人们在享受智能生活的同时不应忽视潜在的信息泄露风险。新华社发
6月1日,《中华人民共和国网络安全法》(以下简称《网络安全法》)正式施行。这是我国首部网络安全法,保护个人信息是其重要内容。
近年来,我国个人信息泄露事件频发,窃取个人隐私手段不断翻新,移动互联网以及物联网的快速发展又给网络安全带来新的隐患——《网络安全法》值得你我共同关注。
窃取手段五花八门
点开老同学聚会照片链接,银行账号却被盗
“老同学聚会拍的照片你自己看吧,哈哈,大家没怎么变呢。查看请点开下面链接……”不久前参加过同学聚会的郭先生收到这条短信后,没多想就点了链接,但没看到同学聚会的照片。几天后他用手机登录银行账户时出现异常情况,就到银行柜台询问,结果被告知账号已被盗。
让郭先生中招的是一种名为“相册”的木马病毒,它能在手机中植入窃取信息的恶意程序,手机感染后不仅会造成信息泄露,甚至还可能引发财产损失。不久前,国家互联网应急中心发布的《2016年我国互联网网络安全态势综述》(以下简称《综述》)显示,2016年共发现“相册”类恶意程序47316个,累计感染用户超过101万。
“相册”类木马只是诸多窃取个人信息程序中的一种。在移动互联网时代,不法分子由传统的仿冒网址钓鱼欺诈转变成与短信、欺诈电话、手机木马等手段相结合的复杂欺诈,网民不需要在钓鱼网站上输入个人信息,也可能被不知不觉地窃取信息。
移动互联网应用(APP)也是恶意程序的重要传播载体。一些冒牌应用或带有恶意程序的应用,威胁着个人信息的安全。《综述》显示,2016年,国家互联网应急中心通过自主捕获和厂商交换获得移动互联网恶意程序数量205万余个,近7年来持续保持高速增长的态势。
截至2016年12月,我国网民规模达7.31亿人,手机网民规模达6.95亿人。购物、支付类应用场景的增加,也让个人信息更有牟利价值。在利益驱使下,一些不法分子贩卖个人信息, 甚至形成了庞大的灰色产业链。
安全专家、北京天融信科技有限公司副总裁唐宁表示,除了传统病毒木马威胁,近年来勒索软件开始猖獗,成为面向个人信息安全的重要威胁。典型的例子,就是不久前在全球大规模爆发的勒索蠕虫。
另一种对个人信息安全造成威胁的是网络运营平台信息泄露。2013年底,一家为全国4500多家酒店提供网络服务的公司因系统存在安全漏洞,致使全国2000万条宾馆住宿记录泄露,泄露的信息包括用户姓名、证件号、联系方式、住宿时间等等。
国家互联网应急中心运行部高级工程师李佳表示,网站等运营平台的漏洞被攻破,黑客就能入侵并植入后门,造成大面积的海量信息泄露。
李佳说,一些网络运营商、平台服务商、手机应用还会读取、上传用户的通讯录、短信、通话记录等信息,而有时候用户并不知情。
网络安全专家、绿盟科技副总裁李晨说,一些软件也会记录用户上网习惯,收集账号登录信息,甚至捆绑或植入其他软件。他认为,当前黑客技术门槛变低,窃取信息变得更加容易。与此同时,网络犯罪出现职业化的倾向,已经形成网络黑色产业链条,工具开发者、工具应用者和利用工具实施犯罪者都有明确的分工,形成了一套体系。
新技术成为双刃剑
2016年监测发现超过13万个联网摄像头存在漏洞
“因为网络服务升级,您所办理的宽带业务需要更新,收到信息及时联系专线4008162378办理变更申请……”家住北京的梁女士半年前办理了一个宽带套餐,这条信息让她差点信以为真。多亏她留了个心眼,向宽带公司电话咨询后才察觉这是一条诈骗短信。
尽管没有上当,梁女士还是疑惑不解:为什么对方知道我的真实姓名、手机号、家庭住址?这些信息为何被泄露了?
李佳说,一些掌握了大量用户个人信息的传统公司,如房产、中介、银行、保险、快递等,由于内部管理不严等原因,个人信息被偷偷售卖。
2015年之后,大数据技术开始进入实战应用阶段,在推进了不少行业和领域变革的同时,也对网络安全提出了新挑战。唐宁表示,在大数据、云计算等信息技术的支撑下,企业收集、保存、处理数据的成本大大降低。包括个人信息在内的数据只有通过流动、共享甚至交易才能充分发挥其社会价值、经济价值,而这些数据在流动和交易过程中,又极易产生个人信息扩散、失控的危险,个人隐私泄露的威胁将持续存在。
此外,随着物联网的兴起,个人在拥抱智能生活、享受便利的同时,也面临着越来越多的风险。《综述》显示,2016年针对物联网设备的网络攻击增多。2016年国家信息安全漏洞共享平台(CNVD)收录物联网智能设备漏洞1117个,主要涉及网络摄像头、智能路由器、智能网关等设备,漏洞类型主要为权限绕过、信息泄露、命令执行等。
“万物互联,使信息暴露更多端点,这就带来了潜在的隐患。且一些智能设备本身的防护能力比较薄弱,容易被攻击者利用漏洞获取设备控制权限,或用于用户信息数据窃取,或用于控制形成大规模僵尸网络。”李晨说。
李佳介绍说,国家互联网应急中心检测发现,目前物联网设备中各种智能摄像头的隐患最为严重。2016年,监测发现超过13万个联网摄像头存在漏洞,有被黑客入侵控制的风险。“这些摄像头未来都会连接互联网,一旦被黑客入侵,后者就可以远程查看摄像头拍摄的视频,可能导致个人信息的泄露。”
