明星航班信息泄露��,業務系統數據安全該何去何從�����?
作者:啟明星辰
2020-01-06
1月3日晚間�����,中國某航員工泄露旅客隱私一事在官方微博發表聲明:“有某航員工個人微博內容涉及旅客信息���。經核查�,涉事人員系某航一名乘務人員��。該員工的行為嚴重違反了某航數據管理相關規定��。目前公司已對該員工做出停飛處分��,后續將根據公司有關規定進一步嚴肅處理��。某航對此事涉及的旅客表示最真誠的道歉�?��!?/p>
事件回顧
一名網友發布了一條包含多條明星航班信息的微博���,涉及多個明星����,并且將相關乘機人的中英文姓名�、國籍��、出生日期等個人信息公開發布
有業內人士分析稱�,相關截圖可能是通過某航業務人員使用的信息查詢系統或者其他內部軟件進行查詢所得���。有人覺得�,這些信息不過是些航班號���、姓名����、國籍�����、出生日期���,沒有什么大不了的事情�。發布信息的人也不過是虛榮心作祟罷了���。但虛榮心不是犯罪的理由�,公民個人行蹤軌跡等信息屬于敏感信息�����,未經個人信息主體同意��,擅自公開披露明星個人信息��,某航明星航班信息泄露事件�����,是否已經構成犯罪����,答案已經一目了然�����。虛榮心作祟又不懂法�,可怕��,但更可怕的是售賣航班信息已經形成了一條地下產業鏈���。航班信息的泄露給明星帶來了很多不便��,我們普通老百姓因為航班信息泄露�,遭遇電話詐騙的傷心事也歷歷在目�����。
航班起飛前�,突然接到短信通知�����,航班由于天氣等原因延誤或者取消����,需要通過短信提示的客服電話進行改簽或者退票���,可以獲得相應補償���,一旦打通了這個電話�����,就會一步一步的落入圈套���,被人騙取錢財���。
上圖電話為詐騙電話��,請勿撥打~
信息泄露情況屢見不鮮����,誰能為之擔責����?業務系統的數據安全保護又應該何去何從����?
《信息安全技術個人信息安全規范》中已經為我們指明了業務系統數據安全的保護方向��!
《信息安全技術個人信息安全規范》第四章節“個人信息安全基本原則”中提到了三個關鍵點����。
用戶認證:權責一致原則——對其個人信息處理活動對個人信息主體合法權益造成的損害承擔責任�����。
權限控制:最少夠用原則——除與個人信息主體另有約定外��,只處理滿足個人信息主體授權同意的目的所需的最少個人信息類型和數量����。目的達成后����,應及時根據約定刪除個人信息��。
數據安全:確保安全原則——具備與所面臨的安全風險相匹配的安全能力����,并采取足夠的管理措施和技術手段���,保護個人信息的保密性���、完整性��、可用性�����。
《信息安全技術個人信息安全規范》第六章節“個人信息的保存”和第七章節“個人信息的使用”中�,更是明確了具體的數據安全要求��。
數據脫敏:去標識化處理——收集個人信息后�,個人信息控制者宜立即進行去標識化處理����,并采取技術和管理方面的措施�,將去標識化后的數據與可用于恢復識別個人的信息分開存儲�����,并確保在后續的個人信息處理中不重新識別個人��。
數據加密:個人敏感信息的傳輸和存儲——傳輸和存儲個人敏感信息時��,應采用加密等安全措施��;存儲個人生物識別信息時��,應采用技術措施處理后再進行存儲�����,例如僅存儲個人生物識別信息的摘要��。
細粒度權限控制:個人信息訪問控制措施—— 對被授權訪問個人信息的內部數據操作人員�,應按照最小授權的原則��,使其只能訪問職責所需的最少夠用的個人信息�,且僅具備完成職責所需的最少的數據操作權限����。
數據下載管控:個人信息訪問控制措施——宜對個人信息的重要操作應設置內部審批流程����,如批量修改���、拷貝�����、下載等�。
工單審批:個人信息訪問控制措施——如確因工作需要���,需授權特定人員超權限處理個人信息的����,應由個人信息保護責任人或個人信息保護工作機構進行審批��,并記錄在冊����。
實時脫敏和頁面水?。簜€人信息的展示限制——涉及通過界面展示個人信息的(如顯示屏幕�、紙面)����,個人信息控制者宜對需展示的個人信息采取去標識化處理等措施����,降低個人信息在展示環節的泄露風險��。
專業的需求需要專業的產品來滿足
啟明星辰應用安全管控系統
專為企業應用系統安全防護打造�,獨有的“應用零改造”技術��,讓客戶擺脫應用系統改造難�����、成本高的最大痛點����。
● 為應用接入提供全方位的安全防護
● 實現業務人員雙因素身份認證強管控
● 實現SSL傳輸加密����、頁面實時脫敏�����、頁面水印���、下載管控等數據安全防護
● 通過業務系統單點登錄����、密碼自動管理�、工單審批等功能簡化業務人員工作流程
● 并可將所有業務操作進行詳細審計����!
