|
|---|
|
|
|
|
|
|
c******e
发帖数: 41 | 1 中消协的上述调查结果显示,个人信息泄露后,受访者会采取多种措施维护自身权益,
但最终有大约三分之一的受访者选择“自认倒霉”。这一方面可能是基于无力应对做出
的选择,另一方面也可能是应对无效后不得不接受现状。
“能力越大,责任越大。”这是许多互联网企业常标榜自我的一句话。作为用户个人信
息最直接的利用者和保护者,企业应该怎么弥补过去在这方面的欠账?
360网络安全响应中心负责人蔡玉光表示,数据泄露事件发生时,涉事企业要第一时间
开展事件应急处置,包括事件回溯和负责任的影响面评估等,也要及时对外披露各种进
展。而在安全事件发生前,应该开展渗透测试, 及时对有漏洞的网络服务“打补丁”
(修补网络安全漏洞)。
作为服务众多企业信息安全的一线技术专家,蔡玉光建议,其他企业可以从华住事件中
吸取教训,做好完整可靠的数据安全措施, 杜绝明文密码存储, “这样即便被黑也能
降低损失”;对用户数据交互点进行防御, 如注册登录点加验证码等二步验证方式,
增加不法分子“撞库”(通过收集互联网已泄露的用户和密码信息,尝试批量登陆其他
网站)攻击的成本。
不过,不同于技术问题,企业在个人信息管理方面“人的漏洞”,并不是通过“打补丁
”就可以解决的。
“我们研究过所有安全事件,最后归根到底天大的事件都是从攻击一个很小的终端开始
。”周鸿祎表示,在很多网络安全事件中,“人的漏洞”是很大的问题,即使病毒被检
测到,很多企业和机构依然不修补漏洞。
周鸿祎认为,企事业机构应该建立健全其内部网络安全制度,尤其重视涉及个人信息安
全的人员管理。他举例称,前段时间某省不动产登记中心遭到“WannaCry勒索病毒”攻
击,而此前许多安全厂商早已发布相关的漏洞补丁,但包括该中心在内的许多单位,依
然没有及时修补自身的网络安全漏洞。
“他不采取行动,确实我们也没有办法。”周鸿祎强调,相比病毒、黑客等攻击,“人
的漏洞”需要花费很多精力去修补,尤其是要建立健全企业自身的网络安全制度。
个人信息保护还需更多细则,改善“用户体验”
事实上,在个人信息保护方面还存在欠账不只是企业,还有制度层面。
在王渝伟看来,个人信息泄露事件频频发生,一方面显示出很多企业在技术、管理层面
仍然不能达到法律法规的要求,对数据泄露存在规避责任的侥幸心理;另一方面也说明
当前对这类个人信息泄露事件责任主体的监管力度和惩罚力度不到位,纵容了企业的这
种侥幸。
目前,我国已经出台一些规范性文件和推荐性标准,对App收集个人信息行为进行规范
和引导,但消费者普遍关心的惩戒手段、赔偿等问题仍然需要完善和细化。
针对个人信息保护的具体问题,中消协在上述报告中建议,进一步明确网络信息服务中
交易双方的权利和义务,严格准入门槛和登记备案,如对开发商资质的审核、App的登
记备案、App服务功能和内容的审查、违规惩罚机制各个环节等都应形成联动;严厉惩
处各类违法违规行为,严厉打击个人信息贩卖的黑色产业链;严密关注市场App发展态
势,如联合建立App抽查制度和黑名单制度,及时公示黑榜软件,提醒消费者谨慎下载。
公安部第三研究所信息网络安全法律研究中心主任黄道丽认为,当前的制度安排下,对
泄露个人信息的惩戒力度仍然较为薄弱,已知的司法案例也难有对用户支持的。虽然关
于这一问题的法律法规有很多,但执行力差,“用户体验差”,执法的效力没有监督评
价,特别是没有和最终的用户建立联系。
中国裁判文书网的数据显示,截至9月初,全国侵犯公民信息的刑事犯罪案例有3100多
起,而涉及隐私权纠纷的公民个人信息泄露的民事判例只有约20条。
在她看来,由于上述问题的存在,个人、企业和监管各方都维系着一种脆弱的平衡,一
旦出现信息安全事件,这种平衡就会打破,大家才会发现,原来网络安全法等法律针对
许多问题早有规定。
“如果从权宜之计上,可能迫切需要一些典型的司法案例,树立标杆和指引,让一线执
法部门认识到,确实可以按照网络安全法的规定释法和裁判。”她建议。 | q****9
发帖数: 33 | 2 ,个人信息泄露后,受访者会采取多种措施维护自身权益。 |
|
|
|
|
|
|
