去年十二月,,國內知名的程序員網站,、IT技術社區(qū)CSDN的600多萬個注冊郵箱賬號和密碼數(shù)據庫被黑客在網上曝光,,并引發(fā)一系列的連鎖影響。聯(lián)系近年國內外的許多網站信息泄露事件,,網絡信息安全問題成為我們必須思考和重視的話題。
“我的QQ號被盜了,!”這是全國人大代表胡小燕在兩會召開前夕的遭遇,。網絡釣魚、黑客攻擊,、密碼泄露……近年來,,幾乎每次兩會都有代表委員呼吁立法保障網絡信息安全。全國人大常委會委員長吳邦國作全國人大常委會工作報告時明確指出,,完善網絡法律制度,,發(fā)展健康向上的網絡文化,維護公共利益和國家信息安全,。網民的個人信息前如何豎起一道法律屏障,?記者 裴鑫 攝 |
此次密碼泄露事件中,有一點可怕的是,,這些用戶密碼是以明文方式保存的,,即網站方面未采取任何加密安全措施,從而使這些被曝光的用戶密碼數(shù)據庫在網上被公開傳播,。雖然過去也有類似事件,,但此次流傳的范圍超出了以往的黑客技術圈界限,普通用戶也可通過數(shù)據包下載方式獲得網站泄露的用戶資料和密碼,。這無疑突破了用戶密碼這一個人數(shù)據與隱私的最基礎防線,,讓心懷不軌之不法之徒有可能竊取他人的個人數(shù)據。
而按照許多用戶的注冊密碼使用習慣(特別是早期上網的老用戶),,他們用一個注冊賬號(電子郵箱地址或個人ID)登錄多家網站,,包括門戶網站、電子郵件服務,、網絡銀行,、社交網站、游戲網站等,,并在多家網站同時使用相同密碼,。這種做法雖然簡單省事,易于操作,,但是在網絡安全泄密事件頻發(fā)的今天,,其風險程度令人堪憂。按竊密者操作路徑,他們會用這些公開密碼進入他人郵箱或其他網絡賬戶,,并舉一反三,,在獲取用戶多賬戶信息的同時進一步獲得用戶的聯(lián)系人信息,然后將這些信息轉讓,、出售或直接用其謀取利益,。
CSDN網站用戶信息被泄引發(fā)了國內多家網站的連鎖反應,許多著名門戶網站和商業(yè)網站未能幸免,。不僅如此,,一些政務網站也身陷“泄密門”。不久前,,有網友通過新浪微博發(fā)帖稱,,廣東省公安廳出入境政務服務網后臺存在漏洞,造成大范圍用戶數(shù)據泄露,,暴露的用戶申請資料高達440多萬條,,這些記錄包括用戶的出身年月、郵寄地址,、郵編,、電話、通行證件有效期,、出境事由等詳細信息,。
前段時間集中爆發(fā)的網站密碼泄密事件并非偶然,去年四月下旬,,電子游戲巨頭日本索尼公司的PS3,、PSP網絡平臺PSN因受到黑客攻擊而停止服務。事后索尼發(fā)出正式公告,,約7700萬用戶個人數(shù)據被盜,,包括用戶ID、住址,、電子郵箱地址,、出生日期、密碼,、登錄日志,、信用卡號碼等。事發(fā)后,,索尼向用戶支付了7000萬美元的賠償金,,但索尼對黑客的真實目的和攻擊策略仍不甚了了。
由于黑客攻擊導致用戶個人數(shù)據大規(guī)模泄露,,曾力主實行網絡實名制的韓國不得不提出分階段逐步廢止網絡用戶實名制,。此前,,韓國三大門戶網站之一的Nate和社交網站賽我網分別外泄了3500萬多名用戶的個人數(shù)據。這起韓國歷史上影響最大的網絡安全事件所泄露的用戶信息非常詳盡,,包括用戶名,、本人姓名、生日,、電話號碼、住址,、網站密碼和身份證號碼,,范圍之廣,幾乎涉及韓國所有網民,,并很有可能引發(fā)垃圾電郵和電信詐騙等衍生犯罪活動,。
信息技術的高速發(fā)展和互聯(lián)網的迅速普及給網絡安全帶來了日益嚴重的挑戰(zhàn),也對信息安全相關法律及其監(jiān)管提出了新的課題,。
網絡用戶的密碼其實是一種口令(Password),,它與用戶其他個人信息組合成為個人數(shù)據,它不是專業(yè)意義上的密碼,。但它的認證,、保管與使用也需要相應的密碼技術與密碼產品(如網絡銀行使用的U盾)。所以二者是密不可分的,。
