近日,一名中國(guó)人民大學(xué)學(xué)生馬某某在其讀碩士研究生期間,利用專業(yè)技術(shù)盜取全校學(xué)生個(gè)人信息的事件被網(wǎng)友曝光,隨即該學(xué)生被海淀公安分局依法刑事拘留,目前該案件正在進(jìn)一步調(diào)查中。
20年前,類似的行為成就了一代互聯(lián)網(wǎng)社交界的巨頭扎克伯格,但如今的網(wǎng)絡(luò)時(shí)代,人們更關(guān)注個(gè)人隱私數(shù)據(jù)安全保護(hù)。這也是為何昔日的創(chuàng)業(yè)明星如今數(shù)次要站在聽證會(huì)上接受詢問(wèn)和監(jiān)管。在數(shù)字化與數(shù)字經(jīng)濟(jì)相關(guān)因素中,大數(shù)據(jù)占據(jù)中心地位,數(shù)據(jù)的安全成為全球關(guān)心的議題。在侵犯和泄露他人隱私的基礎(chǔ)上做任何商業(yè)化或者非商業(yè)化的探索都會(huì)被追究責(zé)任。
在我國(guó),數(shù)據(jù)被定義為繼土地、勞動(dòng)力、資本、技術(shù)之后第五大生產(chǎn)要素。360公司創(chuàng)始人、董事長(zhǎng)兼CEO周鴻祎認(rèn)為,在大數(shù)據(jù)驅(qū)動(dòng)業(yè)務(wù)中,數(shù)據(jù)成為新的攻擊對(duì)象,而數(shù)字安全,是一切數(shù)字文明的基座。
(資料圖片僅供參考)
被盯上的校園數(shù)據(jù)
7月1日,有網(wǎng)友在微博上爆料稱,中國(guó)人民大學(xué)一男生在讀碩士研究生期間,利用專業(yè)技術(shù)盜取全校學(xué)生個(gè)人信息,包括照片、姓名、學(xué)號(hào)、籍貫、生日等,并搭建了給全校學(xué)生顏值打分的網(wǎng)站。
7月2日,中國(guó)人民大學(xué)官方微博發(fā)布情況通報(bào):學(xué)校已關(guān)注到我校部分學(xué)生信息被非法獲取的情況,對(duì)此高度重視,第一時(shí)間聯(lián)系警方,目前正積極配合警方等相關(guān)部門開展調(diào)查。學(xué)校強(qiáng)烈譴責(zé)侵犯?jìng)€(gè)人隱私、危害信息安全的行為。感謝社會(huì)各界對(duì)學(xué)校的關(guān)心。
7月3日,平安北京海淀微博公號(hào)發(fā)布情況通報(bào)稱,針對(duì)“中國(guó)人民大學(xué)部分學(xué)生信息被非法獲取”的情況,海淀警方接到報(bào)警后,立即開展調(diào)查。經(jīng)查,嫌疑人馬某某(男,25歲,該校畢業(yè)生)涉嫌非法獲取該校部分學(xué)生個(gè)人信息等違法犯罪行為。目前,馬某某已被海淀公安分局依法刑事拘留,案件正在進(jìn)一步調(diào)查中。警方高度重視公民個(gè)人信息保護(hù),對(duì)于相關(guān)違法犯罪,將依法予以嚴(yán)厲打擊。
從進(jìn)展來(lái)看,馬某某大概率不會(huì)如20年前的扎克伯格一樣有機(jī)會(huì)從同學(xué)的數(shù)據(jù)中找到自己的商業(yè)模式了。
2003年,美國(guó)臉書公司創(chuàng)始人扎克伯格也對(duì)哈佛大學(xué)系統(tǒng)曾做過(guò)類似的事情。當(dāng)年,扎克伯格侵入哈佛大學(xué)學(xué)生名錄系統(tǒng),下載了同學(xué)照片并將其發(fā)布于一個(gè)名為Facemash的網(wǎng)站,來(lái)評(píng)定誰(shuí)更受歡迎。該網(wǎng)站首日便有超過(guò)450人注冊(cè),頁(yè)面瀏覽量超過(guò)22000次。但扎克伯格本人也因受到學(xué)校的指控而被處以留校察看。
扎克伯格的故事如果放在中國(guó),會(huì)有怎樣的結(jié)局?
