基于個人信息保護視角下網(wǎng)站數(shù)據(jù)安全狀況分析

◆劉娟 陳奇飛

基于個人信息保護視角下網(wǎng)站數(shù)據(jù)安全狀況分析

◆劉娟 陳奇飛

（國家計算機網(wǎng)絡應急技術處理協(xié)調中心福建分中心 福建 350002）

近年來，個人信息泄露事件多發(fā)頻發(fā)，個人信息保護越來越受重視。本文介紹了個人信息的概念，基于全網(wǎng)監(jiān)測數(shù)據(jù)，從個人信息保護角度出發(fā)，從網(wǎng)站類型、被泄露個人信息類型、被泄露個人信息數(shù)量、發(fā)布時間等方面對互聯(lián)網(wǎng)網(wǎng)站數(shù)據(jù)安全狀況進行分析總結，并提出制度、技術、人員三個方面增強網(wǎng)站個人信息數(shù)據(jù)保護的建議措施。

信息泄露；網(wǎng)絡安全；個人信息保護

互聯(lián)網(wǎng)極大促進了經(jīng)濟社會發(fā)展，為生產(chǎn)生活帶來了極大便利，同時也帶來了新的安全風險和隱患。大量公民個人信息被暴露在互聯(lián)網(wǎng)上，造成信息泄露、隱私竊取等風險[1-3]。本文基于個人信息保護視角，從網(wǎng)站類型分布、地域分布、被泄露個人信息類型、被泄露個人信息數(shù)量分布等維度對當前互聯(lián)網(wǎng)網(wǎng)站數(shù)據(jù)安全狀況進行綜合分析，并提出對策建議。

1 個人信息的概念

關于公民個人信息的定義，根據(jù)《中華人民共和國網(wǎng)絡安全法》第76條規(guī)定，個人信息是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。《中華人民共和國民法典》第1034條對個人信息的定義類似，同時增加了電子郵箱、健康信息、行蹤信息等。通常來說，個人信息可以分為一般個人信息和敏感個人信息[4]，一般個人信息包括姓名、出生日期等，敏感個人信息包括身份證件號碼、手機號碼、銀行賬號、住址等。本文涉及的個人信息主要包括姓名、身份證號碼、住址、電話號碼、銀行賬號等敏感個人信息。

2 網(wǎng)站數(shù)據(jù)安全狀況

為了了解當前網(wǎng)站敏感個人信息泄露的情況，本文采用全網(wǎng)監(jiān)測手段，結合爬蟲技術，對監(jiān)測發(fā)現(xiàn)網(wǎng)站個人信息數(shù)據(jù)泄露情況進行詳細分析。

2.1 網(wǎng)站類型

從存在個人信息泄露風險的網(wǎng)站類型分布來看，政府類（域名后綴為gov.cn）網(wǎng)站數(shù)量占比最大，達85.4%，其次是學校類網(wǎng)站（占比6.6%）、事業(yè)單位類網(wǎng)站（占比4.0%），如下圖1所示。

圖1 存在個人信息泄露風險網(wǎng)站類型分布

2.2 網(wǎng)站地域分布

根據(jù)存在個人信息數(shù)據(jù)泄露風險網(wǎng)站歸屬省份來看，位于湖南、河南、福建、四川、河北的網(wǎng)站數(shù)量較多，如下圖2所示。

圖2 存在個人信息泄露風險網(wǎng)站地域分布（前十位）

2.3 被泄露個人信息類型

按照被泄露個人信息數(shù)據(jù)的類型分布來看，泄露姓名和身份證號碼信息占比高達91.0%，其次是泄露姓名、身份證號碼和住址，占比51.8%，同時泄露姓名、身份證號碼、電話號碼、銀行卡號和住址信息數(shù)據(jù)占比4.3%，如表1所示。

表1 泄露個人信息類型表

2.4 被泄露個人信息文件格式

從承載被泄露信息數(shù)據(jù)的文件格式來看，html、php、asp等格式的動態(tài)、靜態(tài)頁面占比64.1%，xls、xlsx格式的excel文件占比26.2%，pdf格式文件占比6.3%，如圖3所示。

圖3 被泄露個人信息文件格式

2.5 被泄露個人信息數(shù)量分布

從被泄露信息數(shù)量來看，79.7%網(wǎng)站泄露個人信息數(shù)據(jù)少于100條，泄露數(shù)據(jù)超過5000條的約占1%，如圖4所示。