李晨认为,个人信息泄露之所以频发,很重要的原因是个人信息被暴露的环境和应用场景增加。网络犯罪是人类社会违法活动的网络化呈现,只要有利可图就难以从根本上杜绝。
剑指信息保护痛点
《网络安全法》规定,未经被收集者同意,不得向他人提供个人信息
窃取个人信息违法活动屡禁不止、打击黑客难度大的一个重要原因,是个人信息获取、存储和利用的环节更加复杂,线下和线上传播具有隐蔽性和复杂性。与此同时,追本溯源成本高,发现、查处难度大,处罚、赔偿力度小,也使贩卖及非法使用个人信息黑灰色产业链有了巨大的投机空间。
法律缺失也是个人信息违法活动猖獗的原因之一。在《网络安全法》出台之前,相关管理部门虽然制定并颁布了多个网络信息安全的规定和办法,但立法层级比较低,对一些网络安全违法行为界定不清晰,处罚力度不够,缺乏足够的威慑力。
据介绍,针对个人信息保护的痛点,《网络安全法》在信息收集使用、网络运营者应尽的保护义务等方面提出了明确要求。比如,网络运营者不得泄露、篡改、毁损其收集的个人信息,未经被收集者同意,不得向他人提供个人信息,但是经过处理无法识别特定个人且不能复原的除外。
针对取证难、追责难的困局,《网络安全法》还明确了网络信息安全的责任主体,确立了“谁收集,谁负责”的基本原则。
李佳说,保护个人信息,个人用户也要提高自身安全意识。如非必要,尽量不要在一些网站上提交个人信息;要访问正规的网站,避免被钓鱼网站骗取个人信息等。
网络安全管理部门和产业界则呼吁,建立协同处理安全风险的机制,快速响应并加强对安全态势的监测和感知。
国家互联网应急中心副主任刘欣然说,当前我国处理网络安全面临的问题主要体现在三方面:第一是注重自己的领域,行业沟通不足;第二是系统孤立,技术成果和能力难以共享;第三是在机制上缺乏标准,没有组织化和体系化。他建议,要尽快建立监测、研判、预警、处置和追踪的网络安全问题联合处置机制。
公开报道显示,2016年,全国公安机关共侦破网络侵犯公民个人信息案件数量2100多起,查获被侵害的公民个人信息500多亿条,抓获犯罪嫌疑人5000多人,其中属于各行业内部人员的达450多人。
非法获取公民个人信息日益猖獗,公民个人信息泄露途径日益复杂,治理形势日益严峻。不管如何,法律始终是一条底线,必须牢牢守住。对于侵犯公民个人信息犯罪,必须零容忍,依法从重处罚,以儆效尤。
在个人信息保护上,有了良法,还需要公民重视个人信息自我保护、市场对个人信息合理利用、政府部门加大个人信息保护力度。只有这样,才能保护公民权益、维护市场秩序乃至保障国家安全。
《中华人民共和国网络安全法》今天正式实施。其中,新的司法解释明确,非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息等个人敏感信息五十条以上的,即构成犯罪,处三年以下有期徒刑或者拘役。
法律并不能一劳永逸地解决所有问题。通过技术手段设立屏障、加强行业自律,发挥多元规则的作用,不断完善数字时代的文化环境与商业伦理,个人信息安全得到充分保障的未来才会更为可期。
近日,浙江松阳警方侦破一起特大侵犯公民个人信息案件,查获非法获取的各类公民个人信息7亿余条,共370余G的电子数据,抓获犯罪嫌疑人20名,其中查获2名入侵相关信息系统的网络黑客。
公诉机关指控覃某在2014年至2016年8月期间,利用自学互联网技术,在家中非法入侵网站,获取个人信息后贩卖,非法获利26万余元。
随着信息时代的来临,网络资源普及改变了我们的生活,既为我们带来了便利也为我们带来了问题。
昨日下午,十二届全国人大五次会议举行第二次全体会议,听取关于民法总则草案的说明。也就是说,在此前三审稿的“个人信息保护”条款基础上,草案新增了22个字:任何组织和个人应当确保依法取得的个人信息安全。
经查实,万年桥路培训机构负责人沈某,通过以前的同事关系于2016年6月初获取了4000余条学生个人信息;南雷路培训机构负责人徐某则于2014年5月花800元购买了纸质个人信息约10000条。
3月3日,安徽马鞍山市含山县公安局通报一起买卖公民个人信息案,涉及公民个人信息达1.25亿条,犯罪链条横跨全国数个省市,9名嫌疑人被抓获。
个人信息泄露严峻性不断升级,贩卖“黑市”日益猖獗。业内人士分析认为,数据大量来自“内鬼”和“黑客”渠道,建议有关部门及时从销售渠道端追查非法交易,遏制“黑产”泛滥。公民隐私被严重侵犯以及多行业个人信息数据非法暴露在互联网当中,反映了我国数据安全管理仍存在大量薄弱环节。
随着人们频繁使用快递,很多人担心自己的个人信息会暴露在包裹的面单纸上,记者了解到,快递行业目前已经开始使用一种“隐形面单”,上面不显示用户手机号和地址。
本报平顶山讯日前,平顶山警方侦破一起特大侵犯公民个人信息案,先后抓获19名犯罪嫌疑人。至此,专案组民警成功侦破了这起涉及公民个人信息1100余万条、非法获利350余万元的特大侵犯公民个人信息案,抓获犯罪嫌疑人19名,捣毁窝点7个,扣押作案电脑21台、手机25部、银行卡10张。
近日,重庆、上海、山西、沈阳、贵州、河南等30多个省市卫生和社保系统被曝出现大量高危漏洞。相关安全专家表示,“各省市目前发现的漏洞仅是冰山一角,被泄露个人信息的人数可能比我们想象的还要多”。