第一篇:法律监管漏洞致信息泄露成“常态”
法律监管漏洞致信息泄露成“常态”
对于个人信息的泄露,可能很多人都深有体会:接到推销房子的电话,对方开口就能准确称呼出你的姓;收到理财产品的短信,完全针对你的收入情况而言;甚至你刚刚刷卡消费了一笔钱,立马就“凑巧”地接到一个电话问你需不需要贷款„„
近日,有媒体曝光我国银行信用卡客户数据泄露现象颇为严重,不法商贩在网络上公开贩卖,每条价格从2分到5元不等,数据中含姓名、电话、地址等内容。
信用卡客户信息泄露,绝非偶然巧合,背后更多的是必然因素,法律法条、机构监管等环节措施都需有快速提升。
“数据”泄露泛滥成灾
据报道,目前我国已发行超过4亿张信用卡,每年通过信用卡交易的资金总额超过13万亿元。庞大的用户信息在这个大数据时代显得耀眼,信息泄露的情况也十分严重。
这些信息在QQ群大肆售卖,通过搜索“银行数据”、“电话销售”等关键词就能跳出不少群,正在售卖银行卡主个人信息。只要花钱,任何人都可以获取别人的个人信息资料。
银行“内鬼”倒卖信息易得手
如此庞大的信用卡个人信息资料是如何暴露的呢?实际上,作为银行内部人员,要获取客户信息其实是很容易。如果说普通职员要获取信息需通过批准,那么从客户经理开始,级别越高,权限越大,即越容易获取信息。至少,分到客户经理手上的用户信息是可以被客户经理复制的。
有的银行虽然不允许员工把客户资料带出办公室,但有时候因加班需求而把资料带回家的情况也是存在的。也就是说,银行内部人员只要想窃取用户信息,总是有办法。
另外,有相当部分的信息并非银行直接泄露,而来自与银行有合作关系的企业。不过,根据《商业银行信用卡业务监督管理办法》,商业银行未经客户授权,不得将客户相关信息用于本行信用卡业务以外的其他用途。
那么,究竟部分企业如何获得“未授权信息”的?有媒体此前披露,每张信用卡办理时都会签订合同,合同上密密麻麻条款多大几十条,而部分代理企业则在合同角落中隐藏“猫腻”称有权获取相关信息。
事实上,认真看几十条乃至上百条条款的客户其实不多,签名时不注意往往就会授权银行“个人信息共享”。单凭一己之力,又是自主授权的行为,要追究责任就会变得艰难。
法律不完善监管力度不够需反思
经常受到个人信息泄露造成的骚扰,但又常束手无策。其实,早在2009年,刑法修正案就已明确,金融单位的工作人员将本单位在履行职责或提供服务过程中获得的公民个人信息,出售或非法提供给他人,将可能触犯刑律。
但是到目前为止,我国还没有专门的银行保密法,在客户个人信息保密方面的规定,分散在《中华人民共和国商业银行法》、《银行卡业务管理办法》、《银行结算办法》等中,这些规定零散抽象,缺乏可操作性,对于哪类客户信息应受保护等问题也没有系统性的界定。
从诉讼的角度看,一般人很难知道自己的信息是在什么时间、地点、方式、被谁泄露的,想要起诉他人泄露自己个人信息的成本非常高,以一人之力和千头万绪的信息泄露做斗争,无异于拳头打到了空气中。要保护用户个人信息,就要明确金融机构与用户的责任与义务,就要必须完善相关领域的法律条款。
此外,银监会等金融机构管理部门也要加强监管,信息保护机构也必不可少,如果信息泄露给用户带来了严重的后果,用户至少不用单枪匹马作战。在国外,很多国家有专门的信息保护机构。比如,法国有国家信息处理与自由保护委员会、丹麦有信息保护局,澳大利亚有隐私权保护委员办公室„„这些独立的信息安全保护机构具有跨部门职能,主要职能范围大致都包括授权、监督、协调和保护,可帮助个人维权。
在数据时代,个人信息泄露现象泛滥成灾,给人们生活带来困扰。保护个人隐私势在必行,相关法律需完善,监管部门更应反思与行动。
第二篇:网站漏洞可泄露信息的分析与趋势
网站漏洞可泄露信息的分析与趋势
2017 年 3 月,多家新闻网站曝出“58同城陷数据泄露:700 元可采集网站全部简历信息”的新闻。2017 年 4 月,黑客“CosmicDark”在网上售卖从优酷窃取约1亿用户账号,售价约2000人民币。关于漏洞,下面这些内容可能会让你汗毛立起来。以下内容由360威胁情报中心提供。
一、网站漏洞可泄露信息的形势
网站存在安全漏洞成为个人信息以及政企机构信息泄露的主要原因。2017 年 1 月至 10 月,补天平台共收录可导致信息泄露的网站漏洞 251 个,较 2016 年的 359 个下降了 30.1%,约占补天平台全年漏洞收录总数(16427个)的 1.5%,涉及网站 150 个,共可能泄露信息 51.2 亿条。
