用户个人信息是互联网大数据的重要来源,为实现特定功能,提升用户体验,APP和网站等不可避免要收集、使用一些用户个人信息。但当前,除了超范围收集、未经同意收集等增加了对用户的安全隐患之外,即便是出于服务所必需收集的信息,由于保存不妥、管理不善、使用不当,还是可能导致用户隐私和个人权益遭到侵害,上两篇,我们主要探讨了线下终端角度的信息泄露的原因。那么数据被收集到后台处理,组织还有哪些行为将会导致大家的信息泄露呢?

1.内部人员无意泄露

有些企业、机构的人员对于信息重要性的认识不足,缺乏必要的知识技能,会导致无意中泄露信息。比如,有些企业对敏感的个人信息没有任何加密防护措施,员工可随意拷贝文件资料,当通过网络传输工具将用户资料传输到外部,极易导致数据泄露。再此外,面对黑客精心设计的‘钓鱼邮件’,一些网络安全意识薄弱的员工难免中招,最后数据被黑客窃取。

2. ‘内鬼’员工恶意泄露

‘内鬼’窃取数据危害往往很大,因为其目的性很强,比较难发现。个别员工出于黑色链条对其许诺的丰厚报酬,会利用职务之便,向其非法提供大量数据,且持续时间久,此前的报道中看到最终影响的用户数量可能超过亿级。还有个别员工对原工作单位的报复,可能将客户信息泄露到竞争对手手中。甚至还有一些竞争对手会特意安排‘内鬼’员工去其他公司窃取数据。

3.非法倒卖用户信息牟利

有个别互联网企业,尤其是涉及到网购、中介等平台会将收集到的个人信息未经用户同意分享给其他的平台,通过进行这种‘互惠互利’的交易,掌握客户的更多信息,从而实现利益的最大化。甚至有一些不法企业,将收集到的个人信息打包出售给其他公司,从而牟取利益。

4.企业安全技术与管理机制不到位

黑客入侵网站攻击个人信息的情况时有发生,攻击的手段也日益多样化。尤其是有些大型企业的业务复杂多样,掌握个人信息数量较多,是黑客的首选。部分企业的安全防范技术与管理机制不完善,在面临网络攻击、黑客窃取时难以确保信息安全。其次,一些企业对员工的培训不到位,安全意识薄弱,员工的个人设备很容易遭到攻击。还有个别敌对企业会恶意雇佣恶客进行网络攻击。这些情况都有可能导致用户的个人信息泄露。

5. 嵌入的代码、插件过度使用权限搜集数据

几乎所有的APP都会获取我们的手机权限,但是部分APP潜入了不安全的代码、插件,这些代码、插件会过度使用权限,将数据传输到第三方。比如某些App嵌入的SDK滥用读取存储区、相册等权限收集用户数据,一些APP嵌入的H5页面连续24小时通过定位权限获取用户精准地理位置。

6. 第三方平台信息泄露

很多用户信息还会因为第三方平台造成泄露,此前某知名网盘被曝出第三方网盘搜索网站泄露用户隐私文件,用户曾经小范围分享过的文件在第三方搜索网站上可以被任何人获取,其中包括了通信录、照片等重要信息。此外,有很多人使用抢票软件等第三方平台后收到诈骗短信的骚扰。

那么针对这些情况,我们应该怎么做?

企业应该怎么做:

1. 加强员工安全意识教育

企业应对新入职的员工进行系统的网络安全和法律知识培训。让员工对泄露用户信息等违规甚至违法行为牢记于心。定期对所有员工进行网络安全知识普及,适当的进行安全知识测验。加强涉及用户数据的部门监督与检查,严查‘内鬼’员工的监守自盗。

2. 不断提升安全技术和管理水平

企业应当不断加强安全技术的应用,必要时可以和专业安全机构进行合作,定期检查并修补系统漏洞。其次,企业的管理机制需要不断完善,建立严格的制度,并落实到具体工作中。

3.监督用户的安全意识

为提高安全系数,企业可建议或强制要求用户密码定义为更复杂的数字 、字母和符号相结合的方式,并提醒用户避免将姓名生日等设为密码。当用户的信息遭遇泄露(密码被盗、异地登录等),企业应当立即通知用户修改个人密码,预防信息被盗用或者诈骗等情况。

4.加强第三方合作平台的管理

企业在选择合作单位时要做足‘功课’,不仅要选择专业性强更要选择安全系数高的企业。合作前制定好用户数据的管理制度以及出现问题的解决方案与责任划分。

个人应该怎么做:

1.慎重使用第三方平台

大家在购物、购票时,尽量使用官方网站和APP,不随意使用第三方平台。选择正规下载渠道下载APP,下载前查看APP的下载量和评论,辨别是否为官方应用。

2、查看应用使用权限的频率

使用APP时,首先查看APP申请的权限是否与功能有关,如今很多手机都有了查看App读取位置信息、手机号、短信记录、通话记录、使用摄像头、录音等权限的记录,如果发现数据过于频繁,建议关闭相应权限。

3.妥善设置密码

尽可能在不同的平台使用不同的密码并定期修改密码,防止因为一个平台账号泄漏导致遭受更大损失,如果多个密码不易记忆,可以用一些只有自己了解的规律更换密码的具体字段。

4.合理使用投诉举报的权利

当用户发现了企业在使用个人信息或者保护个人信息方面有不合规甚至违法的行为时,可主动收集证据,将其反馈给相关部门。

总结

11月1日,《个人信息保护法》已经发布实施,将对个人信息的保护工作提供更多的关注,对保护用户隐私来说有着重大意义。但是,对于个人信息泄露问题,依然任重而道远。一是已经泄露的信息将会给用户带来长期影响,二是法律震慑的前提是泄露已经发生,对违法企业和人员进行处罚,其实对于用户来说往往挽回不了损失。因此,企业加强安全措施,个人培养良好习惯,依旧是需要得到长期重视。

(本文作者:方雪)

声明:本文来自CCIA数据安全工作委员会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。