一、身份確認(rèn)的標(biāo)準(zhǔn)錯(cuò)誤
我們要實(shí)現(xiàn)私人信息間“點(diǎn)對(duì)點(diǎn)”的傳遞，必然要對(duì)“點(diǎn)”的真?zhèn)芜M(jìn)行確認(rèn)，即身份確認(rèn)。

首先要確認(rèn)，公共機(jī)構(gòu)一方這個(gè)“點(diǎn)”確實(shí)是可靠真實(shí)的，雖然本事件中并不是假點(diǎn)，但是以后也有可能第三方網(wǎng)站未經(jīng)確認(rèn)和授權(quán)，私自獲得信息后，私自提供不可靠的查詢服務(wù)。這是一個(gè)隱患。

然后是確認(rèn)，查詢?nèi)艘环竭@個(gè)“點(diǎn)”確實(shí)是本人，即有權(quán)查詢?nèi)�。本事件中，就是確定標(biāo)準(zhǔn)有問題。本事件中泄密網(wǎng)站的確定查詢?nèi)耸潜救说臉?biāo)準(zhǔn)是：a知道編碼（一個(gè)四位數(shù)）或者b 知道身份證號(hào)碼。也就是說，社保網(wǎng)站的邏輯判斷是：一個(gè)人只要知道四位的編碼或者知道身份證號(hào)碼，則這個(gè)人就能夠確定是本人。這個(gè)邏輯是錯(cuò)的，這個(gè)錯(cuò)誤造成了今天社保網(wǎng)站個(gè)人信息的泄露。

二、技術(shù)應(yīng)用的缺失
首先，編碼錯(cuò)誤，用四位的順序編碼，每個(gè)碼都對(duì)應(yīng)著有數(shù)據(jù)，實(shí)在是太好窮盡了，一些暴力破解原理的程序可以方便地窮盡列舉得到數(shù)據(jù)庫中的所有數(shù)據(jù)。如果采取字母數(shù)字混合的十位編碼，不采取順序編碼，非每碼都對(duì)應(yīng)著有數(shù)據(jù)，則，泄露程度可以有效降低。

其次，沒有應(yīng)用識(shí)別碼等技術(shù)。有效防止一些暴力破解軟件自動(dòng)循環(huán)窮盡。

再次，查詢的邏輯運(yùn)算符應(yīng)該由“或”改成“和”。即知道編碼“而且”知道編碼對(duì)應(yīng)的身份證號(hào)的人才能得到查詢結(jié)果，而不是“或”。

三、公共機(jī)構(gòu)個(gè)人信息保護(hù)意識(shí)的淡薄
對(duì)采集、保有、使用、傳播、查詢個(gè)人信息的公眾機(jī)構(gòu)來說，掌握著公民私人信息，一有不當(dāng)漏露，輕則個(gè)人信息做為商品出售、廣告推銷騷擾纏身，重則身份信息被利用制作成假身份證從事違法活動(dòng)。公共機(jī)構(gòu)應(yīng)該有個(gè)人信息保護(hù)意識(shí)，并采取適合的措施加強(qiáng)個(gè)人信息的保護(hù)，防止泄密。對(duì)公共機(jī)構(gòu)來說，這是一項(xiàng)義務(wù)和責(zé)任，也有可能因?yàn)槠溥^錯(cuò)對(duì)給他人造成的損失承擔(dān)法律責(zé)任。

四、個(gè)人對(duì)侵害個(gè)人信息的行為如何反應(yīng)
我國《個(gè)人信息保護(hù)法》正在制定日程中。現(xiàn)階段主要是以下方式對(duì)對(duì)侵害個(gè)人信息的行為進(jìn)行反應(yīng)：

個(gè)人信息泄露后，如個(gè)人的姓名權(quán)、肖像權(quán)、名譽(yù)權(quán)、榮譽(yù)權(quán)受到侵害，可以依民法通則提起相應(yīng)民事侵權(quán)之訴。如隱私權(quán)受到侵害，也可依民法通則相關(guān)司法解釋提起侵犯名譽(yù)權(quán)之訴。

如果是消費(fèi)者在消費(fèi)過程中的個(gè)人信息受到侵害，還可以根據(jù)消費(fèi)者權(quán)益保護(hù)法進(jìn)行保護(hù)。

個(gè)人信息泄露后，他人多次發(fā)送淫穢、侮辱、恐嚇或者其他信息，干擾正常生活的，或者散布隱私的，屬于違反治安管理行為，可以依《治安管理處罰法》報(bào)警處理。侵權(quán)人可能受到罰款、拘留的處罰。

五、不能因噎廢食，阻礙正常的信息流動(dòng)
社保網(wǎng)站提供網(wǎng)絡(luò)信息查詢，讓老百姓知情，讓老百姓免受排隊(duì)之苦，我們積極支持方便群眾的電子政務(wù)創(chuàng)新，網(wǎng)站不能因?yàn)榇舜温┒词录�，就因噎廢食、阻礙正常的信息流動(dòng)。社保網(wǎng)站需要做的，是進(jìn)一步完善點(diǎn)對(duì)點(diǎn)的身份確認(rèn)，應(yīng)用和完善技術(shù)，更好的實(shí)現(xiàn)點(diǎn)對(duì)點(diǎn)的查詢服務(wù)。任何采集、保有、使用或傳播個(gè)人信息的公眾機(jī)構(gòu)，即要保證對(duì)公民提供查詢，又必須保證該信息可靠地用于既定目的，合理地預(yù)防該信息的濫用與泄露。

標(biāo)簽： 標(biāo)準(zhǔn) 漏洞 數(shù)據(jù)庫 網(wǎng)絡(luò) 網(wǎng)站 問題 隱私 政務(wù)

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。