当人们满怀期盼准备买票回家过年时,火车购票官网12306却被曝发生令人震惊的用户数据泄露事件。12月25日,一网友在国内知名漏洞报告平台乌云上发表了一篇题为《大量12306用户数据在互联网疯传包括用户账号、明文密码、身份证邮箱等(泄露途径目前未知)》的帖子,称当前有黑客获取了12306的所有用户信息并在一些黑客群体中进行流传、买卖。该样本数据的文件标题为《12306邮箱-密码-姓名-身份证-手机.txt》,共计131653条记录。虽然铁路警方当晚便迅速抓获了涉嫌窃取并泄露他人电子信息的犯罪嫌疑人,但此次12306网站用户数据泄露一事却引发大众普遍担忧。
网络安全问题已变成了触目惊心的事实,并且关乎每个人的信息安全。面对频繁发生的数据泄露,该怎么办?
“目前我国的网络安全立法属于起步阶段,既未形成网络安全的规范体系,亦无专门的个人信息保护法律。我国在网络安全立法方面的滞后是显而易见的。”中国人民大学物证技术鉴定中心副主任、国家司法鉴定人,首都互联网协会法律专业委员会委员谢君泽近日在接受《法制日报》记者采访时指出,网络治理既需要法律规制,也需要技术强化。只有法律与技术双管齐下,才能真正实现网络的良性生态。
个人信息泄露频繁隐私保护成难题
不得不承认,互联网在极大方便人们生活的同时也给信息安全带来了巨大挑战。近些年来,互联网世界中各种泄密事件屡屡发生,安全问题备受诟病。让我们先盘点一下近期发生的几起影响较大的泄密事件:
3月22日,乌云网公布了“携程安全支付日历导致用户银行卡信息泄露”的相关信息。泄露的内容包括用户持卡人姓名、身份证、所持银行卡类别、卡号、CVV码(信用卡背后的一组数字)以及用于支付的6位密码;
2013年10月22日,圆通速递被曝其近百万条快递单个人信息不仅可在网络上购买到,单号数据信息还能24小时刷新;
2011年12月,CSDN的安全系统遭到黑客攻击,600万用户的登录名、密码及邮箱遭到泄露。随后,CSDN“密码外泄门”持续发酵,人人网、开心网、世纪佳缘、百合网等网站的“密码集”也先后出现在网络上。著名网站天涯网也发布致歉信称天涯4000万用户隐私遭到黑客泄露。
个人信息被泄露的一个严重后果是使个人遭遇电信诈骗的危险大大提升。据统计,目前90%以上的电信诈骗源头都是个人信息泄露,直接导致电信诈骗从撒网式诈骗向精准诈骗升级,再配合网络改号软件、伪基站、钓鱼网址、木马病毒等高科技手段,让电信诈骗更容易得手,单个案件的金额越来越大。
网络悬赏公私合作之举值得鼓励
值得一提的是,据报道,12306在数据泄露之后已于近日加入全球最大的漏洞响应平台“补天”开始漏洞修复。网站主管方中国铁道科学研究院最高悬赏2000元,号召网友查找漏洞。据悉,“补天”是国内首个现金悬赏漏洞的平台。安全专家和黑客技术高手通过向企业提交漏洞报告,能够根据漏洞危害程度和影响范围获得企业现金奖励,从而帮助企业主动发现并修复漏洞,提升互联网安全防护水平。
“12306悬赏查漏洞可以说是借助市场化手段的公私合作。这与之前有些互联网企业在查处涉恐数据时提出的有奖举报有异曲同工之妙。当前,通过市场化手段进行网络安全的公私合作应当说是应急之需,值得鼓励。”谢君泽评价。
“实际上,发达国家一直推崇网络安全的公私合作。”谢君泽介绍,今年12月,美国国会先后通过的四项网络安全法律议案,其中最大的两个特点是理顺网络安全公私合作的体制障碍和加强联邦计算机网络的实时监控。网络安全的公私合作不只是打击网络违法犯罪方面的公私合作,更多的是在网络安全技术的研究与发展方面的公私合作。
防治数据泄露还需不断提高技术
谢君泽告诉记者,网络安全立法起步较早的发达国家,不仅关注国际层面、国家层面、社会层面的网络安全立法,也十分关注企业和个人层面的网络安全立法。比如说,美国早在2000年以前就已通过多部与电子商务、个人隐私相关的网络安全法律,具体包括《1984年惩治计算机欺诈和滥用法》、《1986年电子通信隐私保护法》、《1988年计算机适用及个人隐私保护法》、《1996年经济间谍法》、1997年《全球电子商务框架》、《1998年数字千年版权法》、《1999年在线隐私保护法》、《2000年全球及全国电子签名法》,此后还出台了《2005年个人数据隐私与安全法》。
“数据泄露的网络防治,不能仅仅依靠法律规制,还需要不断提高的技术强化。”谢君泽分析指出,一方面,网络是与生俱来的技术产物,网络安全一定程度上是网络技术对抗的结果。另一方面,网络安全的威胁不仅来自恶意的人为攻击,还有网络自身的技术缺陷;不仅有来自域内可规制的犯罪行为,还有来自域外不可控的攻击行为。正因如此,走在前面的网络安全发达国家总是十分注重网络安全的技术发展和人才培养。比如,美国的《2010年网络安全法案》主要规定了网络安全的人才发展、网络安全知识培养等,而后续的《2010年网络安全加强法案》则旨在加强网络安全的研究与发展,推进网络安全技术标准制定。
谢君泽强调,我国即将出台网络安全法,当务之急是如何认识网络治理的潜在规律,如何借鉴发达国家的立法先例,如何吸收我国实践探索的经验,这是一个任重而道远的课题。