查看原文
其他

诸子笔会 | 肖文棣:数据安全中的隐私风险浅析

肖文棣 安在 2022-07-04




自2021年6月起,安在征文全新“改版”——“诸子笔会,打卡征文”。简单来说,我们在诸子云社群招募“志愿者”,组成“笔友群”,自拟每月主题,互相督促彼此激励,完成每月一篇原创,在诸子云知识星球做主题相关每日打卡,同时邀请专业作者群内分享,互通交流。我们的目标,不仅是在持续8个月时间里,赢取累计8.8万的高额奖金,更是要探索一种脑力激荡、知识分享的新思路和新玩法。本期发文,即诸子笔会月度主题来稿之一。




数据安全中的隐私风险浅析


文 | 肖文棣




肖文棣

晨星资讯(深圳)有限公司 

安全架构师



OWASP中国广东分会负责人,获得华中科技大学软件工程专业工程硕士学位,持有CISSP、AWS助理解决方案架构师和AWS安全专家等认证。现任晨星资讯(深圳)有限公司安全架构师职务,负责应用安全设计、管理和评审等工作。



隐私风险是什么


根据我国的《个人信息保护法》的第四条的描述,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。根据第二十条的规定,敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。这里的敏感个人信息就是个人隐私信息。



个人隐私信息保护是当今商业领袖、科技公司、政府和个人之间争论最激烈的话题之一。在全球范围内引入严格的数据保护法规,如欧盟的GDPR(通用数据保护条例)和我国的《个人信息保护法》的推动下,组织有责任确保其隐私数据得到良好保护,否则将面临高额处罚。根据《个人信息保护法》的规定,最高可以处罚5000万元人民币或者企业上一年度营业额的5%。根据GDPR的规定,最高处罚2000万欧元或者企业全球营业额的4%。所以隐私保护法规就是悬在企业头上的达克摩里斯之剑。



根据Gartner 2019年的一项调查,到2023年,全球65%的人口的个人信息将受到隐私法规的保护,而现在这一比例是10%。64%的高级管理人员表示,“加速的隐私监管”是其组织面临的最大新兴风险,其中银行、金融服务、技术和电信行业的专业人士对隐私监管的担忧最为普遍。



隐私十大风险


随着手机智能化和通信技术的快速发展,我们正逐步迈向以智能手机为标记的移动互联网时代,从社交娱乐到移动支付,手机已经渗透到我们生活和工作的方方面面。然而,在享受移动互联网时代带来的各种便利的同时,不得不面对随之而来的个人隐私泄露的风险。


在2018年的中国消费者协会发布的《App个人信息泄漏情况调查报告》,85.2%的受访者的个人信息被泄露,并且约86.5%的受访者收到过骚扰电话,约75.0%的用户接到诈骗电话,约63.4%的受访者收到垃圾邮件。可见个人隐私安全问题不能小觑。



为了应对个人隐私风险,OWASP在2021年准备发布OWASP Privacy Risks 2.0。


风险一  Web应用程序漏洞


在任何保存和操作用户个人隐私数据的系统中,应用程序漏洞都是一个关键问题。如果系统运营方未能适当地设计和实施应用程序,并且不能及时检测和修复应用程序的漏洞,则可能导致个人隐私数据泄漏。这里的Web应用程序漏洞可以参考OWASP的十大应用漏洞。



比如如果一个系统存在SQL注入漏洞,就会存在被拖库的风险,如果用户的隐私数据在数据库中没有使用很好的方式加密或者不加密,就会导致用户的隐私数据泄漏。


另一个例子是XSS漏洞,如果用户的系统存在XSS漏洞,就会导致用户可能受到钓鱼攻击,比如让合法的用户点击钓鱼邮件,并且跳转到一个伪造的网站,诱导用户输入个人隐私数据,从而导致个人隐私数据泄漏。


所以系统运营方应该关注OWASP的十大应用漏洞列表,并且及时修复系统的漏洞。


根据《个人信息保护法》的第九条规定,个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。


风险二  运营商侧数据泄漏


由于运营商的故意或者无意之过,例如访问管理控制不足、存储不安全或者缺乏安全意识,导致用户数据或者与用户数据关联的数据泄漏给未经授权的第三方,从而导致个人隐私数据泄漏。


这样的例子比比皆是。比如某快递公司的经理私自获取了大量的用户的数据,然后进行倒卖给其他公司进行牟利。虽然最后该经理伏法,但是大量的个人隐私数据已经被泄漏。



根据《个人信息保护法》的第十条的规定,任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动。


风险三  数据泄漏响应不足


运营商未将由于有意或无意事件导致的可能的数据泄漏或者已经发生的数据泄漏事件通知受影响的人(数据主体);未实施确实可行的措施来纠正这种情况;不试图限制泄漏。


比如运营商遭到了黑客攻击被拖库,导致用户的密码泄漏。但是运营商因为考虑自己的声誉并没有及时通告该事件,导致用户不知道自己的密码已经泄漏,而导致黑客可以通过获得的用户密码侵入用户的数据,造成用户的损失。


