freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

简历买卖、人脸收集,“3.15”揭露的隐私问题只是冰山一角
2021-03-16 17:12:30

“3.15”不仅是那些肆意妄为的企业的“照妖镜”,同时也是提醒消费者关注自身权益的“警钟”。

今年的“3.15”晚会刚刚落下帷幕,就在群众之间引起哗然。此次晚会所关注的权益问题从以往的实体安全转移到了数字安全,而“隐私安全”首次成为了“3.15”的焦点话题。

简历买卖,人脸收集,个人隐私泄露防不胜防

在本次晚会提及的九个事件中,有两个都涉及到了个人隐私安全。

首当其冲的就是人脸信息收集。

如今,监控摄像头在我们的生活中几乎无处不在,大部分的摄像头都是以保障公共安全为目的,我们也早已习惯了这样的生活,甚至有的人会主动在自己的住所安装摄像头来保障个人安全,商店中的摄像头更是屡见不鲜。

但是,一些商家店铺内我们认为平平无奇的摄像头,其实背后暗藏玄机。它并不只是单纯地记录商店内的景象,而是在顾客浑然不知的时候,记录下了顾客的人脸信息并将其收集用于之后的销售及其他工作。

此次被爆出安装此种功能摄像头的商家有:科勒卫浴、宝马汽车4s店、MaxMara专卖店等等。

这些摄像头的供应商包括但不限于:苏州万店掌公司、悠络客电子科技股份有限公司、广州雅量智能技术有限公司、深圳瑞为信息技术有限公司等。

科勒卫浴门店内摄像头

科勒卫浴负责人表示,具有人脸识别功能的摄像头可以帮助门店识别记录顾客的到访情况,比如说顾客去了哪家店、去了几次,而这些信息可以帮助门店制定接待计划。

记者在采访时发现,门店并没有明确的提示和告知来提醒顾客他们的人脸信息已经被收集,更不用说征得顾客的同意。

并且,悠络客电子科技股份有限公司负责人向记者透露,这种摄像头已经被安装了上百万个,万店掌负责人也透露他们平台拥有的人脸数据量已经上亿。

人脸属于个人独有的生物识别信息,随着刷脸支付、刷脸登录等功能的流行,人脸信息已经被广泛运用。同时,由于用户无法更改自己的人脸信息,所以一旦泄露将严重影响用户的财产安全、隐私安全等。

我国《民法典》中也有规定:处理个人信息,应征得自然人或者其监护人同意。

显然,以上公司并没有重视这一点,在顾客不知情的情况下肆意盗取数据并加以利用,严重侵犯了顾客的权益。

除了人脸信息收集事件,智联、猎聘等平台的简历买卖事件也在无数“打工人”中引起重大反响。

近年来,警方破获多起诈骗案,不法分子之所以能成功行骗,其重要原因是获得了大量的个人简历以进行精准诈骗。

那么这些简历是哪里来的呢?

记者发现,在智联平台上,只要身为企业用户就可以不限量地在求职者未知情的状态下下载并查阅他们的简历。而一些不法分子可以买卖这些企业账号,从而导致大量的简历流入地下市场来进行诈骗等违法行为。

1615885737_605075a992d47e5b18fdd.png!small?1615885738024

近年来,各地警方在执法过程中破获侵犯个人简历信息案,涉及个人简历信息高达1500余万条,涉案金额高达7500余万元。

以上两起事件都是在消费者毫不知情的情况下,被商家企业随意收集了个人信息,直接或间接地造成了消费者的损失,严重侵害了其基本权益。

在晚会曝光之后,大部分被提及的企业都作出了回应,并且表示会成立相关小组,配合相关部门在企业内部进行整改。

隐私问题非一朝一夕,用户被迫互联网“裸泳”

隐私安全问题由来已久,不仅仅是被曝出的这两起事件,近年来APP、网站、软件等渠道擅自盗取个人信息的事件频发。

比如年前的“拼多多匿名员工身份被发现”事件,就提醒过群众,即便是在“匿名”这个看似安全的机制下,个人隐私信息的暴露还是难以阻挡。FreeBuf也对此次事件作过相应的报道。《从拼多多到WhatsApp,撕开名为“匿名”的遮羞布

就近来说,火爆全球的音频聊天软件Clubhouse也因聊天内容泄露事件被浇了一头冷水,用户出现重大流失。

在如此频繁的信息泄露事件背景下,大部分用户其实并没有意识到自己的隐私已经被泄露。

一方面是由于企业在盗取用户信息时并没有告知,另一方面则是因为个人隐私的暴露并不会带来直接的影响,只有当不法分子利用这份隐私实施犯罪给用户造成直接损失时,用户才会意识到自己的隐私已被泄露。

你是否在日常生活中遇到过以下几种情况?

