小米800万用户信息泄露互联网信息安全再鸣警钟
2014-03-28杨光
■杨光
小米800万用户信息泄露互联网信息安全再鸣警钟
■杨光
事件背景:
5月13日晚间,安全平台乌云发布了一个重大的安全漏洞信息,小米论坛被脱裤,约有800万小米社区用户数据泄漏,或将影响小米移动云等敏感信息。随后有用户收到了诈骗电话,电话源头能提供用户的准确信息,姓名、地址、电话、商品购买记录、密码、邮箱、注册I P等信息等等,以货到付款的方式进行产品推销及其他诈骗行为。
对此,小米在公开回应中表示:确有部分2012年8月前注册的论坛账号信息被非法窃取。经确认,只有2012年8月前注册、且2012年8月后未修改密码的小米账号,有少部分可能存在风险,所谓的800万用户信息被泄密,是被夸大的。出于安全考虑,将通过短信、邮件等方式提示尽快修改密码。
然而,小米的回应被质疑将责任推给第三方开源程序,有业内人士认为小米“泄密门”和当时CSDN信息泄露之后引出的一大票互联网公司信息泄露是同样的道理。作为一家以“饥饿营销”备受关注的新兴互联网公司,该事件备受关注。
此外,除了小米论坛被脱裤导致用户信息泄露外,另一大隐性的信息泄露危机也潜伏在手机用户的身边。微信朋友圈里流行测前世或者来世的趣味测试轮盘,填写真实姓名、性别等信息就能看到结果等小游戏也有可能导致个人信息泄露,并且一些微信公众号被盗后被利用非法营销等。
据中国电子商务研究中心调查表明,手机端出现安全问题通常来自几个方面:
一是用户购买手机时,可能就被预装各种APP应用,包括刷机的过程中,也存在风险因素。
二是用户的主动行为,也可能不经意间卷入风险漩涡,比如到论坛下载各种安装包,这些应用可能不是来自官方,并不可靠。这些动作少做,以官方披露的应用下载渠道为主。
二相关数据
据中国电子商务研究中心(100 EC.CN)对1000位用户在线调查显示,21.7%的用户曾因网购、论坛、微信等遭遇过信息泄露,并且11.2%的用户接到过疑似的诈骗电话;56.8%的用户表示对互联网信息安全担忧,并会对需要填写个人信息的互联网游戏,注册等保留一定的戒心,而仍有43.2%的用户认为互联网信息泄露与个人无关,不太关注。
另据中国电子商务研究中心(100 EC.CN)监测数据显示,5亿手机网民对软件商搜集个人信息的风险浑然不知,65.5%的网站存在安全漏洞,2013年中国网民在网上损失近1500亿元。
《网络交易管理办法》第十八条规定:网络商品经营者、有关服务经营者在经营活动中收集、使用消费者或者经营者信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络商品经营者应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息。
《快递市场管理办法》规定:快递企业、快递从业人员不得违法泄露在从事快递服务过程中知悉的用户信息。违反该条款的,按《邮政法》相关条文予以处罚,即邮政企业、快递企业违法提供用户使用邮政服务或者快递服务的信息,尚不构成犯罪的,由邮政管理部门责令改正,没收违法所得,并处1万元以上5万元以下的罚款;对邮政企业直接负责的主管人员和其他直接责任人员给予处分;对快递企业,邮政管理部门还可以责令停业整顿直至吊销其快递业务经营许可证。
专家观点
另据中国电子商务投诉与维权公共服务平台近年来接到的类似用户投诉案例表明,近年来互联网/电商行业“泄密”事件频频出现,其重大典型的包括:5173中国网络服务网数次被“盗钱”、当当网多次用户账户遭盗刷、“1号店”员工内外勾结泄露客户信息、支付宝漏洞致用户信息泄露、如家、七天开房信息泄密、腾讯7000多万QQ群遭泄露、携程技术漏洞导致用户个人信息、银行卡信息等泄露、微信朋友圈小游戏窃取用户信息等。
针对频繁出现的“泄密”事件,中国电子商务研究中心分析师携特约研究员、知名电商律师发表如下观点:
对此,中国电子商务研究中心特约研究员、广州金鹏律师事务所合伙人詹朝霞律师认为:
违法成本低,法律监管缺失是“泄密”事件再三出现的根源
