您的位置:网站首页 > 酒店住宿 > 正文

个人信息泄露频发 凸显企业数据安全短板

类别:酒店住宿 日期:2018-11-14 18:23:10 人气: 来源:

  近日,国内最大的多品牌酒店企业之一华住集团被曝大量用户数据遭泄露。中国青年报·中青在线记者从华住方面获悉,目前警方还在调查此事,最新进展以警方消息为准。

  8月28日,网上曝出,网络黑客通过“暗网”(存储在网络数据库里、但不能通过超链接访问的资源集合)中文论坛以8比特币的价格出售约5亿条华住旗下酒店的用户数据,涉及人。当日,华住集团通过微博接连发布2份声明,表示已经报警并且聘请专业技术公司核查此事。

  9月4日,在2018年互联网安全大会上,360公司董事长周鸿祎呼吁,对个人信息安全的关注和讨论不该停止。“最近层出不穷的安全事件,让我们很多人都没有安全感。”“现在每次一发生(此类)事件,好像企业是者,其实应该(对其)问责。”

  从“之蓝”病毒全球爆发,到Facebook用户数据泄露,再到趣店被曝数百万学生数据疑泄露......涉及隐私的用户数据总是被盯上,有的企业对此束手无策,有的企业并未做好准备。

  包含个人信息的用户数据是许多企业发展新兴业务的重要基础,而不断出现的个人信息泄露事件又在提醒:企业该如何真正将用户个人信息的责任履行好?制度层面可以做出怎样的安排?

  早在2013年,华住集团旗下汉庭酒店就被曝出数据泄露,后来的调查发现,这是因为酒店所使用的WiFi管理和认证管理系统存在网络安全漏洞,数据传输加密失效。

  2017年,另一家酒店连锁企业凯悦集团黑客,导致11个国家的41家凯悦酒店面临数据泄露。同年,由于遭到黑客入侵,洲际酒店集团旗下超过1000家酒店发生用户支付卡信息泄露的现象。

  据《2018年中国大住宿业发展报告》,截至2017年年底,全国酒店类住宿业设施31万家,每位住客入住酒店后,包括其身份证件、电话号码、房间号等在内的所有个人信息将会同步上传至公安信息系统以及酒店内部的管理系统。按照公安部的要求,相关的开房记录将被保留一定年限,以随时备查。

  虽然酒店行业所收集、存储的数据规模巨大,而且其中有很多都是用户的隐私信息,但当前我国制度层面对此类事件的处罚还欠缺具体标准,而欧盟的《通用数据条例》(PR)则明确,对泄漏用户数据的互联网公司最高处罚其全球营业额的4%。

  观韬中茂(上海)律师事务所合伙人王渝伟表示,华住事件也反映了许多企业在用户个人信息方面还有很多欠账。如果此次事件确是由华住的程序员将数据库连接方式上传于GitHub用于交流而导致,那么说明其内部安全管理制度和操作规程存在纰漏,对于其程序员上传数据库连接方式的行为未做预防。

  根据目前已知的各种信息,他认为,华住对包含大量个人信息的数据未做加密、脱敏等必要措施在内的安全处理,在数据泄露过程中,华住很可能也未采取恰当的补救措施来减少数据的泄露。

  在大量用户隐私信息被泄露、企业对此投入不足的同时,还有许多企业在通过互联网不断收集个人数据,甚至违规也在所不惜。

  中国消费者协会于今年7月17日~8月13日开展的“App个人信息泄露情况”问卷调查结果显示,经营者未经本人同意、擅自收集成个人信息泄露的主要途径,约占调查总样本的62.2%;网络服务系统存有漏洞造成个人信息泄露57.4%。

  而手机App在自身功能不必要的情况下,获取用户隐私权限的情况也比较严重,有67.2%的受访者遇到这种情况,其中读取信息权限、访问联系限是出现最多的情况,读取通话记录、读取短信记录、打开摄像头、打开话筒录音等权限也被过度要求授权。

  中消协的上述调查结果显示,个人信息泄露后,受访者会采取多种措施自身权益,但最终有大约三分之一的受访者选择“自认倒霉”。这一方面可能是基于无力应对做出的选择,另一方面也可能是应对无效后不得不接受现状。

  “能力越大,责任越大。”这是许多互联网企业常标榜的一句话。作为用户个人信息最直接的利用者和者,企业应该怎么弥补过去在这方面的欠账?

