圆通内鬼泄露40万条个人信息,信息泄露频发 究竟有没有办法?
新闻1+1丨圆通内鬼泄露40万条个人信息,信息泄露频发 究竟有没有办法?
数据化时代,大家一方面欣喜于给生活带来的便利和智能,另外一方面同样在担心个人信息的泄露。尤其是这两年随着各种大数据应用的普及,人们的担心甚至已经在逐步超过“欣喜”,平台、机构信息泄露的事件,经常出现在我们眼前。17日,圆通速递公司回应称,其内部员工与不法分子勾结,致40万条公民个人信息被泄露。尽管事件中的犯罪嫌疑人已经归案,但这起事件又给我们的个人信息保护敲响了警钟,而对于这起事件的看法,以及对于个人信息被泄露的看法,还是挺耐人寻味。
17日早间,圆通速递在官方微博发文称:公司注意到,近日有媒体报道经公司报案、公安机关破获的非法获取并使用快递运单信息的案件。
圆通速递称,今年7月底,公司总部实时运行的风控系统监测到圆通速递河北省区下属网点有两个账号存在非该网点运单信息的异常查询,判断为明显的异常操作,于第一时间关闭风险账号,同时立即成立由质控、安保、信息中心、网管以及河北省区组成的调查组,对此事件开展取证调查,随后向当地公安部门报案。
新闻1+1联系了侦办此案的专案组,河北省邯郸市公安局反诈中心以及邯郸市永年区公安局,证实此案确是由圆通速递发现并报案的。
河北邯郸市永年区公安局反诈中心中队长 王求东:这个案子是今年8月份,圆通公司的河北这边安全部的人,找到我们公安局报告称,他们一个账号在异地登录异常,怀疑这个号被人利用,登录了,然后非法获取公民信息过来报案。
今天,圆通快递公司在对此事件的回应中表示:通过公司调查发现,疑似有加盟网点个别员工与外部不法分子勾结,利用员工账号和第三方非法工具窃取运单信息,导致信息外泄。
河北邯郸市永年区公安局反诈中心中队长 王求东:犯罪的手段就是这个嫌疑人他们租用圆通公司的公号,然后登录去里边筛选这个收件人或寄件人的信息,他们整理出来以后,他们再整理然后贩卖出去,给实施电信诈骗的犯罪分子,他们就是一个涉嫌的罪名就是侵犯公民个人信息的,他们是这个环节的犯罪。
经过警方一个多月的侦查,最终查获了圆通公司共5名员工,以每天500元的价格外租了自己的员工账号,造成了40多万条个人信息泄露。
河北邯郸市永年区公安局反诈中心中队长 王求东:这五个账号总共流出的信息量,有效的信息量是45000条。有的外租的时间长,有的外租时间短,最长是7天的,最短的就1天,那么五个号我们统计的有效是45000条。这45000条里边,就是45000个人有可能是被电信诈骗实施的一个人,其中一个受害者。
被泄露的45000条信息中,包含了发件人地址、姓名、电话以及收件人电话、姓名地址共六个部分。而根据盗取个人信息的犯罪团伙供述,这些信息将被以每条一元的价格,打包卖到全国及东南亚等电信诈骗高发区。
据了解,这已不是圆通速递第一次遭遇客户信息泄露。早在2013年就有媒体曝光,有近百万条圆通快递单个人信息不仅可在网络上购买到,单号数据信息还能24小时刷新。
圆通速递客服通过微博发布道歉声明。圆通速递表示,网上销售订单信息的主要原因,在于个别网络销售商家,需要虚假的交易信息,来提高他的网店的信用等级,而网上倒卖信息的发生,也显示出公司内部管理还需要加强。
今天,圆通速递也表示,此次案件再次敲响了信息安全风险的警钟,并对此案件暴露的问题深表歉意。
信息泄露,平台监管太过宽容吗?
