【电商快评】网络安全法十大亮点解读 看信息泄露全貌
作者:admin 发表时间:2020-10-21 浏览:22 海淘动态
一、事件背景 6月1日起,《中华人民共和国网络安全法》正式施行,作为我国网络安全治理领域的基础性立法,首次在法律层面规定了个人信息保护的基本原则,明确指出,收集适用信息应经用户明示同意,不得收集无关信息,不得向他人提供个人信息,经过处理无法识别特定个人且不能复原的除外,不得非法出售个人信息。对此,中国电子商务研究中心对《网络安全法》以及信息泄露现状、如何防范进行解读。二、相关数据所谓个人信息包括两类,一类是姓名、住址等基本信息;另一类是账户、密码等交易类信息。随着互联网应用的普及和人们对互联网的依赖,互联网的安全问题也日益凸显。恶意程序、各类钓鱼和欺诈继续保持高速增长,同时黑客攻击和大规模的个人信息泄露事件频发,与各种网络攻击大幅增长相伴的,是大量网民个人信息的泄露与财产损失的不断增加。而在电商领域,由于用户在各大电商网站注册、购物导致的个人信息泄露事件时有发生,据中国电子商务投诉与维权公共平台受理的来自全国各地用户投诉案例显示,包括小红书、达令、当当网、携程在内的多家电商平台用户投诉比较集中,反映这些平台个人信息泄露问题较为突出。据中国电子商务研究中心(100EC.CN)此前对1000位用户在线调查显示,21.7%的用户曾因网购、论坛、微信等遭遇过信息泄露,并且11.2%的用户接到过疑似的诈骗电话;56.8%的用户表示对互联网信息安全担忧,并会对需要填写个人信息的互联网游戏,注册等保留一定的戒心,而仍有43.2%的用户认为互联网信息泄露与个人无关,不太关注。据中国电子商务投诉与维权公共服务平台(www.100ec.cn/zt/315/)近年来接到的类似用户投诉案例表明,近年来互联网/电商行业泄密事件频频出现,其重大典型的包括:5173中国网络服务网数次被盗钱、当当网多次用户账户遭盗刷、1号店员工内外勾结泄露客户信息、支付宝漏洞致用户信息泄露、如家、七天开房信息泄密、腾讯7000多万QQ群遭泄露、携程技术漏洞导致用户个人信息、银行卡信息等泄露、微信朋友圈小游戏窃取用户信息、快递单贩卖成灰色产业链、小米泄密门800万用户信息泄露、13万12306用户信息外泄事件等(详见【电商快评】50亿条公民信息泄露?为何信息泄露成常态?http://www.100ec.cn/detail--6392629.html)。另据中国互联网协会《中国网民权益保护调查报告2016》显示,近一年的时间,国内6.88亿网民因垃圾短信、诈骗信息、个人信息泄露等造成的经济损失估算达915亿元。54%的网民认为个人信息泄露情况严重,84%的网民曾亲身感受到因个人信息泄露带来的不良影响。据中国电子商务研究中心(100EC.CN)监测诸多案例获悉,绝大多数新型的网络骗术都与个人信息的泄漏有关,他们或者是充分利用已经窃取到的受害者个人信息实施网络诈骗,或者就是以受害者的个人信息为网络诈骗的攻击目标,个人信息的非法交易也恰恰是造成网络诈骗犯罪泛滥的根本原因。三、专家点评针对《网络安全法》的正式实施,长期跟踪研究电商、互联网用户权益保护的行业智库中国电子商务研究中心发表本快评,供参考。3.1《网络安全法》十大亮点中国电子商务研究中心特约研究员、上海汉盛律师事务所高级合伙人李旻律师认为:《网络安全法》有十大亮点。《网络安全法》的颁布,其立法本意是要在我国领域内推广安全可控的产品和服务。安全可控包含着三方面的意思,首先,在于产品的安全可控,即禁止网络服务提供者通过网络非法控制和操纵用户设备,损害用户对设备和系统的控制权;其次,在于数据的自主可控,即禁止网络服务提供者利用提供产品或服务的便利条件非法获取用户重要数据,损害用户对自己数据的控制权;第三,在于用户的选择可控,即禁止服务提供者利用用户对其产品和服务的依赖性,限制用户选择使用其他产品和服务,损害用户的网络安全和利益。