號查詢微博好友昵稱的服務(wù),但不提供用戶性別和身份證號等信息����,也沒有“根據(jù)用戶昵稱查手機(jī)號”的服務(wù)����。因此這起數(shù)據(jù)泄露不涉及身份證、密碼���,對微博服務(wù)沒有影響。
微博做出多番回應(yīng)后�,最終被工信部約談。3月21日�����,“針對媒體報(bào)道的新浪微博因用戶查詢接口被惡意調(diào)用導(dǎo)致App數(shù)據(jù)泄露問題”���,工信部網(wǎng)絡(luò)安全管理局對微博相關(guān)負(fù)責(zé)人進(jìn)行了問詢約談���,要求其進(jìn)一步采取有效措施����,消除數(shù)據(jù)安全隱患:
盡快完善隱私政策�,規(guī)范用戶個(gè)人信息收集使用行為;
加強(qiáng)用戶信息分類分級保護(hù)��,強(qiáng)化用戶查詢接口風(fēng)險(xiǎn)控制等安全保護(hù)策略��;
加強(qiáng)企業(yè)內(nèi)部數(shù)據(jù)安全管理�����,定期及新業(yè)務(wù)上線前要開展數(shù)據(jù)安全合規(guī)性自評估�����,及時(shí)防范數(shù)據(jù)安全風(fēng)險(xiǎn)����;
在發(fā)生重大數(shù)據(jù)安全事件時(shí),及時(shí)告知用戶并向主管部門報(bào)告�����。
[1]暗網(wǎng):互聯(lián)網(wǎng)是一個(gè)多層結(jié)構(gòu)�����,“表層網(wǎng)”處于互聯(lián)網(wǎng)的表層���,能夠通過標(biāo)準(zhǔn)搜索引擎進(jìn)行訪問瀏覽��。藏在“表層網(wǎng)”之下的被稱為“深網(wǎng)”��,而“暗網(wǎng)”通常被認(rèn)為是“深網(wǎng)”的一個(gè)子集����,普通用戶無法通過常規(guī)互聯(lián)網(wǎng)手段搜索和訪問��。
[2]撞庫:黑客通過收集互聯(lián)網(wǎng)已泄露的用戶和密碼信息��,生成對應(yīng)的字典表�����,嘗試批量登陸其他網(wǎng)站后�,得到一系列可以登錄的用戶。很多用戶在不同網(wǎng)站使用的是相同的賬號密碼�����,因此黑客可以通過獲取用戶在A網(wǎng)站的賬戶從而嘗試登錄B網(wǎng)址,這就可以理解為撞庫攻擊�����。
按照微博方面的說法���,這次數(shù)據(jù)泄露事件是有人順著非法竊取的用戶手機(jī)號調(diào)用了微博數(shù)據(jù)���,其自身也是受害者。但對于用戶來說�,沿著手機(jī)號就可以調(diào)用微博數(shù)據(jù),作為微博平臺�����,顯然也難辭其咎����。尤其是在如今平臺經(jīng)濟(jì)發(fā)展如火如荼的情況下,對于海量的用戶數(shù)據(jù)����,任何一點(diǎn)安全問題���,都可能造成不可估量的損失����。
下面,筆者就工信部對微博提出的四點(diǎn)要求�����,結(jié)合《中華人民共和國網(wǎng)絡(luò)安全法》�����、《App違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》�����、《信息安全技術(shù)個(gè)人信息安全規(guī)范》等法規(guī)文件��,分享企業(yè)如何加強(qiáng)數(shù)據(jù)安全管理�,謹(jǐn)守合規(guī)底線,為用戶個(gè)人信息上好“安全鎖”����。
“用戶個(gè)人信息”一般指能夠單獨(dú)或者與其他信息結(jié)合識別用戶身份�����、反映用戶活動(dòng)情況或涉及用戶個(gè)人隱私的信息����。企業(yè)收集用戶個(gè)人信息���,應(yīng)遵循合法�、正當(dāng)�����、必要的原則��。
一方面��,企業(yè)應(yīng)按照“最小必要”的要求�,僅收集與實(shí)現(xiàn)產(chǎn)品或服務(wù)的業(yè)務(wù)功能有直接關(guān)聯(lián)的信息。如果涉及自動(dòng)采集或間接獲取用戶個(gè)人信息��,要注意以實(shí)現(xiàn)業(yè)務(wù)功能所必需的最低頻率和最少數(shù)量進(jìn)行����。
