圓通“內鬼”泄露40萬條快遞信息:堵住個人信息被非法利用的漏洞
近日,有媒體報道“圓通速遞多位‘內鬼’有償租借員工賬號,40萬條個人信息被泄露”一事,稱被泄露的信息中包括髮件人地址、姓名、電話以及收件人電話、姓名、地址,被泄露的信息數量超過40萬條。11月17日,圓通速遞迴應稱,調查發現疑似有加盟網點個別員工與外部不法分子勾結,利用員工賬號和第三方非法工具竊取運單信息,導致信息外泄。公司隨後向當地公安部門報案,並全力配合調查,相關犯罪嫌疑人於9月落網。
圖源網絡
用户個人信息泄漏,是一個糾纏我們多年的老大難。該事件之所以短時間引爆輿論,一是恰逢雙11,正值收發快遞的高峯期,快遞信息泄漏牽涉無數用户,自然讓公眾擔心隱私及權益保護問題。二是這次涉事快遞公司痛快地承認了隱私數據泄漏是因為公司存在“內鬼”,而之前,不少涉事公司對於類似事件總是堅持“家醜不外揚”。此次“內鬼”事件的曝光,再一次為相關企業內部監管漏洞、制度缺口敲響了警鐘。
此前據媒體統計,80% 以上的用户個人數據泄露案件是由涉事企業“內鬼”所為,黑客入侵竊取數據或者其他方式泄漏數據僅佔不足20%。比如,很多人記得,2014年上海出現的新生嬰兒信息售賣案件,就是源於上海市疾病控制預防中心內部工作人員竊取30萬餘條新生嬰兒信息。
用户個人信息存儲於涉事機構和企業內部,只有少數內部員工可以接觸到。無論這些機構和企業外部防護措施有多完善,一旦內部“堡壘”出現裂痕、數據暴露,被少數利慾薰心的“內鬼”利用,很容易導致用户信息流向下游的售賣和犯罪產業鏈。
海量的用户個人信息是不少企業發展壯大的重要資源。而對於用户個人數據的保護,絕不能僅限於企業自我保護。相關工作應該納入企業安全生產的監督管理之中,網信、工信、市場監管等部門有必要建立跨部門的監督、保護體系,把企業的外部防護措施、內部自我約束制度提升到國家數據信息保護的戰略高度,讓企業涉及用户個人數據安全的生產、經營活動實時接受社會和公眾的監督。
只有從源頭治理,才能最大程度避免下游衍生個人信息非法倒賣等活動。之前的相關案例也啓示我們,從內生機制着手,嚴防“內鬼”,築牢風險防控的第一道關,才是事半功倍的辦法。
近年來我國在個人信息保護方面的立法,一步步對相關非法行為套上“緊箍”。如2017年6月1日起實施的《中華人民共和國網絡安全法》對收集、使用個人信息等行為都作出了原則性規定,要求任何人不得泄露、篡改、損毀個人信息,禁止獲取和交易個人信息等;2020年10月,十三屆全國人大常委會第二十二次會議審議個人信息保護法草案,明確了個人信息處理者的合規管理及其保障個人信息安全等義務,要求個人信息處理者按照規定製定內部管理制度和操作規程,採取相應的安全技術措施等。
數字化時代,打擊網絡非法活動、保護個人信息安全,時刻不能鬆懈。相關部門要注重從技術上、制度上,有效地防攻擊、防泄露、防竊取、防篡改、防非法使用。對於掌握海量數據的相關企業而言,守土有責是一份鄭重的承諾,要勇於肩負主體責任,從源頭堵住個人數據被非法利用的漏洞。