去年十二月,國(guó)內(nèi)知名的程序員網(wǎng)站、IT技術(shù)社區(qū)CSDN的600多萬(wàn)個(gè)注冊(cè)郵箱賬號(hào)和密碼數(shù)據(jù)庫(kù)被黑客在網(wǎng)上曝光,并引發(fā)一系列的連鎖影響。聯(lián)系近年國(guó)內(nèi)外的許多網(wǎng)站信息泄露事件,網(wǎng)絡(luò)信息安全問(wèn)題成為我們必須思考和重視的話題。
“我的QQ號(hào)被盜了!”這是全國(guó)人大代表胡小燕在兩會(huì)召開(kāi)前夕的遭遇。網(wǎng)絡(luò)釣魚、黑客攻擊、密碼泄露……近年來(lái),幾乎每次兩會(huì)都有代表委員呼吁立法保障網(wǎng)絡(luò)信息安全。全國(guó)人大常委會(huì)委員長(zhǎng)吳邦國(guó)作全國(guó)人大常委會(huì)工作報(bào)告時(shí)明確指出,完善網(wǎng)絡(luò)法律制度,發(fā)展健康向上的網(wǎng)絡(luò)文化,維護(hù)公共利益和國(guó)家信息安全。網(wǎng)民的個(gè)人信息前如何豎起一道法律屏障?記者 裴鑫 攝 |
| |
國(guó)內(nèi)外的“泄密門”成為嚴(yán)重挑戰(zhàn) |
此次密碼泄露事件中,有一點(diǎn)可怕的是,這些用戶密碼是以明文方式保存的,即網(wǎng)站方面未采取任何加密安全措施,從而使這些被曝光的用戶密碼數(shù)據(jù)庫(kù)在網(wǎng)上被公開(kāi)傳播。雖然過(guò)去也有類似事件,但此次流傳的范圍超出了以往的黑客技術(shù)圈界限,普通用戶也可通過(guò)數(shù)據(jù)包下載方式獲得網(wǎng)站泄露的用戶資料和密碼。這無(wú)疑突破了用戶密碼這一個(gè)人數(shù)據(jù)與隱私的最基礎(chǔ)防線,讓心懷不軌之不法之徒有可能竊取他人的個(gè)人數(shù)據(jù)。
而按照許多用戶的注冊(cè)密碼使用習(xí)慣(特別是早期上網(wǎng)的老用戶),他們用一個(gè)注冊(cè)賬號(hào)(電子郵箱地址或個(gè)人ID)登錄多家網(wǎng)站,包括門戶網(wǎng)站、電子郵件服務(wù)、網(wǎng)絡(luò)銀行、社交網(wǎng)站、游戲網(wǎng)站等,并在多家網(wǎng)站同時(shí)使用相同密碼。這種做法雖然簡(jiǎn)單省事,易于操作,但是在網(wǎng)絡(luò)安全泄密事件頻發(fā)的今天,其風(fēng)險(xiǎn)程度令人堪憂。按竊密者操作路徑,他們會(huì)用這些公開(kāi)密碼進(jìn)入他人郵箱或其他網(wǎng)絡(luò)賬戶,并舉一反三,在獲取用戶多賬戶信息的同時(shí)進(jìn)一步獲得用戶的聯(lián)系人信息,然后將這些信息轉(zhuǎn)讓、出售或直接用其謀取利益。
CSDN網(wǎng)站用戶信息被泄引發(fā)了國(guó)內(nèi)多家網(wǎng)站的連鎖反應(yīng),許多著名門戶網(wǎng)站和商業(yè)網(wǎng)站未能幸免。不僅如此,一些政務(wù)網(wǎng)站也身陷“泄密門”。不久前,有網(wǎng)友通過(guò)新浪微博發(fā)帖稱,廣東省公安廳出入境政務(wù)服務(wù)網(wǎng)后臺(tái)存在漏洞,造成大范圍用戶數(shù)據(jù)泄露,暴露的用戶申請(qǐng)資料高達(dá)440多萬(wàn)條,這些記錄包括用戶的出身年月、郵寄地址、郵編、電話、通行證件有效期、出境事由等詳細(xì)信息。
前段時(shí)間集中爆發(fā)的網(wǎng)站密碼泄密事件并非偶然,去年四月下旬,電子游戲巨頭日本索尼公司的PS3、PSP網(wǎng)絡(luò)平臺(tái)PSN因受到黑客攻擊而停止服務(wù)。事后索尼發(fā)出正式公告,約7700萬(wàn)用戶個(gè)人數(shù)據(jù)被盜,包括用戶ID、住址、電子郵箱地址、出生日期、密碼、登錄日志、信用卡號(hào)碼等。事發(fā)后,索尼向用戶支付了7000萬(wàn)美元的賠償金,但索尼對(duì)黑客的真實(shí)目的和攻擊策略仍不甚了了。
