导读:扫描二维码制作自己的“高考准考证”,临近高考,一款输入个人信息就能自动生成“高考准考证”的小应用刷爆社交网络。有专家提醒,性格测试、星座测试、结婚证生成器等类似的互动小游戏背后,可能存在个人安全信息泄露的风险,有可能会被不法分子利用于攻击个人移动银行。
“这是一种对高考的缅怀。”大部分网友都抱着类似心态,扫描二维码打开链接,上传自己正面照的同时,还填写姓名、入学年份等个人信息。最后形成一张模拟的“高考准考证”,里面还有考试科目时间等。
记者发现,如果用户上传的不是人脸正面照,系统将因无法识别而要求重新上传照片,如果没有填写姓名,也无法制作准考证。而在应用界面的底部有一行说明:主办方不搜集和储存个人信息。
事实上,这是互联网系统通过人脸头像识别技术,根据脸部轮廓和特征、性别等元素,进行面部处理。专家认为其中涉及到个人信息的泄露隐患。
浙江省公安厅网警总队相关负责人表示,后台会拥有用户真实姓名和真实头像,非常危险。当前人脸图像识别在银行支付系统中应用广泛,这种“脸型密码”一旦被盗取容易被不法分子利用,造成用户损失。
记者注意到,不少商家品牌都进行过类似的传播活动。比如,情人节时的“结婚证生成器”、“六一儿童节”期间的“我的小学生证件照”等,都是通过在网络上填写个人信息上传真实头像生成的。
中国电子商务研究中心主任曹磊认为,利用互联网抓住人的好奇心,利用社交网络获取个人信息,这种类型的测试往往带有病毒式的传播。“通过看似有意思的互动活动,采集用户的真实信息,这些真实信息会和手机的IP和串号进行绑定,再通过针对性的策划进行诈骗。”
业内人士表示,尽管微信朋友圈早有明令禁止此类测试内容传播,但这类活动仍屡见不鲜。一些商家通过营销手段窃取用户信息,恶意营销、追求不正当的经济目的,损害着网民的切身利益。
中国电子商务研究中心特约研究员、浙江腾智律师事务所麻策律师认为,目前有很多互联网公司为吸粉,采取互动游戏的个性分析等方式,掘取用户个人信息,但没有对用户提示个人信息已被收集以及日后数据使用规则,如果收集的信息可形成用户数据画像并指向可识别对象,可能构成非法收集信息行为。
专家提醒说,现在对于社交网络的个人信息获取比较泛滥,要从个人信息安全和个人财产安全角度出发,不要随意填写个人信息,避免可能带来的潜在风险。(来源:新华社;文/魏董华)
还记得几个月前风靡朋友圈的“星座性格测试”吗?
“每个人的生日都隐藏着他性格的小秘密,输入你的生日,来生成你的性格标签吧!”2016年7月16日上午,一名为“柏拉图app”的微信公众号推出的“我的性格标签”测试在微信朋友圈疯转。出于对性格测试,利用互联网抓住人性弱点的“擦边球”以及新奇的海报吸引大众,使得一夜之间这款测试开始病毒式传播。
对于此类朋友圈性格测试活动,中国电子商务研究中心特约研究员、浙江腾智律师事务所麻策律师提醒广大用户:网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意,不得违反法律、法规的规定和双方的约定收集、使用信息。网络服务提供者和其他企业事业单位收集、使用公民个人电子信息,应当公开其收集、使用规则。
麻策律师进一步表示:“目前有很多互联网公司为吸粉,采取互动游戏,个性分析,H5页面等方式,掘取用户个人信息,但没有对用户提示个人信息已被收集以及日后数据使用规则,如果收集的信息可形成用户数据画像并指向可识别对象,可能构成非法收集信息行为。”
来自上海安全协会的中国电子商务研究中心特约研究员张威也表示,现在对于社交网络的个人信息获取确实比较泛滥,利用人性的热点实现一些不道德的目的,很多人也因此上当受骗。
最近他们协会碰到比较多的问题:
这种危害广大网民了解较少,从而不太注意,防范意识比较差。一种是采集信息诈骗,类似这两天朋友圈“刷屏幕”的“星座性格测试”这样的形式。通过看似有意思的互动活动,采集用户的真实信息,这些真实信息会和手机的ip和串号进行绑定,再通过针对性的策划进行诈骗。
还有一种是假冒微信群或qq群对特定人群进行欺骗,最近上海的某家上市公司就碰到这种手法的社交欺诈,公司财务某日被拉进一个公司工作交流的微信群,群里都是“公司员工”(中国电子商务投诉与维权公共服务平台注明:实际为骗子“马甲”),在讨论日常的工作,突然有个他老板头像的人在群里跟他说有个项目需要他马上打款169万,让他去操作,因为真实性很高,所以他立即向指定账户进行了操作,到最后才发现上当受骗了,因为那个群里除了他,其实其他人都是骗子,核心在于给他营造了一种场景。
微信朋友圈明令禁止测试类内容传播
早在2015年,微信团队发布了《微信公众平台关于禁止发布签类测试信息的公告》,明确指出微信公众平台及朋友圈出现毕业签、月份签等签类测试活动的信息属于违规行为,给用户带来骚扰,破坏朋友圈的体验。从2015年7月1日起,一旦发现微信公众帐号有发布签类测试行为:包括但不限于发布新年签、大学测试、星座测试等信息,微信公众平台将视情节对违规公众号进行删除关注用户(粉丝)及封号处理。
然而此类违规测试类活动在朋友圈屡见不鲜,通过营销手段窃取用户信息,恶意营销、追求不正当的经济目的,损害着网民的切身利益。
50亿条公民信息泄露?为何信息泄露成常态?
