网络漏洞门频发用户隐私和财产安全如何加把锁

图/CFP

近日，携程网银行卡信息泄露事件再次将互联网安全问题暴露在公众面前，而关于扫描二维码中病毒、手机隐私信息被窃取等新闻也时有出现。身处移动互联时代，用户的隐私和财产安全如何保证？对此，我们不妨来听听各方人士的意见。

携程“漏洞门”绝不应等闲视之

李峥（中国现代国际关系研究院）

中国的网络安全问题就像中国男足一样，让人操碎了心。近些年，一系列网络泄密事件已经让不少人对此见怪不怪。继京东、天涯、如家七天酒店连锁和CSDN后，携程网也在近日中枪。

相对于之前的泄密事件，携程此次暴露出的漏洞更为恶劣，用户的姓名、身份证号码、银行卡类别、银行卡卡号、银行卡磁条代码均能被不法分子轻易获得。一位银行业的朋友说，这等于是给不法分子开了一台ATM机，因此带来的经济损失不可估量。携程虽然最快时间修补了漏洞，用户也在第一时间注销了信用卡，但这一事件却不应像之前类似的事件一样就此收场。

有些人认为，乌云网此次又立功了，这名网络红客功不可没。但笔者觉得，此类所谓“公益黑客”行为并不可取。网络技术爱好者第一时间想到的不是将有关漏洞举报给负责管理的政府部门或涉事公司，而是将其暴露在互联网上，等于告诉某些手段并不高明的犯罪分子们“快点来拿”。之前在京东、如家连锁泄密事件中，不少人甚至将有关资料上传到网上供人下载，这本身就是对公众的隐私与安全的巨大侵犯。另一方面，类似“公益黑客”行为都是网络爱好者在做，而一些专业网络安全公司对此却毫无建树。这只能说明要么这些网络安全公司水平低下，要么它们根本无意揭露商业公司的伤疤。

从携程泄密门可以看出，中国的网络安全环境近些年来并未因诸多泄密门事件暴露而有所改善，反而仍在每况愈下。由于缺乏相应的法律法规及有示范性的知名诉讼，一些商业网站仍然在蔑视网络安全风险。网络安全公司没有起到监督作用。网络用户们仍然在省事、贪便宜、图方便，未按照安全提示更换具有更高安全性的银行卡或账户验证方式。而社会对于类似事件仍处于看热闹的阶段，未有社会良知站出来为公众维权。

中国的网络安全隐患有像食品安全一样不断变坏直至不可收拾的趋势。很多年前，我们也或多或少目睹过黑作坊、地沟油，却对此视而不见。如今，中国公众每年因网络攻击损失超过千亿元，电信诈骗每年损失超百亿元，而这些被中国人或外国人骗走的钱，绝大多数都流向了海外，无法追查。多少人的毕生心血被人一日卷走，每次正视这一现实，总让人吸一口凉气。

如何协调大数据与隐私

在很多方面，“大数据”和“加密” 是对立的，前者收集、存储和分析信息，以此来揭示对学者、法律实施和企业有用的规律；而后者的目标是窥探隐藏的数据。麻省理工计算机科学与人工智能实验室的Shafi Goldwasser教授表示，加密功能是必须要走的路。她还补充道，其余的选择比如匿名的数据记录并非有效。如今，在社交网络和其它的公共网站上，可以免费获得大量关于个人的数据，任何一个想要做坏事的人都可以从任意数量的在线资源通过交叉引用来建立关于他们的目标的轮廓。

一名麻省理工副教授表示，如果数据只是简单地被存储起来，那么加密就可以非常完美地工作。而当你真的需要处理和分析被存储起来的数据时，问题就出现了，这也就是为什么现在需要一个实用性的处理加密数据的系统。这种实际的努力通常是指所谓的“同态”加密，这使得它可以在不先对加密数据解密时而执行对加密数据的计算。20世纪70年代末，研究者一直强调完全同态加密是可能的。所谓的完全同态加密是指，在加密过程中，可以对信息以任意方式进行切片或切块，而同时不显示实际的数据。这种系统可能对云计算特别有利，因其提供了一种分析信息的方法，这种方法对信息提供者来说有最小的隐私风险。

然而，实际上，计算机科学家在对加密数据进行更多语义操作上，还没有开发出方法。IBM声称，2009年计算机科学家Craig Gentry已经开发出一个实用的且完全同态的系统，但批评者说，这项技术在实际的云计算的应用中太过于复杂、速度缓慢且不实用。

如果没有完全同态的系统，那么可以用其他创新的方法来处理加密数据。其中一个这样的项目就是CryptDB，这个系统通过将请求数据的软件和存储加密数据的数据库之间放置一个代理服务器，来保证对加密数据的分析。这个代理使用旨在比较和分析加密信息的算法，在某些情况下，代理需要去除不同的加密层来更好的分析数据，但是这种想法不会将数据完全加密成为纯文本。

有人还提出了不依赖于加密的安全措施，例如，有差异的隐私是一种替代的匿名数据。哈佛的Salil Vadhan 教授说，这种方法使用一个自动化的数据管理者，它可以在提供给数据请求者有用的信息的同时，保护数据集中个人隐私。正如2012年12月份的科学美国人网站上文章所指出的，差异化的私人数据发布算法允许研究人员提问关于有敏感信息数据库的任何问题，同时提供经过模糊化处理的答案，因此，实际上不会暴露任何私人数据。