统计显示,251 个可导致信息泄露的网站漏洞,总计可能泄露信息为 51.1 亿条,比 2016 年的 60.5 亿条下降了 15.5%;比 2015 年的 55.3 亿条下降了 7.6%。平均每个漏洞可导致 2035.9 万条个人信息泄露,单个漏洞的危害大大增加。
从危险等级看,2017年可能泄露信息的漏洞中,高危漏洞数量占97.6%,中危占比为2.4%。与高危漏洞相比,中危和低危漏洞的利用难度相对较小。
从漏洞的技术类型看,2017年可能泄露信息的漏洞中,命令执行(占比为63.7%)、代码执行(14.7%)和SQL注入(8.8%)占比最高,三者之和占全部信息泄露漏洞的八成以上。下图给出了相关漏洞的技术类型详细分布情况。
从各月泄露信息规模来看,1月份曝出的可能泄露的信息数量达到最高峰,为 8.0 亿条信息。
统计显示,在 251 个可导致信息泄露的网站漏洞中,共有 24 个网站漏洞可能泄露的信息在 5000 万条以上,其中还有 11 个漏洞可能泄露的信息数量在 1 亿条以上。下图给出了 2017 年网站漏洞可能泄露信息的规模分析。
二、网站漏洞可泄露信息类型分析
补天平台收录的信息泄露相关漏洞中,有 85.3% 的相关漏洞泄露的属于个人信息,14.7% 相关漏洞泄露的属于机构机密信息。
按照数据的敏感度,可将泄露的个信息数据划分为四个基本类型:
1)实名信息:如姓名、电话、身份证、银行卡、家庭住址等信息。
2)保单信息:保单号、保险信息、车险信息等。
3)帐号密码:如各类网站登录帐号密码、游戏帐号密码、电子邮箱帐号密码等。
4)行为记录:如聊天记录,购物记录、差旅信息等。
而相关漏洞可能泄露的机构机密信息中,根据潜在风险程度,依次主要包括以下几个大类:
1)财务信息
2)合同信息 3)企业资产
4)公司注册信息
统计显示,在 251 个可能泄露信息的网站漏洞中:约 85.7% 的网站漏洞可能泄露用户的实名信息,可能泄露实名信息数量多达 42.9 亿条;约 10.8% 的网站漏洞可能泄露用户的保单信息,可能泄露保单信息数量多达 4.5 亿条;约 14.7% 的网站漏洞可能泄露机构机密信息,可能泄露机构机密信息数量多达 5.6 亿条,具体如下图所示。
需要特别说明的是,由于网站数据形式的多样性,一个网站漏洞可能泄露的信息的类型未必是单一的,约有 1.6% 漏洞会同时泄露上述 3 种不同类型的信息,约 10.4% 的漏洞会同时泄露上述两种不同类型的信息。
三、可泄露信息网站的行业分析
根据工信部网站查询结果,一般网站备案的类型分为:军队、政府机构、事业单位、社会团体、企业、个人等类型。在 251 个补天平台收录的信息泄露漏洞中,其中有备案的网站漏洞有为 236 个,占比 94.0%。在已备案的网站中,被报漏洞的企业网站数量是最多的,占比为 69.7%,其次为政府机构网站,占比为 19.5%,事业单位网站占比为 4.0%。从下图可以看出,企业和政府机构网站存在的信息泄露漏洞的情况明显多于其他。
从可泄露的信息数量来看,不同备案类型网站漏洞可能泄露信息数量的差异较大。从下图可以看出,企业网站漏洞可能泄露的信息数量最多,约为 43.9 亿条,约为全年可能泄露信息总量的 85.8%。另外,未备案,网站的漏洞可能泄露的信息数量也约占全年泄露总量的 6.9%。
统计显示,金融网站(金融行业的相关漏洞主要集中在中小保险机构及中小信贷平台,而银行等大型金融机构的安全性相对较高,问题较少)、政府机构及事业单位网站、通信运营商(含虚拟运营商)网站被报告的可泄露信息的漏洞最多,占比分别为 28.3%、26.7%、24.7%,三大行业网站的漏洞报告数量约占所有网站被报告漏洞数量的 79.7%。
从可能泄露信息数量来看,金融行业(22.1亿条)、通信运营商(18.9亿条)网站可能泄露的信息数量也是最多的,远高于其他行业。
四、网站信息泄露的原因与趋势
综合过去的监测与分析,可以看到造成重大信息泄露的漏洞数量每年都在大幅下降,但同时,单个漏洞可能造成的信息泄露数量却在大幅增加。
这一方面反应出国内网站在信息保护方面的建设在不断加强,整体形式明显好转;另一方面也反应出,信息泄露的风险正在逐步向少数领域集中,而且大型民用服务系统一旦出现安全问题,往往会给整个社会带来巨大的损失。实际上,信息泄露问题是政企机构数字化转型过程中普遍存在的安全问题。数字化转型较早,信息系统网络化程度相对较高的行业和领域,被暴露出来的问题也相对较多。如金融、通信、新兴互联网等领域。