  360网络安全响应中心负责人蔡玉光表示,数据泄露事件发生时,涉事企业要第一时间开展事件应急处置,包括事件回溯和负责任的影响面评估等,也要及时对外披露各种进展。而在安全事件发生前,应该开展渗透测试,及时对有漏洞的网络服务“打补丁”(修补网络安全漏洞)。

  作为服务众多企业信息安全的一线技术专家,蔡玉光,其他企业可以从华住事件中吸取教训,做好完整可靠的数据安全措施,杜绝密码存储,“这样即便被黑也能降低损失”;对用户数据交互点进行防御,如注册登录点加验证码等二步验证方式,增加“撞库”(通过收集互联网已泄露的用户和密码信息,尝试批量登陆其他网站)的成本。

  不过,不同于技术问题,企业在个人信息管理方面“人的漏洞”,并不是通过“打补丁”就可以解决的。

  “我们研究过所有安全事件,最后归根到底天大的事件都是从一个很小的终端开始。”周鸿祎表示,在很多网络安全事件中,“人的漏洞”是很大的问题,即使病毒被检测到,很多企业和机构依然不修补漏洞。

  周鸿祎认为,企事业机构应该建立健全其内部网络安全制度,尤其重视涉及个人信息安全的人员管理。他举例称,前段时间某省不动产登记中心遭到“WannaCry病毒”,而此前许多安全厂商早已发布相关的漏洞补丁,但包括该中心在内的许多单位,依然没有及时修补自身的网络安全漏洞。

  “他不采取行动,确实我们也没有办法。”周鸿祎强调,相比病毒、黑客等,“人的漏洞”需要花费很多精力去修补,尤其是要建立健全企业自身的网络安全制度。

  在王渝伟看来,个人信息泄露事件频频发生,一方面显示出很多企业在技术、管理层面仍然不能达到法律法规的要求,对数据泄露存在规避责任的侥幸心理;另一方面也说明当前对这类个人信息泄露事件责任主体的监管力度和惩罚力度不到位,了企业的这种侥幸。

  目前,我国已经出台一些规范性文件和推荐性标准,对App收集个人信息行为进行规范和引导,但消费者普遍关心的手段、赔偿等问题仍然需要完善和细化。

  针对个人信息的具体问题,中消协在上述报告中,进一步明确网络信息服务中交易双方的和义务,严格准入门槛和登记备案,如对开发商资质的审核、App的登记备案、App服务功能和内容的审查、违规惩罚机制各个环节等都应形成联动;严厉惩处各类违法违规行为,严厉打击个人信息贩卖的黑色产业链;严密关注市场App发展态势,如联合建立App抽查制度和制度,及时公示黑榜软件,提醒消费者谨慎下载。

  公安部第三研究所信息网络安全法律研究中心主任黄道丽认为,当前的制度安排下,对泄露个人信息的力度仍然较为薄弱,已知的司法案例也难有对用户支持的。虽然关于这一问题的法律法规有很多,但执行力差,“用户体验差”,执法的效力没有监督评价,特别是没有和最终的用户建立联系。

  中国裁判文书网的数据显示,截至9月初,全国信息的刑事犯罪案例有3100多起,而涉及隐私权纠纷的个人信息泄露的民事判例只有约20条。

  在她看来,由于上述问题的存在,个人、企业和监管各方都维系着一种脆弱的平衡,一旦出现信息安全事件,这种平衡就会打破,大家才会发现,原来网络安全法等法律针对许多问题早有。

