美国权威征信公司发生严重数据泄漏丨政府安全第7期
发布时间:2017-09-13 14:42
政府安全资讯精选 2017年第七期 美国权威征信公司发生严重数据泄漏 数据安全重要性再突显
摘要: 美国信用评级公司Equifax泄漏 1.43 亿用户数据 ; 网信办发布新规加强管理互联网群组和公众号;微博推进实名制认证 所有新老用户需实名 否则无法发博与评论; 欧盟裁决将加强对工作场所的隐私保护。
【安全事件】
美国信用评级公司Equifax泄漏 1.43 亿用户数据点击查看原文
概要:美国三大权威征信公司之一Equifax 被攻击,泄漏 1.43 亿用户数据。泄露信息包括用户社会安全码(SSN)、驾照、生日、信用卡数据等。事件曝光之前,CFO等三位高管抛售了近180万美元的股票。作为应对,Equifax开通了一个网站帮助消费者确定个人信息是否遭到损害,并提供免费的信贷档案监控和识别盗窃保护。从规模之大和被泄漏信息的隐私程度看,这可能是近年来最严重的数据泄露事故之一。
点评:对用户重要信息的有效保护是信用评级公司的核心能力。Equifax作为全美最权威的的信用评级公司之一,却在此次网络攻击中“信用彻底崩塌”。预计联邦贸易委员会(FTC)将会根据泄漏的影响程度作出相应惩处,如Uber近日被要求接受20年审计;各州监管也会有各自的裁决。目前,国内个人信息保护的相关标准不断健全,各类政府网站、金融机构保障数据安全的责任也在增加,避免重要数据泄漏造成严重损失。
【国内政策分析】
网信办发布新规 加强管理互联网群组和公众号
概要:网信办9月7日发布《互联网用户公众账号信息服务管理规定》和《互联网群组信息服务管理规定》,2017年10月8日起施行。依据规定,互联网群组和公共账号须备案;群组建立者须承担管理责任;公众账号平台须设立总编辑,负责信息内容安全;群组信息服务提供者要做实名认证并建立黑名单管理制度,还需要留存网络日志至少6个月。
点评:两项规定进一步落实了内容安全的主体责任,群组“谁创建谁负责”,把责任落实到个人。群组和公众账号服务提供者的管理责任更加重大,内容安全的技术、人力投入以及网络日志存储的成本都将增加。
微博推进实名制认证所有新老用户需实名否则无法发博与评论点击查看全文
概要:微博近日发布公告称,在2011年《北京市微博客管理规定》实施以后,按照规定要求新用户进行“前台资源,后台实名”的认证,并引导老用户进行实名验证。截至目前,微博已完成了全站活跃用户的实名验证工作。根据相关法律要求,微博将在今年9月15日之前,完善产品机制,要求所有用户包括2011年之前注册的用户,在发博和评论前,先行完成实名验证。
点评:微博率先响应《网络安全法》有关实名认证的要求,对新老用户实名信息进行“查漏补缺”。值得注意的是,微博将向第三方开放授权登录服务,第三方使用微博登录时微博会反馈请求账号是否已完成实名验证。使用微博授权登录等同于该用户在第三方实名登录。换言之,第三方平台将与微博有更多的数据共享,也将相应地承担更多个人信息保护责任。
【国外政策趋势】
欧盟裁决将加强对工作场所的隐私保护点击查看全文
概要:9月5日,欧洲人权法院对早前罗马尼亚籍男子因工作期间处理私人邮件被解雇案件做出了裁定。该决定对工作场所的隐私和监控具有里程碑式的意义。欧盟企业今后有义务提前告知雇员其电子邮件正被监控,私自操作属于违法行为。同时,企业对于隐私监测的合理性和程序性保障至关重要
点评:欧盟GDPR里显著增强了雇员作为数据主体的权利。雇主需要提供更多关于处理人力资源相关个人资料的方式和原因的详细资料。旨在提高数据处理的透明度和安全性。其次,员工有权访问他们的数据,并有权纠正不准确的数据。最后,根据“被遗忘权”,员工有权要求雇主在某些情况下清除有关他们的个人资料。
