屋漏偏逢連夜雨。
打車軟件的身份合法性問題尚未解決,最近又被泄露用戶信息的質疑“圍攻”——知名互聯網漏洞曝光平臺烏云網發布的2015年5月數據顯示,自2014年1月到2015年5月上旬,共出現59個關于打車軟件的安全漏洞,涉及滴滴快的、Uber等9家廠商。
在漏洞類型方面,被直接標記為“敏感信息泄露”或者“重要敏感信息泄露”的漏洞有9個,可能會造成軟件用戶信息泄露的漏洞至少達25個。
據悉,打車軟件應用中的數據會在服務器上存在,如果軟件存在漏洞被黑客拖庫,數據庫信息將會泄露。
被泄露信息主要涉及兩類
知名IT與知識產權律師、中國互聯網協會信用評價中心法律顧問趙占領對法治周末記者表示,對于用戶而言,使用打車軟件需要事先進行注冊,注冊過程中必然會涉及到提交個人信息,包括手機號碼等,這是打車軟件提供服務所需要收集的信息,用戶也需要提供。
“乘客、司機下載打車軟件時需要使用手機號碼注冊,司機還需提供相關證件。此外,用戶在使用軟件時還會被提示,同時會讀取手機通訊錄及相關信息,這些私人信息如果軟件方不能妥善保管,都可能被泄露或被倒賣。”知名互聯網評論家、速途研究院院長丁道師告訴法治周末記者,打車軟件漏洞可能造成泄露的信息,主要有打車軟件注冊信息和支付信息兩類。
此前就有媒體報道稱,在電商平臺已有商家公然出售Uber用戶的姓名、手機號碼、信用卡等注冊信息。
除了用戶信息被公開販賣外,用戶在使用打車軟件后,頻頻被騷擾的案例也屢見不鮮。
“乘客‘放鴿子’后司機電話騷擾追債、美女打車后的哥‘問候短信’沒完沒了……這種事件在很多地方都出現過。”丁道師介紹到,乘客通過打車軟件叫車時,乘客與司機的姓名、電話等個人資料都是完全透明的,無論是司機還是乘客,都可以在手機的歷史打車記錄里查到對方的信息,即時是單方刪除,對方仍然可以看得到。
對此,滴滴快的公關部相關負責人對記者表示,司機對乘客騷擾是嚴重違規行為,乘客可以向公司投訴,若雙方對此事實有爭執,公司會與通信公司溝通,協助乘客盡可能還原事情真實情況。
安全保障義務決定是否擔責
那么,對于用戶信息泄露,打車軟件企業是否要承擔責任呢?
“打車軟件企業與用戶之間存在服務合同關系,保障用戶個人信息安全是打車軟件企業的合同義務。對于用戶信息泄露,打車軟件企業是否承擔責任主要看有沒有盡到必要的安全保障義務,這需要打車軟件企業舉證,證明在現有技術條件下不存在明顯的安全漏洞,否則應該對用戶的個人信息泄露承擔賠償責任。”趙占領指出。
工信部《規范互聯網信息服務市場秩序若干規定》第12條指出,互聯網信息服務提供者應當妥善保管用戶的個人信息;保管的用戶個人信息泄露或者可能泄露時,應當立即采取補救措施;造成或者可能造成嚴重后果的,應當立即向準予其互聯網信息服務許可或者備案的電信管理機構報告,并配合相關部門進行調查處理。
烏云網創始人方小頓告訴法治周末記者,在烏云網告知廠商打車軟件存在安全漏洞后,依然有11個漏洞被相應廠商忽略。
“軟件有漏洞很正常,能否及時修復才是關鍵。一般而言,軟件企業如果重視安全工作,能夠主動避免70%以上的漏洞,其余的在收到白帽黑客或第三方平臺的漏洞反饋后,及時修復就沒有太多問題。”方小頓補充道。
依據侵權責任法相關規定,行為人因過錯侵害他人民事權益,應當承擔侵權責任。
“打車軟件企業忽略漏洞,本身就是怠于采取必要措施的不作為,屬于確有過錯的情形。”西南科技大學法學院副教授廖天虎指出。
在廖天虎看來,如果打車軟件未經用戶同意,收集了其提供服務所必需以外的信息,對用戶信息未盡到保密義務,發現軟件存在可能泄露用戶信息的漏洞后仍不采取補救措施,打車軟件企業承擔民事責任是必然的,對被侵權的客戶,根據其過錯程度承擔相應的違約或侵權責任。
更需用戶自我保護信息
對于用戶因信息泄露遭受損害起訴時的法院管轄問題,趙占領認為,根據相關司法解釋規定,用戶可以選擇侵權行為實施地和侵權結果發生地的人民法院起訴。如果侵權行為實施地難以確定,用戶可以選擇自己住所地的有管轄權的人民法院起訴維權。
多位受訪專家表示,打車軟件信息泄露的問題,用戶除了事后通過法律途徑解決外,更重要的是將預防風險的節點提前,防止因自身的不當使用行為引起信息泄露。
“很多人在使用打車軟件時,為了方便會把家庭住址、公司住址等信息輸入后存入云端,這實際上也給因軟件漏洞造成的信息泄露提供了可乘之機。”丁道師舉例,地址信息是銀行開賬戶時的重要認證信息,一旦打車軟件因漏洞被拖庫,這些信息將與被泄露的其他信息形成關聯,而這種關聯也增加了造成用戶進一步損失的風險。
趙占領認為,從注冊環節而言,除非所要提交信息與打車軟件服務無關,用戶可以拒絕提供,否則用戶難以進行防范,只能在注冊之后的使用過程中,注意保管個人賬號及密碼,掌握基本的安全知識,避免操作不當導致手機中毒而個人賬號被盜。
此外,廖天虎建議,應盡快出臺個人信息保護法,以法律的形式明確企業應當履行的信息保護安全措施標準。
“這樣就可以以統一的標準來衡量企業是否盡到相應義務、是否應當對發生信息泄露的事件承擔責任。如果企業已經盡到相應義務,信息泄露的責任就不應過分苛求企業承擔。”廖天虎說。
無獨有偶,丁道師也指出,應明確相關軟件企業必須建立相應的安全管理體系,克服技術漏洞,例如,根據風險原則,分析用戶信息安全管理面臨的威脅和管理自身的脆弱性,完善一系列的內部管理制度、配套漏洞彌補機制等。
京公網安備 11010502049343號