近日,一名頗受觀眾喜愛(ài)的脫口秀演員發(fā)微博證實(shí),在其與原合作公司訴訟過(guò)程中的案件材料里,他發(fā)現(xiàn)了自己在中信銀行的個(gè)人賬戶交易明細(xì)。
“你也沒(méi)有我的身份證,你也沒(méi)有我的銀行卡,你也沒(méi)有司法機(jī)關(guān)的調(diào)查令,竟然能從中信銀行拿到我近兩年的流水還打印出來(lái)。”當(dāng)事人就此事正式發(fā)出律師函,并指出在未經(jīng)個(gè)人授權(quán)和司法機(jī)關(guān)合法調(diào)查程序的情況下,直接將個(gè)人銀行賬戶交易明細(xì)打印,并提供給第三方,屬于嚴(yán)重違法。
那么這種行為到底違不違法?違反了什么法?答案是當(dāng)然是屬于違法的,涉嫌“侵犯公民個(gè)人信息罪”。我國(guó)第一次將侵犯公民個(gè)人信息犯罪寫(xiě)入立法之中是在2009年的《刑法修正案七》,其中第二百五十三條中以明確的主體和構(gòu)成要件填補(bǔ)了我國(guó)公民信息保護(hù)的立法空白。至今十余年間兩次修正案的修訂,對(duì)侵犯公民個(gè)人信息相關(guān)規(guī)定進(jìn)一步擴(kuò)充和完善,特別是對(duì)出售、非法提供以及非法獲取等行為的犯罪構(gòu)成要件以及量刑情節(jié)進(jìn)行了細(xì)化,從對(duì)公民法益的間接性保護(hù)轉(zhuǎn)變?yōu)橹苯颖Wo(hù)的內(nèi)容。
除此之外,《民法通則》第一百一十一條明確了公民的個(gè)人信息受法律保護(hù)?!肚謾?quán)責(zé)任法》還專門(mén)對(duì)網(wǎng)絡(luò)上實(shí)施的侵犯公民信息權(quán)益的行為做出了規(guī)定。
中信銀行的這次個(gè)人信息泄露據(jù)說(shuō)是內(nèi)部人員為了配合大客戶的要求而做出的,而實(shí)際上這種現(xiàn)象的背后還暗藏一條販賣(mài)銀行流水等信息的黑色產(chǎn)業(yè)鏈,據(jù)南方都市報(bào)記者調(diào)查,有賣(mài)家聲稱,銀行流水等信息來(lái)自“內(nèi)部人士”,4000元可查一個(gè)月的流水記錄,并“確保專業(yè)準(zhǔn)確”。早在2016年12月,南都記者就曾在調(diào)查報(bào)道中披露,公眾的隱私信息,包括開(kāi)房記錄、四大銀行存款記錄、乘坐航班,甚至網(wǎng)吧上網(wǎng)記錄信息,只要付費(fèi),在黑產(chǎn)圈都可以輕易被買(mǎi)到。
大數(shù)據(jù)時(shí)代,個(gè)人敏感信息泄露問(wèn)題日益嚴(yán)重
那么到底什么才是個(gè)人數(shù)據(jù)?目前,我國(guó)學(xué)術(shù)界與司法實(shí)踐多根據(jù)識(shí)別的來(lái)源來(lái)界定個(gè)人數(shù)據(jù)。識(shí)別包括直接識(shí)別和間接識(shí)別,直接識(shí)別即可通過(guò)直接確認(rèn)本人身份的數(shù)據(jù)來(lái)識(shí)別,如身份證號(hào)碼、基因等;間接識(shí)別指通過(guò)與其他數(shù)據(jù)結(jié)合從而確定本人身份的數(shù)據(jù)來(lái)識(shí)別。從根本上說(shuō),我們生活中的幾乎每個(gè)方面都圍繞著數(shù)據(jù)。從社交平臺(tái)到銀行,從零售商和政府,幾乎我們使用的每項(xiàng)服務(wù)都涉及對(duì)我們個(gè)人數(shù)據(jù)的收集和分析,姓名、性別、年齡、地址、手機(jī)號(hào)碼、銀行卡號(hào)等等,所有都由組織收集、分析,并且可以存儲(chǔ)。
2016年4月27日,歐盟通過(guò)了《通用數(shù)據(jù)保護(hù)條例》GDPR(General Data Protection Regulation),該條例經(jīng)兩年過(guò)渡期后取代1995年95/46/EC號(hào)指令于2018年5月25日正式生效[2]。這標(biāo)志著歐盟建立了統(tǒng)一的個(gè)人數(shù)據(jù)保護(hù)法制。根據(jù)GDPR的條款,組織不僅必須確保在嚴(yán)格的條件下合法收集個(gè)人數(shù)據(jù),而且收集和管理個(gè)人數(shù)據(jù)的人有義務(wù)保護(hù)其免受濫用和利用,并尊重?cái)?shù)據(jù)權(quán)利,否則將面臨罰款。GDPR的核心是一套旨在使歐盟公民對(duì)其個(gè)人數(shù)據(jù)有更多控制權(quán)的新規(guī)則,它旨在簡(jiǎn)化企業(yè)的監(jiān)管環(huán)境,以便歐盟公民和企業(yè)都可以從數(shù)字經(jīng)濟(jì)中充分受益。
