手機(jī)應(yīng)用隱患 企業(yè)內(nèi)鬼作祟 防范不足遭侵

　　信息泄露三大缺口誘發(fā)“精準(zhǔn)詐騙”(問診移動互聯(lián)短板系列報道②)

　　本報記者 董絲雨 錢一彬 吳姍

　　近期，涉及互聯(lián)網(wǎng)安全的報告頻頻公布，凸顯個人信息安全風(fēng)險。《中國網(wǎng)民權(quán)益保護(hù)調(diào)查報告(2016)》數(shù)據(jù)顯示，網(wǎng)民“個人身份信息”泄露最為嚴(yán)重，占比72%，其次為“個人網(wǎng)上活動信息”泄露，占比54%；《2016年中國網(wǎng)站安全漏洞形勢分析報告》披露，2016年僅全球最大漏洞響應(yīng)平臺補(bǔ)天平臺收錄的漏洞中，就有1700余個漏洞可造成個人信息泄露，可泄露信息規(guī)模達(dá)50余億條……

　　一些手機(jī)應(yīng)用暗藏風(fēng)險隱患，一些企業(yè)個別“內(nèi)鬼”興風(fēng)作浪，一些互聯(lián)網(wǎng)公司安全防范不足……記者調(diào)查發(fā)現(xiàn)，移動互聯(lián)網(wǎng)時代，信息安全防范頻現(xiàn)上述三大缺口，利用個人隱私泄露的“精準(zhǔn)詐騙”屢屢發(fā)生。

　　今年1月，中辦、國辦印發(fā)的《關(guān)于促進(jìn)移動互聯(lián)網(wǎng)健康有序發(fā)展的意見》指出：“完善移動互聯(lián)網(wǎng)用戶信息保護(hù)制度，維護(hù)用戶合法權(quán)益”。多措并舉，對癥下藥，保護(hù)移動互聯(lián)網(wǎng)時代的個人隱私安全，刻不容緩。

　　技術(shù)變“騙術(shù)”

　　應(yīng)用藏風(fēng)險

　　今年1月，北京協(xié)和醫(yī)院發(fā)出聲明：“‘北京協(xié)和醫(yī)院—掌尚協(xié)和’為北京協(xié)和醫(yī)院唯一官方APP。此外，凡是以北京協(xié)和醫(yī)院名義從事預(yù)約掛號行為的APP與本院毫無關(guān)系�！�

　　在各類手機(jī)APP便民利民的同時，一些山寨APP悄然現(xiàn)身�！吨袊�網(wǎng)民權(quán)益保護(hù)調(diào)查報告(2016)》顯示，超過50%的網(wǎng)民在使用手機(jī)APP的過程中遇到過用戶信息被竊取的侵權(quán)情況，84%的網(wǎng)友親身感受到了個人信息泄露所帶來的不良影響。

　　中國政法大學(xué)傳播法研究中心副主任朱巍認(rèn)為，非法軟件的存在和隱藏其中的惡意程序，使個人在手機(jī)中存儲的幾乎所有信息，都面臨著被竊取盜用甚至成為非法交易對象的危險。用戶信息泄露后，輕則接到騷擾電話，重則因網(wǎng)絡(luò)電信詐騙蒙受損失。所有投放到市場的手機(jī)軟件和應(yīng)用，保證用戶信息安全是最基本的一條底線。

　　除了“李鬼”APP登堂入室竊取個人信息，一些手機(jī)軟件運(yùn)用時的“額外要求”也極可能導(dǎo)致手機(jī)通訊錄、個人位置等信息泄露。

　　“出門打車要授權(quán)調(diào)用位置信息，為什么玩?zhèn)�游戲都要知道我的位置信息？”近日，一名河北網(wǎng)友在被某游戲軟件要求調(diào)用手機(jī)位置信息時發(fā)出這樣的疑問。