  “如果从权宜之计上,可能迫切需要一些典型的司法案例,树立标杆和,让一线执法部门认识到,确实可以按照网络安全法的释法和裁判。”她。

  近日,国内最大的多品牌酒店企业之一华住集团被曝大量用户数据遭泄露。中国青年报·中青在线记者从华住方面获悉,目前警方还在调查此事,最新进展以警方消息为准。

  8月28日,网上曝出,网络黑客通过“暗网”(存储在网络数据库里、但不能通过超链接访问的资源集合)中文论坛以8比特币的价格出售约5亿条华住旗下酒店的用户数据,涉及人。当日,华住集团通过微博接连发布2份声明,表示已经报警并且聘请专业技术公司核查此事。

  9月4日,在2018年互联网安全大会上,360公司董事长周鸿祎呼吁,对个人信息安全的关注和讨论不该停止。“最近层出不穷的安全事件,让我们很多人都没有安全感。”“现在每次一发生(此类)事件,好像企业是者,其实应该(对其)问责。”

  从“之蓝”病毒全球爆发,到Facebook用户数据泄露,再到趣店被曝数百万学生数据疑泄露......涉及隐私的用户数据总是被盯上,有的企业对此束手无策,有的企业并未做好准备。

  包含个人信息的用户数据是许多企业发展新兴业务的重要基础,而不断出现的个人信息泄露事件又在提醒:企业该如何真正将用户个人信息的责任履行好?制度层面可以做出怎样的安排?

  早在2013年,华住集团旗下汉庭酒店就被曝出数据泄露,后来的调查发现,这是因为酒店所使用的WiFi管理和认证管理系统存在网络安全漏洞,数据传输加密失效。

  2017年,另一家酒店连锁企业凯悦集团黑客,导致11个国家的41家凯悦酒店面临数据泄露。同年,由于遭到黑客入侵,洲际酒店集团旗下超过1000家酒店发生用户支付卡信息泄露的现象。

  据《2018年中国大住宿业发展报告》,截至2017年年底,全国酒店类住宿业设施31万家,每位住客入住酒店后,包括其身份证件、电话号码、房间号等在内的所有个人信息将会同步上传至公安信息系统以及酒店内部的管理系统。按照公安部的要求,相关的开房记录将被保留一定年限,以随时备查。

  虽然酒店行业所收集、存储的数据规模巨大,而且其中有很多都是用户的隐私信息,但当前我国制度层面对此类事件的处罚还欠缺具体标准,而欧盟的《通用数据条例》(PR)则明确,对泄漏用户数据的互联网公司最高处罚其全球营业额的4%。

  观韬中茂(上海)律师事务所合伙人王渝伟表示,华住事件也反映了许多企业在用户个人信息方面还有很多欠账。如果此次事件确是由华住的程序员将数据库连接方式上传于GitHub用于交流而导致,那么说明其内部安全管理制度和操作规程存在纰漏,对于其程序员上传数据库连接方式的行为未做预防。

  根据目前已知的各种信息,他认为,华住对包含大量个人信息的数据未做加密、脱敏等必要措施在内的安全处理,在数据泄露过程中,华住很可能也未采取恰当的补救措施来减少数据的泄露。

  在大量用户隐私信息被泄露、企业对此投入不足的同时,还有许多企业在通过互联网不断收集个人数据,甚至违规也在所不惜。

  中国消费者协会于今年7月17日~8月13日开展的“App个人信息泄露情况”问卷调查结果显示,经营者未经本人同意、擅自收集成个人信息泄露的主要途径,约占调查总样本的62.2%;网络服务系统存有漏洞造成个人信息泄露57.4%。

  而手机App在自身功能不必要的情况下,获取用户隐私权限的情况也比较严重,有67.2%的受访者遇到这种情况,其中读取信息权限、访问联系限是出现最多的情况,读取通话记录、读取短信记录、打开摄像头、打开话筒录音等权限也被过度要求授权。

  中消协的上述调查结果显示,个人信息泄露后,受访者会采取多种措施自身权益,但最终有大约三分之一的受访者选择“自认倒霉”。这一方面可能是基于无力应对做出的选择,另一方面也可能是应对无效后不得不接受现状。

  “能力越大,责任越大。”这是许多互联网企业常标榜的一句话。作为用户个人信息最直接的利用者和者,企业应该怎么弥补过去在这方面的欠账?

