《中华人民共和国网络安全法(草案)》向社会公开征求意见阶段已接近尾声。其中,对网络运营者的提出了很多具体要求。如不得泄露、损毁或出售用户个人信息等。这对拥有大量真实个人信息的网络服务平台来说,不仅仅是道德要求,还提出了更高的技术要求和管理要求。《
网络安全法(草案)全文阅读》
《草案》第四章第三十六条明确指出,“网络运营者对其收集的公民个人信息必须严格保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供。
网络运营者应当采取技术措施和其他必要措施,确保公民个人信息安全,防止其收集的公民个人信息泄露、毁损、丢失。在发生或者可能发生信息泄露、毁损、丢失的情况时,应当立即采取补救措施,告知可能受到影响的用户,并按照规定向有关主管部门报告。”
在记者采访过程中,多家拥有大量个人信息的知名电商平台婉拒了我们的邀约(在这里就不点名了),他们认为讨论《网络安全法(草案)》话题太敏感。事实上,《网络安全法(草案)》在公开征集社会意见,就是大开民意之门,电商未免太过小心,记者认为没必要“谈法色变”。我们只能理解为,这些电商平台还没有信心迎接即将到来的法律规范。
不过,在多方努力下,京东商城还是接受了记者的采访,虽然没有正面回答那些“敏感”问题,还是详尽的说明了京东对用户信息和数据保护的具体措施。让我们看到了一个有社会责任的网购平台究竟在用户信息安全保障上做了哪些努力。
京东官方答复如下:
京东始终对用户信息和用户数据进行最高级别的保护,目前京东正在利用基于大数据分析的风险控制系统等一系列措施,以保护网站及用户信息的安全。
京东收集了用户从登录、浏览、选购、下单、付款到配送甚至售后服务的完整数据,因此可以针对典型用户的行为归纳出多种模型。京东的风控系统可以实时识别恶意用户的特征行为,并进行相应的防护。
针对存在风险的用户账户,京东会利用大数据技术对其进行实时分析,一方面寻根溯源,从账户访问的蛛丝马迹发现黑客的行为,并将其加入相应的特征库,阻挡他们后续作案;另一方面,与后端的用户和其它系统进行联动,对风险账号提升安全级别,规避这些账号的风险。
在涉及用户密码的数据传输环节,京东已经全程采用HTTPS协议进行加密,可以规避黑客使用数据嗅探类程序获取用户名及密码等敏感信息。在数据存储环节,京东的数据库也使用了更加安全的加密算法进行处理。在信息展现环节,对于用户的敏感信息,如手机号、邮箱、订单号等内容,京东已经对其进行了模糊化的处理,关键部分都进行了打码处理。不法分子即使进入这些用户的后台,相关的具体隐私信息也不会被泄露。
除了在集团内部加强安全措施外,京东已经对外建立了安全应急响应中心平台。同时,京东与腾讯的合作也已经延伸至安全领域,在防欺诈领域双方会进行合作,为用户提供购物安全保障。
在安全管理方面,京东建立了“安全决策蜂窝模型”,其中包括:战略、趋势、影响、特征、业务、形象、价值,七大决策手段帮助安全部门准确把控安全方向和风险。同时,京东为每条业务线按照比例配备安全官,制定了完整的应急响应机制,每个级别的系统安全和响应时间和流程不同。京东还有一套专属漏洞风险分析的平台,该平台可以有效发现目前风险点和需要紧急处理的安全事宜。