另一方面��,企業(yè)應(yīng)以通俗易懂���、簡單明了的方式向用戶展示個(gè)人信息收集使用規(guī)則,通過“彈窗”提示用戶閱讀隱私政策等明顯方式��,明示收集使用個(gè)人信息的目的�����、方式和范圍等���,并經(jīng)用戶同意。在提供多項(xiàng)需收集個(gè)人信息的業(yè)務(wù)功能時(shí)����,要讓用戶分別自主選擇。默認(rèn)勾選同意隱私政策��,在用戶明確表示不同意后頻繁征求同意��、干擾正常使用�����,或捆綁多項(xiàng)業(yè)務(wù)功能、強(qiáng)迫用戶一次性授權(quán)等�����,都會(huì)被視為違法違規(guī)�。
此外,企業(yè)還應(yīng)向用戶提供撤回收集�、使用個(gè)人信息授權(quán)同意的方法,充分保障用戶的知情權(quán)和選擇權(quán)����。
企業(yè)可以根據(jù)業(yè)務(wù)收集用戶個(gè)人信息的屬性和類型特征,結(jié)合相關(guān)法律法規(guī)�、行業(yè)標(biāo)準(zhǔn)等,對收集到的信息進(jìn)行分類�,如分為以下3類:
用戶身份和鑒權(quán)信息:能夠單獨(dú)或與其他信息結(jié)合,對用戶身份進(jìn)行識別�,或代替用戶身份屬性使用的虛擬身份信息,也包括用于驗(yàn)證身份的鑒權(quán)相關(guān)信息��。
用戶數(shù)據(jù)和服務(wù)內(nèi)容信息:企業(yè)提供服務(wù)過程中收集的具有用戶隱私屬性的數(shù)據(jù)和內(nèi)容信息����。
用戶服務(wù)相關(guān)信息:企業(yè)提供服務(wù)過程中收集的服務(wù)使用情況及服務(wù)相關(guān)輔助類信息����。
對于不同類別的信息�����,企業(yè)可根據(jù)用戶個(gè)人信息的敏感性��,實(shí)施分級管理��,按照相應(yīng)的級別對用戶個(gè)人信息的收集����、使用提供不同的保護(hù)機(jī)制��。如將用戶個(gè)人信息保護(hù)級別由低到高劃分為以下1-5級:
表:用戶個(gè)人信息分類及對應(yīng)保護(hù)級別示例
其中�,對于第5級的用戶個(gè)人信息,企業(yè)應(yīng)實(shí)施嚴(yán)格的技術(shù)和管理措施����,建立嚴(yán)格的信息安全管理規(guī)范以及實(shí)時(shí)監(jiān)控預(yù)警機(jī)制,保證信息的機(jī)密�����、完整、安全�����,如:制定信息收集����、生成、存儲(chǔ)���、使用�、傳輸和銷毀等全生命周期的安全管理規(guī)范�,以及內(nèi)部數(shù)據(jù)審批流程及制度等。而對于第1級的用戶個(gè)人信息�����,企業(yè)需要實(shí)施基本的技術(shù)和管理措施��,確保信息訪問控制安全���,如:采取必要的訪問控制措施等��。
企業(yè)可以從組織建設(shè)���、制度流程等方面入手�����,加強(qiáng)數(shù)據(jù)安全管理�����,提升企業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)防范能力���。
在組織建設(shè)方面,企業(yè)應(yīng)加強(qiáng)內(nèi)部的數(shù)據(jù)安全組織保障����,明確“一把手”對數(shù)據(jù)安全的全面領(lǐng)導(dǎo)責(zé)任,為相關(guān)工作提供人力�����、財(cái)力���、物力保障;同時(shí)�,明確數(shù)據(jù)安全管理相關(guān)部門和責(zé)任人�����,督促協(xié)調(diào)企業(yè)內(nèi)部各相關(guān)主體和環(huán)節(jié)嚴(yán)格落實(shí)各項(xiàng)數(shù)據(jù)安全保護(hù)措施�。此外���,企業(yè)還要定期或當(dāng)發(fā)生重大變化時(shí)���,組織開展法律法規(guī)、知識技能等培訓(xùn)與考核�,確保數(shù)據(jù)安全相關(guān)崗位人員熟練掌握數(shù)據(jù)安全保護(hù)政策和相關(guān)規(guī)程。