相關法律法規
2018年5月1日正式實施的《信息安全技術個人信息安全規范》�����,對于個人信息和個人敏感信息有了明確的說明:
個人信息 personal information
以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息�。
注 1:個人信息包括姓名�、出生日期���、身份證件號碼���、個人生物識別信息����、住址�、通信通訊聯系方式�、通信記錄和內容��、賬號密碼�、財產信息�����、征信信息��、行蹤軌跡����、住宿信息�、健康生理信息��、交易信息等���。
個人敏感信息 personal sensitive information
一旦泄露����、非法提供或濫用可能危害人身和財產安全��,極易導致個人名譽�����、身心健康受到損害或歧視性待遇等的個人信息��。
注 1:個人敏感信息包括身份證件號碼��、個人生物識別信息�����、銀行賬號�、通信記錄和內容����、財產信息�、征信信息�����、行蹤軌跡����、住宿信息�����、健康生理信息��、交易信息��、14 歲以下(含)兒童的個人信息等
《民法總則》中明確了自然人的個人信息受法律保護����,一旦受到侵害�����,公民可以通過協商�����、投訴�、仲裁或者訴訟途徑追究其責任:
《民法總則》第一百一十一條規定�,自然人的個人信息受法律保護��。任何組織和個人需要獲取他人個人信息的���,應當依法取得并確保信息安全�����,不得非法收集����、使用����、加工���、傳輸他人個人信息�,不得非法買賣�、提供或者公開他人個人信息����。
該條款正式確立個人信息是一項基本民事權利�。個人信息受到侵害時�����,最直接的受害者即是個人��,可以通過《民法總則》第一百七十九條規定的方式進行救濟�����。個人作為消費者�,亦可以根據《消費者權益保護法》第三十九條和第五十條的規定�,通過協商���、投訴�、仲裁或訴訟途徑追究經營者的責任���,經營者應當停止侵害���、恢復名譽��、消除影響��、賠禮道歉���,并賠償損失�����。
《網絡安全法》中明確了網絡運營者��、網絡產品或者服務的提供者侵害公民個人信息后的處罰措施���,情節嚴重的��,需進行停業整頓甚至吊銷相關業務許可證和營業執照:
對于未履行個人信息保護法律責任的���,《網絡安全法》第六十四條規定了相應的行政責任:網絡運營者����、網絡產品或者服務的提供者違反本法第二十二條第三款��、第四十一條至第四十三條規定����,侵害個人信息依法得到保護的權利的�,由有關主管部門責令改正����,可以根據情節單處或者并處警告���、沒收違法所得����、處違法所得一倍以上十倍以下罰款���,沒有違法所得的��,處一百萬元以下罰款�,對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款����;情節嚴重的��,并可以責令暫停相關業務���、停業整頓�����、關閉網站����、吊銷相關業務許可證或者吊銷營業執照�。違反本法第四十四條規定���,竊取或者以其他非法方式獲取����、非法出售或者非法向他人提供個人信息���,尚不構成犯罪的����,由公安機關沒收違法所得�,并處違法所得一倍以上十倍以下罰款��,沒有違法所得的���,處一百萬元以下罰款����。
2019年11月1日起正式施行的《最高人民法院最高人民檢察院 關于辦理非法利用信息網絡����、幫助信息網絡犯罪活動等刑事案件適用法律若干問題的解釋》中�,更是明確了《中華人民共和國刑法》中“拒不履行信息網絡安全管理義務罪”的處罰場景:
第四條 拒不履行信息網絡安全管理義務���,致使用戶信息泄露���,具有下列情形之一的����,應當認定為刑法第二百八十六條之一第一款第二項規定的“造成嚴重后果”:
(一)致使泄露行蹤軌跡信息����、通信內容����、征信信息�����、財產信息500條以上的����;
(二)致使泄露住宿信息��、通信記錄����、健康生理信息�、交易信息等其他可能影響人身���、財產安全的用戶信息5000條以上的�;
(三)致使泄露第一項����、第二項規定以外的用戶信息50000條以上的����;
(四)數量雖未達到第一項至第三項規定標準�����,但是按相應比例折算合計達到有關數量標準的����;
(五)造成他人死亡�����、重傷�、精神失?��;蛘弑唤壖艿葒乐睾蠊?�;
(六)造成重大經濟損失的����;
(七)嚴重擾亂社會秩序的�����;
(八)造成其他嚴重后果的��。
《中華人民共和國刑法》第二百八十六條之一 拒不履行信息網絡安全管理義務罪:
網絡服務提供者不履行法律���、行政法規規定的信息網絡安全管理義務�����,經監管部門責令采取改正措施而拒不改正�,有下列情形之一的����,處三年以下有期徒刑����、拘役或者管制�����,并處或者單處罰金:
(一)致使違法信息大量傳播的�;
(二)致使用戶信息泄露�����,造成嚴重后果的�����;
(三)致使刑事案件證據滅失���,情節嚴重的���;
(四)有其他嚴重情節的�。單位犯前款罪的����,對單位判處罰金����,并對其直接負責的主管人員和其他直接責任人員��,依照前款的規定處罰���。有前兩款行為��,同時構成其他犯罪的����,依照處罰較重的規定定罪處罰����。
京公網安備11010802024551號