“很多人的手機號碼泄露了��,根據微博賬號就能查到手機號……”,3月19日���,默安科技創(chuàng)始人兼CTO��、微博名為“@安全_云舒”的用戶發(fā)博表示(相關微博已刪除)���。
一石激起千層浪,輿論迅速發(fā)酵��。隨后�����,有媒體爆出�,3月5日,國內的一些安全公司通過監(jiān)控�,發(fā)現(xiàn)暗網[1]上有人發(fā)布了一則名為“5.38億微博用戶綁定手機號數據,其中1.72億有賬號基本信息”的交易信息����,售價1,388美元。該賣家稱�����,這些信息“均為2019年年中左右抓取”,并給出了400條綁定手機號以及1500條賬號基本信息的測試數據����。經安全專業(yè)人士驗證,部分測試數據屬實��。
對于此次“微博數據泄露”事件�����,微博CEO王高飛稱是“2014年以前網易那次撞庫[2] 的”�。
而微博安全總監(jiān)羅詩堯則解釋稱����,此次泄露的手機號是“2019年通過通訊錄上傳接口被暴力匹配的,其余公開信息都是網上抓來的”(相關微博已刪除)��。
隨后�,微博進一步表示,此次數據泄露應追溯至2018年底���。當時�,有用戶通過微博相關接口通過批量手機批量上傳通訊錄����,匹配出幾百萬個賬號昵稱����,再加上通過其他渠道獲取的信息一起對外出售�����。
微博還強調�,微博一直有提供根據通訊錄手機號查詢微博好友昵稱的服務,但不提供用戶性別和身份證號等信息����,也沒有“根據用戶昵稱查手機號”的服務。因此這起數據泄露不涉及身份證�、密碼,對微博服務沒有影響���。
微博做出多番回應后����,最終被工信部約談�����。3月21日,“針對媒體報道的新浪微博因用戶查詢接口被惡意調用導致App數據泄露問題”����,工信部網絡安全管理局對微博相關負責人進行了問詢約談,要求其進一步采取有效措施�����,消除數據安全隱患:
盡快完善隱私政策�,規(guī)范用戶個人信息收集使用行為;
加強用戶信息分類分級保護�,強化用戶查詢接口風險控制等安全保護策略;
加強企業(yè)內部數據安全管理����,定期及新業(yè)務上線前要開展數據安全合規(guī)性自評估��,及時防范數據安全風險��;
在發(fā)生重大數據安全事件時���,及時告知用戶并向主管部門報告��。
[1]暗網:互聯(lián)網是一個多層結構�,“表層網”處于互聯(lián)網的表層,能夠通過標準搜索引擎進行訪問瀏覽��。藏在“表層網”之下的被稱為“深網”����,而“暗網”通常被認為是“深網”的一個子集,普通用戶無法通過常規(guī)互聯(lián)網手段搜索和訪問���。
[2]撞庫:黑客通過收集互聯(lián)網已泄露的用戶和密碼信息�,生成對應的字典表����,嘗試批量登陸其他網站后,得到一系列可以登錄的用戶���。很多用戶在不同網站使用的是相同的賬號密碼�����,因此黑客可以通過獲取用戶在A網站的賬戶從而嘗試登錄B網址���,這就可以理解為撞庫攻擊。
按照微博方面的說法,這次數據泄露事件是有人順著非法竊取的用戶手機號調用了微博數據��,其自身也是受害者�����。但對于用戶來說�,沿著手機號就可以調用微博數據,作為微博平臺����,顯然也難辭其咎。尤其是在如今平臺經濟發(fā)展如火如荼的情況下��,對于海量的用戶數據�,任何一點安全問題,都可能造成不可估量的損失�。
下面,筆者就工信部對微博提出的四點要求�����,結合《中華人民共和國網絡安全法》��、《App違法違規(guī)收集使用個人信息行為認定方法》�����、《信息安全技術個人信息安全規(guī)范》等法規(guī)文件���,分享企業(yè)如何加強數據安全管理���,謹守合規(guī)底線,為用戶個人信息上好“安全鎖”��。
“用戶個人信息”一般指能夠單獨或者與其他信息結合識別用戶身份��、反映用戶活動情況或涉及用戶個人隱私的信息����。企業(yè)收集用戶個人信息,應遵循合法�����、正當����、必要的原則。
一方面�,企業(yè)應按照“最小必要”的要求,僅收集與實現(xiàn)產品或服務的業(yè)務功能有直接關聯(lián)的信息。如果涉及自動采集或間接獲取用戶個人信息���,要注意以實現(xiàn)業(yè)務功能所必需的最低頻率和最少數量進行���。
另一方面,企業(yè)應以通俗易懂����、簡單明了的方式向用戶展示個人信息收集使用規(guī)則,通過“彈窗”提示用戶閱讀隱私政策等明顯方式�,明示收集使用個人信息的目的、方式和范圍等��,并經用戶同意��。在提供多項需收集個人信息的業(yè)務功能時���,要讓用戶分別自主選擇��。默認勾選同意隱私政策����,在用戶明確表示不同意后頻繁征求同意����、干擾正常使用,或捆綁多項業(yè)務功能����、強迫用戶一次性授權等,都會被視為違法違規(guī)���。
此外�����,企業(yè)還應向用戶提供撤回收集����、使用個人信息授權同意的方法����,充分保障用戶的知情權和選擇權。