上海大邦律師事務(wù)所高級(jí)合伙人、知識(shí)產(chǎn)權(quán)律師游云庭表示,2003年,中國(guó)法律尚未將類似行為作為刑法規(guī)制的對(duì)象:非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪是2009年《刑法修正案七》增設(shè),侵犯公民個(gè)人信息罪是在2015年的《刑法修正案九》增設(shè)的。
游云庭表示,如果新聞報(bào)道屬實(shí),人大學(xué)生馬某某獲取并發(fā)布了中國(guó)人民大學(xué)14-20級(jí)的全校學(xué)生的“照片、姓名、學(xué)號(hào)、籍貫、生日”,這些信息法律上屬于個(gè)人信息,由于獲取手段不合法,涉嫌非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪。這些個(gè)人信息數(shù)量巨大,如果被發(fā)布上網(wǎng),觸發(fā)了侵犯公民個(gè)人信息罪。
《刑法》與司法解釋規(guī)定:非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪系違反國(guó)家規(guī)定,侵入國(guó)家事務(wù)、國(guó)防建設(shè)、尖端科學(xué)技術(shù)領(lǐng)域以外的計(jì)算機(jī)信息系統(tǒng)或者采用其他技術(shù)手段,獲取該計(jì)算機(jī)信息系統(tǒng)中存儲(chǔ)、處理或者傳輸?shù)臄?shù)據(jù),情節(jié)嚴(yán)重的,處三年以下有期徒刑或者拘役,并處或者單處罰金。
另外,侵犯公民個(gè)人信息罪系違反國(guó)家規(guī)定,向他人出售或者提供公民個(gè)人信息,情節(jié)嚴(yán)重的,處三年以下有期徒刑或者拘役,并處或者單處罰金。根據(jù)司法解釋,非法獲取、出售或者提供行蹤軌跡信息、通信內(nèi)容、征信信息、財(cái)產(chǎn)信息五十條以上的;住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財(cái)產(chǎn)安全的公民個(gè)人信息五百條以上的;前述信息以外的公民個(gè)人信息五千條以上的,都應(yīng)當(dāng)認(rèn)定為情節(jié)嚴(yán)重。
值得注意的是,學(xué)校的信息安全問(wèn)題在全球范圍內(nèi)頻發(fā)。2022年3月,美國(guó)爆發(fā)了史上規(guī)模最大的學(xué)生個(gè)人數(shù)據(jù)失竊事件,黑客入侵了lluminateEducation公司的IT系統(tǒng),竊取了學(xué)生信息的數(shù)據(jù)。有大約82萬(wàn)名學(xué)生的信息被泄露。根據(jù)美國(guó)教育部公布的信息顯示,這些數(shù)據(jù)包括學(xué)生的姓名、出生日期、學(xué)生證號(hào)碼等基礎(chǔ)信息以及一些和教育相關(guān)的數(shù)據(jù)。
lluminateEducation開發(fā)的在線評(píng)分和考勤系統(tǒng),在美國(guó)有很大的市場(chǎng)占有率,這也是本次事件之所以會(huì)有如此大范圍影響的最主要原因之一。在檢測(cè)到相關(guān)的入侵行為后,IlluminateEducation曾關(guān)閉了系統(tǒng)的相關(guān)功能。但直到兩個(gè)月后,這家公司才公布了系統(tǒng)中數(shù)據(jù)被竊取的消息。
在周鴻祎看來(lái),數(shù)字化是繼工業(yè)革命之后最重要的生產(chǎn)力革命,其中互聯(lián)網(wǎng)上半場(chǎng)的主線是消費(fèi)互聯(lián)網(wǎng),下半場(chǎng)的主線是產(chǎn)業(yè)互聯(lián)網(wǎng)。上半場(chǎng)中,誕生了諸如阿里、騰訊、字節(jié)跳動(dòng)等一批互聯(lián)網(wǎng)巨頭,通過(guò)各種應(yīng)用、平臺(tái)、產(chǎn)品,基本完成了用戶數(shù)據(jù)的初步積累,隨著數(shù)字化的推進(jìn),互聯(lián)網(wǎng)領(lǐng)域更多迎來(lái)的應(yīng)該是應(yīng)用層面的更新。
網(wǎng)絡(luò)安全環(huán)境日趨險(xiǎn)峻
