基于個(gè)人信息保護(hù)視角下網(wǎng)站數(shù)據(jù)安全狀況分析

◆劉娟 陳奇飛

基于個(gè)人信息保護(hù)視角下網(wǎng)站數(shù)據(jù)安全狀況分析

◆劉娟 陳奇飛

（國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心福建分中心 福建 350002）

近年來，個(gè)人信息泄露事件多發(fā)頻發(fā)，個(gè)人信息保護(hù)越來越受重視。本文介紹了個(gè)人信息的概念，基于全網(wǎng)監(jiān)測數(shù)據(jù)，從個(gè)人信息保護(hù)角度出發(fā)，從網(wǎng)站類型、被泄露個(gè)人信息類型、被泄露個(gè)人信息數(shù)量、發(fā)布時(shí)間等方面對互聯(lián)網(wǎng)網(wǎng)站數(shù)據(jù)安全狀況進(jìn)行分析總結(jié)，并提出制度、技術(shù)、人員三個(gè)方面增強(qiáng)網(wǎng)站個(gè)人信息數(shù)據(jù)保護(hù)的建議措施。

信息泄露；網(wǎng)絡(luò)安全；個(gè)人信息保護(hù)

互聯(lián)網(wǎng)極大促進(jìn)了經(jīng)濟(jì)社會發(fā)展，為生產(chǎn)生活帶來了極大便利，同時(shí)也帶來了新的安全風(fēng)險(xiǎn)和隱患。大量公民個(gè)人信息被暴露在互聯(lián)網(wǎng)上，造成信息泄露、隱私竊取等風(fēng)險(xiǎn)[1-3]。本文基于個(gè)人信息保護(hù)視角，從網(wǎng)站類型分布、地域分布、被泄露個(gè)人信息類型、被泄露個(gè)人信息數(shù)量分布等維度對當(dāng)前互聯(lián)網(wǎng)網(wǎng)站數(shù)據(jù)安全狀況進(jìn)行綜合分析，并提出對策建議。

1 個(gè)人信息的概念

關(guān)于公民個(gè)人信息的定義，根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》第76條規(guī)定，個(gè)人信息是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識別自然人個(gè)人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個(gè)人生物識別信息、住址、電話號碼等。《中華人民共和國民法典》第1034條對個(gè)人信息的定義類似，同時(shí)增加了電子郵箱、健康信息、行蹤信息等。通常來說，個(gè)人信息可以分為一般個(gè)人信息和敏感個(gè)人信息[4]，一般個(gè)人信息包括姓名、出生日期等，敏感個(gè)人信息包括身份證件號碼、手機(jī)號碼、銀行賬號、住址等。本文涉及的個(gè)人信息主要包括姓名、身份證號碼、住址、電話號碼、銀行賬號等敏感個(gè)人信息。

2 網(wǎng)站數(shù)據(jù)安全狀況

為了了解當(dāng)前網(wǎng)站敏感個(gè)人信息泄露的情況，本文采用全網(wǎng)監(jiān)測手段，結(jié)合爬蟲技術(shù)，對監(jiān)測發(fā)現(xiàn)網(wǎng)站個(gè)人信息數(shù)據(jù)泄露情況進(jìn)行詳細(xì)分析。

2.1 網(wǎng)站類型

從存在個(gè)人信息泄露風(fēng)險(xiǎn)的網(wǎng)站類型分布來看，政府類（域名后綴為gov.cn）網(wǎng)站數(shù)量占比最大，達(dá)85.4%，其次是學(xué)校類網(wǎng)站（占比6.6%）、事業(yè)單位類網(wǎng)站（占比4.0%），如下圖1所示。

圖1 存在個(gè)人信息泄露風(fēng)險(xiǎn)網(wǎng)站類型分布

2.2 網(wǎng)站地域分布

根據(jù)存在個(gè)人信息數(shù)據(jù)泄露風(fēng)險(xiǎn)網(wǎng)站歸屬省份來看，位于湖南、河南、福建、四川、河北的網(wǎng)站數(shù)量較多，如下圖2所示。

圖2 存在個(gè)人信息泄露風(fēng)險(xiǎn)網(wǎng)站地域分布（前十位）

2.3 被泄露個(gè)人信息類型

按照被泄露個(gè)人信息數(shù)據(jù)的類型分布來看，泄露姓名和身份證號碼信息占比高達(dá)91.0%，其次是泄露姓名、身份證號碼和住址，占比51.8%，同時(shí)泄露姓名、身份證號碼、電話號碼、銀行卡號和住址信息數(shù)據(jù)占比4.3%，如表1所示。

表1 泄露個(gè)人信息類型表

2.4 被泄露個(gè)人信息文件格式

從承載被泄露信息數(shù)據(jù)的文件格式來看，html、php、asp等格式的動態(tài)、靜態(tài)頁面占比64.1%，xls、xlsx格式的excel文件占比26.2%，pdf格式文件占比6.3%，如圖3所示。

圖3 被泄露個(gè)人信息文件格式

2.5 被泄露個(gè)人信息數(shù)量分布

從被泄露信息數(shù)量來看，79.7%網(wǎng)站泄露個(gè)人信息數(shù)據(jù)少于100條，泄露數(shù)據(jù)超過5000條的約占1%，如圖4所示。