亮点一:网络空间主权原则制度。《网络安全法》前所未有的提出了网络空间主权概念,丰富了我国享有的主权范围,其将网络空间主权视为是我国国家主权在网络空间中的自然延伸和表现。将网络空间的概念上升为国家主权,更有利于保障我国合法网络权益不受他国或国外组织的侵害。一切在我国网络空间领域内非法入侵、窃取、破坏计算机及其他服务设备或提供相关技术的行为,都将被视作是侵害我国国家主权的行为。亮点二:网络安全等级保护制度。《网络安全法》确立的网络安全等级保护制度将网络安全分为五个等级,随着级别的增高,国家信息安全监管部门介入的强度越大,以此对信息系统安全保护起到监督和检查。亮点三:实名认证制度。《网络安全法》规定了网络服务经营者、提供者及其他主体在与用户签订协议或者确认提供服务时应当采取实名认证制度,包括但不限于网络接入、域名注册、入网手续办理、为用户提供信息发布、即时通讯等服务。实务中,这一制度灵活性及可操作性较强,可采取前台匿名,后台实名的方式进行。但是,实名认证的工作必须落实到位,若不实行网络实名制的,则最高可对平台处以50万元的罚款。亮点四:关键信息基础设施运营者采购网络产品、服务的安全审查制度。《网络安全法》对提高我国关键信息基础设施安全可控水平提出了相关法律要求,并配套相继出台了《网络产品和服务安全审查办法(试行)》(该《办法》与《网络安全法》均于2017年6月1日起生效),明确了关系国家安全的网络和信息系统采购的重要网络产品和服务,对网络产品和服务的安全性、可控性应当经过网络安全审查。涉及国家安全、军事领域等产品及服务的采购,若可能影响国家安全的,应当经过国家安全审查。亮点五:安全认证检测制度。针对网络关键设备和网络安全专用产品,《网络安全法》规定应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。亮点六:重要数据强制本地存储制度。该制度主要调整的是关键信息基础设施运营者在搜集个人信息重要数据的合法性问题,规定了需要强制在本地进行数据存储。亮点七:境外数据传输审查评估制度。本地存储的数据若确属需要数据转移出境的,需要同时满足以下条件:1、经过安全评估认为不会危害国家安全和社会公共利益的;2、经个人信息主体同意的。另外,该制度还规定了一些法律拟制的情况,比如拨打国际电话、发送国际电子邮件、通过互联网跨境购物以及其他个人主动行为,均可视为已经取得了个人信息主体同意。亮点八:个人信息保护制度。《网络安全法》在如何更好的对个人信息进行保护这一问题上有了相当大的突破。它确立了网络运营者在收集、使用个人信息过程中的合法、正当、必要原则。形式上,进一步要求通过公开收集、使用规则,明示收集、使用信息的目的、方式和范围,经被收集者同意后方可收集和使用数据。另一方面,《网络安全法》加大了对网络诈骗等不法行为的打击力度,特别对网络诈骗严厉打击的相关内容,切中了个人信息泄露乱象的要害,充分体现了保护公民合法权利的立法原则。亮点九:个人信息流通制度。针对目前个人信息非法买卖、非法分享的社会乱象,《网络安全法》给出了一记重拳。规定了未经被收集者同意,网络运营者不得泄露、篡改、毁损其收集的个人信息的义务。但是,经过处理无法识别特定个人且不能复原的不在此列。这样的规定即杜绝了个人信息数据被非法滥用,又不影响网络经营者及管理者由于自身企业发展需要所面临的大数据分析问题。亮点十:网络通信管制制度。网络通信管制制度的确立目的是在发生重大事件的情况下,通过赋予政府行政介入的权力,牺牲部分通信自由权,来维护国家安全和社会公共秩序的制度。