網(wǎng)絡(luò)安全的法律法規(guī)的逐漸完善,其后是技術(shù)發(fā)展與網(wǎng)絡(luò)安全形勢(shì)的嚴(yán)峻。在普通民眾眼中,大學(xué)生個(gè)人信息泄露尚未造成嚴(yán)重后果,但在更廣泛的范圍內(nèi),數(shù)據(jù)安全環(huán)境并不樂(lè)觀。
游云庭稱,2003年時(shí),PC互聯(lián)網(wǎng)時(shí)代的互聯(lián)網(wǎng)產(chǎn)業(yè)還是“少年”,公眾對(duì)于新生事物比較寬容,但隨著2007年蘋果公司發(fā)布iPhone,世界進(jìn)入移動(dòng)互聯(lián)網(wǎng)時(shí)代,互聯(lián)網(wǎng)產(chǎn)業(yè)有了新一波突飛猛進(jìn)的發(fā)展,產(chǎn)業(yè)如日中天,數(shù)據(jù)和個(gè)人信息泄露和被濫用的弊端也不斷顯現(xiàn)。
奇安信《中國(guó)政企機(jī)構(gòu)數(shù)據(jù)安全風(fēng)險(xiǎn)分析報(bào)告》顯示,2022年,數(shù)據(jù)泄露事件已超過(guò)數(shù)據(jù)破壞事件,成為全球數(shù)據(jù)安全風(fēng)險(xiǎn)的首要問(wèn)題。從全球公開新聞報(bào)道來(lái)看,51.7%的數(shù)據(jù)安全事件為數(shù)據(jù)泄露事件。而針對(duì)機(jī)構(gòu)數(shù)據(jù)的外部威脅,57.4%是為了竊取數(shù)據(jù)。僅2022年1~10月,就有超過(guò)950億條,至少46.4TB的中國(guó)境內(nèi)機(jī)構(gòu)數(shù)據(jù)在海外被非法交易。數(shù)據(jù)泄露問(wèn)題形勢(shì)嚴(yán)峻。
其中,個(gè)人信息是數(shù)據(jù)泄露最主要的類型。從全球公開新聞報(bào)道來(lái)看,60.2%的數(shù)據(jù)泄露事件,泄露的是個(gè)人信息數(shù)據(jù),其中,實(shí)名制信息占比個(gè)人信息數(shù)據(jù)泄露總量的64.3%,其次是賬號(hào)密碼和用戶行為等數(shù)據(jù)。在海外非法交易的境內(nèi)機(jī)構(gòu)數(shù)據(jù)中,55.6%的交易事件涉及個(gè)人信息,81.0%的交易數(shù)據(jù)為個(gè)人信息數(shù)據(jù)。
對(duì)政企機(jī)構(gòu)而言,商業(yè)機(jī)密數(shù)據(jù)的泄露是安全經(jīng)營(yíng)的重大挑戰(zhàn)。在海外非法交易的境內(nèi)機(jī)構(gòu)數(shù)據(jù)中,19.3%的交易,買賣的是商業(yè)機(jī)密數(shù)據(jù)。商業(yè)機(jī)密數(shù)據(jù)泄露的主要形式是各類文檔,包括內(nèi)部制度、員工手冊(cè)、財(cái)務(wù)報(bào)表、戰(zhàn)略分析、產(chǎn)品文檔、項(xiàng)目策劃等等,占比高達(dá)73.2%。特別值得警惕的是,文檔類商業(yè)機(jī)密數(shù)據(jù)泄露的最大源頭,并不是外部威脅,而是合作伙伴和內(nèi)部員工。而百度文庫(kù)、道客巴巴、豆丁網(wǎng)、360文庫(kù)等文檔分享平臺(tái),則是文檔類商業(yè)機(jī)密數(shù)據(jù)泄露的主要渠道。
奇安信數(shù)據(jù)顯示,從2022年1月至2022年10月,政企機(jī)構(gòu)重大數(shù)據(jù)安全事件發(fā)生的原因來(lái)看,超過(guò)五成安全事件是由于外部攻擊(指沒(méi)有獲得認(rèn)證的、未經(jīng)授權(quán)的非法用戶對(duì)內(nèi)網(wǎng)進(jìn)行的訪問(wèn)請(qǐng)求或攻擊行為)導(dǎo)致的,但也有5.0%的事件是由于內(nèi)部人員違規(guī)操作。3.9%的重大數(shù)據(jù)安全事件是由于存在漏洞。
“內(nèi)鬼作案”是數(shù)據(jù)安全事件發(fā)生的重要途徑,奇安信方面建議,不僅要防外也要防內(nèi),做好數(shù)據(jù)操作的審計(jì),防止非授權(quán)信息讀取,防止越權(quán)的敏感信息讀取,包括一些過(guò)度的數(shù)據(jù)讀取其實(shí)也是一種泄露,如在辦一些業(yè)務(wù)的時(shí)候本來(lái)只用知道該用戶的姓名、性別及年齡,但是在相關(guān)資料上還能看到其聯(lián)系方式、工作單位等信息,這樣的過(guò)度讀取或者暴露個(gè)人信息的行為也不合適。
