本文轉自【央視新聞客戶端】;
新聞1+1丨圓通內鬼洩露40萬條個人信息,信息洩露頻發 究竟有沒有辦法?
數據化時代,大家一方面欣喜於給生活帶來的便利和智能,另外一方面同樣在擔心個人信息的洩露。尤其是這兩年隨著各種大數據應用的普及,人們的擔心甚至已經在逐步超過「欣喜」,平臺、機構信息洩露的事件,經常出現在我們眼前。17日,圓通速遞公司回應稱,其內部員工與不法分子勾結,致40萬條公民個人信息被洩露。儘管事件中的犯罪嫌疑人已經歸案,但這起事件又給我們的個人信息保護敲響了警鐘,而對於這起事件的看法,以及對於個人信息被洩露的看法,還是挺耐人尋味。
17日早間,圓通速遞在官方微博發文稱:公司注意到,近日有媒體報導經公司報案、公安機關破獲的非法獲取並使用快遞運單信息的案件。
圓通速遞稱,今年7月底,公司總部實時運行的風控系統監測到圓通速遞河北省區下屬網點有兩個帳號存在非該網點運單信息的異常查詢,判斷為明顯的異常操作,於第一時間關閉風險帳號,同時立即成立由質控、安保、信息中心、網管以及河北省區組成的調查組,對此事件開展取證調查,隨後向當地公安部門報案。
新聞1+1聯繫了偵辦此案的專案組,河北省邯鄲市公安局反詐中心以及邯鄲市永年區公安局,證實此案確是由圓通速遞發現並報案的。
河北邯鄲市永年區公安局反詐中心中隊長 王求東:這個案子是今年8月份,圓通公司的河北這邊安全部的人,找到我們公安局報告稱,他們一個帳號在異地登錄異常,懷疑這個號被人利用,登錄了,然後非法獲取公民信息過來報案。
今天,圓通快遞公司在對此事件的回應中表示:通過公司調查發現,疑似有加盟網點個別員工與外部不法分子勾結,利用員工帳號和第三方非法工具竊取運單信息,導致信息外洩。
河北邯鄲市永年區公安局反詐中心中隊長 王求東:犯罪的手段就是這個嫌疑人他們租用圓通公司的公號,然後登錄去裡邊篩選這個收件人或寄件人的信息,他們整理出來以後,他們再整理然後販賣出去,給實施電信詐騙的犯罪分子,他們就是一個涉嫌的罪名就是侵犯公民個人信息的,他們是這個環節的犯罪。
經過警方一個多月的偵查,最終查獲了圓通公司共5名員工,以每天500元的價格外租了自己的員工帳號,造成了40多萬條個人信息洩露。
河北邯鄲市永年區公安局反詐中心中隊長 王求東:這五個帳號總共流出的信息量,有效的信息量是45000條。有的外租的時間長,有的外租時間短,最長是7天的,最短的就1天,那麼五個號我們統計的有效是45000條。這45000條裡邊,就是45000個人有可能是被電信詐騙實施的一個人,其中一個受害者。
被洩露的45000條信息中,包含了發件人地址、姓名、電話以及收件人電話、姓名地址共六個部分。而根據盜取個人信息的犯罪團夥供述,這些信息將被以每條一元的價格,打包賣到全國及東南亞等電信詐騙高發區。
據了解,這已不是圓通速遞第一次遭遇客戶信息洩露。早在2013年就有媒體曝光,有近百萬條圓通快遞單個人信息不僅可在網絡上購買到,單號數據信息還能24小時刷新。
圓通速遞客服通過微博發布道歉聲明。圓通速遞表示,網上銷售訂單信息的主要原因,在於個別網絡銷售商家,需要虛假的交易信息,來提高他的網店的信用等級,而網上倒賣信息的發生,也顯示出公司內部管理還需要加強。
今天,圓通速遞也表示,此次案件再次敲響了信息安全風險的警鐘,並對此案件暴露的問題深表歉意。
信息洩露,平臺監管太過寬容嗎?
