2011年12月,中国互联网集中爆发了一系列网络个人信息泄露事件。主要事件有:12月21日,国内最大的程序员网站CSDN数据库保存的约600万用户注册信息被黑客泄露;22日,深圳上万名新生儿资料被泄露;25日,国内知名社区网站天涯社区宣称部分用户隐私遭窃,涉及用户数量达4000万;27日,美团网、京东商城等网络购物网站确认系统存在漏洞,部分用户注册信息被泄露;29日,广东省出入境政务服务网泄露了包括真实姓名、护照号码等信息在内的约400万用户资料,等等。这一系列事件泄露的个人信息达上亿条,其规模之大、影响之广、危害之严重前所未有,成为中国互联网发展史上最大的一起个人信息泄露事件,引起了社会各界的广泛关注和广大网民的担忧,也折射出中国互联网安全的脆弱性,以及部分互联网企业对客户个人信息资料保护的轻视与疏忽。
一般说来,用户的手机号、邮箱账号等个人资料,通常是由木马病毒、恶意程序在网络上自动收集,这些资料都是黑客个人控制和使用,其影响范围相对较小,对用户的威胁也较小。但是,现在许多国内网站复制发达国家成熟的网络商业模式或者借助心理诱导手段,吸引大量用户注册,从而收集到海量的用户个人信息。于是一些不法分子通过各种非法途径从这些网站大量收集用户个人信息,然后通过贩卖个人信息或敲诈用户获利,有的甚至窃取网上银行用户名和密码盗取用户资金。
①网站内部管理人员主动泄密。堡垒最容易从内部攻破,泄密事件多数是由网站内部管理人员违规引起的。不论是有意识卖密还是无意识泄密,造成的影响是极大的。②黑客通过网站技术漏洞窃密。随着网络技术的发展,网络攻击和渗透手段也不断升级,部分网站在网络安全方面的人员和资金投入不足,导致网站存在着可被黑客利用的安全漏洞,部分网站系统甚至使用明文存储用户密码,一旦网站被攻击导致用户数据库被下载,用户密码就会立即暴露,毫无安全性可言。③黑客通过网上诈骗行为骗密。随着黑客技术的发展,除利用系统漏洞对网站进行攻击外,还出现了许多新的方法和手段,通过网页挂马、开设钓鱼网站和下载数据库成为不法分子获取和收集网民个人信息的主要方式。
为减少个人信息泄露事件的发生,政府、企业、个人等各方都需要高度重视,明确责任,采取切实可行的措施,不断加强个人信息安全。
①健全完善法律法规,严厉打击不法行为。我国当前对个人信息的保护机制还很不完善。只有顶层的《刑法》和电信行业有相关规定,严重缺少一般性法律、行政执法体系等末端制度设计,执法较难,可操作性上还需要进一步提高。从权利保护、责任认定、责任追究和法律保障上对个人信息予以保护,将个人、网站和监管机构所应承担的责任、义务厘清,同时掐断地下个人信息买卖黑市渠道。②建立应急机制,及时降低影响。保存有大量用户信息的网络企业和机构,应设置专门的信息安全管理部门并明确其职责,完善网络泄密预警机制,制定应对网络安全威胁预案,一旦发生网络安全事件,立即启动预案。③增强安全意识,养成良好的上网习惯。当前,尤其要注意对于不同网站的账号,不能为了便于记忆都使用相同的密码,也不能以规则数字和字母,以及姓名、生日等与用户个人相关性很强的信息作为密码。