GDPR所指的個(gè)人數(shù)據(jù)是什么?在原有法律下被視為個(gè)人數(shù)據(jù)的類型包括姓名、地址和照片。GDPR擴(kuò)展了個(gè)人數(shù)據(jù)的定義,IP地址之類的信息都可以成為個(gè)人數(shù)據(jù),而諸如遺傳數(shù)據(jù)和生物統(tǒng)計(jì)數(shù)據(jù),可以對(duì)其進(jìn)行處理以唯一地識(shí)別個(gè)人的信息都屬于敏感的個(gè)人數(shù)據(jù),也就是隱私的范疇。
美國(guó)銀行,保險(xiǎn)和醫(yī)療保健等對(duì)隱私敏感的行業(yè)的公司敏銳地意識(shí)到了隱私問(wèn)題,這就是為什么這些企業(yè)(及其行業(yè)監(jiān)管機(jī)構(gòu))每年向客戶發(fā)布隱私政策聲明,說(shuō)明其數(shù)據(jù)隱私政策以及公司將選擇與他人共享(或不共享)的信息的原因。當(dāng)人們收到這些隱私通知時(shí),大多數(shù)人都會(huì)把它們?nèi)拥簦驗(yàn)槿藗兏械较鄬?duì)安全,該公司將對(duì)收集到的數(shù)據(jù)做得很好。而實(shí)際上,數(shù)據(jù)問(wèn)題還有另一面:一些采集消費(fèi)者數(shù)據(jù)的公司往往將這些數(shù)據(jù)打包私自出售,因?yàn)檫@為其業(yè)務(wù)創(chuàng)造了新的收入流。2018年3月美國(guó)發(fā)生了一起轟動(dòng)全球的隱私泄露事件,名為“劍橋分析”的數(shù)據(jù)分析公司被曝料通過(guò)Facebook收集用戶偏好信息,然后利用這些用戶喜好有針對(duì)性地推送廣告,最終達(dá)成的目標(biāo)是影響2016年美國(guó)大選。接著Facebook被爆出超過(guò)5000萬(wàn)的用戶信息被濫用,受到丑聞?dòng)绊?,次日Facebook股價(jià)應(yīng)聲大跌7%,市值縮水360多億美元。
GDPR認(rèn)為個(gè)人數(shù)據(jù)是“敏感”的,滿足以下條件之一才能處理敏感數(shù)據(jù):
已獲得個(gè)人的明確同意(在某些情況下,法律可能會(huì)排除此選項(xiàng));
歐盟或國(guó)家法律或集體協(xié)議,要求公司或機(jī)構(gòu)來(lái)處理,以履行其義務(wù)和權(quán)利的數(shù)據(jù),以及那些個(gè)人的,在就業(yè),社會(huì)保障和社會(huì)保障法的領(lǐng)域;
人的重大利益,或身體或法律上無(wú)能力同意的人的重大利益受到威脅;
基金會(huì),協(xié)會(huì)或其他非營(yíng)利組織,其宗旨是政治,哲學(xué),宗教或工會(huì),處理有關(guān)其成員或與該組織定期聯(lián)系的人員的數(shù)據(jù);
個(gè)人數(shù)據(jù)明顯是由個(gè)人公開(kāi)的;
建立,行使或抗辯法律要求所需要的數(shù)據(jù)
根據(jù)歐盟或國(guó)家法律,出于重大公共利益的原因處理數(shù)據(jù);
為預(yù)防或職業(yè)醫(yī)學(xué),評(píng)估員工的工作能力、進(jìn)行醫(yī)療診斷、提供健康或社會(huì)護(hù)理或治療,或基于以下目的管理健康或社會(huì)護(hù)理系統(tǒng)和服務(wù)而處理數(shù)據(jù);
根據(jù)歐盟或國(guó)家法律,出于公共衛(wèi)生領(lǐng)域公共利益的原因處理數(shù)據(jù);
根據(jù)歐盟或國(guó)家法律對(duì)數(shù)據(jù)進(jìn)行存檔,科學(xué)研究或歷史研究目的或統(tǒng)計(jì)目的的處理。
隱私泄露風(fēng)險(xiǎn)多,如何對(duì)敏感數(shù)據(jù)進(jìn)行有效保護(hù)?