目前我國關于信息系統(tǒng)安全的相關法律和法規(guī)有:《中華人民共和國計算機信息系統(tǒng)安全保護條例》,、《商用密碼管理條例》、《信息安全等級保護管理辦法》,,以及修改后的刑法與其他法規(guī)的相應條款,。其中,《商用密碼管理條例》規(guī)定了商用密碼的科研,、生產,、管理和銷售具體辦法,其中第二十三規(guī)定:泄露商用密碼技術秘密,、非法攻擊商用密碼或者利用商用密碼從事危害國家的安全和利益的活動,,情節(jié)嚴重,構成犯罪的,,依法追究刑事責任,。
2007年,公安部,、國家密碼管理局,、國家保密局和國務院信息辦公布了《信息安全等級保護管理辦法》(以下簡稱辦法),該辦法對信息安全保護的基本思路是:國家通過統(tǒng)一的信息安全等級保護管理規(guī)范和技術標準,,組織公民,、法人和其他組織對信息系統(tǒng)分等級地實行安全保護,,并對等級保護工作的實施進行監(jiān)督、管理,。
信息系統(tǒng)的安全保護等級的確定依據主要有兩條:一是根據它在國家安全,、經濟建設、社會生活中的重要程度,;二是系統(tǒng)一旦遭到破壞,,它對國家安全、社會秩序,、公共利益以及公民,、法人和其他組織合法權益的危害程度。據此,,辦法將我國信息系統(tǒng)共分為五個等級,。第一級是指信息系統(tǒng)被破壞后,會對公民,、法人和其他組織的合法權益造成損害,,但不損害國家安全、社會秩序和公共利益,。第二級指信息系統(tǒng)受到破壞后,,會對公民、法人和其他組織的合法權益產生嚴重損害,,或者對社會秩序和公共利益造成損害,,但不損害國家安全。第三級,、第四級分別指信息系統(tǒng)受破壞后,,會對社會秩序和公共利益造成嚴重損害,或對國家安全造成損害,;會對社會秩序和公共利益造成特別嚴重損害,,或對國家安全造成嚴重損害。等級最高的第五級是信息系統(tǒng)受破壞后,,會對國家安全造成特別嚴重損害,。
近年來,由于智能手機,、移動互聯(lián)網,、社交網絡、微博,、即時通訊軟件等新技術的突飛猛進,,互聯(lián)網已成為一個跨平臺的超級信息系統(tǒng)。然而,,按照傳統(tǒng)的等級保護管理規(guī)定,,國內許多內容服務商,、門戶網站、社區(qū)網站,、游戲網站最多屬于第一級或第二級保護范圍,,而對這兩級監(jiān)管的法律規(guī)定是“依據國家有關管理規(guī)范和技術標準進行保護,國家信息安全監(jiān)管部門對其安全等級保護工作進行指導,�,!逼浔Wo等級明顯低于第三、四,、五級,。
技術發(fā)展在給人們帶來便利的同時也帶來了潛在的危險。今天,,黑客和其他網絡犯罪行為的門檻越來越低了,并不需要高深的計算機專業(yè)知識,。有時,,一個菜鳥級新手,只要稍加搜索和學習,,就能從網上方便地獲得大量資源和工具,,同時還能輕而易舉地找到同道和犯罪同伙。黑客的組織化,、社區(qū)化,、匿名化和國際化已經成為新趨勢。這些人通過社區(qū),、QQ群和各種即時通訊工具在第一時間互相切磋,,破解用戶密碼并盜取資料,且用戶數(shù)據買賣銷售已成為相當具有規(guī)模的固定產業(yè)鏈,。雖然黑客社區(qū)聯(lián)系松散,,甚至彼此從未謀面,尚不知對方是男是女,,但利益鏈條將他們捆綁在一起,。與商業(yè)網站的被動安全措施相比,由于利益驅動和貪欲渴望,,這些人無時無刻地在尋找網站的安全漏洞,,期待從中找出發(fā)財機會。
相比之下,,商業(yè)網站,、各種社交網站的安全維護并不能給網站帶來直接經濟利益。許多網絡服務商,、內容提供商對安全的投入嚴重不足,,從筆者接觸的研究資料看,,除排名前百名的大型網站外,國內鮮見有專門安全團隊的商業(yè)網站,。政府的政務網站也存在大量安全漏洞,,一些政府網站被輕易篡改或掛馬。據國家互聯(lián)網應急中心監(jiān)測報告顯示,,2011年6月的某一周,,國內僅網頁被篡改的網站就有660個,其中政府網站105個,。其中包括6個省部級網站,,還有25個地市級政府網站。