　　根據(jù)去年6月網(wǎng)信辦發(fā)布的《移動互聯(lián)網(wǎng)應(yīng)用程序信息服務(wù)管理規(guī)定》，移動互聯(lián)網(wǎng)應(yīng)用程序提供者收集、使用用戶個人信息應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則。一些手機(jī)應(yīng)用收集“不必要”的信息，既不符合相關(guān)規(guī)定，也加重了個人信息的安全風(fēng)險。

　　人人互聯(lián)的時代，稍有不慎，風(fēng)險也會“互聯(lián)”。在咖啡廳、餐館等公共場所，不法分子借助“提供免費(fèi)無線”等幌子引誘用戶手機(jī)連接具有安全風(fēng)險的無線網(wǎng)絡(luò)，進(jìn)而通過技術(shù)手段獲取用戶上網(wǎng)時使用過的賬號密碼等信息。

　　“新技術(shù)應(yīng)用被不法分子利用，就有可能演變?yōu)樾买_術(shù)。這對保障個人信息安全提出了更高要求�！鄙虾Ｉ鐣�科學(xué)院信息安全研究中心主任惠志斌認(rèn)為，除了發(fā)揮個人信息保護(hù)立法的基礎(chǔ)性作用，管理部門也要跟上技術(shù)發(fā)展的腳步，及時出臺標(biāo)準(zhǔn)規(guī)范引導(dǎo)企業(yè)合法合規(guī)的數(shù)據(jù)需求，既要通過監(jiān)管斬斷非法利益鏈條，也要依托產(chǎn)業(yè)持續(xù)提升數(shù)據(jù)生態(tài)保障能力。

　　企業(yè)存“內(nèi)鬼”

　　騙局連環(huán)套

　　因?yàn)橐粭l短信，一夜之間，支付寶、百度錢包、所有的銀行卡信息都被攻破、所有銀行卡的資金全被轉(zhuǎn)移。在長達(dá)數(shù)小時的時間里，手機(jī)處于癱瘓狀態(tài)，打不出電話……

　　這令人驚愕的真實(shí)案例，發(fā)生在2016年4月。

　　一位網(wǎng)友在“水木社區(qū)”發(fā)帖，稱自己在地鐵里因回復(fù)一條來自“1065800”的短信，輸入驗(yàn)證碼，從而掉進(jìn)連環(huán)圈套。半小時后，手機(jī)無服務(wù)無法上網(wǎng)，眼看著一筆筆資金被轉(zhuǎn)走而無能為力�；謴�(fù)手機(jī)服務(wù)后，他發(fā)現(xiàn)自己的網(wǎng)銀、支付寶的密碼都已被篡改。

　　這位當(dāng)事人至今心存疑問：究竟該找哪個機(jī)構(gòu)交涉？

　　去年，山東臨沂大學(xué)生小趙在某電子商城買了部手機(jī)，下單后第二天接到一個“130”開頭自稱客服的電話，說訂單出現(xiàn)異常，只能貨到付款；如同意只需填一下信息。小趙填完信息后，銀行卡中近千元不翼而飛。經(jīng)警方調(diào)查發(fā)現(xiàn)，該電子商城某配送站站長利用職務(wù)之便，進(jìn)入內(nèi)部管理系統(tǒng)，將訂單資料截屏，并在網(wǎng)上以每條4元到6元的價格出售。

　　業(yè)內(nèi)人士指出，客戶信息一般只有內(nèi)部員工才能接觸到。之所以出現(xiàn)信息泄露，是因?yàn)樯贁?shù)利欲熏心的“內(nèi)鬼”作祟，導(dǎo)致大量個人信息流入黑色產(chǎn)業(yè)鏈，成為被交易的對象。

　　全國人大常委會《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》第三條規(guī)定，“網(wǎng)絡(luò)服務(wù)提供者和其他企業(yè)事業(yè)單位及其工作人員對在業(yè)務(wù)活動中收集的公民個人電子信息必須嚴(yán)格保密，不得泄露、篡改、毀損，不得出售或者非法向他人提供”。

