2017年4月12日訊, “尊敬的XX旅客:您好, 您所乘坐的XXX次航班因機械故障已被取消, 請速致電XXX辦理退改簽業務……”日常生活中, 此類謊稱航班取消的詐騙短信屢見不鮮。 很多市民提出疑問:這些騙子是如何知道自己的資訊, 又是如何瞭解得如此精確?這些問題的背後, 其實是個人資訊危機。 如今, 個人資訊安全成為市民反映強烈的問題之一。 目前的狀況是消費者舉證難, 監管部門和消協組織取證難, 即使查實的案件也存在追責難、處罰輕等情況, 難以起到震懾作用。
乘客網購機票被騙走4萬餘元
狀告“上哪兒網”洩露其資訊
4月7日, 一起有關乘客資訊洩露的案件在西安市未央區人民法院開庭審理。 西安的朱女士通過“去哪兒網”訂購了一張機票後遭遇了電信詐騙, 被騙45000多塊錢, 朱女士認為售票平臺沒有盡到保護顧客隱私的義務, 有違約的責任, 因此她將售票平臺告上了法院。
而在庭審中, 被告去哪兒網辯稱, 在朱女士購票過程中, 去哪兒網已經通過短信、而且在訂票網站上進行了防詐騙提醒, 並且去哪兒網也高度重視網路資訊安全及使用者資訊安全, 已經採取了嚴格措施保護使用者的資訊安全, 使用者在去哪兒系統中所存儲的卡號、手機號等個人隱私資訊均屬於加密狀態, 沒有洩露的可能。 去哪兒網也並非是消費者航班等個人資訊的唯一接觸人。 法庭休庭, 此案將擇期宣判。
【專家分析】利益驅使個人資訊成商業資源如今出行旅遊產業尤其是線上旅遊資訊洩露問題比較嚴重, 從訂機票、訂旅店、定遊線再到景點入住等出遊環節, 其實都存在資訊洩露風險。
“旅客網上訂票導致資訊洩漏相對複雜, 這裡面涉及到層層的使用者資訊保管問題。 ”上海市資訊安全行業協會專委會副主任張威指出, 一旦出現問題, 航空公司可能會說遊客訂票是通過協力廠商訂票系統, 而訂票平臺通常會說還有下游公司的若干環節, 基本很難查出到底是哪個環節出了問題, 案件往往陷入膠著。
資訊洩露事件頻發, 其實也是大資料時代的產物, 個人資訊越發成為一種重要資源。 擁有了這些資源, 便意味著擁有了受眾市場, 進而有利於開展精准行銷, 正是這種誘惑刺激著一些不法分子非法獲取公民個人資訊。 因此張威提醒, 消費者必須提高警惕, 在旅行出行過程中, 注意儘量少的提供個人資訊。
近日, 記者對北京市區一家社區進行隨機採訪, 多名居民用親身經歷“吐槽”了互聯網時代資訊洩露的嚴重。 李先生告訴記者, 他和家人頻頻遭受詐騙或推銷電話短信的騷擾, 往往還是“量身定制”、“精准服務”。
李先生的遭遇不是個例。 2016年《中國線民權益保護調查報告》顯示, 半年來, 我國線民平均每週收到垃圾郵件18.9封、垃圾短信20.6條、騷擾電話21.3個。 據一份官方調查報告顯示, 消費者個人資訊被違法收集使用的勢頭還在蔓延。
那麼, 為何會有大量使用者資訊洩露?
在中國電子商務研究中心主任曹磊看來, 使用者資訊洩露有多種可能性途徑, 互聯網資訊洩露隱形風險重重。 現在很多線民擁有多個帳號,
上海市資訊安全行業協會專委會副主任張威分析認為, 線上旅遊網站平臺上的使用者資料洩露主要有以下幾種方式:駭客利用平臺存在的安全性漏洞入侵網站, 盜取使用者資料庫;網站內部工作人員倒賣使用者資訊;通過撞庫攻擊, 竊取使用者資料;利用釣魚攻擊竊取使用者資訊;通過木馬、病毒竊取使用者隱私資訊。
誰為使用者資訊安全負責?“這類事件很難確定具體在哪一個環節洩露了遊客資訊。 ”某線上旅遊網站公關部人員表示, 雖然遊客是在大型旅行網站預訂產品, 但旅遊產業鏈實在太長了, 比如航信、協力廠商票代、地接社、航司、交通、酒店等相關環節,都會得到遊客個人資訊。
一位在知名旅遊網站工作多年的業內人士指出,大型公司其實沒必要洩露使用者資訊,企業不會靠這種方式來獲取“蠅頭小利”。
因為大型公司對自身品牌、聲譽是極其看中的,畢竟這類事件對公司品牌會造成不良影響。