為應對網絡安全的挑戰(zhàn),,可以從完善法律體系和行政監(jiān)管,、行業(yè)組織協(xié)調和網站加強自律責任等方面入手,當然用戶也需要提高風險防范意識,。
幾年前,,國務院信息產業(yè)主管部門曾起草過《信息安全條例》,但迄今未有下文,。面對日益嚴重的網絡安全威脅,,應當有一部層級較高、操作性強的信息安全綜合法規(guī),,以便為信息安全的法律監(jiān)管提供法律依據,,同時,應強調行業(yè)組織的自律與企業(yè)自律,,鼓勵企業(yè)提升安全保護措施,。
對個人數(shù)據的保護,國外有代表性的保護模式是歐盟與美國,。歐盟有統(tǒng)一的個人數(shù)據保護法,,在電子商務、電子政務方面擁有大量標準規(guī)范,,歐盟各成員國必須遵守,。美國模式則強調發(fā)揮商業(yè)企業(yè)的創(chuàng)新精神,但政府也不是無為而治,。上個月,,奧巴馬行政當局就提出了網絡隱私保護準則,旨在幫助消費者控制網絡搜索對個人隱私的損害,。新的隱私保護法律要求網絡企業(yè)必須為用戶提供一健式點擊或觸摸的告知程序,,讓用戶決定他們是否愿意自己的個人數(shù)據被追蹤。美國國會也將起草有關個人數(shù)據搜集和使用的監(jiān)控法案,,一旦通過,,谷歌,、微軟、蘋果和其他瀏覽器制造商都必須遵守相關法律,。
從發(fā)生泄密的源頭看,,近來幾大事件均發(fā)源于網站服務端。對此,,處于客戶端的用戶是心有余而力不可及,。因為用戶一旦與網站簽約(成為網站用戶,無論是否活躍),,他的個人數(shù)據就處于本人不可控的狀態(tài),。因此,網站的個人數(shù)據保護責任是不可推卸的,。
按照《侵權責任法》法定侵權要件和合同法的契約精神,,無論是作為企業(yè)還是作為合同簽約一方,網絡服務商都有責任保護用戶數(shù)據安全,。但許多企業(yè)不是視而不見,,就是在格式合同中用含糊其辭的條款弱化自己責任,這極不公平,,更違反了網絡企業(yè)的法定義務。
在保護用戶個人數(shù)據方面,,網絡服務商,、運營商應當恪守以下義務:
一、個人數(shù)據安全風險提示義務:服務商應當向用戶說明提交個人數(shù)據的潛在風險,,并做出保護個人數(shù)據的安全承諾,。
二、個人數(shù)據用途說明義務:網站應說明用戶數(shù)據的具體用途,,說明這些數(shù)據是否與第三方分享,,或是否可能向第三方轉讓。
三,、保護用戶個人數(shù)據安全的義務,。
四、安全措施說明義務,。
五,、發(fā)生數(shù)據泄漏后的告知、救濟義務,。如即時通知用戶修改密碼,,損害實際發(fā)生后的補救措施等相關善后事務。
普通網民也需要提高風險風范意識,,網民自身需要做好下列事項:
用戶應當對自己的密碼進行分類保管,。在預見損害后果的基礎上按照風險等級將密碼分類,,比如網絡銀行密碼、支付網站密碼,、電子郵件密碼,、即時通訊密碼、社區(qū)網站密碼等,。如實在有困難,,可退而求其次,將網絡銀行和支付工具密碼列為首位,,將娛樂網站和社交網站放在較次要地位,。
密碼應盡量使用數(shù)字與字母組合,并力求避免生日密碼或普通排列數(shù)字密碼,。
有些網民從不用網銀,,也不用支付工具,他們覺得這樣就可以高枕無憂了,,其實并不盡然,。黑客可能用批量掃描方式獲取郵箱密碼和你的聯(lián)系人信息,下一步,,無孔不入的營銷公司和詐騙團伙會盯上你的社交圈子和朋友,。
網絡信息安全是一場永遠不會完結的貓捉老鼠游戲,我們每個人都置身其中,,無法逃避,。