不过这种情况将得到改善,现在的隐私保护法规,如欧盟的GDPR或者我国的《个人数据保护法》,都有对事件通报提出明确要求,如果企业不能遵守这个要求,将面临巨额罚款。这促使企业正视问题,及时通知用户并且采取措施降低损害。



根据《个人信息保护法》的第五十七条规定,发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。


风险四   “同意一切行为”

用户使用协议过于笼统并且经常对应用的所有行为都是“同意一切行为”,而不是针对应用的各个目的清楚说明并且要求用户单独同意,如使用网站和分析广告就是两码事。用户会同意使用网站,但未必愿意应用利用自己的行为进行广告分析。


现在的隐私保护法规对这个有明确的要求,过于笼统的“同意一切行为”等同于无效协议,由此引发的个人隐私泄漏,将依法追究相关企业的责任。


根据《个人信息保护法》的第十七条的规定,个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知。



风险五  不透明的政策、条款和条件


系统的用户使用协议中没有提供足够的信息来描述数据的处理方式,例如数据的收集、存储和处理。未能使非法律专业的人士或者用户易于访问和理解此信息。


现在的隐私保护法规同样对此有明确的要求,企业想暗箱操作或者蒙混过关是可能受到严厉惩罚的。


根据《个人信息保护法》的第十四条规定,基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。



风险六  用户的数据删除不充分


系统不能在用户要求下或者在指定目的已经完成的情况下,及时有效地清除用户的隐私数据。


个人信息的被遗忘权是现代隐私保护法规的重要内容,如果企业不能在限定时间内清除用户要求的信息,那么将面临高额处罚。


根据《个人信息保护法》的第四十四条规定,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除。



风险七   数据质量很差


系统使用过时的、不正确的或者虚假的用户信息,未能及时更新信息。


比如用户的手机号码已经停用,并且电信部门已经回收了此号码,并且该号码已经被重新分配给其他用户。但是由于应用更新不及时,系统还是使用该号码联系当前用户,这样当前用户就会收到骚扰电话。


现在的隐私保护法规对此也有明确要求,如果应用在用户提醒下还不能及时更新数据,也将面临处罚。


根据《个人信息保护法》的第四十六条规定,个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充。



风险八  会话过期机制缺失或者不足


系统由于会话过期机制的缺失或者不足,导致会话没有被强制终止,从而在未经用户同意或者不知情的情况下收集了额外的用户数据。


比如用户认为在一个小时后网站会自动退出,结果网站在1天都没有退出,并且持续收集用户的使用数据。现代隐私保护法规对此也有明确要求,企业应该特别注意了。


该风险与风险一类似,其中会话过期机制失效也属于OWASP十大应用风险之一。



风险九  用户无法修改和访问数据


用户无权访问、更改或者删除与其相关的数据。比如用户在一个简历网站上上传了一个简历,系统自动将该简历设置为所有公司都是可以访问的,但是用户想修改成指定公司可以访问但是修改不成功。


根据现代的隐私保护法规,这个是违法行为,要进行处罚的。


根据《个人信息保护法》的第四十五条的规定,个人有权向个人信息处理者查阅、复制其个人信息。



风险十  出于用户同意的目的收集了不需要的数据

收集系统不需要的描述性、人口统计或者任何其他用户相关数据,也适用于用户未同意的数据。


比如用户只是同意使用该应用在手机上阅读PDF文档,但是应用确收集了用户手机通讯录和短信记录。

根据现代的隐私保护法规,这个是违法行为,要进行处罚。


根据《个人信息保护法》的第七条规定,处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。


并且应用不能因为用户不同意收集额外的非必要数据而停止服务,这个也是违法行为。


根据《个人信息保护法》的第十六条规定,个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。




企业对隐私的态度


随着现代个人隐私法规的落地,个人隐私数据不是企业想保护才保护的事情,而是法律要求的事情,所以企业要对个人隐私数据保护以及隐私风险足够重视,不然很容易翻船。而且企业要改变一直以来的错误观念,不是什么数据都可以收集,什么数据都要保存,什么数据都要经过大数据分析,而是应该遵循法规的要求,要得到明确的用户许可,并且只保留处理用户许可的数据,并且妥善保存这些数据。



如奇安信的齐向东董事长所说,DT时代,企业对于数据是有无限责任,所以企业对待个人隐私数据要慎之又慎。








推荐阅读


诸子笔会 |8月征文合集《数据安全》


赵锐:世界500强的数据治理实践

刘顺:企业数据安全体系建设实践

刘志诚:祛魅!数据安全认知实践再思考

杨文斌:数据安全之存储安全策略分析张永宏:网络时代数据安全的价值链建设

蔚晨:浅析数据安全治理体系

王振东:数据安全职责浅析

孙琦:企业数据安全治理的真实一天


诸子笔会 | 7月征文合集《安全自动化》


张永宏 肖文棣 杨文斌 于闽东 孙琦 

刘志诚 蔚晨 赵锐 季奖公布


诸子笔会 | 6月征文合集《安全数字化》


张永宏 刘志诚 孙琦 李磊 赵锐 于闽东肖文棣 顾伟 侯大鹏 蔚晨 杨文斌 月奖公布


原文阅读查看往期征文合集

齐心抗疫 与你同在 



你怎么这么好看




您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存