從南非所有公民征信數(shù)據(jù)泄露,到香格里拉酒店被黑,再到熱搜不斷的學(xué)習(xí)通事件,無(wú)不說(shuō)明個(gè)人信息泄露不分國(guó)界,信息保護(hù)形勢(shì)嚴(yán)峻。
需要技術(shù)和法律的“雙保險(xiǎn)”
目前,世界各地將近有150個(gè)國(guó)家都對(duì)個(gè)人信息保護(hù)做了相關(guān)規(guī)定,我國(guó)也高度關(guān)注個(gè)人信息泄露問(wèn)題,不斷完善規(guī)制個(gè)人信息泄露相關(guān)制度規(guī)則。
在亞信安全首席研發(fā)官吳湘寧看來(lái),作為安全防護(hù)平臺(tái),三十年前亞信守護(hù)PC,二十年前守護(hù)網(wǎng)絡(luò),十年前守護(hù)云,今天守護(hù)5G、IoT、大數(shù)據(jù),未來(lái)將要守護(hù)大模型、人工智能,安全伴隨技術(shù)發(fā)展一直在進(jìn)化迭代。
著眼于當(dāng)下正熱的AIGC與大模型,英普華亞太及日本區(qū)技術(shù)副總裁周達(dá)偉表示,大模型在人工智能方面造成了安全領(lǐng)域上有著不同著重,過(guò)去很注重遠(yuǎn)程安全、應(yīng)用安全,但在大模型的產(chǎn)業(yè)互聯(lián)網(wǎng)的時(shí)代,企業(yè)將更加注重?cái)?shù)據(jù)安全的保障。
周達(dá)偉提到,從流量方面來(lái)看,現(xiàn)在最新的數(shù)據(jù)有83%的網(wǎng)頁(yè)應(yīng)用與API有直接關(guān)系,其中27%的相關(guān)攻擊是針對(duì)相關(guān)的API做出的攻擊。具體到產(chǎn)業(yè)鏈損失,數(shù)據(jù)顯示,2022年一整年造成相關(guān)API的損失高達(dá)5300億人民幣,這是非常巨大的體量。
近年來(lái),《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等系列法律法規(guī)、網(wǎng)絡(luò)安全審查制度相繼出臺(tái)。2021年,國(guó)家出臺(tái)《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》,在關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定、運(yùn)營(yíng)者責(zé)任義務(wù)、保障和促進(jìn)、法律責(zé)任等方面進(jìn)行了明確、具體的規(guī)范。
中央網(wǎng)信辦網(wǎng)絡(luò)安全協(xié)調(diào)局副局長(zhǎng)羅鋒盈表示,加快出臺(tái)網(wǎng)絡(luò)數(shù)據(jù)安全管理法律法規(guī),應(yīng)建立健全數(shù)據(jù)分類分級(jí)保護(hù),個(gè)人信息保護(hù)合規(guī)審計(jì),數(shù)據(jù)促進(jìn)安全制度等,從違法違規(guī)搜集使用個(gè)人信息等行為不斷強(qiáng)化能力建設(shè),堅(jiān)持底線思維,強(qiáng)化風(fēng)險(xiǎn)意識(shí)、責(zé)任意識(shí),加強(qiáng)重點(diǎn)行業(yè)、重點(diǎn)數(shù)據(jù)安全監(jiān)管,切實(shí)保障數(shù)據(jù)安全。
在技術(shù)、法律“雙保險(xiǎn)”的加持下,網(wǎng)絡(luò)安全的攻守故事還將持續(xù)
最新資訊
關(guān)于我們| 聯(lián)系方式| 版權(quán)聲明| 供稿服務(wù)| 友情鏈接
咕嚕網(wǎng) www.ulq4xuwux.cn 版權(quán)所有,未經(jīng)書面授權(quán)禁止使用
Copyright©2008-2023 By All Rights Reserved 皖I(lǐng)CP備2022009963號(hào)-10
聯(lián)系我們: 39 60 29 14 2@qq.com