圖4 被泄露個人信息數(shù)量分布

2.6 被泄露個人信息發(fā)布時間

從被泄露個人信息發(fā)布時間來看，2020年發(fā)布的占比三分之一，2017年至2019年發(fā)布占比最大，為44.3%，如圖5所示。

圖5 被泄露個人信息發(fā)布時間

2.7 被泄露個人信息涉及領域

從被泄露個人信息涉及領域來看，涉及扶貧攻堅項目約占三分之一，其次是住房保障，包括公租房、廉租房、經(jīng)濟適用房、限價房公示等，招聘錄用類占比第三，如下圖6所示。

圖6 被泄露個人信息涉及領域

2.8 小結

綜上所述，可以看出，存在泄露個人信息風險網(wǎng)站主要集中在政府、學校和事業(yè)單位網(wǎng)站，這類網(wǎng)站主體往往掌握了大量個人信息數(shù)據(jù)，同時有適度公布個人信息的工作需要。存在泄露風險的環(huán)節(jié)大多出現(xiàn)在扶貧、住房保障、招聘錄用等信息公示中，信息發(fā)布時間大部分在2017年以后，文件格式以靜態(tài)、動態(tài)頁面、excel文件、pdf文件為主，被泄露數(shù)據(jù)通常包括公民姓名、身份證號碼、電話號碼、住址、銀行賬號等，被泄露數(shù)據(jù)數(shù)量一般在1000條以內。

3 對策建議

針對以上問題，建議從制度、技術、人員三個維度增強網(wǎng)站個人信息數(shù)據(jù)保護：

3.1 制度方面

網(wǎng)站主體應建立健全網(wǎng)站個人信息披露工作機制，明確個人信息公布類型、范圍，確需公布的，對敏感個人信息，如身份證號碼、電話號碼、銀行卡號進行脫敏處理。建立個人信息披露審核機制，及時清理、歸檔已過期的公示信息。

3.2 技術方面

網(wǎng)站主體應將個人信息保護納入網(wǎng)站網(wǎng)絡信息安全防護策略[5]，建立個人信息泄露風險監(jiān)測發(fā)現(xiàn)、預警、應急處置系統(tǒng)，制定完善應急預案，確保及時處置個人信息泄露風險事件，定期開展網(wǎng)站個人信息保護風險評估。

3.3 人員方面

網(wǎng)站主體應組建專職管理隊伍，定期開展網(wǎng)絡安全培訓，增強對個人信息保護相關法律法規(guī)、政策的了解，提高網(wǎng)站管理人員網(wǎng)絡安全意識。

4 結語

當前各類個人信息泄露造成的網(wǎng)絡攻擊事件層出不窮[6] [7] [8]，一方面，個人信息保護相關的法律法規(guī)、標準、政策不斷出臺，個人信息保護備受重視，一方面，部分互聯(lián)網(wǎng)網(wǎng)站，特別是政府、事業(yè)單位網(wǎng)站仍存在持續(xù)披露個人敏感信息的情況，個人信息保護任重道遠。

[1]CNCERT．2019年中國互聯(lián)網(wǎng)網(wǎng)絡安全報告[EB/OL]. https://www.cert.org.cn/publish/main/upload/File/2019Annual%20report.pdf，2020.

[2]CNCERT．2019年我國互聯(lián)網(wǎng)網(wǎng)絡安全態(tài)勢綜述[EB/OL].http://www.cac.gov.cn/2020-04/20/c_1588932297982643.htm，2020.

[3]網(wǎng)民網(wǎng)絡安全感滿意度調查活動組委會．2019年全國網(wǎng)民網(wǎng)絡安全滿意度調查統(tǒng)計報告[EB/OL]. http://www.iscn.org.cn/index.php?m=content&c=index&a=lists&catid=201，2020.

[4]GB/T 35273-2020，信息安全技術個人信息安全規(guī)范[S].

[5]GB/T 22239-2019，信息安全技術網(wǎng)絡安全等級保護基本要求[S].

[6]Verizon.2020 data breach investigations report[EB/OL]．https://enterprise.verizon.com/resources/reports/2020-data-breach-investigations-report.pdf，2020.

[7]Verizon.2019 data breach investigations report[EB/OL]．https://enterprise.verizon.com/resources/reports/dbir/，2019.

[8]Feroot.2019 Feroot User Security and Privacy Report[EB/OL]．https://cdn2.hubspot.net/hubfs/4605309/2019%20Feroot%20User%20Security%20and%20Privacy%20Report.pdf,2019.