媒体报道圆通公司有五名员工涉及,下午我们的记者从警方获得的信息是,这五名中有两名发现账户异常登录后及时修改了密码,没有直接造成损失,所以没有采取刑事措施,目前采取刑事措施的是3名圆通速递的员工。另外,这次信息的泄露,是圆通速递在日常监测中发现并且主动报案的,但这依然不能推卸该有的监管责任。
中国社科院法学研究所副所长 周汉华:现有的相关法律法规,包括刑法修正之后,有一条“拒不履行信息网络安全管理义务罪”,其中有一项具体行为是“致使用户信息泄露,造成严重后果的”,所以相关执法部门其实应该跟进。包括在2013年之后,是否责令圆通进行整改,它采取了哪些整改措施?那五个账号被出卖之后,就能有40万的信息泄露,内部管理上其实已经存在非常严重的问题。所以,行政执法部门,包括刑事执法部门都应该跟进,“拒不履行信息网络安全管理义务罪”,这个武器是要用的,否则这样的事情就会层出不穷。
中国社科院法学研究所副所长周汉华:按照侵犯公民个人信息罪的司法解释,非法获取、出售或者提供公民不同类型个人信息50条、500条、5000条都可以构成刑事责任,所以本次事件中泄露的40万用户的4.5万余条绝对有效信息是很多的。
中国社科院法学研究所副所长周汉华:在网络时代,往往个人信息都是海量的。公安部去年破获的一起案件里涉及到的个人信息达50亿条;在美国的Equifax征信公司,一次泄露了1.35亿条美国公民的个人征信信息;雅虎邮箱有一次泄露5亿条公民个人信息,另外一次是30亿条。所以在这个时代,其实每个人的个人信息都面临非常大的风险。40万条的快递信息,它的含量比较大,它包含了发件人地址、姓名、电话以及收件人、电话、姓名、地址,还会包括身份证信息、用户偏好等,这些对于大数据分析非常有价值,快递单信息一直是违法犯罪分子盯得比较紧的地方。
中国社科院法学研究所副所长 周汉华:国际上现在对于个人信息保护面临一个问题,到底是打“苍蝇”还是打“老虎”?“苍蝇”往往是中下游的,像今天这个案子里这5个员工就属于是“苍蝇”。但平台、大公司就是“老虎”。如果要真正要解决个人信息滥用的问题,不打“老虎”是没有用的,所以国际上都是打“老虎”。“苍蝇”当然也要打,但是打“苍蝇”更多是通过治安管理处罚,通过治安管理的法律,包括追究刑事责任等。侵犯公民个人信息罪当中的50条、500条、5000条的标准,对于自然人来说是构成刑事责任了,但对于“大老虎”来说,这个是不够的。
如果说你的密码、你的手机号、地址等等被泄露,被获取,自己还有可修改的空间的话,那么对于个人生物信息的获取,这可是更强程度上的一种对个人信息的获取,这一两年,人脸识别、声音识别,被运用的越来越多,该怎么保障安全?
“人脸识别第一案”
随着刷脸时代的到来,当人们享受着刷脸带来的移动支付、酒店入住、车站机场安检、智能安防等领域的便捷同时,也有一些人在清醒地从另一个角度思考刷脸的安全性。
郭兵,浙江理工大学特聘副教授,多年来致力于研究个人信息保护的法律问题。同时,他还有另外一个身份一一“国内人脸识别第一案”主诉人。去年,他因杭州野生动物世界年卡由指纹识别“强制”升级为“刷脸”入园,将杭州野生动物世界诉至法院。
浙江理工大学特聘副教授 郭兵:作为一个关注个人信息保护的学者,我认为像动物园这样一个商业组织,如果在没有征得游客或者消费者的知情同意的情况下,你擅自使用人脸识别技术,肯定是涉嫌违法的,除了在征得消费者的同意之外,我认为还应当告知消费者使用的目的和风险,让消费者真正知情。
目前,该案还在审理中。 事实上,郭兵所在的杭州市对人脸识别的风险和法律属性也在进行探索。10月28日,《杭州市物业管理条例(修订草案)》被提请至杭州市第十三届人大常委会第三十次会议审议,已进入二审阶段。
在“修订草案”中新增且明确了物业服务人不得强制业主通过指纹、人脸识别等生物信息方式使用共用设施设备。而这一条款的由来,同样也是源于郭兵。
