由來
2013年10月22日,有報導稱,圓通快遞公司內部有人批量出售快遞單信息,幾乎可以做到實時更新。“只要快遞單信息進入電腦,他們就可以獲取。”報導驗證了所購“單號”中,姓名、電話、住址等信息均屬實。圓通快遞公司22日晚間發表聲明稱,不法分子倒賣圓通快遞公司的快件信息,公司對受影響的客戶深表歉意,此訊息一報導,立刻引來社會的一片譁然,由此揭開了個人信息泄露路徑的冰山一角......
道來
圓通快遞等等公司泄露個人信息給我們敲響了警鐘,其實,這種狀況在我們的日常生活中隨處可見,比如:酒店住宿記錄、航班搭乘記錄、信用卡辦理記錄、行動電話號碼辦理記錄、房屋中介記錄,甚至商場活動填寫的問卷調查等,都是個人信息泄露的途徑。如今,每個人的姓名、電話、住址、電子郵件地址、商品或服務的消費信息等,也正面臨著“多渠道、全方位”的泄露風險。
路徑
個人信息泄露的四大途徑
研究發現,人為倒賣信息、手機泄露、PC電腦感染、網站漏洞是目前個人信息泄露的四大途徑。
一是人為因素,即掌握了信息的公司、機構員工主動倒賣信息。
案例 :
據《北京晚報》報導,2015年3月份,6名在京的教育培訓機構員工因非法買賣大量學生及家長個人信息,總計多達200餘萬條,涉嫌非法獲取公民個人信息罪,當庭受審並認罪。
被告人之一楊某高中文化,今年25歲,從內蒙古鄂倫春來京打工。據他稱,2011年他到一家教育培訓機構上班,發現公司掌握大量家長信息,就偷偷拷貝了一些準備出售。楊某先後在至少3家此類機構乾過,獲取學生及家長個人信息總計200多萬條。楊某在網上分批出售信息,共獲利1萬餘元,平均每條信息5厘錢。
另一名被告徐某,今年37歲,碩士文化,因2011年創業開公司需招收學員,正好收到一條稱有學生家長數據的簡訊,經聯繫後,便花了2000元從楊某手中獲取了理工大附屬國小等海淀7所國小學生家長的信息。之後他找簡訊代發公司,以每條5分錢大批量群發垃圾簡訊,每年能增加25%的招生量。同時,他加價到2萬元的價格將部分信息賣給同行。
二是通過手機泄露的信息。主要有以下幾條途徑:
手機中了木馬;
使用了黑客的釣魚WiFi,或者是自家WiFi被蹭網;
手機雲服務賬號被盜(弱密碼或撞庫或服務商漏洞等各種方式);
擁有隱私許可權的APP廠商伺服器被黑客拖庫;
通過偽基站簡訊等途徑訪問了釣魚網站,導致重要的賬號密碼泄露;
使用了惡意充電寶等黑客攻擊設備;
GSM制式網路被黑客監聽簡訊。
1.手機中了木馬;
2.使用了黑客的釣魚WiFi,或者是自家WiFi被蹭網;
3.手機雲服務賬號被盜(弱密碼或撞庫或服務商漏洞等各種方式);
4.擁有隱私許可權的APP廠商伺服器被黑客拖庫;
5.通過偽基站簡訊等途徑訪問了釣魚網站,導致重要的賬號密碼泄露;
6.使用了惡意充電寶等黑客攻擊設備;
7.GSM制式網路被黑客監聽簡訊。
三是電腦感染了病毒木馬等惡意軟體,造成個人信息泄露。
網民在享受網際網路來的便利、快捷功能的同時,不經意間感染了病毒木馬等惡意軟體,造成個人隱私、重要信息泄露。如輕信假淘寶、假機票等購物被騙。
四是攻擊者利用網站漏洞,入侵了保存信息的資料庫。
從2014年網站安全的攻防實踐來看,網站攻擊與漏洞利用正在向批量化,規模化方向發展。網站安全直接關係到大量的個人信息數據、商業機密、財產安全等數據。攻擊者入侵網站後,一般會篡改網站內容,植入黑詞黑鏈;二是植入後門程式,達到控制網站或網站伺服器的目的;三是通過其他方式騙取管理員許可權,進而控制網站或進行拖庫。
自從2011年CSDN泄密事件發生以後,網站遭遇拖庫和撞庫的事件就不斷發生。到了2014年,撞庫攻擊達到了前所未有的高峰期。從某漏洞回響平台等渠道披露的信息來看,2014年,包括無秘(原秘密)、大眾點評網、搜狐、安智網、汽車之家、搜狗、印象筆記等多家國內知名網站都遭到了撞庫攻擊,導致大量用戶個人信息泄露。2011年至今,約有總計11.2167億用戶信息數據因網站遭遇拖庫和撞庫等原因被泄露。
個人信息泄露路徑一覽
網購
快遞單
保險單
火車票
酒店住宿
航班搭乘
信用卡辦理
行動電話號碼辦理
各類學校註冊信息
各類網站論壇會員個人信息
名片代印機構
房屋中介記錄
各種問卷調查
買方
詐欺信息
各種小廣告
各種優惠卡
信用卡存根
癥結
北京市海銘律師事務所律師脫育紅表示,惡意非法盜取個人信息的行為,屬於刑事犯罪。以此次圓通事件為例,如果是公司內部員工的個人行為,應該追究其刑事責任。按照《刑法修正案七》規定,出售、非法提供公民個人信息罪,處三年以下有期徒刑或者拘役,並處或者單處罰金。圓通公司則應該盡到教育員工、保護客戶信息的義務。但在追責問題上,公司可能不用承擔過多的責任。
據記者了解,公安部門曾對外公布多個打擊此類犯罪的案例。但在案例中,均為實施非法收集、倒賣信息者承擔責任,未見對信息管理方的處罰。
中國網際網路協會信用評價中心法律顧問趙占領昨日對新京報記者表示,圓通公司與寄件人之間存在服務契約關係,應該採取技術和管理手段保障快遞單的安全。如果查實是員工泄露信息,圓通公司至少在管理上存在漏洞應該向寄件人承擔違約責任。消費者可向圓通公司進行索賠,但是一般而言,如果沒有直接經濟損失可能難以獲得具體賠償。
趙占領認為,作為信息管理方的公司,儘管沒有直接經濟損失,但是存在潛在的人身和財產安全隱患。因此公司不僅僅要追究倒賣信息的員工的責任,也應向廣大顧客進行道歉,甚至給予一定賠償。
法釋
北京市律師協會消費者權益保護法律事務專業委員會主任邱寶昌昨日表示,保護消費者的個人隱私(包括個人信息)是企業應盡的義務。據他介紹,目前正在人大進行審議的《消費者權益保護法修正案草案》,較此前的法律法規有一定的補充。
《草案》規定,“經營者及其工作人員對收集的消費者個人信息必須嚴格保密,不得泄露、篡改、毀損,不得出售或者非法向他人提供。經營者應當採取技術措施和其他必要措施,確保信息安全,防止消費者個人信息泄露、毀損、丟失。在發生或者可能發生信息泄露、毀損、丟失的情況時,應當立即採取補救措施。”同時,《草案》明確,“經營者侵害消費者的人格尊嚴、侵犯消費者人身自由或者侵害消費者姓名權、肖像權、隱私權等個人信息得到保護的權利的,應當停止侵害、恢復名譽、消除影響、賠禮道歉,並賠償損失。”