明星航班信息泄露,业务系统数据安全该何去何从?

发布时间 2020-01-06


1月3日晚间,中国某航员工泄露旅客隐私一事在官方微博发表声明:“有某航员工个人微博内容涉及旅客信息。经核查,涉事人员系某航一名乘务人员。该员工的行为严重违反了某航数据管理相关规定。目前企业已对该员工做出停飞处分,后续将根据企业有关规定进一步严肃处理。某航对此事涉及的旅客表示最真诚的道歉。”


事件回顾


一名网友发布了一条包含多条明星航班信息的微博,涉及多个明星,并且将相关乘机人的中英文姓名、国籍、出生日期等个人信息公开发布



有业内人士分析称,相关截图可能是通过某航业务人员使用的信息查询系统或者其他内部App进行查询所得。


有人觉得,这些信息不过是些航班号、姓名、国籍、出生日期,没有什么大不了的事情。发布信息的人也不过是虚荣心作祟罢了。


但虚荣心不是犯罪的理由


公民个人行踪轨迹等信息属于敏感信息,未经个人信息主体同意,擅自公开披露明星个人信息,某航明星航班信息泄露事件,是否已经构成犯罪,答案已经一目了然。


虚荣心作祟又不懂法,可怕

但更可怕的是

售卖航班信息已经形成了一条地下产业链


航班信息的泄露给明星带来了很多不便,大家普通老百姓因为航班信息泄露,遭遇电话诈骗的伤心事也历历在目。


航班起飞前,突然接到短信通知,航班由于天气等原因延误或者取消,需要通过短信提示的客服电话进行改签或者退票,可以获得相应补偿,一旦打通了这个电话,就会一步一步的落入圈套,被人骗取钱财。


上图电话为诈骗电话,请勿拨打~


信息泄露情况屡见不鲜,谁能为之担责?业务系统的数据安全保护又应该何去何从?


《信息安全技术个人信息安全规范》中已经为大家指明了业务系统数据安全的保护方向!


《信息安全技术个人信息安全规范》第四章节“个人信息安全基本原则”中提到了三个关键点。


用户认证:权责一致原则——对其个人信息处理活动对个人信息主体合法权益造成的损害承担责任。


权限控制:最少够用原则——除与个人信息主体另有约定外,只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量。目的达成后,应及时根据约定删除个人信息。


数据安全:确保安全原则——具备与所面临的安全风险相匹配的安全能力,并采取足够的管理措施和技术手段,保护个人信息的保密性、完整性、可用性。


《信息安全技术个人信息安全规范》第六章节“个人信息的保存”和第七章节“个人信息的使用”中,更是明确了具体的数据安全要求。


数据脱敏:去标识化处理——收集个人信息后,个人信息控制者宜马上进行去标识化处理,并采取技术和管理方面的措施,将去标识化后的数据与可用于恢复识别个人的信息分开存储,并确保在后续的个人信息处理中不重新识别个人。


数据加密:个人敏感信息的传输和存储——传输和存储个人敏感信息时,应采用加密等安全措施;存储个人生物识别信息时,应采用技术措施处理后再进行存储,例如仅存储个人生物识别信息的摘要。


细粒度权限控制:个人信息访问控制措施—— 对被授权访问个人信息的内部数据操作人员,应按照最小授权的原则,使其只能访问职责所需的最少够用的个人信息,且仅具备完成职责所需的最少的数据操作权限。


数据下载管控:个人信息访问控制措施——宜对个人信息的重要操作应设置内部审批流程,如批量修改、拷贝、下载等。


工单审批:个人信息访问控制措施——如确因工作需要,需授权特定人员超权限处理个人信息的,应由个人信息保护责任人或个人信息保护工作机构进行审批,并记录在册。


实时脱敏和页面水印:个人信息的展示限制——涉及通过界面展示个人信息的(如显示屏幕、纸面),个人信息控制者宜对需展示的个人信息采取去标识化处理等措施,降低个人信息在展示环节的泄露风险。


专业的需求需要专业的产品来满足

澳门新萄京官方网站应用安全管控系统

专为企业应用系统安全防护打造


独有的“应用零改造”技术

让客户摆脱应用系统改造难、成本高的最大痛点


● 为应用接入提供全方位的安全防护

● 实现业务人员双因素身份认证强管控

● 实现SSL传输加密、页面实时脱敏、页面水印、下载管控等数据安全防护

● 通过业务系统单点登录、密码自动管理、工单审批等功能简化业务人员工作流程

● 并可将所有业务操作进行详细审计!


相关法律法规


2018年5月1日正式实施的《信息安全技术个人信息安全规范》,对于个人信息和个人敏感信息有了明确的说明:


个人信息 personal information


以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。

注 1:个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。


个人敏感信息 personal sensitive information


一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。

注 1:个人敏感信息包括身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14 岁以下(含)儿童的个人信息等


《民法总则》中明确了自然人的个人信息受法律保护,一旦受到侵害,公民可以通过协商、投诉、仲裁或者诉讼途径追究其责任:


《民法总则》第一百一十一条规定,自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。


该条款正式确立个人信息是一项基本民事权利。个人信息受到侵害时,最直接的受害者即是个人,可以通过《民法总则》第一百七十九条规定的方式进行救济。个人作为消费者,亦可以根据《消费者权益保护法》第三十九条和第五十条的规定,通过协商、投诉、仲裁或诉讼途径追究经营者的责任,经营者应当停止侵害、恢复名誉、消除影响、赔礼道歉,并赔偿损失。


《网络安全法》中明确了网络运营者、网络产品或者服务的提供者侵害公民个人信息后的处罚措施,情节严重的,需进行停业整顿甚至吊销相关业务许可证和营业执照:


对于未履行个人信息保护法律责任的,《网络安全法》第六十四条规定了相应的行政责任:网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定,侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。违反本法第四十四条规定,窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的,由公安机关没收违法所得,并处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款。


2019年11月1日起正式施行的《最高人民法院最高人民检察院  关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的说明》中,更是明确了《中华人民共和国刑法》中“拒不履行信息网络安全管理义务罪”的处罚场景:


第四条 拒不履行信息网络安全管理义务,致使用户信息泄露,具有下列情形之一的,应当认定为刑法第二百八十六条之一第一款第二项规定的“造成严重后果”:


(一)致使泄露行踪轨迹信息、通信内容、征信信息、财产信息500条以上的;

(二)致使泄露住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的用户信息5000条以上的;

(三)致使泄露第一项、第二项规定以外的用户信息50000条以上的;

(四)数量虽未达到第一项至第三项规定标准,但是按相应比例折算合计达到有关数量标准的;

(五)造成他人死亡、重伤、精神失常或者被绑架等严重后果的;

(六)造成重大经济损失的;

(七)严重扰乱社会秩序的;

(八)造成其他严重后果的。


《中华人民共和国刑法》第二百八十六条之一 拒不履行信息网络安全管理义务罪:


网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列情形之一的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金:


(一)致使违法信息大量传播的;

(二)致使用户信息泄露,造成严重后果的;

(三)致使刑事案件证据灭失,情节严重的;

(四)有其他严重情节的。单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照前款的规定处罚。有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。