法律视点 评社保网站信息泄露事件
2018-06-11 来源:
一、身份确认的标准错误
我们要实现私人信息间“点对点”的传递,必然要对“点”的真伪进行确认,即身份确认。
首先要确认,公共机构一方这个“点”确实是可靠真实的,虽然本事件中并不是假点,但是以后也有可能第三方网站未经确认和授权,私自获得信息后,私自提供不可靠的查询服务。这是一个隐患。
然后是确认,查询人一方这个“点”确实是本人,即有权查询人。本事件中,就是确定标准有问题。本事件中泄密网站的确定查询人是本人的标准是:a知道编码(一个四位数)或者b 知道身份证号码。也就是说,社保网站的逻辑判断是:一个人只要知道四位的编码或者知道身份证号码,则这个人就能够确定是本人。这个逻辑是错的,这个错误造成了今天社保网站个人信息的泄露。
二、技术应用的缺失
首先,编码错误,用四位的顺序编码,每个码都对应着有数据,实在是太好穷尽了,一些暴力破解原理的程序可以方便地穷尽列举得到数据库中的所有数据。如果采取字母数字混合的十位编码,不采取顺序编码,非每码都对应着有数据,则,泄露程度可以有效降低。
其次,没有应用识别码等技术。有效防止一些暴力破解软件自动循环穷尽。
再次,查询的逻辑运算符应该由“或”改成“和”。即知道编码“而且”知道编码对应的身份证号的人才能得到查询结果,而不是“或”。
三、公共机构个人信息保护意识的淡薄
对采集、保有、使用、传播、查询个人信息的公众机构来说,掌握着公民私人信息,一有不当漏露,轻则个人信息做为商品出售、广告推销骚扰缠身,重则身份信息被利用制作成假身份证从事违法活动。公共机构应该有个人信息保护意识,并采取适合的措施加强个人信息的保护,防止泄密。对公共机构来说,这是一项义务和责任,也有可能因为其过错对给他人造成的损失承担法律责任。
四、个人对侵害个人信息的行为如何反应
我国《个人信息保护法》正在制定日程中。现阶段主要是以下方式对对侵害个人信息的行为进行反应:
个人信息泄露后,如个人的姓名权、肖像权、名誉权、荣誉权受到侵害,可以依民法通则提起相应民事侵权之诉。如隐私权受到侵害,也可依民法通则相关司法解释提起侵犯名誉权之诉。
如果是消费者在消费过程中的个人信息受到侵害,还可以根据消费者权益保护法进行保护。
个人信息泄露后,他人多次发送淫秽、侮辱、恐吓或者其他信息,干扰正常生活的,或者散布隐私的,属于违反治安管理行为,可以依《治安管理处罚法》报警处理。侵权人可能受到罚款、拘留的处罚。
五、不能因噎废食,阻碍正常的信息流动
社保网站提供网络信息查询,让老百姓知情,让老百姓免受排队之苦,我们积极支持方便群众的电子政务创新,网站不能因为此次漏洞事件,就因噎废食、阻碍正常的信息流动。社保网站需要做的,是进一步完善点对点的身份确认,应用和完善技术,更好的实现点对点的查询服务。任何采集、保有、使用或传播个人信息的公众机构,即要保证对公民提供查询,又必须保证该信息可靠地用于既定目的,合理地预防该信息的滥用与泄露。
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。