由于黑客攻擊導(dǎo)致用戶個(gè)人數(shù)據(jù)大規(guī)模泄露,曾力主實(shí)行網(wǎng)絡(luò)實(shí)名制的韓國(guó)不得不提出分階段逐步廢止網(wǎng)絡(luò)用戶實(shí)名制。此前,韓國(guó)三大門戶網(wǎng)站之一的Nate和社交網(wǎng)站賽我網(wǎng)分別外泄了3500萬(wàn)多名用戶的個(gè)人數(shù)據(jù)。這起韓國(guó)歷史上影響最大的網(wǎng)絡(luò)安全事件所泄露的用戶信息非常詳盡,包括用戶名、本人姓名、生日、電話號(hào)碼、住址、網(wǎng)站密碼和身份證號(hào)碼,范圍之廣,幾乎涉及韓國(guó)所有網(wǎng)民,并很有可能引發(fā)垃圾電郵和電信詐騙等衍生犯罪活動(dòng)。
信息技術(shù)的高速發(fā)展和互聯(lián)網(wǎng)的迅速普及給網(wǎng)絡(luò)安全帶來(lái)了日益嚴(yán)重的挑戰(zhàn),也對(duì)信息安全相關(guān)法律及其監(jiān)管提出了新的課題。
網(wǎng)絡(luò)用戶的密碼其實(shí)是一種口令(Password),它與用戶其他個(gè)人信息組合成為個(gè)人數(shù)據(jù),它不是專業(yè)意義上的密碼。但它的認(rèn)證、保管與使用也需要相應(yīng)的密碼技術(shù)與密碼產(chǎn)品(如網(wǎng)絡(luò)銀行使用的U盾)。所以二者是密不可分的。
目前我國(guó)關(guān)于信息系統(tǒng)安全的相關(guān)法律和法規(guī)有:《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《商用密碼管理?xiàng)l例》、《信息安全等級(jí)保護(hù)管理辦法》,以及修改后的刑法與其他法規(guī)的相應(yīng)條款。其中,《商用密碼管理?xiàng)l例》規(guī)定了商用密碼的科研、生產(chǎn)、管理和銷售具體辦法,其中第二十三規(guī)定:泄露商用密碼技術(shù)秘密、非法攻擊商用密碼或者利用商用密碼從事危害國(guó)家的安全和利益的活動(dòng),情節(jié)嚴(yán)重,構(gòu)成犯罪的,依法追究刑事責(zé)任。
2007年,公安部、國(guó)家密碼管理局、國(guó)家保密局和國(guó)務(wù)院信息辦公布了《信息安全等級(jí)保護(hù)管理辦法》(以下簡(jiǎn)稱辦法),該辦法對(duì)信息安全保護(hù)的基本思路是:國(guó)家通過(guò)統(tǒng)一的信息安全等級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn),組織公民、法人和其他組織對(duì)信息系統(tǒng)分等級(jí)地實(shí)行安全保護(hù),并對(duì)等級(jí)保護(hù)工作的實(shí)施進(jìn)行監(jiān)督、管理。
信息系統(tǒng)的安全保護(hù)等級(jí)的確定依據(jù)主要有兩條:一是根據(jù)它在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度;二是系統(tǒng)一旦遭到破壞,它對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織合法權(quán)益的危害程度。據(jù)此,辦法將我國(guó)信息系統(tǒng)共分為五個(gè)等級(jí)。第一級(jí)是指信息系統(tǒng)被破壞后,會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害,但不損害國(guó)家安全、社會(huì)秩序和公共利益。第二級(jí)指信息系統(tǒng)受到破壞后,會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害,或者對(duì)社會(huì)秩序和公共利益造成損害,但不損害國(guó)家安全。第三級(jí)、第四級(jí)分別指信息系統(tǒng)受破壞后,會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害,或?qū)?guó)家安全造成損害;會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害,或?qū)?guó)家安全造成嚴(yán)重?fù)p害。等級(jí)最高的第五級(jí)是信息系統(tǒng)受破壞后,會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重?fù)p害。