今年4月,公安部破获了一起盗卖公民信息的特大案件,被窃取和盗卖的公民信息多达50亿条。经公安部调查,京东网络安全部前试用期员工郑某鹏,长期监守自盗,与黑客相互勾结,为黑客攻入网站提供重要信息——包括在京东、QQ上的物流信息,交易信息、个人身份等数据信息,为犯罪团伙实施违法犯罪活动提供了有力的技术保障。
京东发布的声明称,在腾讯与京东联合打击信息安全地下黑色产业链的日常行动中,发现2016年6月底入职京东、尚处于试用期的网络工程师郑某鹏系黑产团伙的重要成员,并立即向公安机关提供了线索。
据中国电子商务研究中心(100EC.CN)此前对1000位用户在线调查显示,21.7%的用户曾因网购、论坛、微信等遭遇过信息泄露,并且11.2%的用户接到过疑似的诈骗电话;56.8%的用户表示对互联网信息安全担忧,并会对需要填写个人信息的互联网游戏,注册等保留一定的戒心,而仍有43.2%的用户认为互联网信息泄露与个人无关,不太关注。
另据中国电子商务投诉与维权公共服务平台(www.100ec.cn/zt/315/)近年来接到的类似用户投诉案例表明,近年来互联网/电商行业“泄密”事件频频出现,其重大典型的包括:5173中国网络服务网数次被“盗钱”、当当网多次用户账户遭盗刷、“1号店”员工内外勾结泄露客户信息、支付宝漏洞致用户信息泄露、如家、七天开房信息泄密、腾讯7000多万QQ群遭泄露、携程技术漏洞导致用户个人信息、银行卡信息等泄露、微信朋友圈小游戏窃取用户信息等。
究竟该谁为用户数据安全负责?
按照现行法律,如果用户信息泄露,企业是需要承担一定的赔偿责任的,中国电子商务研究中心特约研究员、辽宁亚太律师事务所董毅智律师此前类似案例曾剖析道,因为公司与用户之间具备合同关系,有保障用户信息安全的义务。如果本次事故是内部人员所为,说明公司内部存在管理问题,没有尽到安全管理责任,应承担相应的民事责任,赔偿用户损失。如果本次事故是外部攻击造成,需要具体分析公司方面是否有采取基本的技术措施保障信息的安全,再来判定公司是否存在过错。
其中一个重要的问题就是,当企业发现数据泄露后做了什么,是否第一时间发出警报并采取措施直接体现了当事公司是否尽到了相关责任。在类似事件中,一些企业往往担心自身名誉受损,对数据泄露抱着遮遮掩掩的态度,这种心态正是网络攻击者所期望的局面,也是攻击者有恃无恐的原因之一。
按照美国的法律,企业发生一次信息泄露事件就可能被罚得倾家荡产。根据我国法律对用户隐私的侵权行为约束力有限,用户维权、寻求民事赔偿胜诉率不大,对损失评估难以确定金额,所以想要对隐私泄露的责任人追究还是非常困难的。虽然大规模信息泄露、数据安全事件频出,却从未见到企业负责人被问责。
对此,中国电子商务研究中心特约研究员、广州金鹏律师事务所合伙人詹朝霞律师认为:违法成本低,法律监管缺失是“泄密”事件再三出现的根源!从法律层面来看,各类服务提供商,基于提供服务所采集的用户信息数据,具有严格保密的法律义务,类似的规定散见于国家工商总局发布的《网络交易管理办法》、《全国人民代表大会常务委员会关于加强网络信息保护的决定》等相关法律法规规章中,虽然规定不少,但相关规定中却没有设置任何对应的处罚措施,违法成本极低。
在日益繁杂多变的网络交易中,服务商们忙于应付各种生意,对于用户信息保密仅仅是基于商业道德或品牌荣誉的角度,其实施力度可想而知。可以毫不夸张地说,法律监管的缺失是类似事件一而再再而三爆发的根本。行政主管部门,比如工商局、银监会、证监会、通管局等相关部门应该形成联动机制,对泄露用户信息的行为甚至是“出卖”用户信息的行为进行狠狠打击,还消费者以安全,还消费者以放心。