企業(yè)可以根據業(yè)務收集用戶個人信息的屬性和類型特征���,結合相關法律法規(guī)���、行業(yè)標準等�����,對收集到的信息進行分類���,如分為以下3類:
用戶身份和鑒權信息:能夠單獨或與其他信息結合,對用戶身份進行識別�,或代替用戶身份屬性使用的虛擬身份信息,也包括用于驗證身份的鑒權相關信息�。
用戶數據和服務內容信息:企業(yè)提供服務過程中收集的具有用戶隱私屬性的數據和內容信息。
用戶服務相關信息:企業(yè)提供服務過程中收集的服務使用情況及服務相關輔助類信息���。
對于不同類別的信息����,企業(yè)可根據用戶個人信息的敏感性���,實施分級管理����,按照相應的級別對用戶個人信息的收集���、使用提供不同的保護機制��。如將用戶個人信息保護級別由低到高劃分為以下1-5級:
表:用戶個人信息分類及對應保護級別示例
其中�����,對于第5級的用戶個人信息��,企業(yè)應實施嚴格的技術和管理措施���,建立嚴格的信息安全管理規(guī)范以及實時監(jiān)控預警機制,保證信息的機密��、完整�、安全,如:制定信息收集�����、生成�、存儲、使用�����、傳輸和銷毀等全生命周期的安全管理規(guī)范���,以及內部數據審批流程及制度等。而對于第1級的用戶個人信息����,企業(yè)需要實施基本的技術和管理措施����,確保信息訪問控制安全��,如:采取必要的訪問控制措施等。
企業(yè)可以從組織建設����、制度流程等方面入手,加強數據安全管理���,提升企業(yè)網絡數據安全風險防范能力�����。
在組織建設方面��,企業(yè)應加強內部的數據安全組織保障����,明確“一把手”對數據安全的全面領導責任�����,為相關工作提供人力、財力、物力保障;同時���,明確數據安全管理相關部門和責任人�����,督促協(xié)調企業(yè)內部各相關主體和環(huán)節(jié)嚴格落實各項數據安全保護措施�����。此外,企業(yè)還要定期或當發(fā)生重大變化時��,組織開展法律法規(guī)�、知識技能等培訓與考核�����,確保數據安全相關崗位人員熟練掌握數據安全保護政策和相關規(guī)程���。
在制度流程方面,企業(yè)應及時跟進外部監(jiān)管要求�,制定、完善相關數據安全管理制度,建立重要數據全生命周期的保護制度��、數據跨境傳輸安全制度�、組織發(fā)生變更時的數據管控制度���、第三方產品或服務的接入管理制度����、安全風險評估管理制度等。在鞏固深化已上線業(yè)務定期核查機制的基礎上�,著重建立完善新技術��、新業(yè)務上線前的評估機制��,從用戶個人信息保護�����、網絡安全防護��、網絡信息安全��、建立健全相關管理制度等方面開展安全評估,并形成書面報告�����。
企業(yè)應當建立針對數據的安全事件響應體系���,完善各類安全事件的響應和處置管理���。
首先��,企業(yè)需要在明確數據安全管理相關部門的基礎上,進一步設立專職崗位負責數據安全事件管理和應急響應。如果無法設立專職崗位���,應事先明確數據安全事件相關責任人�。同時�����,企業(yè)應根據監(jiān)管要求和業(yè)務需要����,清晰定義數據安全事件類型�����,明確不同類型事件的處置流程和方法�,制定數據安全應急預案����,并定期組織應急演練。
在數據安全事件發(fā)生后,企業(yè)應立即啟動應急預案��,及時記錄事件內容��,包括:發(fā)現(xiàn)事件的人員�����、時間����、地點�����,涉及的數據類型及數量�,可能產生問題的系統(tǒng)名稱,以及對其他相關系統(tǒng)的影響等���。在充分評估安全事件可能造成的影響后��,企業(yè)應采取必要措施控制事態(tài)�����,消除隱患�,并注意保存證據,根據規(guī)定及時將事件內容��、可能影響�����、已采取或將要采取的處置措施���、企業(yè)相關人員聯(lián)系方式等上報有關主管部門����。
如果數據安全事件可能嚴重損害用戶合法權益��,如發(fā)生個人敏感信息泄露等����,企業(yè)還應及時將事件相關情況通過短信、郵件���、電話���、推送通知等方式告知用戶��,難以逐一告知時���,要采取合理、有效的方式發(fā)布與公眾有關的警示信息�����,向用戶提供補救措施以及自主降低風險的建議����。
隨著越來越多的企業(yè)上線上云���,包含用戶個人信息在內的網絡數據安全問題已不容小覷��,一旦發(fā)生安全事件�,不僅會為企業(yè)造成經濟��、聲譽損失����,還有可能會使企業(yè)受到監(jiān)管處罰。因此���,企業(yè)應在業(yè)務“跑起來”之前�����,就樹立起安全思維����,明確數據安全相關組織體系,制定�、完善相關管理制度和應急預案,規(guī)范收集���、使用�、存儲��、銷毀數據�,從而使企業(yè)贏得用戶信賴,健康����、長遠發(fā)展。
(源:銳思商學院��;素材源:南方都市報����、澎湃新聞)
