2024年10月30日,法国国家信息与自由委员会(CNIL)发布了一份面向用户的个人数据泄露、被盗后的自我保护指南文件,指导用户应对数据泄露、被盗事件,采取必要的措施把损害、影响降到最低。
什么是数据泄露?
个人数据泄露主要包括数据的泄露、被盗或丢失,无论这些事件是意外发生还是恶意为之。在某些情况下,这些数据可能会在互联网上被出售,或者与其他数据泄露事件中的数据进行交叉比对。
如何知道自己是否受到影响?
当这些泄露事件可能对个人造成高风险时,相关机构原则上应直接通知受影响者,并特别说明已采取的措施以补救或减轻泄露的后果。
如果您收到了此类通知,在接下来的几天乃至更长时间内都应保持警惕,并养成必要的防范习惯。
法国国家信息与自由委员会(CNIL)无法告知或确认您的数据是否包含在泄露的数据中。但您可以向负责机构询问这一点。
注意:某些网站声称拥有这些数据,并能告诉您是否受到影响。CNIL建议不要使用这些网站。
存在哪些风险,您应如何保护自己?
风险通常取决于被盗信息的性质。
国际银行账户号码(IBAN)的欺诈使用
IBAN是您用于支付订阅或服务时使用的银行标识符。
在某些情况下,黑客可能利用此标识符发出非法的扣款指令,针对通过欺诈手段获得的IBAN。黑客还可能更直接地冒用他人的IBAN,在订阅服务时创建扣款授权。
为降低IBAN被欺诈使用的风险并最小化其后果,请:
定期检查银行账户交易记录,如有必要,请提出异议。如有疑问,请咨询您的常规银行顾问;
在网上银行空间中检查已授权的债权人(即扣款受益人)列表;
在收到预填的扣款授权书或所谓的更新通知时,请仔细核对描述债权人的信息,以避免您的付款被挪用。
身份盗用
如果您认为由于个人信息被泄露而成为身份盗用的受害者,您可以:
访问cybermalveillance.gouv.fr网站,获取防范身份盗用的建议;
尽快向警察局或宪兵队报案;
通知您的银行。
如果身份盗用得到确认,特别是当银行向您发送有关您不知情的交易的信件时,您可以:
向法国银行核查您是否被记录在个人信贷还款事故文件中;
通过向CNIL发送请求,查询是否有人以您的名义开设了您不知情的账户(FICOBA文件)。
SIM卡欺诈(SIM swapping)的特殊情况
这种类型的诈骗依赖于身份盗用和对移动运营商的操纵。黑客利用之前盗取的个人数据,冒充您向运营商报告SIM卡丢失或被盗,从而获取新卡。
如果黑客成功,他们将能够接收您的短信、电话,尤其是用于验证某些敏感操作(如服务认证、银行转账验证)的一次性密码(OTP)。有了这些信息,黑客可以登录您的各种数字环境,并冒充您进行在线操作。
为降低此类尝试的风险,请:
注意您的手机是否无法无故访问运营商的移动网络,并在发生这种情况时迅速联系运营商;
继续遵守信息安全规则(如更新应用程序、不下载来自未知发件人的恶意软件或电子邮件附件,或不访问不可信的网站)。
网络钓鱼(phishing)
通过短信或电子邮件
网络钓鱼涉及向您发送欺诈性的电子邮件或短信,这些邮件看起来非常真实,因为它们使用了泄露数据中获取的信息(例如,看似来自社会保障机构、您的银行或包裹递送服务的邮件)。
切勿打开附件,不要回复,不要点击连接链接,并立即删除消息。
一般来说,建议通过浏览器手动输入服务官方网站的地址来登录您的账户。
通过电话
某些诈骗者可能冒充您的银行顾问,利用他们对您的个人数据(包括IBAN)的了解来赢得您的信任,并催促您紧急执行或确认某项操作,如付款。
如果您接到可疑电话,请核实您顾问的姓名,并拨打银行对账单上提供的号码回电,因为这可能是一种诈骗。
如何日常保护自己?
一般来说,您可以通过加强数字安全来限制数据泄露的后果:
更改您使用的网络服务的密码:
优先选择强密码,并遵循CNIL关于良好密码的建议;
优先处理最重要的服务(如电子邮件、税务、银行、在线购物网站等);
避免为不同的服务使用相同的密码,并使用密码管理器保存它们;
当受信任的服务提供时,使用多因素身份验证(例如,使用专用移动应用程序来验证登录或操作)。
在泄露事件发生后的几天内,以及更长期地养成必要的防范习惯,都非常重要。
良好实践:分享信息,保护他人
如果您认为数据泄露可能影响到您身边的人(家人、朋友、同事),请不吝告知:
询问他们是否收到了负责机构的必要通知信息;
向他们传达CNIL或其他官方机构的防范要点;
告诉他们应立即和日常养成的好习惯(例如:更改密码,在可行时使用多因素身份验证)。
请特别关注弱势群体,尤其是:
那些没有日常或便捷互联网访问的人;
老年人;
或因数据泄露而面临个人风险的人(例如,性取向、政治或宗教信仰、健康状况等信息的泄露)。
如何报案?
您可以通过两种方式报案:
如果您认为您的个人数据没有得到足够的安全保护,可以向CNIL报案。
如果您成为身份盗用、诈骗或欺诈性付款的受害者,可以向警察或宪兵队报案。
关于FREE运营商的网络攻击
关于此次针对FREE运营商的网络攻击,巴黎警察局的网络犯罪打击支队(BL2C)正在进行调查。
遭受数据泄露的机构的义务
当数据的泄露、被盗或丢失可能对相关人员造成风险时,负责机构必须向CNIL报告泄露事件,并提供有关泄露性质、后果以及为补救而采取的措施的信息。
CNIL随后能够根据需要为机构提供咨询,指导它们如何以最佳方式应对并改善其网络安全状况。
CNIL还可能与其他负责维护数字空间网络安全的机构合作,如法国国家信息系统安全局(ANSSI)、巴黎检察院的网络部门(J3)或cybermalveillance.gouv.fr。
从长远来看,对导致泄露的操作模式的深入了解使CNIL能够发布有助于预防或补救泄露的出版物,这些出版物既面向机构也面向公众,紧密贴合实际威胁状况。这还使CNIL能够与其他负责预防网络风险的机构分享经验,并从它们那里汲取经验。
《通用数据保护条例》(GDPR)、CNIL与网络安全
个人数据保护立法——《通用数据保护条例》(GDPR)要求所有机构(企业、行政部门、协会)确保个人数据的安全。
CNIL在网络安全方面主要有四个角色:它事先为机构提供关于最佳实践的咨询(如《个人数据安全指南》),事后监督其对义务的遵守情况,接收并处理泄露通知,以及提高个人对风险的认识。
2023年部分数据:
4668起泄露通知(向CNIL报告的数据泄露事件中,超过一半源于黑客攻击);
在337次检查中,有117次以网络安全为关注点;
在42项制裁中,有14项因至少违反了一项数据安全规定而被宣布;
在发出的指令中,有74项因至少违反了一项数据安全规定而被要求执行。