　　朱巍表示，對工作性質(zhì)涉及用戶數(shù)據(jù)的工作人員，應(yīng)強(qiáng)化人員管理和資格審查，其對個人信息的調(diào)取權(quán)限應(yīng)做到規(guī)范而具體�！耙粋�優(yōu)盤就可以拷走信息，一次離職就可能帶走海量數(shù)據(jù)。對這類事情要做好事前預(yù)警，比如調(diào)取信息要實(shí)名等。此外也要加大對工作人員道德教育和事后處罰力度。”

　　防御帶“硬傷”

　　系統(tǒng)遭入侵

　　去年12月，一則京東12G用戶信息被明碼標(biāo)價售賣的新聞在網(wǎng)上“刷屏”。被泄露的信息，包含用戶名、密碼、郵箱、電話號碼、身份證信息等多個方面。京東就此發(fā)布聲明，稱售賣的信息源于2013年黑客對系統(tǒng)安全漏洞的攻擊。

　　近年來，個人信息匯集的電商平臺，成了信息泄露“重災(zāi)區(qū)”。尤其在海淘流行的當(dāng)下，很多平臺以“清關(guān)”為由，要求用戶上傳身份證信息。這導(dǎo)致其成為不法分子眼中的“肥肉”，安全防御系統(tǒng)屢屢遭到“入侵”。

　　根據(jù)《中國網(wǎng)民權(quán)益保護(hù)調(diào)查報告(2016)》，有51%的網(wǎng)民在網(wǎng)購中遭遇“個人信息泄露”，因個人信息泄露等遭受的經(jīng)濟(jì)損失數(shù)目驚人。

　　“一些互聯(lián)網(wǎng)服務(wù)的提供者，會要求用戶進(jìn)行實(shí)名注冊并填寫真實(shí)信息，而不法分子則利用平臺的系統(tǒng)漏洞，通過惡意攻擊、病毒軟件等手段獲取用戶的個人信息�！敝煳≌f。

　　同樣掌握大量用戶個人信息的出行類、餐飲類等移動互聯(lián)網(wǎng)應(yīng)用，也被不法分子視為“獵物”，亟待加厚安全盾牌。共享單車OFO公關(guān)總監(jiān)史少晨透露，OFO技術(shù)團(tuán)隊(duì)一方面不會向第三方公開或透露用戶個人信息，另一方面也采取專業(yè)加密存儲與傳輸方式，加大保障用戶個人信息安全。

　　《關(guān)于促進(jìn)移動互聯(lián)網(wǎng)健康有序發(fā)展的意見》指出，要敦促移動互聯(lián)網(wǎng)企業(yè)切實(shí)履行用戶服務(wù)協(xié)議和相關(guān)承諾，提供更加安全的產(chǎn)品和服務(wù)。

　　今年1月，工信部發(fā)布《關(guān)于印發(fā)信息通信行業(yè)發(fā)展規(guī)劃(2016—2020年)的通知》強(qiáng)調(diào)，強(qiáng)化大數(shù)據(jù)場景下的網(wǎng)絡(luò)用戶個人信息保護(hù)能力，督促電信和互聯(lián)網(wǎng)企業(yè)切實(shí)落實(shí)用戶個人信息保護(hù)責(zé)任。

　　“2017年6月1日將開始施行的《網(wǎng)絡(luò)安全法》，要求互聯(lián)網(wǎng)企業(yè)運(yùn)營者建立健全信息保護(hù)制度。一些擁有海量用戶信息的互聯(lián)網(wǎng)平臺將可能被納入關(guān)鍵信息基礎(chǔ)設(shè)施范疇，在個人信息采集、利用和保護(hù)方面也將面臨更高的監(jiān)管要求�！被葜颈笳f。