2020-04-24
以下文章来源于锐思商学院 ,作者锐思商学
“很多人的手机号码泄露了,根据微博账号就能查到手机号……”,3月19日,默安科技创始人兼CTO、微博名为“@安全_云舒”的用户发博表示(相关微博已删除)。
一石激起千层浪,舆论迅速发酵。随后,有媒体爆出,3月5日,国内的一些安全公司通过监控,发现暗网[1]上有人发布了一则名为“5.38亿微博用户绑定手机号数据,其中1.72亿有账号基本信息”的交易信息,售价1,388美元。该卖家称,这些信息“均为2019年年中左右抓取”,并给出了400条绑定手机号以及1500条账号基本信息的测试数据。经安全专业人士验证,部分测试数据属实。
对于此次“微博数据泄露”事件,微博CEO王高飞称是“2014年以前网易那次撞库[2] 的”。
而微博安全总监罗诗尧则解释称,此次泄露的手机号是“2019年通过通讯录上传接口被暴力匹配的,其余公开信息都是网上抓来的”(相关微博已删除)。
随后,微博进一步表示,此次数据泄露应追溯至2018年底。当时,有用户通过微博相关接口通过批量手机批量上传通讯录,匹配出几百万个账号昵称,再加上通过其他渠道获取的信息一起对外出售。
微博还强调,微博一直有提供根据通讯录手机号查询微博好友昵称的服务,但不提供用户性别和身份证号等信息,也没有“根据用户昵称查手机号”的服务。因此这起数据泄露不涉及身份证、密码,对微博服务没有影响。
微博做出多番回应后,最终被工信部约谈。3月21日,“针对媒体报道的新浪微博因用户查询接口被恶意调用导致App数据泄露问题”,工信部网络安全管理局对微博相关负责人进行了问询约谈,要求其进一步采取有效措施,消除数据安全隐患:
尽快完善隐私政策,规范用户个人信息收集使用行为;
加强用户信息分类分级保护,强化用户查询接口风险控制等安全保护策略;
加强企业内部数据安全管理,定期及新业务上线前要开展数据安全合规性自评估,及时防范数据安全风险;
在发生重大数据安全事件时,及时告知用户并向主管部门报告。
[1]暗网:互联网是一个多层结构,“表层网”处于互联网的表层,能够通过标准搜索引擎进行访问浏览。藏在“表层网”之下的被称为“深网”,而“暗网”通常被认为是“深网”的一个子集,普通用户无法通过常规互联网手段搜索和访问。
[2]撞库:黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登录的用户。很多用户在不同网站使用的是相同的账号密码,因此黑客可以通过获取用户在A网站的账户从而尝试登录B网址,这就可以理解为撞库攻击。
按照微博方面的说法,这次数据泄露事件是有人顺着非法窃取的用户手机号调用了微博数据,其自身也是受害者。但对于用户来说,沿着手机号就可以调用微博数据,作为微博平台,显然也难辞其咎。尤其是在如今平台经济发展如火如荼的情况下,对于海量的用户数据,任何一点安全问题,都可能造成不可估量的损失。
下面,笔者就工信部对微博提出的四点要求,结合《中华人民共和国网络安全法》、《App违法违规收集使用个人信息行为认定方法》、《信息安全技术个人信息安全规范》等法规文件,分享企业如何加强数据安全管理,谨守合规底线,为用户个人信息上好“安全锁”。
“用户个人信息”一般指能够单独或者与其他信息结合识别用户身份、反映用户活动情况或涉及用户个人隐私的信息。企业收集用户个人信息,应遵循合法、正当、必要的原则。
一方面,企业应按照“最小必要”的要求,仅收集与实现产品或服务的业务功能有直接关联的信息。如果涉及自动采集或间接获取用户个人信息,要注意以实现业务功能所必需的最低频率和最少数量进行。
另一方面,企业应以通俗易懂、简单明了的方式向用户展示个人信息收集使用规则,通过“弹窗”提示用户阅读隐私政策等明显方式,明示收集使用个人信息的目的、方式和范围等,并经用户同意。在提供多项需收集个人信息的业务功能时,要让用户分别自主选择。默认勾选同意隐私政策,在用户明确表示不同意后频繁征求同意、干扰正常使用,或捆绑多项业务功能、强迫用户一次性授权等,都会被视为违法违规。
