April 12, 2003

[捍衛隱私] 洩漏個人資訊的榜單Alt-E

昨天 (2003/04/11) 敝校公布了研究所的口試名單(也就是筆試合格名單),用 IE 看起來就像這樣:
用 IE 看口試名單時,好像很正常
上面有祇有組別、准考證號碼、姓名和口試報到時間的資訊,一切看起來好像都很正常。

不過,我看到的畫面卻不是這樣……

我用 Phoenix 瀏覽的時候,在畫面中看到了額外的一些資訊,像這樣:
用 Phoenix 看的時候還多了一些欄位
剛剛我試著用 Opera 開啟,結果一樣多了一些欄位,如下:
用 Opera 看的時候也一樣多了些欄位

妳可以注意一下這些多出來的欄位,然後就會發現它們是身份證字號聯絡地址(還附郵遞區號)、住家電話號碼行動電話號碼畢業學校錄取名次。這些資料一直都存在於網頁之中,祇不過用了 CSS 來把他們隱藏起來不顯示而已;而這個頁面所使用的 CSS 祇有 IE 纔看得懂,所以一旦用別的瀏覽器開啟,就甚麼都跑出來了。

這個頁面顯然是直接很偷懶的從微軟 Excel 格式的檔案轉換過來的,妳可以偷看它的源碼,或者利用像是 TopStytle 內附的 Style Checker (樣式檢測)工具及 W3CCSS Validator ( CSS 驗證器),然後就會得到如下的一大堆錯誤:
這份 CSS 有非常多錯誤

這種偷懶的作法,導致瀏覽上的不便也就罷了,重點在於這麼一來等於是擅自公開了大量考生的個人隱私資訊,實在是非常非常糟糕。

實際上這樣的事情,已經明顯違反多條電腦處理個人資料保護法的規定(妳也可以參考這份摘要)了。另外根據前天 (2003/04/10) 聯合新聞網的報導「違法蒐用個人資料 最高賠5000萬」,這項法規將大幅修正,提高罰則。在這個資訊隱私與保護越來越重要的時代,還發生這種事情,實在讓人難過。我在此建議榜上有名的考生們,妳們實在應該發起告訴,保護自己的權利,也纔能督促校方有實質的改進。

Posted by Jedi at April 12, 2003 12:27 PM | TrackBack (1)
CommentsAlt-C
[1]

去年高中職入學,
台北市的學生姓名+身分證字號存留在三重某學校的主機上,google還找得到...資料是每校一個網頁。
據說現在google上是撤掉了,可是檔案還在原位置。

基本上我認為個人資料存在於未加密網頁上本身就是一種風險
所以盡力掌控個人資料。
無奈像這種"官方"放出來的資料可就難預防了

Posted by Jimmy at April 12, 2003 02:53 PM
[2]

這種情況,就告啊!法律就是這樣用的!

Posted by Jedi at April 12, 2003 02:59 PM
[3]

找律師 擬個懲罰性賠償 告到他們以後不敢用微軟的東西好了 (笑)

Posted by boogieman at April 12, 2003 11:32 PM
[4]

下午用自己的Mac OS X 10.2.5試過,
不管是用IE(5.2.2)、Mozilla(1.3)還是Safari(1.0b v60)
都會看得到那些隱藏的資料

Posted by Ertai-wizard (uniself) at April 12, 2003 11:54 PM
[5]

我試的時候,好像已經更正了,看不到那些資料。
Source code 裡也沒有。

Posted by 骨頭 at April 13, 2003 01:28 AM
[6]

我有寫一篇文章:
捍衛個人隱私 -- 深入探討隱私權偏好平台

是 W3C 的標準,我覺得有收集個人資料的網站
應該遵尋這規定。

Posted by 彭建翔 at April 25, 2003 03:11 PM
Post your comment: