压片机厂家
免费服务热线

Free service

hotline

010-00000000
压片机厂家
热门搜索:
行业资讯
当前位置:首页 > 行业资讯

泄密门拷问平台责任边界

发布时间:2020-01-14 23:51:18 阅读: 来源:压片机厂家

原题:“泄密门”拷问平台责任边界

UC现漏洞 小米被“脱裤”

法治周末见习记者 仇飞

5月的第二周,UC、小米因为漏洞问题先后登上乌云“榜单”。

一家是配有ANVA白名单标识的全球首款提供安全服务的手机浏览器服务商,一家是首创了用互联网模式开发手机操作系统的移动IT公司,乌云“榜单”再次引发关注。

据中国电子商务研究中心的监测数据显示,65.5%的网站存在安全漏洞;2013年中国网民在网上损失近1500亿元。

一周两个平台泄露信息

5月11日凌晨,ID为“从此寂寞”的乌云网用户在乌云漏洞报告平台披露,UC浏览器的“神马搜索”可导致大量敏感信息泄露,涉及人人,QQ空间、新浪微博等。UC优视随后确认此漏洞,并表示已联系研发处理。5月12日,UC优视在乌云网的反馈信息显示,漏洞已修复。

UC优视品牌推广部负责人朴佳接受法治周末记者采访时回应称:“关于乌云漏洞平台的反馈,我们秉承了UC一贯注重用户隐私和安全的态度,在收到乌云平台的提示之后当天就进行了修改,第一时间保证用户的上网安全。”

朴佳表示,目前并未收到用户有关信息泄露的投诉。

去年3月和9月,乌云漏洞平台也曾两次发布预警提醒,指出UC浏览器存在重点安全漏洞。

对此,朴佳认为,乌云漏洞平台每天都会有互联网和软件公司的大量漏洞反馈,没有任何产品是绝对没漏洞或者BUG的。“UC很重视每一个渠道对于产品的反馈,一直以积极和高效的态度处理这些反馈。”朴佳说。

5月14日凌晨,ID为“路人甲”的乌云网用户在乌云漏洞报告平台披露,“小米论坛被脱裤(数据与官方符合)可能影响小米移动云等敏感信息”。乌云官方微博随后证实,小米官方数据确实遭泄,影响约800万论坛注册用户。

“脱裤”(拖库),是指黑客将网站数据库下载到本地的行为,往往会导致网站大量数据泄露,进而引发用户隐私被窃取、密码被盗等严重后果。

5月14日上午10时许,ID为“爱上平顶山”的乌云网用户发布消息称:“小米科技某安全漏洞影响88W+360W数据(另一漏洞)。”

当日中午,小米科技确认漏洞信息。同时,小米安全中心向小米社区用户发布公告,证实确有部分2012年8月前注册的论坛账号信息被非法获取。

5月15日上午,小米公司相关负责人对法治周末记者表示:“漏洞是由早期小米论坛及账号体系使用第三方开源程序所致。2012年8月小米账号系统升级后,已将所有服务切换到全新的账号安全体系中,并对所有存储数据进行了安全加密。”

自身平台有过错须担责

中国电子商务研究中心来自对1000位用户的在线调查显示,21.7%的用户曾因网购、论坛、微信等遭遇过信息泄露,56.8%的用户表示对互联网信息安全担忧。

据“爱上平顶山”提供的内容,小米论坛泄露的信息包括:用户名、密码、注册邮箱、IP及密码盐(Salt)等。

重庆大学法学院教授齐爱民认为,论坛、浏览器等网站对于因程序漏洞导致用户信息泄露的行为,承担责任的范围应当分情形而定。

“如果漏洞属于现阶段科技所不能避免或者虽能避免但是需要付出不成比例的代价的,则网站免责,但可能基于公平责任而承担适当赔偿责任;如果漏洞是自身过错,则属于对附随义务的违反,应该承担相应赔偿责任。”齐爱民告诉记者。

浙江六和律师事务所合伙人王红燕律师则认为,在此次事件中,小米有不可推卸的义务和责任。

“小米应详细公布漏洞产生的原因、时间,并提示用户可能的风险。确定了对用户可能造成的风险后,还应对用户如何规避或者降低风险提出建议,并考虑风险发生后能够为这些用户做些什么,对已经有损失的用户承担赔偿责任。”王红燕说。

对此,小米负责人称,只有少部分用户可能会受到信息泄露影响,目前尚未收到用户投诉。对于2012年8月份之前注册账号且至今未修改密码的用户,小米已经提示其尽快修改密码。

齐爱民提示,互联网企业对用户信息保护应当遵循知情同意原则、收集限制原则和禁止二次利用原则,如网站收集个人信息必须明示,不得收集超出交易目的的个人信息(无论是否告知,均属违法),对个人信息的收集仅供本次交易使用等。

现行法律框架用户举证难

齐爱民指出,目前,我国并没有专门针对个人信息保护的法律法规。

“刑法修正案增加了个人信息犯罪,但是适用情形有限,并且用户不能基于刑法规定获得民事赔偿;全国人大常委会有一个《关于加强网络信息保护的决定》,是法律性质,但操作性不强,没有设置对应的处罚措施;在民事赔偿方面,都是借助人身权保护规定得以实施的,欠缺保护个人信息的民法规范。”齐爱民说。

北京外国语大学法学院教授丛立先认为,小米事件中受影响的用户群同时是小米产品的消费群,这些用户可以依据侵权责任法或消费者权益保护法进行诉讼维权。

“如果网站因漏洞造成用户个人信息的大面积泄露,影响范围广泛时,工信部等相关行政管理机构可以对网站行政处罚。”丛立先提到。

但依据民事诉讼法“谁主张谁举证”的总结性规定,证据问题是用户在诉讼中不得不面对的一个问题。

中国计算机学会信息安全专业委员会主任严明此前对媒体表示,司法机关在处理这类问题时,最主要的问题是于法无据,取证、定损过程比较困难,难以查处。

严明认为,对数据库泄露事件,首先要明确运营商的责任。因为如果运营商要淡化处理,普通个人用户隔着运营商这层关系,要提出证据难度太大了。

而此类信息泄露事件中,用户诉讼面临的“举证难”问题,也再次凸显出信息安全领域对“更完善的法律支持和更主动的行政作为”的诉求。

齐爱民建议:“加快制定个人信息保护法,在制定民法典时,在人格权编增加个人信息权,使用户因个人信息侵权可能得到赔偿,赋予用户保护个人信息的基本民事手段。”

严明认为,互联网用户数据泄密,由于涉及的人数众多,已经成为涉及到公共安全性质的事件,不能按照“民不告、官不究”的民事纠纷来看待,执法部门应主动介入、积极调查并追责,而不是非要等到立案以后才处理。

(编辑:于晓明)

就医挂号有哪些

名医汇

海外就医