圖4 被泄露個(gè)人信息數(shù)量分布

2.6 被泄露個(gè)人信息發(fā)布時(shí)間

從被泄露個(gè)人信息發(fā)布時(shí)間來看，2020年發(fā)布的占比三分之一，2017年至2019年發(fā)布占比最大，為44.3%，如圖5所示。

圖5 被泄露個(gè)人信息發(fā)布時(shí)間

2.7 被泄露個(gè)人信息涉及領(lǐng)域

從被泄露個(gè)人信息涉及領(lǐng)域來看，涉及扶貧攻堅(jiān)項(xiàng)目約占三分之一，其次是住房保障，包括公租房、廉租房、經(jīng)濟(jì)適用房、限價(jià)房公示等，招聘錄用類占比第三，如下圖6所示。

圖6 被泄露個(gè)人信息涉及領(lǐng)域

2.8 小結(jié)

綜上所述，可以看出，存在泄露個(gè)人信息風(fēng)險(xiǎn)網(wǎng)站主要集中在政府、學(xué)校和事業(yè)單位網(wǎng)站，這類網(wǎng)站主體往往掌握了大量個(gè)人信息數(shù)據(jù)，同時(shí)有適度公布個(gè)人信息的工作需要。存在泄露風(fēng)險(xiǎn)的環(huán)節(jié)大多出現(xiàn)在扶貧、住房保障、招聘錄用等信息公示中，信息發(fā)布時(shí)間大部分在2017年以后，文件格式以靜態(tài)、動態(tài)頁面、excel文件、pdf文件為主，被泄露數(shù)據(jù)通常包括公民姓名、身份證號碼、電話號碼、住址、銀行賬號等，被泄露數(shù)據(jù)數(shù)量一般在1000條以內(nèi)。

3 對策建議

針對以上問題，建議從制度、技術(shù)、人員三個(gè)維度增強(qiáng)網(wǎng)站個(gè)人信息數(shù)據(jù)保護(hù)：

3.1 制度方面

網(wǎng)站主體應(yīng)建立健全網(wǎng)站個(gè)人信息披露工作機(jī)制，明確個(gè)人信息公布類型、范圍，確需公布的，對敏感個(gè)人信息，如身份證號碼、電話號碼、銀行卡號進(jìn)行脫敏處理。建立個(gè)人信息披露審核機(jī)制，及時(shí)清理、歸檔已過期的公示信息。

3.2 技術(shù)方面

網(wǎng)站主體應(yīng)將個(gè)人信息保護(hù)納入網(wǎng)站網(wǎng)絡(luò)信息安全防護(hù)策略[5]，建立個(gè)人信息泄露風(fēng)險(xiǎn)監(jiān)測發(fā)現(xiàn)、預(yù)警、應(yīng)急處置系統(tǒng)，制定完善應(yīng)急預(yù)案，確保及時(shí)處置個(gè)人信息泄露風(fēng)險(xiǎn)事件，定期開展網(wǎng)站個(gè)人信息保護(hù)風(fēng)險(xiǎn)評估。

3.3 人員方面

網(wǎng)站主體應(yīng)組建專職管理隊(duì)伍，定期開展網(wǎng)絡(luò)安全培訓(xùn)，增強(qiáng)對個(gè)人信息保護(hù)相關(guān)法律法規(guī)、政策的了解，提高網(wǎng)站管理人員網(wǎng)絡(luò)安全意識。

4 結(jié)語

當(dāng)前各類個(gè)人信息泄露造成的網(wǎng)絡(luò)攻擊事件層出不窮[6] [7] [8]，一方面，個(gè)人信息保護(hù)相關(guān)的法律法規(guī)、標(biāo)準(zhǔn)、政策不斷出臺，個(gè)人信息保護(hù)備受重視，一方面，部分互聯(lián)網(wǎng)網(wǎng)站，特別是政府、事業(yè)單位網(wǎng)站仍存在持續(xù)披露個(gè)人敏感信息的情況，個(gè)人信息保護(hù)任重道遠(yuǎn)。

[1]CNCERT．2019年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告[EB/OL]. https://www.cert.org.cn/publish/main/upload/File/2019Annual%20report.pdf，2020.

[2]CNCERT．2019年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢綜述[EB/OL].http://www.cac.gov.cn/2020-04/20/c_1588932297982643.htm，2020.

[3]網(wǎng)民網(wǎng)絡(luò)安全感滿意度調(diào)查活動組委會．2019年全國網(wǎng)民網(wǎng)絡(luò)安全滿意度調(diào)查統(tǒng)計(jì)報(bào)告[EB/OL]. http://www.iscn.org.cn/index.php?m=content&c=index&a=lists&catid=201，2020.

[4]GB/T 35273-2020，信息安全技術(shù)個(gè)人信息安全規(guī)范[S].

[5]GB/T 22239-2019，信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求[S].

[6]Verizon.2020 data breach investigations report[EB/OL]．https://enterprise.verizon.com/resources/reports/2020-data-breach-investigations-report.pdf，2020.

[7]Verizon.2019 data breach investigations report[EB/OL]．https://enterprise.verizon.com/resources/reports/dbir/，2019.

[8]Feroot.2019 Feroot User Security and Privacy Report[EB/OL]．https://cdn2.hubspot.net/hubfs/4605309/2019%20Feroot%20User%20Security%20and%20Privacy%20Report.pdf,2019.