话题讨论 | PDD事件反思：如何探寻用户隐私的边界？ – 作者:Sandra1432

近日，某企业前脚在脉脉社交平台上辞退匿名发帖员工事件引发热议，后脚又因删除用户照片涉及侵犯用户隐私而被推至风口浪尖，触及到的用户隐私话题进一步引发了大家的思考。以下观点仅供参考，欢迎大家在评论区留言参与互动，评论点赞数前三的小伙伴将有机会获得FVIP7天体验卡噢~

讨论参考维度：

1.既是匿名言论，你认为该企业是如何定位到具体员工的？

2.该企业这一行为是否侵犯用户隐私？匿名信息是属于公开信息，还是个人信息？

3.你是否遇到过个人隐私被泄露甚至侵害自身权益的事？是否有些防范隐私泄露的小技巧？

精彩观点集合：

@宽字节安全实验室

定位到用户其实不难，出口流量监控。对于大企业来讲，定位到个人都不是什么难事，发帖时间的大概时间段，对应到某个人在什么时候访问脉脉。缩小范围，hr叫到小黑屋里，一个一个查手机

@七先生：我用手机热点，我不发图片，我不给他查手机，我用的新号，发完就卸载脉脉，他怎么定位我？

@mcvoodoo：对大企业来说，恰恰很难。一个大几万员工的企业，分布在全国各地

@YuloPenA

先看下邮箱里有没有脉脉的认证邮件，根据认证邮件可以定位到一部分注册过脉脉的人

@mcvoodoo：定位过，有3万多人

@D0ct0r

看公司，有些公司dlp，带录屏，物流公司人也挺多的

@YuloPenA：感觉物流公司的数据泄露问题应该很重视，每个层级的人员都可能泄露信息

@Torjan

1.内网流量监控脉脉相关的流量，然后对比脉脉匿名发布的时间

2.从内容来说很难确定是不是侵犯了隐私，从动作来看确实存在侵犯隐私的行为

3.没事就用匿名id加不常用手机号，app不轻易授权

@huoji120：没用的，那些企业监控都可以监控一些即时通讯软件的聊天记录。认命最好的，不多说话，不喜欢就自己跑路，一边拿着钱一边说坏话不太行

@Doraemon

相比用户隐私的边界，更想知道公司内网监测员工的边界

@m01ly

流量监控可以破解某些即时通讯软件的加密传输么？

@艾登——皮尔斯：用数据流量，不要连接WiFi

@m01ly：用WiFi抓到的应该也是加密的报文吧？如果用手机，仅仅连接公司WiFi，即使抓取到了流量，应该也破解不了吧

@yangge：真牛逼，现在流量也能抓到社交通讯报文了？

@凌晨几度i：加密的、私有协议、HTTPS这种都不行吧？

@七先生：不行，除非配证书

@D0ct0r：

社交流量加密的解不了，但是入职的时候装的公司agent可以，你在电脑上的操作都会采集

某些即时通讯软件内容不是密文，你自己的电脑操作行为怎么可能会是密文呢，只要做过windows 客户端开发都知道只要记录键盘对微信进程的操作记录就行了

大厂搞底层的都是协议层大佬，你完全不知道看rfc标准开发的会有什么骚操作，装agent终端采集信息是最直接有效的内控手段

@PushEAX：很多厂进来都会让装证书，装了就抓得到ssl了

@沃行山水

如何保护这些信息不被泄露和非法利用的问题亟待关注。为此，建议：

1、建议尽快制定出台个人信息保护法。

2、建议相关行业部门加强监管，建立企业网络信息安全管理制度，并实现备案制度。

3、扩大开展第三方网络信息安全评测范围。

4、加强个人信息保护安全教育。

5、关于疫情期间个人信息安全保护方面，建议加大对收集个人信息平台的监管力度。

福利活动

活动时间：2021年1月18日 14:30-1月20日 14:30

开奖时间：2021年1月21日 9:00

如果你有其他深刻见解，也可以积极在本文下方留言参与互动评论，FB客服小姐姐将抽取评论点赞前三名的用户赠送FVIP7天体验卡噢~

注意：留言之前务必确认已经登陆账号且非匿名状态，否则客服无法联系。活动结束后，注意查收客服小姐姐的私信获取福利噢~

此外，FreeBuf会定期开展不同的精彩话题讨论，想了解更多话题和观点，快来扫码加入群聊吧~~

回顾往期精彩话题讨论可关注专辑：Let’s Talk

来源：freebuf.com 2021-01-18 00:00:09 by: Sandra1432