扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:论坛整理 来源:zdnet网络安全 2008年1月1日
关键字:
盗取身份信息的窃贼将手伸向了大型消费者数据库,这些被盗取的消费者个人信息可能不仅仅被用来销售,甚至有可能用来进行犯罪。
我知道你的名字;我知道你住在哪里;我知道你曾经生活过的地方;我知道你什么时间在哪里出生;我知道你有几张信用卡;我知道你使用信用卡的情况;我知道你的所有保险理赔信息;我知道你的工作经历以及是不是有犯罪记录。
甚至,我会把这些隐私信息以及其他更多敏感的个人信息公开出来。我要做的就是给那些个人信息经纪公司支付10美元到50美元,比如Intelius和ZabaSearch或者像Acxiom和ChoicePoint这样的大公司。只需要15分钟的时间,我们就能获得大量关于你的个人信息,数量之多可能连我自己都不敢想象。
有了名字、地址、身份证号码,一个人可以借款、开设信用卡帐号、出租公寓,甚至犯罪,他会用你的名义干这些事情。所有这些事情和你自己做的事情会混成一团,你会莫名其妙地收到账单,更为糟糕的是,你可能被警察逮捕。用户数据上网大大提高了这些信息被窃取和滥用的风险。
信息经纪公司搜集的信息不仅仅限于信用记录,而且还有大量其他个人信息。这些信息的收集渠道多种多样,包括私营公司、政府机构。得到这些信息后,他们会将信息卖给企业、执法机构,甚至卖给个人,只要那些人能够提供给他们觉得合法的依据。目前法律对信息交易的限制非常宽松,而且使用范围很窄,因此大多数信息经纪公司会自行其是,自己炮制相关标准。
大多数信息经纪公司都没有全力保护用户的信息——被诈骗、将用户信息卖给可疑的人、数据库被黑客入侵这样的事情屡见不鲜。一些广为公众所知的事件涉及最大的个人信息经纪公司,比如Acxiom、ChoicePoint和LexisNexis。2005年早些时候,ChoicePoint披露,他们销售了来自全国各地的145,000位消费者的个人信息。据报道,这笔信息交易被认为是合法的,但买主其实是一个尼日利亚有组织犯罪团伙的成员。ChoicePoint表示,大约有750份消费者个人信息被人试图用于非法活动。LexisNexis宣布,他们在两年时间内总共发现了59起入侵事件,非法之徒入侵了该公司的个人信息数据库,涉及31万份来自美国的个人信息。
Mickey Martinez是耶鲁大学法法律专业的学生,他是一起涉及信息经纪公司ChoicePoint的团体诉讼案中的原告,他收到了来自信息经纪公司的警告邮件,通知他个人信息被盗。“这是非常严重的行为。作为个人,不管我们多么谨慎小心都是不够的,那些信息经纪公司的粗枝大叶足以让我们的个人信息处在危险之中。”
他还补充说,他非常小心,特意提供了内容简短的个人说明文档,要求信用卡公司不要发送信用卡交易通知书,而且从不在无线网络中使用金融业务,但是他的个人信息还是被泄漏了。ChoicePoint提供了为期一年的信用监视服务,但他认为这还不够。“至少他们应该提供时间更长的信用监视,并且应该提供某种形式的责任申明:如果出现了问题,他们必须承担赔偿责任,并且要解决问题,”他说。
就个人信息保护不力而言,信息经纪公司并不是唯一的根源。在写作这篇文章的时候,隐私权利咨讯交流中心(www.privacyrights.org)列出了自二月份以来出现的80次信息泄露事件,涉及人数达到5000万。其中最严重的事件是,信用卡公司CardSystems出现的信息被盗。CardSystem对这次事件一直讳莫如深,但最终还是透露有4000万客户信息受到威胁。另外,CitiGroup未加密的备份磁带在通过联合包裹服务公司(United Parcel Service)运输时丢失,这些磁带中存放了390万份用户资料。
不仅如此,信息经纪公司最近遭到了最严厉的批评。“类似ChoicePoint的事故是非常严重的,因为如果有组织的犯罪团伙购买这些信息,他们将会滥用这些信息,” RelyData公司(www.relydata.com)总裁Garnet Steen说,这家公司提供信用信息盗窃的恢复服务。“这种事情的后果和某所州立大学的数据库被入侵不可同日而语,因为那可能只不过是学习计算机的学生想放松一下神经。”
如果你想要在一个国家工作、生活、购物,那么让商业机构获得和使用你的个人信息是不可避免的。问题的关键并不在于是否应该让信息经纪公司使用个人信息,而在于他们(而不是你)是否能够完全控制哪些人能看到你的信息。
信息经纪公司:使隐私处在危险中(二)
那个人不是我!
出售个人信息的公司所面临的问题不仅仅是信息泄露。就如同信用报告机构一样,数据中出现错误是非常常见的现象,而且一些错误是合理的。
我通过Intelius.com订购了一份关于我自己的背景资料,价格为50美元,如果其他人对我进行调查,也将获得同样的资料。我发现加利福尼亚有个人和我同名同姓,他受到了小额索偿法院的判决。更糟糕的是,我得到的资料中列出了几个和我同名同姓的重罪犯,其中一个来自北卡莱诺娜州,他甚至中名首字母(不是整个中名)和我也一样。这些信息不是错的。但他们和我并不是一个人,重名是比较麻烦的事情。我只希望那些订购了同样信息的人能够进行区别。
值得关注的是,Intelius还向客户提供了身份监视服务。这项服务会对某个人的信用记录、股票交易、电话记录以及地址变更等情况进行监视,它的价格是每年95美元。
法律行动
大多数用户信息泄露都是在离线状态下发生的——有人偷了你的邮件,或者从收银的POS机上拷贝你的信用卡号码。网络上出现的身份资料泄露事件促使人们重新思考身份资料窃贼们的所作所为。“大多数人搞不清楚自己的信息是如何被盗的,”来自RelyData的Steen说,“许许多多原因不明的个人信息泄露就是通过Internet、通过电子化的方式、通过入侵实现的。”
因此,立法者正在加紧这方面的立法工作,主要涉及三项基本的内容:个人信息的使用将受到限制,尤其是身份证号码;出现入侵时进行通报;对信用记录的访问进行限制。
十年前,欧盟制定了一份影响深远的隐私纲要。这份纲要规定,收集数据必须有明确的目的,一旦目的达到,收集到的数据就不能继续保存。它还规定,数据必须准确而且是最新的,在未征得数据相关人允许的情况下,向第三方提供数据的行为必须受到限制。此外,进行数据提供时,如果接受数据方所在国家没有提供足够得力的隐私保护措施(比如美国),这份纲要对此类行为进行了规范。
美国在2005年的Specter-Leahy个人数据隐私和安全法案包含了一些和欧洲的隐私纲要相仿的内容。这份法案对公司使用社会安全号码的行为进行了限制。它规定,一旦出现入侵事件,公司必须通知执法部门、消费者以及信用报告机构。另外它还规定,信息经纪公司必须建立相应机制,允许个人访问和修改数据。
既要保护个人权利,又要满足那些合法数据使用者的需要,这是一件非常困难的事情。但是消费者应当对他们自己的个人信息有足够的控制权和使用权,现在这些权利得不到保障。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。