该做法是国际通行做法,例如在发生暴恐事件中,可切断不法分子的通联渠道,避免事态进一步恶化,保障用户的合法权益,维护社会稳定。但是这种管制影响是比较大的,因此《网络安全法》严谨地规定实施临时网络管制,需要经过国务院决定或者批准。一般来说,网络通信管制制度的实施是短时性的,一旦事件处置结束,政府会立即恢复正常通信,以尽可能小的对个人通信带来不便。3.2《网络安全法》的执行中国电子商务研究中心特约研究员、浙江垦丁律师事务所联合创始人麻策律师认为《网络安全法》的执行需企业配合,具体表现为:1、目前对于关键信息基础设施的运营者具体范围的认定已经显得十分的急迫,国务院应该尽快出台认定标准,如果配套法规将该定义扩大化和碎片化,会令人无所适从。2、在跨境电商迅速发展和一带一路战略布署等特殊历史背景下,个人信息出境问题也显得更为重要,虽然跨境电商交易可以直接视为消费者同意数据出境,但跨境电商公司仍应当尽快修订网站服务协议来获得消费者同意。3、个人信息出境适用的前提仍是必须先行符合信息收集使用三原则,即合法、必要和正当性,否则出境仍会隐藏风险。中国电子商务研究中心特约研究员、辽宁亚太律师事务所董毅智律师则认为《网络安全法》实施需权衡好安全与发展的关系:1、《网络安全法》是网络安全的基本法,为今后我国构建完整全面系统的网络安全法律体系奠定了基础。2、如何权衡安全与发展之间的关系,将是未来该法实施的重大挑战,我国互联网产业能够在国际上实现跨越式发展,实现弯道超车,确实因为前二十年相对宽松的监管环境,而今《网络安全法》实施必然会产生安全与发展的矛盾,如何寻找切好点,真正实现互联网安全的法治,需要一个长的周期去观察。3、呼吁强调执法问题,任何立法的最终价值体现在执法层面,如何顺应民意,在监管上实现高超的技术,利用互联网的特色,将是一个不断考量人性的弱点的历程,需要每个网民关注。3.3信息泄露的根源这么多的个人信息,究竟是如何泄露的?中国电子商务研究中心特约研究员、上海市信息安全行业协会专委会副主任张威认为,在线旅游网站平台上的用户数据泄露主要有以下几种方式:1)黑客利用平台存在的安全漏洞入侵网站,盗取用户数据库;网站内部工作人员倒卖用户信息;2)通过撞库攻击,窃取用户数据;3)利用钓鱼攻击窃取用户信息;通过木马、病毒窃取用户隐私信息。对于社交网络的个人信息泄露,张威表示现在对于社交网络的个人信息获取确实比较泛滥,利用人性的热点实现一些不道德的目的,很多人也因此上当受骗,最近协会碰到比较多的问题。这种危害广大网民了解较少,从而不太注意,防范意识比较差。一种是采集信息诈骗,类似此前朋友圈刷屏幕的星座性格测试这样的形式。通过看似有意思的互动活动,采集用户的真实信息,这些真实信息会和手机的IP和串号进行绑定,再通过针对性的策划进行诈骗。还有一种是假冒微信群或qq群对特定人群进行欺骗。最近上海的某家上市公司就碰到这种手法的社交欺诈,公司财务某日被拉进一个公司工作交流的微信群,群里都是公司员工(中国电子商务投诉与维权公共服务平台注明:实际为骗子马甲),在讨论日常的工作,突然有个他老板头像的人在群里跟他说有个项目需要他马上打款169万,让他去操作,因为真实性很高,所以他立即向指定账户进行了操作,到最后才发现上当受骗了,因为那个群里除了他,其实其他人都是骗子,核心在于给他营造了一种场景。而中国电子商务研究中心生活服务O2O部助理分析师陈礼腾表达了他对共享充电宝这一新型模式出现信息泄露的看法,利用共享充电宝盗取连接手机上的信息,从理论上说是可行的,这一安全隐患也确实存在。虽然还没有实际案例,但以前有媒体报道,有人借用别人的充电宝导致信息泄露,因此这一风险不容忽视。一般来说,共享充电宝企业不至于主动在向消费者提供的共享充电宝上安装窃取手机信息的装置,对企业来说,这种行为风险太大。