近日,國內最大的多品牌酒店企業(yè)之一華住集團被曝大量用戶數據遭泄露。中國青年報·中青在線記者從華住方面獲悉,目前警方還在調查此事,最新進展以警方消息為準。
8月28日,網上曝出,網絡黑客通過“暗網”(存儲在網絡數據庫里、但不能通過超鏈接訪問的資源集合)中文論壇以8比特幣的價格出售約5億條華住旗下酒店的用戶數據,涉及1.3億人。當日,華住集團通過官方微博接連發(fā)布2份聲明,表示已經報警并且聘請專業(yè)技術公司核查此事。
9月4日,在2018年互聯網安全大會上,360公司董事長周鴻祎呼吁,對個人信息安全的關注和討論不該停止。“最近層出不窮的安全事件,讓我們很多人都沒有安全感。”“現在每次一發(fā)生(此類)事件,好像企業(yè)是受害者,其實應該(對其)問責。”
從“永恒之藍”勒索病毒全球爆發(fā),到Facebook用戶數據泄露,再到趣店被曝數百萬學生數據疑泄露......涉及隱私的用戶數據總是被不法分子盯上,有的企業(yè)對此束手無策,directadmin安裝,有的企業(yè)并未做好準備。
包含個人信息的用戶數據是許多企業(yè)發(fā)展新興業(yè)務的重要基礎,而不斷出現的個人信息泄露事件又在提醒:企業(yè)該如何真正將保護用戶個人信息的責任履行好?制度層面可以做出怎樣的安排?
1、一邊是個人信息頻頻泄露,一邊是個人數據過度收集
這并不是華住或其他酒店企業(yè)第一次出現用戶個人信息被泄露的事件。
早在2013年,華住集團旗下漢庭酒店就被曝出數據泄露,后來的調查發(fā)現,這是因為酒店所使用的WiFi管理和認證管理系統(tǒng)存在網絡安全漏洞,數據傳輸加密失效。
2017年,另一家酒店連鎖企業(yè)凱悅集團遭遇黑客攻擊,導致11個國家的41家凱悅酒店面臨數據泄露。同年,由于遭到黑客入侵,洲際酒店集團旗下超過1000家酒店發(fā)生用戶支付卡信息泄露的現象。
據《2018年中國大住宿業(yè)發(fā)展報告》,截至2017年年底,全國酒店類住宿業(yè)設施31萬家,每位住客入住酒店后,服務器租用 免備案服務器,包括其身份證件、電話號碼、房間號等在內的所有個人信息將會同步上傳至公安信息系統(tǒng)以及酒店內部的管理系統(tǒng)。按照公安部的要求,相關的開房記錄將被保留一定年限,以隨時備查。
雖然酒店行業(yè)所收集、存儲的數據規(guī)模巨大,而且其中有很多都是用戶的敏感隱私信息,但當前我國制度層面對此類事件的處罰還欠缺具體標準,而歐盟的《通用數據保護條例》(GDPR)則明確規(guī)定,對泄漏用戶數據的互聯網公司最高處罰其全球營業(yè)額的4%。
觀韜中茂(上海)律師事務所合伙人王渝偉表示,華住事件也反映了許多企業(yè)在保護用戶個人信息方面還有很多欠賬。如果此次事件確是由華住的程序員將數據庫連接方式上傳于GitHub用于交流而導致,那么說明其內部安全管理制度和操作規(guī)程存在紕漏,對于其程序員上傳數據庫連接方式的行為未做預防。
根據目前已知的各種信息,他認為,華住對包含大量個人信息的數據未做加密、脫敏等必要措施在內的安全處理,在數據泄露過程中,華住很可能也未采取恰當的補救措施來減少數據的泄露。
在大量用戶隱私信息被泄露、企業(yè)對此投入不足的同時,還有許多企業(yè)在通過互聯網不斷收集個人數據,甚至違規(guī)也在所不惜。
中國消費者協(xié)會于今年7月17日~8月13日開展的“App個人信息泄露情況”問卷調查結果顯示,經營者未經本人同意、擅自收集成個人信息泄露的主要途徑,約占調查總樣本的62.2%;網絡服務系統(tǒng)存有漏洞造成個人信息泄露57.4%。
而手機App在自身功能不必要的情況下,獲取用戶隱私權限的情況也比較嚴重,有67.2%的受訪者遇到這種情況,其中讀取位置信息權限、訪問聯系人權限是出現最多的情況,讀取通話記錄、讀取短信記錄、打開攝像頭、打開話筒錄音等權限也被過度要求授權。
2、技術可以“打補丁”,可怎么堵上“人的漏洞”
中消協(xié)的上述調查結果顯示,個人信息泄露后,受訪者會采取多種措施維護自身權益,但最終有大約三分之一的受訪者選擇“自認倒霉”。這一方面可能是基于無力應對做出的選擇,另一方面也可能是應對無效后不得不接受現狀。
“能力越大,責任越大。”這是許多互聯網企業(yè)常標榜自我的一句話。作為用戶個人信息最直接的利用者和保護者,企業(yè)應該怎么彌補過去在這方面的欠賬?
360網絡安全響應中心負責人蔡玉光表示,數據泄露事件發(fā)生時,涉事企業(yè)要第一時間開展事件應急處置,包括事件回溯和負責任的影響面評估等,也要及時對外披露各種進展。而在安全事件發(fā)生前,應該開展?jié)B透測試, 及時對有漏洞的網絡服務“打補丁”(修補網絡安全漏洞)。