按照現行法律,如果使用者資訊洩露,企業需要承擔一定的賠償責任。遼寧亞太律師事務所董毅智律師此前剖析類似案例時指出,公司與用戶之間具備合同關係,有保障使用者資訊安全的義務。若本次事故是內部人員所為,說明公司存在管理問題,沒有盡到安全管理責任,應承擔相應民事責任,賠償用戶損失;如果本次事故是外部攻擊造成,需要具體分析公司方面是否有採取技術措施保障資訊安全,再來判定公司是否存在過錯。
還有一個關鍵問題,那就是當企業發現資料洩露後是怎麼做的,是否第一時間發出警報並採取措施,這直接體現了當事公司是否盡到了相關責任。業內人士指出,在類似事件中,一些企業往往擔心自身名譽受損,對資料洩露習慣遮遮掩掩,這也導致不法攻擊者有恃無恐。
【業界觀點】專家呼籲加強違法懲處力度根據我國法律,使用者維權、尋求民事賠償勝訴率不大,對損失評估難以確定金額,所以想要對隱私洩露的責任人追究還是非常困難的。雖然大規模資訊洩露、資料安全事件頻出,但鮮有企業負責人被問責。
廣州金鵬律師事務所合夥人詹朝霞律師直言,可以毫不誇張地說,違法成本低,法律監管缺失是“洩密”事件再三出現的根源。
按照美國的法律,企業發生一次資訊洩露事件就可能被罰得傾家蕩產。
另有業內人士坦言,在日益繁雜多變的網路交易中,服務商們忙於業務,對於使用者資訊保密僅僅是基於商業道德或品牌榮譽角度考慮,其實施力度可想而知。
從法律層面來看,各類服務提供者,基於提供服務所採集的使用者資訊資料,具有嚴格保密的法律義務,類似的規定散見於國家工商總局發佈的《網路交易管理辦法》、《全國人民代表大會常務委員會關於加強網路資訊保護的決定》等相關法律法規規章中。
中國人民大學商法研究所所長劉俊海建議,對洩露使用者資訊的行為甚至是“出賣”使用者資訊的行為要進一步加大行政處罰力度,還消費者以安全,還消費者以放心。
此外,還應啟動民事賠償責任機制,經營者應賠償消費者的實際損失,同時還可以參照消法對消費欺詐的規定,設定最低賠償不得低於500元。
比如航信、協力廠商票代、地接社、航司、交通、酒店等相關環節,都會得到遊客個人資訊。一位在知名旅遊網站工作多年的業內人士指出,大型公司其實沒必要洩露使用者資訊,企業不會靠這種方式來獲取“蠅頭小利”。
因為大型公司對自身品牌、聲譽是極其看中的,畢竟這類事件對公司品牌會造成不良影響。
按照現行法律,如果使用者資訊洩露,企業需要承擔一定的賠償責任。遼寧亞太律師事務所董毅智律師此前剖析類似案例時指出,公司與用戶之間具備合同關係,有保障使用者資訊安全的義務。若本次事故是內部人員所為,說明公司存在管理問題,沒有盡到安全管理責任,應承擔相應民事責任,賠償用戶損失;如果本次事故是外部攻擊造成,需要具體分析公司方面是否有採取技術措施保障資訊安全,再來判定公司是否存在過錯。
還有一個關鍵問題,那就是當企業發現資料洩露後是怎麼做的,是否第一時間發出警報並採取措施,這直接體現了當事公司是否盡到了相關責任。業內人士指出,在類似事件中,一些企業往往擔心自身名譽受損,對資料洩露習慣遮遮掩掩,這也導致不法攻擊者有恃無恐。
【業界觀點】專家呼籲加強違法懲處力度根據我國法律,使用者維權、尋求民事賠償勝訴率不大,對損失評估難以確定金額,所以想要對隱私洩露的責任人追究還是非常困難的。雖然大規模資訊洩露、資料安全事件頻出,但鮮有企業負責人被問責。
廣州金鵬律師事務所合夥人詹朝霞律師直言,可以毫不誇張地說,違法成本低,法律監管缺失是“洩密”事件再三出現的根源。
按照美國的法律,企業發生一次資訊洩露事件就可能被罰得傾家蕩產。
另有業內人士坦言,在日益繁雜多變的網路交易中,服務商們忙於業務,對於使用者資訊保密僅僅是基於商業道德或品牌榮譽角度考慮,其實施力度可想而知。
從法律層面來看,各類服務提供者,基於提供服務所採集的使用者資訊資料,具有嚴格保密的法律義務,類似的規定散見於國家工商總局發佈的《網路交易管理辦法》、《全國人民代表大會常務委員會關於加強網路資訊保護的決定》等相關法律法規規章中。
中國人民大學商法研究所所長劉俊海建議,對洩露使用者資訊的行為甚至是“出賣”使用者資訊的行為要進一步加大行政處罰力度,還消費者以安全,還消費者以放心。
此外,還應啟動民事賠償責任機制,經營者應賠償消費者的實際損失,同時還可以參照消法對消費欺詐的規定,設定最低賠償不得低於500元。