但是在共享充电宝的3种模式中,除了类似‘小电’这种固定的模式,其他两种模式的共享充电宝都处于相对开放状态,谁都可以借了带走。这就有一个隐患,即不法分子可能先借来充电宝,然后拆开,在里面安装上那种特殊的芯片,再还回去,等着充电宝被下一个消费者借走,当其开始使用时,就可以植入木马了。共享充电宝应该和共享单车一样,有特殊的设计要求,比如采用全封闭的防拆设计,避免被不法分子打开改装,或者一旦被打开过,借用充电宝的消费者就能发现,从而避免使用。陈礼腾表示:就目前看来,虽然共享充电宝融资不断,但对于这种单一服务的未来发展还不能作出乐观评价。随着信息价值越来越重要以及消费者对信息安全的重视,如果不能处理好该风险,势必会对其发展产生负面影响。在中国电子商务研究中心主任曹磊看来,用户信息泄露有多种可能性途径,互联网信息泄露隐形风险重重。现在很多网民拥有多个账号,注册时网站一般都需要填写一些个人信息,如常见的账号、密码、邮箱等,有的网站甚至要实名认证。中国电子商务研究中心法律权益部分析师姚建芳总结了信息泄露的三种原因:即拥有个人信息资料的商业机构被外部窃取或内部泄露;技术漏洞所致,造成用户大量隐私内容曝光;用户个人由于信息保管不当,被不法分子获得等。要了解订单究竟从哪里泄露的,要看整个产业的流转情况。我们下单买一个东西,大体上要经过商家、电商平台、物流、最后到达用户手中,所以这四个环节都有可能产生订单信息泄露的问题。一、商家环节1、内部倒卖。内部员工倒卖订单数据分为两种情况,一种是内部员工行为,另一种则是黑产打入的行为。先说内部员工行为,一个小型商家对员工的录用,可想而之是个什么情况:不在乎学历,不在乎背景,只要有点经验即可,而且待遇也比较低,员工流动也大,因此面对一些诱惑,很容易去倒卖数据,卖了几批数据后就跑路换个其他公司接着做。还有一种是黑产打入,黑产直接派一些人去应聘,然后拿数据,也是干一阵就跑。2、木马病毒。商家的员工有时候会接待一些声称有大订单的人物,订单包括多种需求,所以会需要员工接收订单文件,又或者发给员工一个链接,而木马病毒就在这里了。木马和病毒会潜伏下来监控员工电脑操作,获取订单软件系统信息的帐号密码。3、三方工具后门。在线销售会需要一些系统的支撑,比如仓库管理、订单管理、面单打印等,市面上也有各种公司提供这一类软件,这种软件水平也参差不齐。有的直接就是黑产这种人开发的,目的就是窃取订单信息。还有的属于安全能力薄弱,有一些漏洞可以被利用,但是单一的某个软件漏洞还不够可怕,现在很多公司为商家提供一揽子服务,订单系统的服务器都在云上,一旦突破就是一个大群体订单泄露。4、弱口令。所谓弱口令并非是指123456这种,而是由于员工的流动性,离职后密码没有修改造成订单信息被窃取。5、无线与监听问题。很多公司都用的是小型家用无线路由器,这种路由器一是默认密码不修改,二是自身有漏洞。这样黑客就可以采用DNS中间人、网络监听流量等手段获取网络流量信息。这种情况下,改系统密码、上云服务其实都没有用处,但最重要的问题是难以发现。二、用户环节用户这里比较突出的是问题:账号被盗、木马病毒、钓鱼、无线。1、账号被盗。目前主要是撞库。撞库这个事情,稍微有点技术实力的电商都会用各种手段来防御,比如设备指纹、IP判定等防扫号。2、木马病毒。主要是手机端的比较突出。2014年下半年,我们发现接近70%的订单信息泄露是手机用户,调研受害用户发现在手机上确实存在安卓远控类软件,但种类十分繁多。建议在APP上增加了一些安全的功能,对其中一些数据做了特殊加密,对启动环境进行了判断。3、钓鱼。伪基站钓鱼是一种。另外是社工类的钓鱼,冒充客服打电话、兼职招聘收集用户信息等,其目的也主要是为了得到账号。4、无线。主要是伪热点收集信息。但是,通常用户不会理解这里的四类问题,第一反应就是将责任归于电商平台。