近年來(lái),由于智能手機(jī)、移動(dòng)互聯(lián)網(wǎng)、社交網(wǎng)絡(luò)、微博、即時(shí)通訊軟件等新技術(shù)的突飛猛進(jìn),互聯(lián)網(wǎng)已成為一個(gè)跨平臺(tái)的超級(jí)信息系統(tǒng)。然而,按照傳統(tǒng)的等級(jí)保護(hù)管理規(guī)定,國(guó)內(nèi)許多內(nèi)容服務(wù)商、門戶網(wǎng)站、社區(qū)網(wǎng)站、游戲網(wǎng)站最多屬于第一級(jí)或第二級(jí)保護(hù)范圍,而對(duì)這兩級(jí)監(jiān)管的法律規(guī)定是“依據(jù)國(guó)家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù),國(guó)家信息安全監(jiān)管部門對(duì)其安全等級(jí)保護(hù)工作進(jìn)行指導(dǎo)。”其保護(hù)等級(jí)明顯低于第三、四、五級(jí)。
技術(shù)發(fā)展在給人們帶來(lái)便利的同時(shí)也帶來(lái)了潛在的危險(xiǎn)。今天,黑客和其他網(wǎng)絡(luò)犯罪行為的門檻越來(lái)越低了,并不需要高深的計(jì)算機(jī)專業(yè)知識(shí)。有時(shí),一個(gè)菜鳥(niǎo)級(jí)新手,只要稍加搜索和學(xué)習(xí),就能從網(wǎng)上方便地獲得大量資源和工具,同時(shí)還能輕而易舉地找到同道和犯罪同伙。黑客的組織化、社區(qū)化、匿名化和國(guó)際化已經(jīng)成為新趨勢(shì)。這些人通過(guò)社區(qū)、QQ群和各種即時(shí)通訊工具在第一時(shí)間互相切磋,破解用戶密碼并盜取資料,且用戶數(shù)據(jù)買賣銷售已成為相當(dāng)具有規(guī)模的固定產(chǎn)業(yè)鏈。雖然黑客社區(qū)聯(lián)系松散,甚至彼此從未謀面,尚不知對(duì)方是男是女,但利益鏈條將他們捆綁在一起。與商業(yè)網(wǎng)站的被動(dòng)安全措施相比,由于利益驅(qū)動(dòng)和貪欲渴望,這些人無(wú)時(shí)無(wú)刻地在尋找網(wǎng)站的安全漏洞,期待從中找出發(fā)財(cái)機(jī)會(huì)。
相比之下,商業(yè)網(wǎng)站、各種社交網(wǎng)站的安全維護(hù)并不能給網(wǎng)站帶來(lái)直接經(jīng)濟(jì)利益。許多網(wǎng)絡(luò)服務(wù)商、內(nèi)容提供商對(duì)安全的投入嚴(yán)重不足,從筆者接觸的研究資料看,除排名前百名的大型網(wǎng)站外,國(guó)內(nèi)鮮見(jiàn)有專門安全團(tuán)隊(duì)的商業(yè)網(wǎng)站。政府的政務(wù)網(wǎng)站也存在大量安全漏洞,一些政府網(wǎng)站被輕易篡改或掛馬。據(jù)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心監(jiān)測(cè)報(bào)告顯示,2011年6月的某一周,國(guó)內(nèi)僅網(wǎng)頁(yè)被篡改的網(wǎng)站就有660個(gè),其中政府網(wǎng)站105個(gè)。其中包括6個(gè)省部級(jí)網(wǎng)站,還有25個(gè)地市級(jí)政府網(wǎng)站。
為應(yīng)對(duì)網(wǎng)絡(luò)安全的挑戰(zhàn),可以從完善法律體系和行政監(jiān)管、行業(yè)組織協(xié)調(diào)和網(wǎng)站加強(qiáng)自律責(zé)任等方面入手,當(dāng)然用戶也需要提高風(fēng)險(xiǎn)防范意識(shí)。
幾年前,國(guó)務(wù)院信息產(chǎn)業(yè)主管部門曾起草過(guò)《信息安全條例》,但迄今未有下文。面對(duì)日益嚴(yán)重的網(wǎng)絡(luò)安全威脅,應(yīng)當(dāng)有一部層級(jí)較高、操作性強(qiáng)的信息安全綜合法規(guī),以便為信息安全的法律監(jiān)管提供法律依據(jù),同時(shí),應(yīng)強(qiáng)調(diào)行業(yè)組織的自律與企業(yè)自律,鼓勵(lì)企業(yè)提升安全保護(hù)措施。