中国电子商务研究中心主任曹磊认为,用户信息泄露不仅存在于个别计价电商平台,几乎是当下电商行业的一大“通病”,而信息泄露中受害最大的是处于被动的消费者。要在购物过程中避免信息泄露,需要消费者、电商平台和相关部门的共同努力。全国首部《电子商务法(草案)》中,加大对信息安全的保护力度,明确包括第三方电商平台、平台内经营者、支付服务提供者、快递物流服务提供者等在内的信息安全保护责任主体。提出对未履行保护义务的,最高处50万元罚款并吊销执照;构成犯罪的,追究刑事责任。此外,根据刑法第二百五十三条:“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。
小贴士:如何防止个人信息被泄露
对此,中国电子商务研究中心主任曹磊给出了建议:
第一,网站用户信息泄露有多种可能性途径。现在许多APP、网站、公众号、小程序都需要用户注册账号后才能正常使用。因此,每个网民拥有多个账号是很平常的事情。在注册时,网站一般都需要填写一些个人信息,如常见的账号、密码、邮箱等,像一些电子商务、婚恋、交友网站等还需要实名认证,要求填写的信息更加详细。平台上的用户数据泄露主要有以下几种方式:黑客利用平台存在的安全漏洞入侵网站,盗取用户数据库;网站内部工作人员倒卖用户信息;通过撞库攻击,窃取用户数据;利用钓鱼攻击窃取用户信息;通过木马、病毒窃取用户隐私信息。
第二,法律条文需细化,相关部门应适时介入。我国关于网络信息安全方面的法律条文不够明确,适用范围尚且不够精准,相关条文必须得到进一步细化、规范,以此更加公平公正地惩治网络信息安全事故的造成者,保护公民切身利益。此类信息泄露事件不适用“不告不处理的”的原则,相反,执法部门应主动积极介入案件调查,并对实施者进行追责处理。
第三,信息安全无小事,用户必须增强信息保护意识。警惕要求重新输入账号信息,否则将停掉信用卡账号之类的邮件,不要回复或者点击邮件的链接,以免落入圈套。同时,避免开启来路不明的电子邮件及文件,安装杀毒软件并及时升级病毒知识库和操作系统补丁,将敏感信息输入隐私保护,打开个人防火墙。网络银行时,选择使用网络凭证及约定账户方式进行转账交易,不要在网吧、公用计算机上和不明的地下网站做在线交易或转账。不要在多个网站使用相同的注册账户名以及登录密码,防止网络黑客有意盗取,造成多个网站个人信息的连环失窃。
第四,要求网站平台收集和使用用户信息应当遵循“合法、正当、必要”三原则。对收集到的用户信息应当采取安全保护措施,一旦发生泄密,必须及时采取补救措施,否则都可能面临行政处罚或者用户的诉讼。
【“天天3·15”网络消费维权行动】
国内最大第三方电商维权平台——中国电子商务投诉与维权公共服务平台启动“天天3·15网络消费维权行动”(www.100ec.cn/zt/16fwpd /),重点关注网络消费者维权集中的电商网购、O2O、微商、海淘、外卖、消费金融、P2P等领域。若您在网络消费中遇信息泄露,可通过投诉通道www.100ec.cn/zt/315/或关注官方微信“网购投诉平台(DSWQ315)”进行在线投诉,我们将第一时间核实、受理、曝光。(文/若贝)
》》更多信息泄露相关案例,详见电商3.15曝光台
315重磅|试用期前员工泄露50亿条公民信息?一文看懂电商用户泄露为何成常态 ?
【重磅】朋友圈都在晒的星座性格测试 又泄露了你的隐私
丨阿里丨淘宝丨天猫丨京东丨苏宁丨国美丨
丨唯品会丨亚马逊丨聚美丨考拉丨拼多多丨ebay丨
丨乐视丨饿了么丨携程丨滴滴丨美团点评丨摩拜丨
丨马云丨李彦宏丨刘强东丨张近东丨张勇丨
丨雷军丨贾跃亭丨姚劲波丨王健林丨王兴丨彭蕾丨
丨共享经济丨互联网+丨金融科技丨互联网思维丨
中国电子商务研究中心(100EC.CN)
【我们】中国电子商务研究中心(官方微信i100EC),“互联网+”国家战略民间智库,并运营国内领先电商资讯门户100EC.CN
【推荐】网购投诉平台”(DSWQ315);(2)互联网金融理财神器:“互联网金融时代”微信号:hlwjrsd100
【投稿】[email protected]【合作】微信:Chen-only
