请教各位,假设有这么一个系统,需要用户上传其个人隐私文件(包括身份证,户口本等的扫描件或照片等),同时系统提供一个文件预览 URL ,但这个 URL 在用户登出后,仍可直接访问看到用户隐私信息,请问这是否违反法律?如果是的话,具体违反了那条法律法规?
(该文件预览 URL 的格式为: https://upload.example.com/aaa/bbb/ccc/<5 位 userID>/<13 位 unix_timestamp>.pdf )
1
54yzwddsg 2023-04-28 19:38:31 +08:00
这种情况下,系统需要采取措施来保护用户的隐私信息,确保在用户登出后,他人无法直接访问预览 URL 获取用户隐私信息。如果系统未能采取相应的安全措施,这可能违反了《中华人民共和国网络安全法》中关于个人信息安全的相关规定,尤其是第四十一条 “网络运营者应当采取技术措施和其他必要措施,确保个人信息的安全,防止个人信息被泄露、毁损或者丢失。” 如果系统未能履行上述义务,可能面临相关法律责任。
|
2
paradoxs 2023-04-28 20:01:03 +08:00
如果 url 链接采取了相应的措施,比如路径加入复杂且足够长度的字符串, 这就是法律中所规定的“技术措施和其他必要措施”。
|
3
blueteeth OP @paradoxs 实际的 URL 格式就是我原文中提供的,除了 userID 和 timestamp 以外,所以文件的路径都是一样的
|
4
opengps 2023-04-28 20:39:39 +08:00
显然没通过等保测评,但是违法这个话题缺少定论
|
5
Ericcccccccc 2023-04-28 20:42:29 +08:00
典型的越权啊
不过违不违法问问公司法务吧 |
6
yankebupt 2023-04-28 21:11:33 +08:00
违规了,但是 userID 才 5 位的微型系统估计没人愿意管,罚款也捞不到多少费力不讨好,谁愿意呢。
|
7
LLaMA 2023-04-28 21:27:30 +08:00
@opengps 一个客户公司是取 SHA512(Random.Shared.Next(999999999),过等保三级还是四级三周后服务器中勒索病毒了
|
8
stkkm 2023-04-29 17:20:06 +08:00
领导说了算。
|