“骚扰电话的精准程度,真是令人发指。”时值315,中国信息安全技能竞赛专家委员会专家杨蔚感慨地对记者说。
谁能想到,刚刚过去的周末,一通来自房产中介的电话,竟然将这位网络安全领域的专家吓得不轻。“对方非常精准地叫出了我所住的小区,说出了我所在的楼层号。之后艰难的举报过程让我意识到,如今的信息泄露情况太普遍了,但消费者的维权之路太难走了。”
网络安全专家亲历“维权难”
“我之前不是特别在意,但那天我问了中介,从哪里得到我信息的?对方明确告诉我,信息由小区物业公司提供。我当时就特别生气。”
先前遇到类似情况时,杨蔚就曾向有关部门进行过举报,但没有得到正面反馈。“由于工作忙,我也没精力继续折腾。但是这次,中介把我的信息掌握得太清楚了。我当即联系了小区的物业和管家,进行质疑,对方一口咬定不是他们干的。”
接下来,杨蔚又联系了那位打电话的中介,了解到对方手里掌握着大量居民信息。在将整个沟通过程进行录制后,杨蔚将情况反映给了公安机关。
“派出所联系我说,把这个情况做一个笔录。然后我发现,由于立案门槛非常高,即便我有录音证据,立案都很难。我人在北京,打的是对方所在省份的96110,如果要到当地去立案,维权成本就很高,疫情期间流动也很困难。”
杨蔚感慨的是:“我是做网络安全工作的,尚且会遇到这种情况。如果是一个普通老百姓,不懂得留存证据的技巧,要想举报维权几乎没有门路。”
个人信息频泄露,滋生违法犯罪行为
骚扰电话“精准营销”,这样的情况随处可见,由此也导致了诈骗等违法犯罪行为的产生。
自己的信息是怎么泄露的?杨蔚分析,之前买房的时候,房产公司的系统里肯定留存了购房者的数据。小区物业因为要提供相应的管理服务,也保存着住户的信息。再者,疫情期间,居民为了配合相关管理,也会填写详细的个人信息。在这些环节过程中,有很多渠道可以获取、共享这些信息,毕竟整个链条上涉及的人员太多了。
接到“精准营销”电话的居民要想对信息泄露进行取证,难度太大。而且,真正到了报案立案这个阶段,监管部门也不一定认可举报人的取证环节。
而在日常生活中,消费者在网购、缴费等过程中录入的个人详细信息,有可能被人非法获取。基于这些信息进行的诈骗也会变得非常精准。“比如小区物业,对居民信息掌握得非常全面。一套住房面积多大、里面住了哪些人、这些人之间是什么样的关系,他们都知道。这些信息一旦泄露,‘杀猪盘’之类针对特定人选的精准诈骗就会发生,后果很严重。”杨蔚分析说。
从普通居民和消费者的角度来说,杨蔚认为,遇到个人信息泄露、被“精准营销”等情况,首先要有意识站出来为自己维权,“如果大家都不当作一个重要的事情去关注,对于那些窃取信息、实施犯罪的人员来说,是一种放纵。”同时也要有取证的意识,这样投诉报案才能有明确的证据。也建议大家下载官方的反诈骗App和安全管家App等防范软件,对骚扰诈骗行为进行拦截。
对于企业来说,首先要遵守国家的法律法规,对员工获取信息的行为进行审计和监督,而且要定期检查。
“企业从源头解决这些问题是最容易的,而且也应当对这些从业人员进行规范管理。对于房地产等人员流动性比较强的行业,人员的信息安全意识和违规处罚力度都要加强。因为这些人在工作过程中能接触很多数据,会造成大量的数据泄露和买卖,而且很难从人的行为上跟踪数据的去向。”杨蔚说。
专家解密:信息违规采集如何发生
个人信息泄露,也可能源于违规数据采集。不久前,工信部发布了2022年第一批侵害用户权益的App名单通告。有107款国内知名的App应用不同程度的存在违规获取和采集用户数据和权限。
杨蔚分析,违规采集的场景大致可以分成几种。一种是App默认或强制要求获取了大量权限。“一个APP本来只需要获取最基本的一些功能和权限,但是由于这个App在广告营销或者企业利益上的诉求,会超范围获取更多的权限和信息。比如说,一个天气预报的App想要获取你的地理位置、通讯录,就是在超范围采集它不该拿的信息。普通用户一般不清楚一个App到底需要多大的权限,往往会默认同意。”
另一种APP有强制推送功能,会推送广告或者第三方信息。或者在产品功能里设计一些活动,诱导用户点击链接,自动下载其他App、完成不该完成的任务,比如“砍一刀”或者强制转发。
像这样的违规采集行为,普通用户很难防范。此外,还有一些App强制要求用户同意它取得超范围的采集权限,然后才能提供服务,将产品和业务功能绑在一起。
“现在国家有一些政策,要求App向用户提供使用协议条款,保障用户的知情权。但是大部分用户不会仔细阅读密密麻麻的条款,也没有能力识别条款里的坑,就直接点了同意。”杨蔚说。
再有一类情况,问题出在企业,就是通过SDK(软件开发工具包)违规采集信息。有些公司自己研发SDK,超范围收集用户信息,比如手机号、短信、通讯录、设备ID……有些企业使用第三方公司的SDK,采集到的信息就被第三方公司拿走了。
愿景:监管机构、企业、应用商店平台共同发力
信息泄露频频发生,企业缘何不重视信息安全?杨蔚认为,企业可能缺少强制重视的动力,更何况有些企业使用的是第三方提供的SDK,只要求自己的业务需求得到满足,别的不会管太多。
在网络安全的推广工作中,他还了解到,很多企业内部并没有专门从负责网络安全和数据安全的岗位。虽然国家相关文件明确要设专岗,但在实际当中,绝大部分企业出于用人成本等考虑,只会安排人员做兼职。由于网络安全技术门槛较高,兼职人员不具备相关技能,无法胜任这项工作。
“对于很多企业来讲,网络安全是个奢侈品,因为安全它毕竟是一个隐性价值,就跟保险一样,没出事的时候,在网络安全上投钱是看不出效果的。如果企业的业务都没做起来,就要求它把安全做得特别好,这也不现实。”杨蔚说,“但是,企业至少应该把基础安全做好,不能出现一些比较低级的问题,在满足监管要求的同时,安全技术上该投入的要投入,并且要有专门的岗位来对这些工作进行监督和负责。”
在他看来,要想让信息安全问题得到重视,需要监管机构、企业、应用商店平台共同发力。
从监管机构的角度来说,要加强监管和抽查,强化执法力度,督促企业重视这个问题。“有的监管部门发现问题后,会把App直接下架,或者阻断这项业务。”杨蔚介绍。
而从企业的角度来讲,自查很重要。产品有没有违规去拿一些不该拿的数据,企业应当主动去发现问题。如果在用第三方公司的SDK,应该找相关部门对其进行审查。
用户下载App是通过应用商店的平台,杨蔚认为,平台应当加强App的安全准入门槛,“应该把网络安全的因素和数据安全的要求做成一个硬门槛,然后定期开展自动化的抽查和第三方审计。只有这样,才能保证消费者从应用商店平台下载的App可以放心使用。”
声明:本网页内容旨在传播知识,若有侵权等问题请及时与本网联系,我们将在第一时间删除处理。E-MAIL:dandanxi6@qq.com