10月9日,他在杭州市司法局组织的 “修订草案”立法听证会上陈述了自己对于人脸识别进小区的建议。
浙江理工大学特聘副教授 郭兵:我是真的希望后面立法能够精细化一些,能够更多的防范到刷脸风险,因为我们现在个人信息泄露,有点类似我们现在网络空间的污染,我是非常认同,我们对于个人信息的保护是一定不能走像以前我们治理环境污染的,先污染后治理的策略,生物识别信息一旦后面广泛泄露,它跟环境治理完全不一样,真的是很难把后果控制住的。
如果这份修订草案审议通过,《杭州市物业管理条例》将成为国内首部对小区人脸识别纳入物业管理的法定条例。
杭州市司法局副局长 曹佃杭:我觉得立法的话,应该有一定的前瞻性,不能等问题爆发了我们再去规范立法,这样做的话他的管理成本非常大,而且难度会成倍的增长,我们的条例并没有否定物业公司,不能采用刷脸系统,也就是说允许刷脸系统进行关联、管理,但是必须要争得业主的同意,就说如果经过业主的同意的话仍然可以采集他的人脸,生物信息,但是如果业主不愿意的话,那么不能强行去采集业主的生物信息,应该允许他用卡或者其他的方式,进入小区。
从首个诉讼到首次进入地方规范,意味着以指纹、人脸、声纹、虹膜等为代表的个人生物识别信息的应用和保护已经越来越迫切。
除了人脸识别,手机因为开放权限导致疑似被监听,也已经成为公众的另一个困扰。
手机用户 刘倩:我跟同事聊宝宝的事情,给宝宝办理证件的一些问题,我的购物软件和浏览器会给我推宝宝证件套这类商品,但是我甚至没有上网搜过宝宝证件这些,我感觉挺恐怖的。
手机用户 苑庆攀:我跟朋友说椰枣,然后过了一天我就在某App刷到了关于椰枣的推荐的视频。 我就觉得很惊讶,我说你怎么可能,对吧?我除了说,没有任何搜索记录,你这就给我推荐呢。
中国社科院法学研究所副所长 周汉华:在国外也出现过类似被监听事件,也算是丑闻。这对个人的隐私,甚至对个人的人身和财产安全都带来很大挑战。有一些APP是必须要用麦克风,因为有通话功能,但很多APP其实没有通话功能,比如一些阅读的APP,它也来调取你的麦克风,这个情况下就需要法律介入,必须要有合理的业务上的需要才能调取,否则不应该调取麦克风。
中国社科院法学研究所副所长 周汉华:这个必须得有监管机构来进行判断。很多APP都觉得自己需要调用很多个人信息,不然无法提供服务,实际上很多时候它说的是没有道理的。比如一个阅读软件,只提供文字方面的服务,那根本不需要麦克风。即使真的需要麦克风,也不是永远都需要,可能只是你需要时才能调用,你不需要时就应该尊重用户的选择,不能让它永远给你开着。
个人信息保护,法律如何起作用?
这些简单的问卷,是2020年上半年,人脸识别技术应用安全调研课题组发布的一份线上问卷,共有 2万多人参加,这组数据至少可以反应出公众对于人脸识别应用的一个基本态度方向。
中国社科院法学研究所副所长 周汉华:其实现在国际上已经对人脸识别问题讨论得非常多了,很多主体现在已经意识到人脸识别所带来的后果。像美国旧金山,明确规定禁止人脸识别。在其他领域,微软做出了对人脸识别的一些准则性要求,在什么情况下来进行人脸识别等。由于现在进入4G、5G时代,它是一个视频的时代,这时人脸的使用面越来越广,带来的风险就前所未有。因为人脸是没法换的,如果是密码还可以换,甚至地址也可以换,车也可以换,但是人脸换不了。所以这个损害一旦造成,是无法挽回的。这就需要在立法中,在执法中把这个作为重中之重来加以保护。
一方面是技术和市场的发展,有市场需求,也有高科技发展需求,另外一方面,是人们对于自身信息安全方面更深层次的担心。不是说这两者一定对立,只能选其一,而是当有了技术的发展之后,技术该怎么适度运用,要有明确的红线界限,技术运用的前提,一定是安全。 技术需要发展,但前提应该是安全,尤其是涉及到个人隐私、个人信息,我们希望法律和监管,能够在未来真正起到作用,保护我们每一个人的隐私。