1.短信收到各种商家有针对性的广告轰炸。

2.接到陌生对话,但是对方却清楚地知道你的名字和其他信息。

3.邮箱里时不时会有各种“银行”或者机构所发来的“借贷信息”。

...

如果你有过,那你要小心了。你的个人信息很可能已经泄露。

由于个人隐私泄露并不会带来直接损害,许多人对于其危险性并没有给予重视。时常能看到这样的言论:“反正我的信息已经到处飞了,无所谓。”

个人隐私的保护意识应该渗透我们生活的方方面面,如果等到受到实际伤害才去保护,那就为时已晚。

大数据时代下,如何守护自己“隐秘的角落”?

大数据时代,万物互联,人们在网上留下的信息越来越多,在带来越来越便利的生活的同时,个人隐私泄露的风险也随之增加。

不少企业会对用户的信息进行采集、挖掘、提炼和分析来采取针对性的销售计划。

除了出于商业目的对用户数据进行分析收集,现在所流行的IoB(行为互联网),更是进一步将用户数据以其它形式出现在用户视野以影响用户行为。

基于IoT(物联网)的IoB可以帮助企业挖掘数据背后更深的用户心理,从而开拓更广泛的利用空间。IoB也会给个人带来更多的便利。比如,推荐感兴趣的新闻,提醒可能会喜欢的商品有折扣之类。

如果我们即想要这份便利,同时又不想自己的个人信息被不法分子利用,该如何对两者进行平衡呢?

首先,国家制定了一系列关于个人隐私保护的法律,给企业制定了最基本的“底线”:

《中华人民共和国网络安全法》

强调了网络运营商对采集而来的信息数据进行操作的范围以及要求。

《民法典》

规定了个人信息受法律保护,个人信息的处理需要在法律规定范围内施行。

《数据安全法》草案

强调总体国家安全观,对国家利益、公共利益和个人、组织合法权益给予全面保护。

《个人信息保护法》草案

侧重于对个人信息、隐私等涉及公民自身安全的保护。

用户的隐私同时也是企业的生命线,企业如果能保护好消费者的隐私,会增加消费者对其的信任,并且愿意提供给真实数据。同时,建立良好的信息保护管理体系,也是企业承担的安全合规责任的要求。

企业可以参考GDPR,CCPA,ISO27701,个人信息安全法,网络安全法,并且需要从组织,流程,人员,技术四个方面来考虑。

组织方面:加强隐私合规团队能力建设,梳理隐私和鬼团队权威。

流程方面:明确好全员指责与责任,定义清晰指责边界。

人员方面:加强组织安全文化建设,重视安全意识教育。

技术方面:使用代码扫描,渗透测试,隐私合规检测技术保证软件安全;使用数据发现,数据流动监测,行为审计,DLP技术保证数据安全。

此外,个人隐私保护意识需要增强,个人意识的提升可以有效避免大部分的信息泄露。一些注意事项也可以大大减少个人信息被盗取的几率:

1.认真设置密码,避免弱口令。比如:123456

2.谨慎查看各类应用设置权限。

3.选择性填写个人信息。

4.浏览https网站。

5.不在公共场合随意使用免费WiFi。

在任何事物都可数据化的今天,提供越多的数据就可以得到越便利的服务,但是企业获取数据的边界在哪里?用户隐私与便捷服务的平衡该如何掌握?这需要各方面共同努力来不断探索。

参考:

https://news.cctv.com/2021/03/15/ARTIVyd2R7kvms6uiIsmrD8P210315.shtml?spm=C94212.Ps9fhYPqOdBU.S51378.8

https://news.cctv.com/2021/03/15/ARTIieo9QjynMSXTVDb224QE210315.shtml?spm=C94212.Ps9fhYPqOdBU.S51378.9

https://www.freebuf.com/company-information/262405.html

https://www.freebuf.com/articles/neopoints/262275.html

# 隐私安全 # 个人隐私 # 315
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录