南京某机关单位主任科员朱某,利用职务之便,给两位朋友提供了共计82万条公民个人信息,造成大量公民个人信息泄露。南京鼓楼法院认为朱某违反国家有关规定,以非法方法获取、出售、提供公民个人信息,情节特别严重。经审理后,一审法院判决,朱某犯侵犯公民个人信息罪,判处有期徒刑4年,罚金9万元。朱某不满一审判决提起上诉,2018年1月17日,南京市中级人民法院审理了此案。
现代快报记者了解到,1965年出生的朱某是南京某机关单位的工作人员。从2010年起,朱某在南京某机关单位担任副主任科员、主任科员期间,利用职务便利,应朋友刘某、王某的要求,超越职权下载了一些公民个人信息,并将这些信息分别提供给他们使用,造成大量的公民个人信息泄露。经统计,2010年4月至2016年9月,朱某向刘某提供公民个人信息70余万条,2011年11月至2016年7月,朱某向王某提供公民个人信息12余万条。(以上信息来源于现代快报)
不得不等:
此案中突出了几个问题:
1、网络运营者对个人信息数据保护不到位,朱某可以越权进行非授权的批量下载公民个人信息。一方面是该单位的技术防护措施不到位,本来在做这种批量下载的行为应当及时被数据库防火墙之类的防护设备及时拦截,或者是数据库审计及时进行告警;另一方面越权的行为肯定是非授权的,也表明了该单位存在管理制度不健全,管理审核欠缺,缺乏操作记录等管理问题。
2、从2010年4月至2016年9月,朱某不断向刘某提供公民个人信息,共计70余万条。作案时间跨度长,前后6年多时间。表明了该单位对网络安全工作不够重视,这么长时间从来没发现这样的不正常行为,也没有及时把相关网络安全问题解决,不得不等猜测该单位应该没有落实等级保护制度。3、1965年出生的朱某从2010年起在该机关单位担任副主任科员。内鬼作案是个人信息泄露的一个重要途径。我们不仅要防外也要防内,做好数据操作的审计,防止非授权信息读取,防止越权的敏感信息读取,包括一些过度的数据读取其实也是一种泄露,比如在办一些业务的时候本来只用知道该用户的姓名、性别及年龄的时候,但是我们在相关资料上还能看到他的个人联系方式,工作单位等信息,这样的过度读取或者暴露个人信息的行为也不合适。这些都是需要解决的问题。
这个案子其实很典型,这种现象可能也很普遍。单位不重视网络安全,内鬼作案,个人信息保护措施不够,非授权的读取个人数据,过度读取个人数据等。放在各个有个人信息数据的单位,可能或多或少都存在这样的行为。随着《信息安全技术 个人信息安全规范》的未来实施,包括网络安全法等相关法律法规的要求,广大网络运营者需要保护好单位收集存储的个人信息,防止信息泄露,保护广大公民的个人信息安全。
声明:本文来自等级保护测评,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
