由武汉“返汉”平台无ICP备案用境外服务器而想到的数据隐私问题

武汉疫情严重,实施了封城措施,企业暂时不能复工。湖北人到外省上班很多,在武汉上班也有不少。很多人都着急省内怎么返回武汉复工呢?

从地区的疫情来看,湖北省是这次新型冠状病毒疫情的重点地区,而省会武汉最严重,早就封城防控了。据了解,到现在各省市都已经陆陆续续开展复工工作了,可在武汉的务工人员却面临着不能出行的状况。企业不复工,员工不上班,那么个人就没有收入,企业就不能赚钱,社会就没有发展。

但武汉疫情严重,现在还未解除封城,所以我们在武汉上班的人每天心急如焚,翘首盼望,希望病毒快点消灭,人民生活恢复正常。于是那天无意在一个群里看到了这样一个链接。

看到“返汉”两次字,顿时让人眼前一亮,精神抖擞。微信里直接点进去一看:

听到清澈的童音唱的关于武汉的歌!抗击疫情主题歌曲《武汉!武汉》暖心入肺!

正准备填写的时候,突然职业习惯的敏感,现在网络安全形势恶劣,这会不会是钓鱼网站啊。复制URL到浏览器里打开看看。

一查询发现qwcd.com域名没有ICP备案,大家都知道在国内的网站正常开办,都必须有工信部的ICP备案的。而且这个服务器还用的海外的。

然后点“填写申请表”按钮的时候又跳转到了另外一个网址:

这个是个什么网址呀。为什么不是江汉区政府的或者其他带GOV后缀的呢,下面要填写我的这么多个人隐私,我还单身呢,银行卡余额刚过四位数,好心慌慌!!赶紧分析哈。

带www的主域名打不开,只有这个二级域名可以。汗,这是个神马网站,好好奇。

经过备案查询,这是山东青岛一家网络公司的,大概就是找的第三方公司做的系统了,可以理解。经查询看起来是一家正规的网络公司。虽然没找到官网继续研究下去。

但是现在问题就来了,我们的这些个人信息数据全部流向了第三方公司,而且使用的是境外服务器,完全没有任何隐私可言了。而且这不光是用户隐私安全问题了,如果一不小心国外黑客破解了这个放置于外部的系统,那么武汉人员动向清清楚楚,多少人发热,身份证手机号码,住址,动向,多少人被隔离数据清清楚楚。

难道这个链接是第三方伪造的,不是政府网站宣布出来的。那确实有可能呢,现在网上钓鱼网站多,我们都是在微信群里看到的,也许不是正牌的。我再搜索看看。

心有余悸之刻,我再找找其他返汉入口呢。终于百度一搜,发现武汉四主城区都有各自的申报系统的搜索下拉词提示。

终于在武昌区政府网站上发现了这样一个连接:

这是在政府官网站页面上公布的地址,查询ICP备案信息,可能是运维工作人员自己的域名吧,但是用个个人网站的二级域名是不是太草率了。

政府自己难道没有运维和专门的外包服务公司吗?或者官方没有给机构域名分配代表权威信任的gov域名的地址吗?我知道一个区政府甚至街道我看他们都有gov的域名的。

又是放在境外的服务器上,为什么不找武汉本地的IDC服务商呢,武汉那么多服务商,比如网盾科技老兵IDC都挺不错值得放心。Orz!心情显得很忐忑。

不由想到政府数据的统筹管理质量和可用性有待提高、政府大数据开发利用的技术平台建设尚不够完善等问题。涉密信息(国家秘密、商业秘密等)的开放及其例外规则不够明确,缺乏可操作性,没有有效的政策或机制解决数据开放过程中产生的隐私或个人信息保护问题。

      网上很多关于政府网站数据泄露的报道,说明情况很严峻的。

看到这些确实堪忧!实在不敢提交申请了,我觉得这样的便民平台一定得是政府网站上运行发布。一不留心,武汉急于返汉的几百万人的这些个人信息数据就有可能全部流向了第三方公司,甚至不知道到了谁的手里。

政府数据开放过程中的数据安全与隐私需求多样,本来就会引发安全与隐私风险的脆弱因子复杂多变,需要从技术和管理相结合的视角完善法律体系。

个人住址、手机号码和身份证号等,显然属于个人隐私,政府显然没有尽到审查的职责就泄露流传到到了第三方公司。随着政府工作透明度,以及民众对于政府信息公开的需求提升,各地均建立起信息公开制度。但目前来看,在部分地区,这一制度仍然是“粗放型”,部分基层政府工作人员隐私保护意识不够,审查意识缺失,导致虽然方便了个人,但却是以公民个人隐私泄露为代价,尽管这一结果并非刻意为之,但最终损害的却是政府信用。

政府网站对于这种申请平台,更应该加强数据安全与隐私管理和技术标准规范约束,提升安全与隐私泄露风险评估,提高社会数据安全素养,从各方面协同对应数据安全与隐私保问题,从数据安全治理的角度解决此问题。

Say Something