堵住個人信息被非法利用的漏洞
要注重從技術上、制度上,有效地防攻擊、防泄露、防竊取、防篡改、防非法使用。對于掌握海量數(shù)據(jù)的相關企業(yè)而言,守土有責是一份鄭重的承諾,要勇于肩負主體責任,從源頭堵住個人數(shù)據(jù)被非法利用的漏洞。
近日,有媒體報道“圓通速遞多位‘內(nèi)鬼’有償租借員工賬號,40萬條個人信息被泄露”一事,稱被泄露的信息中包括發(fā)件人地址、姓名、電話以及收件人電話、姓名、地址,被泄露的信息數(shù)量超過40萬條。11月17日,圓通速遞回應稱,調查發(fā)現(xiàn)疑似有加盟網(wǎng)點個別員工與外部不法分子勾結,利用員工賬號和第三方非法工具竊取運單信息,導致信息外泄。公司隨后向當?shù)毓膊块T報案,并全力配合調查,相關犯罪嫌疑人于9月落網(wǎng)。
用戶個人信息泄漏,是一個糾纏我們多年的老大難。該事件之所以短時間引爆輿論,一是恰逢雙11,正值收發(fā)快遞的高峰期,快遞信息泄漏牽涉無數(shù)用戶,自然讓公眾擔心隱私及權益保護問題。二是這次涉事快遞公司痛快地承認了隱私數(shù)據(jù)泄漏是因為公司存在“內(nèi)鬼”,而之前,不少涉事公司對于類似事件總是堅持“家丑不外揚”。此次“內(nèi)鬼”事件的曝光,再一次為相關企業(yè)內(nèi)部監(jiān)管漏洞、制度缺口敲響了警鐘。
此前據(jù)媒體統(tǒng)計,80% 以上的用戶個人數(shù)據(jù)泄露案件是由涉事企業(yè)“內(nèi)鬼”所為,黑客入侵竊取數(shù)據(jù)或者其他方式泄漏數(shù)據(jù)僅占不足20%。比如,很多人記得,2014年上海出現(xiàn)的新生嬰兒信息售賣案件,就是源于上海市疾病控制預防中心內(nèi)部工作人員竊取30萬余條新生嬰兒信息。
用戶個人信息存儲于涉事機構和企業(yè)內(nèi)部,只有少數(shù)內(nèi)部員工可以接觸到。無論這些機構和企業(yè)外部防護措施有多完善,一旦內(nèi)部“堡壘”出現(xiàn)裂痕、數(shù)據(jù)暴露,被少數(shù)利欲熏心的“內(nèi)鬼”利用,很容易導致用戶信息流向下游的售賣和犯罪產(chǎn)業(yè)鏈。
海量的用戶個人信息是不少企業(yè)發(fā)展壯大的重要資源。而對于用戶個人數(shù)據(jù)的保護,絕不能僅限于企業(yè)自我保護。相關工作應該納入企業(yè)安全生產(chǎn)的監(jiān)督管理之中,網(wǎng)信、工信、市場監(jiān)管等部門有必要建立跨部門的監(jiān)督、保護體系,把企業(yè)的外部防護措施、內(nèi)部自我約束制度提升到國家數(shù)據(jù)信息保護的戰(zhàn)略高度,讓企業(yè)涉及用戶個人數(shù)據(jù)安全的生產(chǎn)、經(jīng)營活動實時接受社會和公眾的監(jiān)督。
只有從源頭治理,才能最大程度避免下游衍生個人信息非法倒賣等活動。之前的相關案例也啟示我們,從內(nèi)生機制著手,嚴防“內(nèi)鬼”,筑牢風險防控的第一道關,才是事半功倍的辦法。
近年來我國在個人信息保護方面的立法,一步步對相關非法行為套上“緊箍”。如2017年6月1日起實施的《中華人民共和國網(wǎng)絡安全法》對收集、使用個人信息等行為都作出了原則性規(guī)定,要求任何人不得泄露、篡改、損毀個人信息,禁止獲取和交易個人信息等;2020年10月,十三屆全國人大常委會第二十二次會議審議個人信息保護法草案,明確了個人信息處理者的合規(guī)管理及其保障個人信息安全等義務,要求個人信息處理者按照規(guī)定制定內(nèi)部管理制度和操作規(guī)程,采取相應的安全技術措施等。
數(shù)字化時代,打擊網(wǎng)絡非法活動、保護個人信息安全,時刻不能松懈。相關部門要注重從技術上、制度上,有效地防攻擊、防泄露、防竊取、防篡改、防非法使用。對于掌握海量數(shù)據(jù)的相關企業(yè)而言,守土有責是一份鄭重的承諾,要勇于肩負主體責任,從源頭堵住個人數(shù)據(jù)被非法利用的漏洞。
工人日報-中工網(wǎng)評論員 張子諭