敏感數(shù)據(jù)經(jīng)常通過(guò)各種漏洞泄漏出去。特別是類似金融、醫(yī)療、電子商務(wù)等各種業(yè)務(wù)生產(chǎn)系統(tǒng)積累了大量包含客戶賬戶、身份、密碼、個(gè)人健康情況等敏感信息的數(shù)據(jù)。而這些數(shù)據(jù),在這些業(yè)務(wù)系統(tǒng)的很多工作場(chǎng)景中都會(huì)經(jīng)常使用,例如,業(yè)務(wù)分析、開(kāi)發(fā)測(cè)試、審計(jì)監(jiān)管,甚至是一些外包業(yè)務(wù)等方面,使用的都是真實(shí)的業(yè)務(wù)數(shù)據(jù)和信息。如果這些數(shù)據(jù)發(fā)生泄露、損壞,不僅會(huì)給這些組織帶來(lái)經(jīng)濟(jì)上的損失,更重要的是會(huì)大大影響用戶對(duì)于這些組織的信任度。如何保證業(yè)務(wù)過(guò)程中敏感數(shù)據(jù)安全已經(jīng)成為必須面對(duì)的一個(gè)重要的問(wèn)題。
隱私泄露等敏感數(shù)據(jù)遇到的風(fēng)險(xiǎn)不是開(kāi)發(fā)人員的疏忽,而是對(duì)敏感數(shù)據(jù)采集、傳輸、存儲(chǔ)、使用和銷(xiāo)毀的全套解決方案和基礎(chǔ)架構(gòu)的信任放錯(cuò)了位置,要加強(qiáng)對(duì)組織和個(gè)人敏感數(shù)據(jù)的保護(hù)應(yīng)該轉(zhuǎn)向具有自動(dòng)敏感數(shù)據(jù)識(shí)別功能的數(shù)據(jù)安全解決方案。
敏感數(shù)據(jù)可能是以文字、圖片,甚至是視頻的方式存在,發(fā)現(xiàn)敏感信息并進(jìn)行妥善處理的關(guān)鍵環(huán)節(jié)即敏感數(shù)據(jù)的識(shí)別與發(fā)現(xiàn),這一過(guò)程通過(guò)應(yīng)用自然語(yǔ)言處理及文檔分類、圖像模式識(shí)別等算法,采用人工智能的理論和技術(shù)將設(shè)定的自然語(yǔ)言、圖形圖像用計(jì)算機(jī)程序表達(dá)處理,構(gòu)建具有高準(zhǔn)確度和較高速度的若干數(shù)據(jù)識(shí)別分類器,從而構(gòu)造出能夠理解和識(shí)別敏感和隱私信息的機(jī)器智能模塊,一般包括訓(xùn)練分類器和分類識(shí)別兩個(gè)功能層次:
整個(gè)識(shí)別過(guò)程包括:樣本數(shù)據(jù)庫(kù)預(yù)分類、提取文本、圖片和視頻特征、建立特征庫(kù)、場(chǎng)景數(shù)據(jù)抽取、數(shù)據(jù)預(yù)處理、文本檢測(cè)、視頻檢測(cè)、圖像檢測(cè)、特征提取、分類判斷。
數(shù)據(jù)抽?。簩?duì)包括敏感信息的海量數(shù)據(jù)信息進(jìn)行抽取,獲取與組織敏感信息或個(gè)人隱私相關(guān)的多維數(shù)據(jù)進(jìn)行內(nèi)容識(shí)別,判斷其敏感性和重要性。
數(shù)據(jù)預(yù)處理:文本數(shù)據(jù)預(yù)處理,必須把文檔中的詞與詞分割開(kāi)也就是分詞,然后才能提取對(duì)文本分類最有意義的詞語(yǔ),并根據(jù)每個(gè)詞對(duì)分類的重要程度進(jìn)行權(quán)重計(jì)算和特征提取。視頻數(shù)據(jù)預(yù)處理,由于視頻中圖像有著過(guò)多冗余的特征,所以在處理視頻時(shí)一般將視頻中的圖像通過(guò)某些算法,選取其中的一幅或者若干幅圖像作為關(guān)鍵幀,用這些關(guān)鍵幀表示視頻中的內(nèi)容;其他數(shù)據(jù)預(yù)處理,數(shù)據(jù)庫(kù)中其他與個(gè)人隱私或組織敏感信息有關(guān)的數(shù)據(jù)抽取后的清洗、分解和合并等工作;數(shù)據(jù)檢測(cè),根據(jù)數(shù)據(jù)類型,按文本、圖像、視頻或其他,數(shù)據(jù)進(jìn)行分類檢測(cè),提取相應(yīng)數(shù)據(jù)特征。