對(duì)個(gè)人數(shù)據(jù)的保護(hù),國(guó)外有代表性的保護(hù)模式是歐盟與美國(guó)。歐盟有統(tǒng)一的個(gè)人數(shù)據(jù)保護(hù)法,在電子商務(wù)、電子政務(wù)方面擁有大量標(biāo)準(zhǔn)規(guī)范,歐盟各成員國(guó)必須遵守。美國(guó)模式則強(qiáng)調(diào)發(fā)揮商業(yè)企業(yè)的創(chuàng)新精神,但政府也不是無(wú)為而治。上個(gè)月,奧巴馬行政當(dāng)局就提出了網(wǎng)絡(luò)隱私保護(hù)準(zhǔn)則,旨在幫助消費(fèi)者控制網(wǎng)絡(luò)搜索對(duì)個(gè)人隱私的損害。新的隱私保護(hù)法律要求網(wǎng)絡(luò)企業(yè)必須為用戶提供一健式點(diǎn)擊或觸摸的告知程序,讓用戶決定他們是否愿意自己的個(gè)人數(shù)據(jù)被追蹤。美國(guó)國(guó)會(huì)也將起草有關(guān)個(gè)人數(shù)據(jù)搜集和使用的監(jiān)控法案,一旦通過(guò),谷歌、微軟、蘋果和其他瀏覽器制造商都必須遵守相關(guān)法律。
從發(fā)生泄密的源頭看,近來(lái)幾大事件均發(fā)源于網(wǎng)站服務(wù)端。對(duì)此,處于客戶端的用戶是心有余而力不可及。因?yàn)橛脩粢坏┡c網(wǎng)站簽約(成為網(wǎng)站用戶,無(wú)論是否活躍),他的個(gè)人數(shù)據(jù)就處于本人不可控的狀態(tài)。因此,網(wǎng)站的個(gè)人數(shù)據(jù)保護(hù)責(zé)任是不可推卸的。
按照《侵權(quán)責(zé)任法》法定侵權(quán)要件和合同法的契約精神,無(wú)論是作為企業(yè)還是作為合同簽約一方,網(wǎng)絡(luò)服務(wù)商都有責(zé)任保護(hù)用戶數(shù)據(jù)安全。但許多企業(yè)不是視而不見(jiàn),就是在格式合同中用含糊其辭的條款弱化自己責(zé)任,這極不公平,更違反了網(wǎng)絡(luò)企業(yè)的法定義務(wù)。
在保護(hù)用戶個(gè)人數(shù)據(jù)方面,網(wǎng)絡(luò)服務(wù)商、運(yùn)營(yíng)商應(yīng)當(dāng)恪守以下義務(wù):
一、個(gè)人數(shù)據(jù)安全風(fēng)險(xiǎn)提示義務(wù):服務(wù)商應(yīng)當(dāng)向用戶說(shuō)明提交個(gè)人數(shù)據(jù)的潛在風(fēng)險(xiǎn),并做出保護(hù)個(gè)人數(shù)據(jù)的安全承諾。
二、個(gè)人數(shù)據(jù)用途說(shuō)明義務(wù):網(wǎng)站應(yīng)說(shuō)明用戶數(shù)據(jù)的具體用途,說(shuō)明這些數(shù)據(jù)是否與第三方分享,或是否可能向第三方轉(zhuǎn)讓。
三、保護(hù)用戶個(gè)人數(shù)據(jù)安全的義務(wù)。
四、安全措施說(shuō)明義務(wù)。
五、發(fā)生數(shù)據(jù)泄漏后的告知、救濟(jì)義務(wù)。如即時(shí)通知用戶修改密碼,損害實(shí)際發(fā)生后的補(bǔ)救措施等相關(guān)善后事務(wù)。
普通網(wǎng)民也需要提高風(fēng)險(xiǎn)風(fēng)范意識(shí),網(wǎng)民自身需要做好下列事項(xiàng):
用戶應(yīng)當(dāng)對(duì)自己的密碼進(jìn)行分類保管。在預(yù)見(jiàn)損害后果的基礎(chǔ)上按照風(fēng)險(xiǎn)等級(jí)將密碼分類,比如網(wǎng)絡(luò)銀行密碼、支付網(wǎng)站密碼、電子郵件密碼、即時(shí)通訊密碼、社區(qū)網(wǎng)站密碼等。如實(shí)在有困難,可退而求其次,將網(wǎng)絡(luò)銀行和支付工具密碼列為首位,將娛樂(lè)網(wǎng)站和社交網(wǎng)站放在較次要地位。
密碼應(yīng)盡量使用數(shù)字與字母組合,并力求避免生日密碼或普通排列數(shù)字密碼。
有些網(wǎng)民從不用網(wǎng)銀,也不用支付工具,他們覺(jué)得這樣就可以高枕無(wú)憂了,其實(shí)并不盡然。黑客可能用批量掃描方式獲取郵箱密碼和你的聯(lián)系人信息,下一步,無(wú)孔不入的營(yíng)銷公司和詐騙團(tuán)伙會(huì)盯上你的社交圈子和朋友。
網(wǎng)絡(luò)信息安全是一場(chǎng)永遠(yuǎn)不會(huì)完結(jié)的貓捉老鼠游戲,我們每個(gè)人都置身其中,無(wú)法逃避。