从法律层面来看,各类服务提供商,基于提供服务所采集的用户信息数据,具有严格保密的法律义务,类似的规定散见于国家工商总局发布的《网络交易管理办法》、《全国人民代表大会常务委员会关于加强网络信息保护的决定》等相关法律法规规章中,虽然规定不少,但相关规定中却没有设置任何对应的处罚措施,违法成本极低。
在日益繁杂多变的网络交易中,服务商们忙于应付各种生意,对于用户信息保密仅仅是基于商业道德或品牌荣誉的角度,其实施力度可想而知。可以毫不夸张地说,法律监管的缺失是类似事件一而再再而三爆发的根本。行政主管部门,比如工商局、银监会、证监会、通管局等相关部门应该形成联动机制,对泄露用户信息的行为甚至是“出卖”用户信息的行为进行狠狠打击,还消费者以安全,还消费者以放心。
对此,中国电子商务研究中心特约研究员、浙江天册律师事务所合伙人姚小娟律师认为:
网络运营商应做好合理安全措施防范新媒体网络诈骗
小米用户信息泄露,以及通过微信测试泄露个人隐私,因而引起的诈骗问题,是网络诈骗搭载新网络媒体的表现形式。微信技术,本身无罪,有罪的是利用微信等网络平台诈骗的人和机构。但是,作为网络服务商,如果做好合理的安全措施,则不应当承担信息泄露的法律责任;但是应该做好技术安全措施,才能保证网民的信息安全。
对此,中国电子商务研究中心特约研究员、浙江六和律师事务所合伙人王红燕律师认为:
小米有不可推卸责任,需承担用户损失
保护用户信息安全,小米有不可推卸的义务和责任,应详细公布漏洞产生的原因、时间,并提示用户可能的风险,同时详细说明为什么会出现这样的问题。经过这些分析后,确定了用户可能有的风险后,还应建议用户如何规避或者降低风险以及风险发生后能够为这些用户做些什么,对已经有损失的用户承担赔偿责任。
对此,中国电子商务研究中心特约研究员、浙江泽大律师事务所付勇勇律师认为:
因商家过失导致消费者经济损失的理应赔偿
根据《消费者权益保护法》的规定,经营者及其工作人员对收集的消费者个人信息必须严格保密,不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施,确保信息安全,防止消费者个人信息泄露、丢失。
在发生或者可能发生信息泄露、丢失的情况时,应当立即采取补救措施。另外,《网络交易管理办法》也有相同的规定。如果由于小米的过失,导致消费者经济损失的,理应承担相应的赔偿责任。
对此,中国电子商务研究中心特约研究员、辽宁亚太律师事务所董毅智律师认为:
小米事件,剑指泄密法律空白
按照《消法》的规定,消费者在消费中享有安全权。由于技术等方面的原因置用户的安全与危险之地,用户的损失与小米脱不了干系。
小米泄密事件,在法律层面,带给我们更多的是反思和警醒。关于用户信息安全,相关法律是否完善?网络安全中的刑事、行政、民事等各类法律关系能否界定?执法主体本身是否明确?用户信息泄露的归责怎样?被泄密的用户损失如何界定?相关主体是否提供了公平、安全的行为准则?相关行业是否形成了相应的行业标准?司法机关对于相关类型的新型犯罪和纠纷,是否有了最起码的司法准绳?谁有责任向用户普及最基本的网络安全常识?诸如此类的疑问,已经成为现时亟待回答的问题,已经足够给各个部门敲响维护用户信息安全的警钟。
对此,国内知名网购维权专家、中国电子商务研究中心法律与权益部姚建芳助理分析师认为:
信息安全无小事,忽视必然付出惨重代价
互联网信息泄露隐性风险重重,除了我们熟悉的购物网站账户被盗、CDSN信息泄露外,在日常的手机软件下载、WIFI蹭网、手机支付等又存在一定的风险。然而,所有的信息泄露无外乎3种原因:
(1)拥有个人信息资料的商业机构被外部窃取或内部泄露:诸如航空公司旅客行程资料被泄漏出现针对性的诈骗,某快递公司百万客户信息遭泄露等;
(2)技术漏洞所致:诸如一些快捷酒店因开房记录由第三方存储导致客户信息泄漏,造成用户大量隐私内容泄露等;
(3)用户个人由于信息保管不当,被不法分子获得,尤其是在互联网应用中使用简单密码或者相同的密码等。
对此,建议广大互联网/电商企业加强技术监管,保障用户信息安全;互联网用户加强个人信息保护意,保护个人信息不受侵犯;监管部门加快相关法律法规建设,严格执法。
