• 數安法正式生效 網絡平臺仍暗藏隱私數據交易

    首頁 / 業界 / 資訊 /  正文
    作者:西西
    來源:安全419
    發布于:3個月前
    《數據安全法》已于9月1日正式實施,《個人信息保護法》將于11月1日實施,我國網絡空間安全治理法律體系將進一步完善。與此同時,根據人民網記者近日調查發現,在論壇社群、電商平臺等網絡空間,仍有灰色數據交易藏匿于隱蔽角落,其中也包含針對個人信息等在內的隱私數據交易。

    數據灰色交易藏匿于網絡平臺


    “全國企業內部員工通訊錄,真實可測”“大眾點評商鋪數據,量大3000萬”“收影視手機數據,支持測試的來”“收微博原始數據”……在百度貼吧、淘寶、閑魚等網絡平臺,一些個人隱私數據、行業數據被公開叫買叫賣。

    通過QQ與其中一位賣家取得聯系后,對方表示可以提供包括車險、網貸、信用卡等各行業的數據定制服務,“0.9元一條,實時抓取的。”賣家特別強調,所有數據是實時提取一手的,不是那種“很爛的、轉賣了好幾手”的數據,并表示“量大價格還可以再低一些”。

    賣家還展示了之前交易的聊天記錄和車險信息數據樣本,并保證“信息都是真實的”。在他展示的數據樣本中,包含車主姓名、身份證號、手機號、車牌、車型、發動機號、車架號、車檢日期等詳細信息。

    賣家展示的數據樣本

    而在淘寶、閑魚等電商平臺,搜索發現還有不少商家上架了數據代查、數據采集等爬蟲服務,涉及的內容包括各城市地方官員相關數據、MIMIC臨床數據庫、某券商機構數據庫查詢下載、美團數據采集等。

    在淘寶上,一家名為“啟航羊絨制品”的商家,實際提供的是可定制信息采集服務,涉及搜狗、百度、高德、360地圖商家POI興趣點的電話號碼信息。“個人信息采集不到,企業、店鋪、門市、工商的都可以。”商家表示,這些都是公開信息,“沒有風險”。

    另外一家名為“CityData城市大數據”的商家則透露,可以提供包含聯系方式等在內的二手房源信息,下單后24小時內網盤發貨。

    爬蟲是一種快速自動抓取網絡公開信息的輔助工具,例如我們使用的搜索引擎都用到了爬蟲技術。一般而言,如果爬蟲所爬取的是公開數據,將其打包售賣,并不被法律所禁止。但是,即便是公開數據的爬取,若爬取行為不當,仍然存在一定的法律風險。此外其他通過撞庫、誘導、群發、釣魚手段獲取大數據信息行為,已非單純通過爬蟲技術獲取信息,應歸納到黑客、木馬程序竊取的范疇。

    行業互換、內部泄密成數據泄露主流路徑

    個人信息泄露情況,通常在房產交易、教育培訓、金融保險等重要民生領域更加普遍。在大眾認知中,個人信息總是莫名其妙就被泄露了,一些企業的“精準營銷”讓人無處可躲。

    對此,有業內人士表示,當前一般涉及數據安全的企業都需要通過網絡安全等級保護評測,以黑客攻擊、木馬等技術方式大規模獲取數據的難度很大,風險也比較高。目前,大量隱私數據是通過行業互換泄露的,一些小的服務中介、代理機構在客戶信息保護方面意識淡薄。比如,房產中介員工私下交換客戶聯系方式、汽車經銷商與保險機構互換資源等等,這些私下行為往往存在監管盲區。

    而且,許多案例也在表明,越來越多的數據泄漏發生在企業內部。一方面,隨著數據價值的提升,數據全生命周期流轉往往涉及多個部門和多個系統,而相應的訪問控制與權限管理很難兼顧安全與業務兩方面訴求,訴求差異以及統一安全運營控制的缺失往往導致數據泄漏事件的發生。另一方面,在數據成為新型生產要素的背景下,數據載體分布廣,海量數據匯聚、流通、分析和共享,導致很多企業都不了解自己的數據,不能夠清楚地知道敏感數據的具體分布,數據資產不清晰也為數據安全管控和保護策略的實施帶來了困難。

    在一些面向C端服務的行業,如房產中介、保險金融等,基層網點多,人員流動大,而且能夠直接觸及到客戶信息。這些特點使得數據“行業互換”“內部違規”等違法行為更加分散、隱蔽,一些企業在監管方面的“鞭長莫及”“默不作聲”一定程度上助長了這種灰色交易。

    扎緊“數據灰產”牢籠仍需各方合力

    隨著《網絡安全法》《數據安全法》《個人信息保護法》的逐步到位,數據安全和隱私保護的監管力度正在不斷加大。業內人士認為,頂層設計正在逐步到位,但要扎緊“數據灰產”牢籠,仍需行政監管、市場約束、行業自律、社會監督等各方合力。

    從監管動向來看,電商、外賣、快遞、打車、連鎖酒店、求職招聘等行業,獲取的信息不僅涉及到用戶隱私安全,還有可能涉及國家安全。而頭部平臺所獲取的數據,往往更具有價值,加強企業對個人信息規范管理的同時,應推動建立統一的管理系統,以保證數據使用安全、合法、可追溯。

    防止數據泄漏和數據合規運營是當前大多數企業面臨的難點。中大型企業在完成數字化轉型過程中基本具備網絡安全基礎防護能力,成熟度較高企業普遍實施傳統數據安全方案,但對于隱私數據企業則普遍欠缺專門實施的安全管控?!稊祿踩ā返囊淮筇攸c在于兼顧統籌數據安全與發展:一方面厘清隱私保護、數據安全鏈條中各主體的法律責任;另一方面也鼓勵數據的合法開發利用,保障數據依法自由有序流動。如何在數據的收集、加工、傳輸等處理活動中既能釋放效率紅利,又確保敏感數據不被侵權、泄露、販賣,成為監管和企業都需要平衡的關鍵。

    目前,一些機構、企業也探索通過技術手段實現數據有效保護。例如通過隱私計算技術,在不共享明文數據、保障數據安全和用戶隱私的前提下,實現多方數據協同,聯通數據孤島,可以有效打擊數據黑產。例如零信任安全架構,在“用不信任、持續驗證”的核心思想下對所有訪問請求進行動態的驗證授權,遏制潛在風險的侵入,同時切斷內部威脅的橫向移動。