会产生投诉,甚者会产生司法纠纷。所以对用户的投诉处理要慎重对待,某些特殊用户可能要先行赔偿,出现危机要有公关处理。三、物流环节物流端其实也和商户一样,但是结构上会简单一些。主要风险两个:1、内部倒卖。有倒卖系统数据的,但更多的是倒卖物流面单,倒卖物流订单的特点是地域化比较集中,通常是某个门店,所以很容易归类发现。而且主要集中在一些代理加盟的物流点,管理比较松散。2、系统漏洞。关于系统漏洞,几个大的物流公司都有出过问题,攻击者可以直接从系统上捞取物流海量商家和用户信息。对物流公司的泄露,一是宣传教育,二是专项打击,配合公安几轮打下来,他们就会引以为鉴。这里有一个判断因子,有些情况下,订单还没有到物流侧,用户就接到了诈骗电话,所以在调查的时候要问清楚。四、电商平台平台端碰到的问题主要分为两类,内鬼和系统漏洞。但内鬼里面最突出的问题是外包。1、内部员工作案。一个电商的业务系统,能够接触到用户订单的人实在太多,从客服到技术,到数据平台,前端等都有机会接触。内部员工的管控相对比较容易,一个是匿名化处理,所谓匿名化处理,就是对关键用户信息进行匿名或模糊处理,即使员工接触到也无法联系对方,或必须通过系统联系对方。再一个是操作监控,如果要偷拿订单信息,必然是批量化,而不是个别单一订单,从统计上就可以做一些规则预警。还有一个是加强警示教育,一旦发现,从重处理绝不姑息。内部员工作案的几率比较低,但一旦出事就是大事,所以这部分能够在自己掌控的地方要处理好。2、外包员工。外包员工的作案大家在媒体上也屡见不鲜,外包的应用系统开发、基础架构的维护、客服是这里需要重点看的问题。安全部门要介入外包管理,从最开始的立项就要保证外包无法接触到敏感数据。对外包除了在立项阶段,还进行现场调研,确定外包公司的环境能够满足我们对安全的要求,并且不定期抽查。3、自身的系统漏洞。一是主要漏洞:防扫号、SQL注入、越权/遍历问题、搜索引擎爬取,对这一类漏洞的防范,就看企业的基本功了,生产新上线的系统有没有经过代码审计、渗透和扫描。主站问题往往都比较重视,但有很多后台支撑系统,各种问题五花八门,当企业做大以后,后台支撑系统出的问题不比主站少,这就要清理回收支撑系统,该放在内网的收到内网,该关的关,该改的改。3.4互联网信息泄露责任如何界定?对于频频出现的互联网信息泄露,用户和企业均表示委屈,那么信息泄露责任究竟该如何界定,谁又该为信息泄露带来的经济损失买单?中国电子商务研究中心特约研究员、北京盈科(杭州)律师事务所方超强律师认为,电商平台在获取个人信息的同时,就有保护个人信息的义务。信息泄露存在不同的情况,如果电商平台提供了符合其规模的保护措施,但在这种情况之下还是被黑客入侵了系统,这种情况属于不可抗力,电商不用承担责任,但如果最终发现因平台存在漏洞而导致信息泄露,那么平台就要负责。若盗号者是利用技术手段从电商平台上盗取数据,获得相关账号密码,则需要进一步考虑电商平台在数据保密层面上技术保护水平是否足够高,有无明显漏洞;若一些初学者黑客也可以攻破平台的安全保护措施,可以认为平台没有给予与其规模相匹配的保护,这样的情况下可以认为平台存在漏洞,需要承担责任。根据《网络交易管理办法》第25条第二款规定:第三方交易平台经营者应当采取必要的技术手段和管理措施保证平台的正常运行,提供必要、可靠的交易环境和交易服务,维护网络交易秩序。方超强直言,在现实中很难有一个标准去判断什么叫做平台存在漏洞导致信息泄露,若消费者向法院投诉平台,平台只要举证证明其尽到了安全责任保护义务,就很难对平台进行追责。同时,对于消费者因为在不同电商平台使用相同的账号密码,以致遭到撞库盗号,所有账号密码一同被盗,造成自身重大损失,此类情形,应当由谁承担责任要视账号泄密的不同情况分而论之。