  360网络安全响应中心负责人蔡玉光表示,数据泄露事件发生时,涉事企业要第一时间开展事件应急处置,包括事件回溯和负责任的影响面评估等,也要及时对外披露各种进展。而在安全事件发生前,应该开展渗透测试,及时对有漏洞的网络服务“打补丁”(修补网络安全漏洞)。

  作为服务众多企业信息安全的一线技术专家,郑伊健和梁咏琪蔡玉光,其他企业可以从华住事件中吸取教训,做好完整可靠的数据安全措施,杜绝密码存储,“这样即便被黑也能降低损失”;对用户数据交互点进行防御,如注册登录点加验证码等二步验证方式,增加“撞库”(通过收集互联网已泄露的用户和密码信息,尝试批量登陆其他网站)的成本。

  不过,不同于技术问题,企业在个人信息管理方面“人的漏洞”,并不是通过“打补丁”就可以解决的。

  “我们研究过所有安全事件,最后归根到底天大的事件都是从一个很小的终端开始。”周鸿祎表示,在很多网络安全事件中,“人的漏洞”是很大的问题,即使病毒被检测到,很多企业和机构依然不修补漏洞。

  周鸿祎认为,企事业机构应该建立健全其内部网络安全制度,尤其重视涉及个人信息安全的人员管理。他举例称,前段时间某省不动产登记中心遭到“WannaCry病毒”,而此前许多安全厂商早已发布相关的漏洞补丁,但包括该中心在内的许多单位,依然没有及时修补自身的网络安全漏洞。

  “他不采取行动,确实我们也没有办法。”周鸿祎强调,相比病毒、黑客等,“人的漏洞”需要花费很多精力去修补,尤其是要建立健全企业自身的网络安全制度。

  在王渝伟看来,个人信息泄露事件频频发生,一方面显示出很多企业在技术、管理层面仍然不能达到法律法规的要求,对数据泄露存在规避责任的侥幸心理;另一方面也说明当前对这类个人信息泄露事件责任主体的监管力度和惩罚力度不到位,了企业的这种侥幸。

  目前,我国已经出台一些规范性文件和推荐性标准,对App收集个人信息行为进行规范和引导,但消费者普遍关心的手段、赔偿等问题仍然需要完善和细化。

  针对个人信息的具体问题,中消协在上述报告中,进一步明确网络信息服务中交易双方的和义务,严格准入门槛和登记备案,如对开发商资质的审核、App的登记备案、App服务功能和内容的审查、违规惩罚机制各个环节等都应形成联动;严厉惩处各类违法违规行为,严厉打击个人信息贩卖的黑色产业链;严密关注市场App发展态势,如联合建立App抽查制度和制度,及时公示黑榜软件,提醒消费者谨慎下载。

  公安部第三研究所信息网络安全法律研究中心主任黄道丽认为,当前的制度安排下,对泄露个人信息的力度仍然较为薄弱,已知的司法案例也难有对用户支持的。虽然关于这一问题的法律法规有很多,但执行力差,“用户体验差”,执法的效力没有监督评价,特别是没有和最终的用户建立联系。

  中国裁判文书网的数据显示,截至9月初,全国信息的刑事犯罪案例有3100多起,而涉及隐私权纠纷的个人信息泄露的民事判例只有约20条。

  在她看来,由于上述问题的存在,个人、企业和监管各方都维系着一种脆弱的平衡,一旦出现信息安全事件,这种平衡就会打破,大家才会发现,原来网络安全法等法律针对许多问题早有。

  “如果从权宜之计上,可能迫切需要一些典型的司法案例,树立标杆和,让一线执法部门认识到,确实可以按照网络安全法的释法和裁判。”她。

  

0
0
0
0
0
0
0
0
下一篇:没有资料

网友评论 ()条 查看

姓名: 验证码: 看不清楚,换一个

推荐文章更多

热门图文更多

最新文章更多

关于联系我们 - 广告服务 - 友情链接 - 网站地图 - 版权声明 - 人才招聘 - 帮助

声明:网站数据来源于网络转载,不代表站长立场,如果侵犯了你的权益,请联系站长删除。

CopyRight 2010-2016 亚特兰大网 All Rights Reserved

币安app官网下载