在制度流程方面��,企業(yè)應(yīng)及時(shí)跟進(jìn)外部監(jiān)管要求��,制定�����、完善相關(guān)數(shù)據(jù)安全管理制度����,建立重要數(shù)據(jù)全生命周期的保護(hù)制度、數(shù)據(jù)跨境傳輸安全制度�����、組織發(fā)生變更時(shí)的數(shù)據(jù)管控制度、第三方產(chǎn)品或服務(wù)的接入管理制度����、安全風(fēng)險(xiǎn)評估管理制度等。在鞏固深化已上線業(yè)務(wù)定期核查機(jī)制的基礎(chǔ)上���,著重建立完善新技術(shù)�、新業(yè)務(wù)上線前的評估機(jī)制��,從用戶個(gè)人信息保護(hù)�����、網(wǎng)絡(luò)安全防護(hù)��、網(wǎng)絡(luò)信息安全����、建立健全相關(guān)管理制度等方面開展安全評估���,并形成書面報(bào)告��。
企業(yè)應(yīng)當(dāng)建立針對數(shù)據(jù)的安全事件響應(yīng)體系�����,完善各類安全事件的響應(yīng)和處置管理�。
首先,企業(yè)需要在明確數(shù)據(jù)安全管理相關(guān)部門的基礎(chǔ)上�,進(jìn)一步設(shè)立專職崗位負(fù)責(zé)數(shù)據(jù)安全事件管理和應(yīng)急響應(yīng)。如果無法設(shè)立專職崗位�����,應(yīng)事先明確數(shù)據(jù)安全事件相關(guān)責(zé)任人��。同時(shí)�,企業(yè)應(yīng)根據(jù)監(jiān)管要求和業(yè)務(wù)需要,清晰定義數(shù)據(jù)安全事件類型�����,明確不同類型事件的處置流程和方法�,制定數(shù)據(jù)安全應(yīng)急預(yù)案,并定期組織應(yīng)急演練��。
在數(shù)據(jù)安全事件發(fā)生后,企業(yè)應(yīng)立即啟動(dòng)應(yīng)急預(yù)案����,及時(shí)記錄事件內(nèi)容,包括:發(fā)現(xiàn)事件的人員���、時(shí)間��、地點(diǎn)��,涉及的數(shù)據(jù)類型及數(shù)量��,可能產(chǎn)生問題的系統(tǒng)名稱��,以及對其他相關(guān)系統(tǒng)的影響等�。在充分評估安全事件可能造成的影響后����,企業(yè)應(yīng)采取必要措施控制事態(tài),消除隱患��,并注意保存證據(jù)�,根據(jù)規(guī)定及時(shí)將事件內(nèi)容、可能影響����、已采取或?qū)⒁扇〉奶幹么胧⑵髽I(yè)相關(guān)人員聯(lián)系方式等上報(bào)有關(guān)主管部門�。
如果數(shù)據(jù)安全事件可能嚴(yán)重?fù)p害用戶合法權(quán)益,如發(fā)生個(gè)人敏感信息泄露等����,企業(yè)還應(yīng)及時(shí)將事件相關(guān)情況通過短信、郵件��、電話���、推送通知等方式告知用戶�,難以逐一告知時(shí)���,要采取合理�����、有效的方式發(fā)布與公眾有關(guān)的警示信息�,向用戶提供補(bǔ)救措施以及自主降低風(fēng)險(xiǎn)的建議�����。
隨著越來越多的企業(yè)上線上云,包含用戶個(gè)人信息在內(nèi)的網(wǎng)絡(luò)數(shù)據(jù)安全問題已不容小覷��,一旦發(fā)生安全事件���,不僅會(huì)為企業(yè)造成經(jīng)濟(jì)�、聲譽(yù)損失�����,還有可能會(huì)使企業(yè)受到監(jiān)管處罰����。因此,企業(yè)應(yīng)在業(yè)務(wù)“跑起來”之前���,就樹立起安全思維�,明確數(shù)據(jù)安全相關(guān)組織體系����,制定、完善相關(guān)管理制度和應(yīng)急預(yù)案���,規(guī)范收集�、使用、存儲(chǔ)�、銷毀數(shù)據(jù),從而使企業(yè)贏得用戶信賴����,健康���、長遠(yuǎn)發(fā)展����。
(源:銳思商學(xué)院��;素材源:南方都市報(bào)�����、澎湃新聞)