媒體報導圓通公司有五名員工涉及,下午我們的記者從警方獲得的信息是,這五名中有兩名發現帳戶異常登錄後及時修改了密碼,沒有直接造成損失,所以沒有採取刑事措施,目前採取刑事措施的是3名圓通速遞的員工。另外,這次信息的洩露,是圓通速遞在日常監測中發現並且主動報案的,但這依然不能推卸該有的監管責任。
中國社科院法學研究所副所長 周漢華:現有的相關法律法規,包括刑法修正之後,有一條「拒不履行信息網絡安全管理義務罪」,其中有一項具體行為是「致使用戶信息洩露,造成嚴重後果的」,所以相關執法部門其實應該跟進。包括在2013年之後,是否責令圓通進行整改,它採取了哪些整改措施?那五個帳號被出賣之後,就能有40萬的信息洩露,內部管理上其實已經存在非常嚴重的問題。所以,行政執法部門,包括刑事執法部門都應該跟進,「拒不履行信息網絡安全管理義務罪」,這個武器是要用的,否則這樣的事情就會層出不窮。
中國社科院法學研究所副所長周漢華:按照侵犯公民個人信息罪的司法解釋,非法獲取、出售或者提供公民不同類型個人信息50條、500條、5000條都可以構成刑事責任,所以本次事件中洩露的40萬用戶的4.5萬餘條絕對有效信息是很多的。
中國社科院法學研究所副所長周漢華:在網絡時代,往往個人信息都是海量的。公安部去年破獲的一起案件裡涉及到的個人信息達50億條;在美國的Equifax徵信公司,一次洩露了1.35億條美國公民的個人徵信信息;雅虎郵箱有一次洩露5億條公民個人信息,另外一次是30億條。所以在這個時代,其實每個人的個人信息都面臨非常大的風險。40萬條的快遞信息,它的含量比較大,它包含了發件人地址、姓名、電話以及收件人、電話、姓名、地址,還會包括身份證信息、用戶偏好等,這些對於大數據分析非常有價值,快遞單信息一直是違法犯罪分子盯得比較緊的地方。
中國社科院法學研究所副所長 周漢華:國際上現在對於個人信息保護面臨一個問題,到底是打「蒼蠅」還是打「老虎」?「蒼蠅」往往是中下遊的,像今天這個案子裡這5個員工就屬於是「蒼蠅」。但平臺、大公司就是「老虎」。如果要真正要解決個人信息濫用的問題,不打「老虎」是沒有用的,所以國際上都是打「老虎」。「蒼蠅」當然也要打,但是打「蒼蠅」更多是通過治安管理處罰,通過治安管理的法律,包括追究刑事責任等。侵犯公民個人信息罪當中的50條、500條、5000條的標準,對於自然人來說是構成刑事責任了,但對於「大老虎」來說,這個是不夠的。
如果說你的密碼、你的手機號、地址等等被洩露,被獲取,自己還有可修改的空間的話,那麼對於個人生物信息的獲取,這可是更強程度上的一種對個人信息的獲取,這一兩年,人臉識別、聲音識別,被運用的越來越多,該怎麼保障安全?
「人臉識別第一案」
隨著刷臉時代的到來,當人們享受著刷臉帶來的行動支付、酒店入住、車站機場安檢、智能安防等領域的便捷同時,也有一些人在清醒地從另一個角度思考刷臉的安全性。
郭兵,浙江理工大學特聘副教授,多年來致力於研究個人信息保護的法律問題。同時,他還有另外一個身份一一「國內人臉識別第一案」主訴人。去年,他因杭州野生動物世界年卡由指紋識別「強制」升級為「刷臉」入園,將杭州野生動物世界訴至法院。
浙江理工大學特聘副教授 郭兵:作為一個關注個人信息保護的學者,我認為像動物園這樣一個商業組織,如果在沒有徵得遊客或者消費者的知情同意的情況下,你擅自使用人臉識別技術,肯定是涉嫌違法的,除了在徵得消費者的同意之外,我認為還應當告知消費者使用的目的和風險,讓消費者真正知情。
目前,該案還在審理中。 事實上,郭兵所在的杭州市對人臉識別的風險和法律屬性也在進行探索。10月28日,《杭州市物業管理條例(修訂草案)》被提請至杭州市第十三屆人大常委會第三十次會議審議,已進入二審階段。
在「修訂草案」中新增且明確了物業服務人不得強制業主通過指紋、人臉識別等生物信息方式使用共用設施設備。而這一條款的由來,同樣也是源於郭兵。
