站长百科 | 数字化技能提升教程 数字化时代生存宝典 
近来,公安部门开展严打侵害公民个人信息犯罪的行动,然而在信息化时代,个人信息泄露的渠道之多让人们面对的形势变得更为复杂。手机、电脑等数据设备在修理、数据恢复过程中存在的显著漏洞,使“艳照门”不再是陈冠希的“专利”。现实情况是,整个数据恢复行业没有统一规范,而且监管机构并不明确,有时候,消费者只能吃哑巴亏。
用户被数据修复公司高价“勒索”
“现在给对方手机装上黑客软件截取其短信内容我们不大敢做,这段时间风声太紧,不过你如果拿到了对方手机,找一些技术好的人导出手机里的内容应该是可行的,对方删除掉的东西也有希望恢复。”最近随着侵害个人信息犯罪遭到严打,各地的调查公司、私家侦探等纷纷潜入地下,不过5月2日上海某调查公司负责人在表示传统调查业务目前不便操作同时,向记者指出了这样一条“明路”。
近年来,不少普通消费者有着这样的遭遇,在修复数码设备时隐私泄露,自己不明不白成了又一个“陈冠希”。由于通过类似修复数码产品的方式取得用户个人信息,机动性和隐蔽性更强,因此,近年来不少修理店和数据恢复机构成了个人隐私泄露的主要渠道。
业内人士陈雷(化名)认为,数码产品修复的行为往往是点对点接触,直接取证的难度很高。他告诉《IT时报》记者一个亲眼所见的例子,之前其所在的数据恢复公司为一位客户修复硬盘后,客户竟表示恢复出来的数据都不是自己的。这让陈雷感到十分惊讶,经分析,只可能是在客户找的上一家数据恢复公司那里出了问题。与对方接洽后,没想到对方不但痛快承认的确是自己调换了硬盘,还肆无忌惮地表示由于这位客户的数据十分重要和敏感,因此只有出价3000元才肯将硬盘归还:“对方明说如果不出钱,即使报警也可以马上不承认有这回事。的确一些硬盘外观都长得一样,没有事先做好记号的话,很难指证对方。客户考虑到资料不能泄密,很难不妥协。”
小型维修店成泄密源头
如果你的信息安全要求高, “签订保密协议”和“24小时全程跟踪数据恢复过程”是目前一些数据恢复公司提供的主要方法。达思数据恢复总工程师覃廷良告诉记者,近年来用户对信息安全的要求日益增强,因此公司为配合业务出台了一系列规范,不仅用户信息恢复工作由专人负责,使经手的人数尽可能的少,而且与操作人员也签订保密协议。一些公司或采取内网与外网分离的方式,工程师无法对网络加密方式解密,确保无法通过网络流传出去。
与正规公司相比,小型维修点则无“保密协议”一说,操作过程也不透明。记者日前走访虬江路上的不少手机维修点发现,个别店面员工在修理过程中下意识翻看消费者手机内容,这些送修设备也随意放置,任何人都有机会接触到。当记者表示自己由于工作需要,要迅速建立一个拥有用户真实号码的数据库,是否能够购买一些维修或回收手机中的通讯录信息,一名手机维修、回收店面的店员说不妨等老板回来谈谈看。
上海计算机协会司法鉴定所副所长陈都表示:“从一些个人信息泄露的特点来看,肯定有不少调查公司通过这种环节去收集用户信息。”
统一行业规范仍待时日
然而,自称更专业的数据修复机构似乎也并非尽善尽美。记者看到了几份不同的公司保密协议,内容差别非常大,有的对于双方责任和不同服务项目的不同规则等解释得比较细,有的则只有一页纸,对于何谓“隐私信息”也毫无附加说明。覃延良认为这是因为数据恢复行业属于新兴行业,缺乏上级监管单位和行业协会来制定规范文本,各家公司只能从从业多年的经验出发来自行制定。
“像‘24小时全程跟踪数据恢复过程’等项目要加收数百元到1000元,不少消费者感到将信将疑,最终还是随便选择小店去维修。” 覃廷良认为,如果能获得监管部门的企业资质认证,对于让消费者产生认同显然能事半功倍。
陈都告诉记者,该协会有计划于半年内出台数据恢复认证标准,“争取将行业引入正轨,而且将一些数据恢复的黑暗面通过宣传让更多消费者了解。”
但谈到上海目前有多少公司能够符合认证标准,他表示不容乐观:“我们认为一家公司起码要设有5-6个技术人员,因为数据恢复像医生做手术一样,只是一个人做,没有相应辅助配合是不行的。但据了解,很多公司的技术人员都在3人以下。”
此外,随着不少数据恢复公司的业务拓展到智能手机等领域,资质认证的范围是否只针对“计算机”范畴等,则有待进一步考证。数据修复行业的规范化,目前无解。
律师说法
泄露行为如何处罚仍模糊
我国刑法规定,国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。
但修理点的员工,其身份又该如何认定,一旦泄露他人隐私该受到何种处罚?上海瑞富律师事务所副主任陈刚介绍,对数码产品修复中将客户个人信息泄露的零星行为该如何处罚,似乎还没有明确的司法解释。他认为,如果将女性的裸照等私人信息加以传播,可构成传播淫秽物品罪。将其他个人隐私泄露,应属违反了民法中侵犯他人人身权的规定。但目前为止,还未了解到有此类案件的判罚案例,相应的司法解释亟需出台。
来源: IT时报