但随着数字化转型的逐渐深入以及网络安全建设水平的不断提高,这些行业或领域在度过信息泄露的高峰期后,安全问题会逐渐缓和。
某些数字化转型相对较晚的行业或领域,如某些大型政府机构、制造业,以及某些传统实体经济,现在暴露出来的问题就相对较少,但在未来不可避免的数字化转型过程中,也必然会逐渐暴露出越来越多的安全问题,面临越来越大的信息泄露风险。
从另外一个角度来看,在消费互联网时代,聚集大量个人服务的信息系统,往往容易成为信息泄露的高发点。而在未来,随着智慧城市的建设,产业互联网的出现,传统的实体经济的互联网化,政务云和互联网+的普及,政府机构和实体经济将有可能面临更大的信息泄露风险,成为信息泄露新的高发领域。
第三篇:2018年延续高压态势 环保“严监管”成新常态
2016年7月至今,以环保督查、绿色税收等措施为发力点,中国环保政策力度持续增强。十九大报告亦指出,在新时代下,必须树立和践行“绿水青山就是金山银山”的理念,实行最严格的生态环境保护制度。
2018年延续高压态势 环保“严监管”成新常态
明年1日起,国内首部生态文明建设单项税法——《中华人民共和国环境保护税法》(以下俗称排污税)正式施行,已断断续续征收近40年的排污费即将退出历史舞台,标志着国内生态文明建设再迈上法制保障新台阶。
排污费与排污税看似仅一字之差,但环境保护力度和社会引领效果却大不相同。从2003年起,排污费征收虽在各地基本铺开,但因“红头文件”的约束力不足,自2016年,排污费征收仍不足200亿元。由于排污费由中央与地方分成,客观上导致地方政府认为,排污企业创造的GDP、税收、利润、就业岗位是自己的,污染危害则是区域性的,因此大量应征排污费没有按实征收,也即排污费制度没有完全释放倒逼企业减排初衷。
识者所知,排污费只具行政属性,排污税则上升至法制层面,少缴排污费系行政违规,少缴排污税则触犯税法,二者威慑效果不可同日而语。有关部门经对纳入排污税征税范围的四大类污染物的现有排放总量作测算,全国每年的排污税入库量至少可达到500亿元。税收的增加不是根本目的,用税收杠杆所生成的刚性约束机制,倒逼企业达标排污才是根本目的。
由于各省产业结构差异较大,污染种类和污染程度各不相同,治污重点和实施力度与真实进度亦不同,排污税虽说是全国性单项税法,却给予了各省一定程度之自由裁量权,为体现宽严有度,经同级省人大常委会批准后,各省有权紧扣本省生态建设阶段性目标,适当增加应税污染物的数量和项目。为鼓励减排,排污企业所实际排放污染物对环境之损害程度,若低于国家排放标准的,分成两个等级,可少缴两成半抑或五成排污税。
排污税实施之后,使国内生态文明建设的一块突出法制空白得到了填补,也大大降低了地方各级环保部门的“廉洁风险”。此前的排污费由地方环保部门征收,很难做到清清白白,“收支两条线”多半停留在纸面上。排污税由税务部门统一征缴入库后,环保部门不再被“征费创收”所拖累,方能把全部至少是大部分的心思,用在强化生态环境监督执法上。
怎样真正确保排污税有一副钢牙?税务、财政、环保三部门共同确定了“企业申报、税务征收、环保监测、信息共享”的16字征管方针。很显然,该方针能不能真正落地,在线信息共享是技术基础,环保监测所提供的数据真实可信是征税依据。
利益使然,环保部门的收费权限被剥离后难免会有一些思想波动,会否影响到监管质量和效能,自排污税起草之日起,舆论担心始终伴随。在尚待颁行的该税法实施条例中,当厘定税务与环保的工作责任,对可能出现的怠政要有明确的责任追究。
作为施行排污税的配套与延展,明年起,国家还将在全国铺开试行生态环境损害赔偿制度。该项试点方案始于2015年底,2016年初夏在贵州、浙江等7省相继开展。
该项试点旨在破解企业污染、群众受害、政府买单之困境,这中间,损害鉴定评估、赔偿标准确立、生态修复评价等三大关键环节,有待通过全国性试点逐步确立,其要害仍是地方环保部门能否做到公正施法。这项全国性试点若能尽快把“试点”二字去掉,还极有利于跨区域生态补偿机制早日在国内全面推行。
截至上月,中央已安排四轮环境保护专项巡视,实现了省级全覆盖,查处和督办各类损害生态环境案件高达数万件,问责上万人,加上明年施行的排污税,以及全国性生态环境损害赔偿之试行,惩治破坏生态环境的高压态势得到持续夯实和加固,若能持之以恒抓下去,最终修复和保护生态环境的目标值得期许。