V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
blueteeth
V2EX  ›  程序员

上传到系统的个人隐私文件在用户登出后仍可通过直链访问,是否违反法律?

  •  
  •   blueteeth · 2023-04-28 19:33:46 +08:00 · 1597 次点击
    这是一个创建于 601 天前的主题,其中的信息可能已经有所发展或是发生改变。

    请教各位,假设有这么一个系统,需要用户上传其个人隐私文件(包括身份证,户口本等的扫描件或照片等),同时系统提供一个文件预览 URL ,但这个 URL 在用户登出后,仍可直接访问看到用户隐私信息,请问这是否违反法律?如果是的话,具体违反了那条法律法规?

    (该文件预览 URL 的格式为: https://upload.example.com/aaa/bbb/ccc/<5 位 userID>/<13 位 unix_timestamp>.pdf )

    8 条回复    2023-04-29 17:20:06 +08:00
    54yzwddsg
        1
    54yzwddsg  
       2023-04-28 19:38:31 +08:00
    这种情况下,系统需要采取措施来保护用户的隐私信息,确保在用户登出后,他人无法直接访问预览 URL 获取用户隐私信息。如果系统未能采取相应的安全措施,这可能违反了《中华人民共和国网络安全法》中关于个人信息安全的相关规定,尤其是第四十一条 “网络运营者应当采取技术措施和其他必要措施,确保个人信息的安全,防止个人信息被泄露、毁损或者丢失。” 如果系统未能履行上述义务,可能面临相关法律责任。
    paradoxs
        2
    paradoxs  
       2023-04-28 20:01:03 +08:00
    如果 url 链接采取了相应的措施,比如路径加入复杂且足够长度的字符串, 这就是法律中所规定的“技术措施和其他必要措施”。
    blueteeth
        3
    blueteeth  
    OP
       2023-04-28 20:07:21 +08:00
    @paradoxs 实际的 URL 格式就是我原文中提供的,除了 userID 和 timestamp 以外,所以文件的路径都是一样的
    opengps
        4
    opengps  
       2023-04-28 20:39:39 +08:00
    显然没通过等保测评,但是违法这个话题缺少定论
    Ericcccccccc
        5
    Ericcccccccc  
       2023-04-28 20:42:29 +08:00
    典型的越权啊

    不过违不违法问问公司法务吧
    yankebupt
        6
    yankebupt  
       2023-04-28 21:11:33 +08:00
    违规了,但是 userID 才 5 位的微型系统估计没人愿意管,罚款也捞不到多少费力不讨好,谁愿意呢。
    LLaMA
        7
    LLaMA  
       2023-04-28 21:27:30 +08:00
    @opengps 一个客户公司是取 SHA512(Random.Shared.Next(999999999),过等保三级还是四级三周后服务器中勒索病毒了
    stkkm
        8
    stkkm  
       2023-04-29 17:20:06 +08:00
    领导说了算。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   4988 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 09:38 · PVG 17:38 · LAX 01:38 · JFK 04:38
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.