數(shù)據(jù)特征提取:文本特征提取,對(duì)文本自動(dòng)分詞后,從分詞結(jié)果中選擇特征詞是建立分類特征模型的關(guān)鍵。本模塊提供包括互信息、信息增益、文檔頻度等特征詞選擇方法;圖像特征提取,圖像特征的正確提取和恰當(dāng)組合是整個(gè)判別模型的關(guān)鍵,對(duì)于后期分類器的分類效果起著決定性的作用。敏感圖像過(guò)濾是一個(gè)特殊的圖像識(shí)別問(wèn)題,結(jié)合此類問(wèn)題的分析,大部分情況下人臉、動(dòng)作和周邊環(huán)境是敏感圖像的主要內(nèi)容,判別模型所采用的特征包括圖像顏色特征、皮膚特征、人臉特征等。
樣本數(shù)據(jù)庫(kù):實(shí)驗(yàn)數(shù)據(jù)包括文本、圖像、視頻或其他數(shù)據(jù),相應(yīng)數(shù)據(jù)都已打好標(biāo)記。其中,文本類樣本可以選自成熟的語(yǔ)料庫(kù),從已經(jīng)標(biāo)記好的文本中提取若干作為測(cè)試文本集,剩余的作為訓(xùn)練文本集。
分類器:采用半監(jiān)督學(xué)習(xí)分類器,這種分類器在訓(xùn)練樣本集數(shù)據(jù)的部分信息缺失時(shí),具有較好性能和推廣能力,具體分類器包括協(xié)同訓(xùn)練、圖理論、生成式模型算法等。
中孚信息為全面解決敏感信息和涉密信息的泄露問(wèn)題提供有效技術(shù)手段
我們深知,發(fā)生這類事件,重點(diǎn)是從“人防”方面著手,加強(qiáng)從業(yè)人員職業(yè)道德教育。除此之外,金融系統(tǒng)還可以部署敏感信息實(shí)時(shí)監(jiān)管系統(tǒng)、計(jì)算機(jī)終端保密檢查系統(tǒng)等產(chǎn)品,為大數(shù)據(jù)時(shí)代的數(shù)據(jù)安全提供服務(wù)。
“中孚敏感信息實(shí)時(shí)監(jiān)管系統(tǒng)”支持對(duì)敏感信息的實(shí)時(shí)監(jiān)管,為全面解決敏感信息甚至是涉密信息的泄露問(wèn)題提供了有效技術(shù)手段。系統(tǒng)通過(guò)實(shí)時(shí)監(jiān)控,及時(shí)發(fā)現(xiàn)敏感信息并堵住泄露渠道,具體原理是對(duì)被監(jiān)控端所有文檔的編輯工作進(jìn)行監(jiān)控,根據(jù)策略自動(dòng)分析文檔中的敏感信息,在發(fā)現(xiàn)文檔包括已定義敏感信息類別的情況下,可立即屏蔽該機(jī)網(wǎng)絡(luò)功能,防止敏感信息泄露行為發(fā)生,同時(shí)進(jìn)行發(fā)出告警,供日后查證。
目前,中孚信息自主研發(fā)的敏感信息實(shí)時(shí)監(jiān)管系統(tǒng)和計(jì)算機(jī)終端保密檢查系統(tǒng)已在中國(guó)建設(shè)銀行、國(guó)家開(kāi)發(fā)銀行、農(nóng)業(yè)發(fā)展銀行等重點(diǎn)金融系統(tǒng)進(jìn)行部署,為切實(shí)保障數(shù)據(jù)安全做好保障。
(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。 )