此外,企业还应向用户提供撤回收集、使用个人信息授权同意的方法,充分保障用户的知情权和选择权。
企业可以根据业务收集用户个人信息的属性和类型特征,结合相关法律法规、行业标准等,对收集到的信息进行分类,如分为以下3类:
用户身份和鉴权信息:能够单独或与其他信息结合,对用户身份进行识别,或代替用户身份属性使用的虚拟身份信息,也包括用于验证身份的鉴权相关信息。
用户数据和服务内容信息:企业提供服务过程中收集的具有用户隐私属性的数据和内容信息。
用户服务相关信息:企业提供服务过程中收集的服务使用情况及服务相关辅助类信息。
对于不同类别的信息,企业可根据用户个人信息的敏感性,实施分级管理,按照相应的级别对用户个人信息的收集、使用提供不同的保护机制。如将用户个人信息保护级别由低到高划分为以下1-5级:
表:用户个人信息分类及对应保护级别示例
其中,对于第5级的用户个人信息,企业应实施严格的技术和管理措施,建立严格的信息安全管理规范以及实时监控预警机制,保证信息的机密、完整、安全,如:制定信息收集、生成、存储、使用、传输和销毁等全生命周期的安全管理规范,以及内部数据审批流程及制度等。而对于第1级的用户个人信息,企业需要实施基本的技术和管理措施,确保信息访问控制安全,如:采取必要的访问控制措施等。
企业可以从组织建设、制度流程等方面入手,加强数据安全管理,提升企业网络数据安全风险防范能力。
在组织建设方面,企业应加强内部的数据安全组织保障,明确“一把手”对数据安全的全面领导责任,为相关工作提供人力、财力、物力保障;同时,明确数据安全管理相关部门和责任人,督促协调企业内部各相关主体和环节严格落实各项数据安全保护措施。此外,企业还要定期或当发生重大变化时,组织开展法律法规、知识技能等培训与考核,确保数据安全相关岗位人员熟练掌握数据安全保护政策和相关规程。
在制度流程方面,企业应及时跟进外部监管要求,制定、完善相关数据安全管理制度,建立重要数据全生命周期的保护制度、数据跨境传输安全制度、组织发生变更时的数据管控制度、第三方产品或服务的接入管理制度、安全风险评估管理制度等。在巩固深化已上线业务定期核查机制的基础上,着重建立完善新技术、新业务上线前的评估机制,从用户个人信息保护、网络安全防护、网络信息安全、建立健全相关管理制度等方面开展安全评估,并形成书面报告。
企业应当建立针对数据的安全事件响应体系,完善各类安全事件的响应和处置管理。
首先,企业需要在明确数据安全管理相关部门的基础上,进一步设立专职岗位负责数据安全事件管理和应急响应。如果无法设立专职岗位,应事先明确数据安全事件相关责任人。同时,企业应根据监管要求和业务需要,清晰定义数据安全事件类型,明确不同类型事件的处置流程和方法,制定数据安全应急预案,并定期组织应急演练。
在数据安全事件发生后,企业应立即启动应急预案,及时记录事件内容,包括:发现事件的人员、时间、地点,涉及的数据类型及数量,可能产生问题的系统名称,以及对其他相关系统的影响等。在充分评估安全事件可能造成的影响后,企业应采取必要措施控制事态,消除隐患,并注意保存证据,根据规定及时将事件内容、可能影响、已采取或将要采取的处置措施、企业相关人员联系方式等上报有关主管部门。
如果数据安全事件可能严重损害用户合法权益,如发生个人敏感信息泄露等,企业还应及时将事件相关情况通过短信、邮件、电话、推送通知等方式告知用户,难以逐一告知时,要采取合理、有效的方式发布与公众有关的警示信息,向用户提供补救措施以及自主降低风险的建议。
随着越来越多的企业上线上云,包含用户个人信息在内的网络数据安全问题已不容小觑,一旦发生安全事件,不仅会为企业造成经济、声誉损失,还有可能会使企业受到监管处罚。因此,企业应在业务“跑起来”之前,就树立起安全思维,明确数据安全相关组织体系,制定、完善相关管理制度和应急预案,规范收集、使用、存储、销毁数据,从而使企业赢得用户信赖,健康、长远发展。
(源:锐思商学院;素材源:南方都市报、澎湃新闻)
如有侵权,联系删除,谢谢!