而对于社交网络信息泄露,方超强认为社交网络信息泄露追溯案源难各地法院判例不一。社交网络信息泄露问题较为普遍,之前就代理过此类案件,也是财务被一个跟她老板一模一样的QQ诈骗了几十万,到目前刑事案件基本没进展。民事案件在处理过程中,各地法院判例不一,有以劳动争议判的,也有以一般民事财产损害判的,以劳动争议判的,员工承担责任一般不超过20%。这类欺诈案件实际办案过程确实很难,因为收款帐号都是马甲号,连帐号开户人自己也不知道。3.5如何防范、打击个人信息被泄露呢?信息泄露带来的危害毋庸置疑,那么如何保护用户的个人信息安全,对此,中国电子商务研究中心主任曹磊给出了如下四点建议:第一,网站用户信息泄露有多种可能性途径。现在许多APP、网站、公众号、小程序都需要用户注册账号后才能正常使用。因此,每个网民拥有多个账号是很平常的事情。在注册时,网站一般都需要填写一些个人信息,如常见的账号、密码、邮箱等,像一些电子商务、婚恋、交友网站等还需要实名认证,要求填写的信息更加详细。平台上的用户数据泄露主要有以下几种方式:黑客利用平台存在的安全漏洞入侵网站,盗取用户数据库;网站内部工作人员倒卖用户信息;通过撞库攻击,窃取用户数据;利用钓鱼攻击窃取用户信息;通过木马、病毒窃取用户隐私信息。第二,法律条文需细化,相关部门应适时介入。我国关于网络信息安全方面的法律条文不够明确,适用范围尚且不够精准,相关条文必须得到进一步细化、规范,以此更加公平公正地惩治网络信息安全事故的造成者,保护公民切身利益。此类信息泄露事件不适用不告不处理的的原则,相反,执法部门应主动积极介入案件调查,并对实施者进行追责处理。第三,信息安全无小事,用户必须增强信息保护意识。警惕要求重新输入账号信息,否则将停掉信用卡账号之类的邮件,不要回复或者点击邮件的链接,以免落入圈套。同时,避免开启来路不明的电子邮件及文件,安装杀毒软件并及时升级病毒知识库和操作系统补丁,将敏感信息输入隐私保护,打开个人防火墙。网络银行时,选择使用网络凭证及约定账户方式进行转账交易,不要在网吧、公用计算机上和不明的地下网站做在线交易或转账。不要在多个网站使用相同的注册账户名以及登录密码,防止网络黑客有意盗取,造成多个网站个人信息的连环失窃。第四,要求网站平台收集和使用用户信息应当遵循合法、正当、必要三原则。对收集到的用户信息应当采取安全保护措施,一旦发生泄密,必须及时采取补救措施,否则都可能面临行政处罚或者用户的诉讼。中国电子商务研究中心法律与权益部分析师姚建芳认为,保护个人信息,仅靠企业的技术手段远远不够,根据业界掌握的情况,很多互联网用户个人信息泄露事件都是一些企业内部员工泄露导致的,因此,企业加大对内部员工的管理、承接至关重要,还可以出台黑名单机制,各电商、互联网公司联网,一次犯罪、各家平台、乃至全行业永不录用!中国电子商务研究中心特约研究员、广州金鹏律师事务所合伙人詹朝霞律师直言,可以毫不夸张地说,违法成本低,法律监管缺失是泄密事件再三出现的根源。按照美国的法律,企业发生一次信息泄露事件就可能被罚得倾家荡产。遏制公民个人信息泄露不是一个群体努力就可以完成的事情,需要企业、用户和政府部门多方联手。作为企业应该多方面的保护用户的个人信息,防范泄露风险,通过各种技术手段屏蔽互联网黑客,窃取用户个人信息,同时加强对企业内部员工的管理。对于用户来说,应该提高保护个人信息安全意识,不主动外泄个人信息,在互联网账户上尽量使用复杂的密码,不要使用相同账户和密码,这样相对比较安全。完备的法律是保障个人信息的有力武器,只有法制和技术携手,个人信息保护的防火墙才能越筑越牢。》》更多信息泄露相关案例,详见电商3.15曝光台:www.100ec.cn/zt/315_qy/
部分图片内容来自于网友投稿
0/300
微博发布