另一种选择就是在收集、存储和分析数据的软件中直接为工程师们编写隐私政策的要求。麻省理工Daniel Weitzner说，写入这样的“责任系统”可以自动地分析对数据的一个特定的运用是否违反了法律，他还补充说，通过类比，我们可以在全世界范围内以一个较高的公众信任度运行经济，我们这样做是因为我们有一套适用于一致方式的一致性规则。

（摘编自 ZDNet安全频道）

保护客户的信息安全

需构筑“四道防火墙”

和静钧（西南政法大学副教授）

携程网银行卡信息泄露事件，虽是个案，但于互联网安全的角度上看，则具有普遍警示意义，任何涉足于互联网金融的企业都有可能面临泄漏客户个人银行支付信息的危险。

从法律架构上看，我们至少需要砌起四道防火墙，才能把信息安全围栏于内。四方保护网，为横向的“内外责任墙”，和纵向的“正反责任墙”。

就“内外责任墙”而言，“内”指的是包括第三方支付在内的互联网金融企业，不符合或违反国家《征信条例》及其他行政法规，从而导致行政监管部门的追责与处罚。“内责任”的内涵是企业内部治理与行政监管部门的“善治”。凡违背现有法规及政策，非法扩大征信范围、未妥善保管个人信息、未在技术手段上尽“勤勉义务”等，从而对客户信息构成泄漏风险的，监管部门应跟进追责。就现阶段而言，企业内部治理和技术能力的改善，会最大限度降低风险，而监管部门应提高监管水平。

“外责任”主要指的是客户基于隐私信息被侵犯而对企业的责任追究。这类追究力度能发挥到多大程序，取决于我国现行民法对于隐私权保护的程度。由于至今尚无《个人信息安全法》及上位法《隐私权法》，客户若真的求诸于民事诉讼，那么索赔下来的金额可能远不及实际付出的诉讼成本。目前最有威力的“外责任”，就是客户联合起来，“用脚投票”，通过集体性放弃不良企业的服务从而让不良企业品尝到失去“客户价值”后得到的苦果。

有效的横向的“内外责任”，可以使客户、企业、监管者“三位一体”良性互动，这层保护的特点是强调民事责任和监管责任，但仅有这层保护尚不充分，还需要以刑事责任为主的纵向“正反责任”保护墙。

纵向的“正反责任”保护墙中的“正责任”，指的是正面阻击黑客行为，对黑客追究刑事责任。目前我国反黑客的刑事法律，散见于刑法及其他互联网安全管理条例中，我们最好有一部针对该领域的特别法。

“正责任”主要防范的是黑客的“盗行为”，而对“盗出来”的非法信息被第三人非法利用，我们就得有“反责任”遏制信息漏洞对客户侵害的扩大化。从海外经验上看，凡利用非法隐私信息从事非法行为的，都会课以刑事重刑。我国在这方面的立法还是个空白，导致隐私信息“不用白不用，用了也不担责”式的泛滥。

观点摘编

利诱之下

信息与安全何以“携程”

在商家的热情利诱之下,越来越多的人“自愿”地奉上个人信息。最怕的就是直到出现了信息泄露事件,还不能唤起人们对信息安全的保护意识。

如今，不管是线上还是线下,“出卖”个人信息的机会是越来越多了。而有关个人信息的保护,还存在很多尚待解决的问题。到底哪些机构有权收集个人信息，谁有资格为信息安全作保证；登记哪几项信息是合法且必要的，又该用什么方式储存；商家机构该如何做出风险提示，出了问题怎么厘清责任？个人信息保护立法仍旧“在路上”，这些问题都在呼唤一整套个人信息保护机制，仅靠那种动辄几千字、令用户头晕眼花的“告知书”，恐怕很难让人心安。尤其在个人信息日益与经济利益绑在一起的今天，不能让“蝇头小利”轻松地蒙住了老百姓的眼睛。最怕的就是直到出现了信息泄露事件，还不能唤起人们对信息安全的保护意识。

就在前不久，美国一家公司宣称将打造一款服务，只要用户“交出”自己在社交媒体上的个人信息，就能获得每月8美元的报酬，这一构想足以体现大数据时代个人信息的经济价值。而越是有价值的，越需要人们珍视，也需要法律制度等跟上步伐，给予其更好的保护。

（来源：齐鲁晚报；作者：娄士强）

@sukerry：乌云如果真的为了用户利益，为啥不在通知携程之后，再公布漏洞？可能就在乌云宣布漏洞到携程修复好的这段时间里，黑客得知漏洞而盗取了信息。哎，乌云也是为了自己的利益，这次的免费广告不知道有多划算。

@goseaside：不只是携程，很多互联网开发人员压根就没有基本的安全意识。

@中国新闻周刊:业内人士介绍，信用卡卡号、到期日期和卡背面三位CVV码非常重要！如果泄露就会造成资金上的风险，就等于别人拿到了你的卡。 (来源：广州日报)

上海哪家医院治冠心病好:冠心病的症状主要有哪些呢

南京皮肤病医院:白癜风的诊断方法都有哪些呢

南京皮肤病研究院_导致白癫风疾病出现扩散的原因

重庆治疗银屑病的医院

南京皮肤病研究院_白癜风患者如何提升自身的免疫力