一、身份確認的標準錯誤
我們要實現(xiàn)私人信息間“點對點”的傳遞，必然要對“點”的真?zhèn)芜M行確認，即身份確認。

首先要確認，公共機構一方這個“點”確實是可靠真實的，雖然本事件中并不是假點，但是以后也有可能第三方網(wǎng)站未經(jīng)確認和授權，私自獲得信息后，私自提供不可靠的查詢服務。這是一個隱患。

然后是確認，查詢?nèi)艘环竭@個“點”確實是本人，即有權查詢?nèi)�。本事件中，就是確定標準有問題。本事件中泄密網(wǎng)站的確定查詢?nèi)耸潜救说臉藴适牵篴知道編碼（一個四位數(shù)）或者b 知道身份證號碼。也就是說，社保網(wǎng)站的邏輯判斷是：一個人只要知道四位的編碼或者知道身份證號碼，則這個人就能夠確定是本人。這個邏輯是錯的，這個錯誤造成了今天社保網(wǎng)站個人信息的泄露。

二、技術應用的缺失
首先，編碼錯誤，用四位的順序編碼，每個碼都對應著有數(shù)據(jù)，實在是太好窮盡了，一些暴力破解原理的程序可以方便地窮盡列舉得到數(shù)據(jù)庫中的所有數(shù)據(jù)。如果采取字母數(shù)字混合的十位編碼，不采取順序編碼，非每碼都對應著有數(shù)據(jù)，則，泄露程度可以有效降低。

其次，沒有應用識別碼等技術。有效防止一些暴力破解軟件自動循環(huán)窮盡。

再次，查詢的邏輯運算符應該由“或”改成“和”。即知道編碼“而且”知道編碼對應的身份證號的人才能得到查詢結果，而不是“或”。

三、公共機構個人信息保護意識的淡薄
對采集、保有、使用、傳播、查詢個人信息的公眾機構來說，掌握著公民私人信息，一有不當漏露，輕則個人信息做為商品出售、廣告推銷騷擾纏身，重則身份信息被利用制作成假身份證從事違法活動。公共機構應該有個人信息保護意識，并采取適合的措施加強個人信息的保護，防止泄密。對公共機構來說，這是一項義務和責任，也有可能因為其過錯對給他人造成的損失承擔法律責任。

四、個人對侵害個人信息的行為如何反應
我國《個人信息保護法》正在制定日程中�，F(xiàn)階段主要是以下方式對對侵害個人信息的行為進行反應：

個人信息泄露后，如個人的姓名權、肖像權、名譽權、榮譽權受到侵害，可以依民法通則提起相應民事侵權之訴。如隱私權受到侵害，也可依民法通則相關司法解釋提起侵犯名譽權之訴。

如果是消費者在消費過程中的個人信息受到侵害，還可以根據(jù)消費者權益保護法進行保護。

個人信息泄露后，他人多次發(fā)送淫穢、侮辱、恐嚇或者其他信息，干擾正常生活的，或者散布隱私的，屬于違反治安管理行為，可以依《治安管理處罰法》報警處理。侵權人可能受到罰款、拘留的處罰。

五、不能因噎廢食，阻礙正常的信息流動
社保網(wǎng)站提供網(wǎng)絡信息查詢，讓老百姓知情，讓老百姓免受排隊之苦，我們積極支持方便群眾的電子政務創(chuàng)新，網(wǎng)站不能因為此次漏洞事件，就因噎廢食、阻礙正常的信息流動。社保網(wǎng)站需要做的，是進一步完善點對點的身份確認，應用和完善技術，更好的實現(xiàn)點對點的查詢服務。任何采集、保有、使用或傳播個人信息的公眾機構，即要保證對公民提供查詢，又必須保證該信息可靠地用于既定目的，合理地預防該信息的濫用與泄露。

標簽： 標準 漏洞 數(shù)據(jù)庫 網(wǎng)絡 網(wǎng)站 問題 隱私 政務

版權申明：本站文章部分自網(wǎng)絡，如有侵權，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權歸原作者所有，如需使用，請與原作者聯(lián)系。