10月9日,他在杭州市司法局組織的 「修訂草案」立法聽證會上陳述了自己對於人臉識別進小區的建議。
浙江理工大學特聘副教授 郭兵:我是真的希望後面立法能夠精細化一些,能夠更多的防範到刷臉風險,因為我們現在個人信息洩露,有點類似我們現在網絡空間的汙染,我是非常認同,我們對於個人信息的保護是一定不能走像以前我們治理環境汙染的,先汙染後治理的策略,生物識別信息一旦後面廣泛洩露,它跟環境治理完全不一樣,真的是很難把後果控制住的。
如果這份修訂草案審議通過,《杭州市物業管理條例》將成為國內首部對小區人臉識別納入物業管理的法定條例。
杭州市司法局副局長 曹佃杭:我覺得立法的話,應該有一定的前瞻性,不能等問題爆發了我們再去規範立法,這樣做的話他的管理成本非常大,而且難度會成倍的增長,我們的條例並沒有否定物業公司,不能採用刷臉系統,也就是說允許刷臉系統進行關聯、管理,但是必須要爭得業主的同意,就說如果經過業主的同意的話仍然可以採集他的人臉,生物信息,但是如果業主不願意的話,那麼不能強行去採集業主的生物信息,應該允許他用卡或者其他的方式,進入小區。
從首個訴訟到首次進入地方規範,意味著以指紋、人臉、聲紋、虹膜等為代表的個人生物識別信息的應用和保護已經越來越迫切。
除了人臉識別,手機因為開放權限導致疑似被監聽,也已經成為公眾的另一個困擾。
手機用戶 劉倩:我跟同事聊寶寶的事情,給寶寶辦理證件的一些問題,我的購物軟體和瀏覽器會給我推寶寶證件套這類商品,但是我甚至沒有上網搜過寶寶證件這些,我感覺挺恐怖的。
手機用戶 苑慶攀:我跟朋友說椰棗,然後過了一天我就在某App刷到了關於椰棗的推薦的視頻。 我就覺得很驚訝,我說你怎麼可能,對吧?我除了說,沒有任何搜索記錄,你這就給我推薦呢。
中國社科院法學研究所副所長 周漢華:在國外也出現過類似被監聽事件,也算是醜聞。這對個人的隱私,甚至對個人的人身和財產安全都帶來很大挑戰。有一些APP是必須要用麥克風,因為有通話功能,但很多APP其實沒有通話功能,比如一些閱讀的APP,它也來調取你的麥克風,這個情況下就需要法律介入,必須要有合理的業務上的需要才能調取,否則不應該調取麥克風。
中國社科院法學研究所副所長 周漢華:這個必須得有監管機構來進行判斷。很多APP都覺得自己需要調用很多個人信息,不然無法提供服務,實際上很多時候它說的是沒有道理的。比如一個閱讀軟體,只提供文字方面的服務,那根本不需要麥克風。即使真的需要麥克風,也不是永遠都需要,可能只是你需要時才能調用,你不需要時就應該尊重用戶的選擇,不能讓它永遠給你開著。
個人信息保護,法律如何起作用?
這些簡單的問卷,是2020年上半年,人臉識別技術應用安全調研課題組發布的一份線上問卷,共有 2萬多人參加,這組數據至少可以反應出公眾對於人臉識別應用的一個基本態度方向。
中國社科院法學研究所副所長 周漢華:其實現在國際上已經對人臉識別問題討論得非常多了,很多主體現在已經意識到人臉識別所帶來的後果。像美國舊金山,明確規定禁止人臉識別。在其他領域,微軟做出了對人臉識別的一些準則性要求,在什麼情況下來進行人臉識別等。由於現在進入4G、5G時代,它是一個視頻的時代,這時人臉的使用面越來越廣,帶來的風險就前所未有。因為人臉是沒法換的,如果是密碼還可以換,甚至地址也可以換,車也可以換,但是人臉換不了。所以這個損害一旦造成,是無法挽回的。這就需要在立法中,在執法中把這個作為重中之重來加以保護。
一方面是技術和市場的發展,有市場需求,也有高科技發展需求,另外一方面,是人們對於自身信息安全方面更深層次的擔心。不是說這兩者一定對立,只能選其一,而是當有了技術的發展之後,技術該怎麼適度運用,要有明確的紅線界限,技術運用的前提,一定是安全。 技術需要發展,但前提應該是安全,尤其是涉及到個人隱私、個人信息,我們希望法律和監管,能夠在未來真正起到作用,保護我們每一個人的隱私。