個(gè)人信息泄露事件頻頻發(fā)生 凸顯企業(yè)數(shù)據(jù)安全短板

數(shù)據(jù)可以“打補(bǔ)丁”“人的漏洞”如何補(bǔ)

個(gè)人信息泄露頻發(fā)凸顯企業(yè)數(shù)據(jù)安全短板

近日，國(guó)內(nèi)最大的多品牌酒店企業(yè)之一華住集團(tuán)被曝大量用戶數(shù)據(jù)遭泄露。中國(guó)青年報(bào)·中青在線記者從華住方面獲悉，目前警方還在調(diào)查此事，最新進(jìn)展以警方消息為準(zhǔn)。

8月28日，網(wǎng)上曝出，網(wǎng)絡(luò)黑客通過(guò)“暗網(wǎng)”（存儲(chǔ)在網(wǎng)絡(luò)數(shù)據(jù)庫(kù)里、但不能通過(guò)超鏈接訪問(wèn)的資源集合）中文論壇以8比特幣的價(jià)格出售約5億條華住旗下酒店的用戶數(shù)據(jù)，涉及1．3億人。當(dāng)日，華住集團(tuán)通過(guò)官方微博接連發(fā)布2份聲明，表示已經(jīng)報(bào)警并且聘請(qǐng)專業(yè)技術(shù)公司核查此事。

9月4日，在2018年互聯(lián)網(wǎng)安全大會(huì)上，360公司董事長(zhǎng)周鴻祎呼吁，對(duì)個(gè)人信息安全的關(guān)注和討論不該停止。“最近層出不窮的安全事件，讓我們很多人都沒(méi)有安全感?！薄艾F(xiàn)在每次一發(fā)生（此類）事件，好像企業(yè)是受害者，其實(shí)應(yīng)該（對(duì)其）問(wèn)責(zé)。”

從“永恒之藍(lán)”勒索病毒全球爆發(fā)，到Facebook用戶數(shù)據(jù)泄露，再到趣店被曝?cái)?shù)百萬(wàn)學(xué)生數(shù)據(jù)疑泄露．．．．．．涉及隱私的用戶數(shù)據(jù)總是被不法分子盯上，有的企業(yè)對(duì)此束手無(wú)策，有的企業(yè)并未做好準(zhǔn)備。

包含個(gè)人信息的用戶數(shù)據(jù)是許多企業(yè)發(fā)展新興業(yè)務(wù)的重要基礎(chǔ)，而不斷出現(xiàn)的個(gè)人信息泄露事件又在提醒：企業(yè)該如何真正將保護(hù)用戶個(gè)人信息的責(zé)任履行好？制度層面可以做出怎樣的安排？

一邊是個(gè)人信息頻頻泄露，一邊是個(gè)人數(shù)據(jù)過(guò)度收集

這并不是華住或其他酒店企業(yè)第一次出現(xiàn)用戶個(gè)人信息被泄露的事件。

早在2013年，華住集團(tuán)旗下漢庭酒店就被曝出數(shù)據(jù)泄露，后來(lái)的調(diào)查發(fā)現(xiàn)，這是因?yàn)榫频晁褂玫腤iFi管理和認(rèn)證管理系統(tǒng)存在網(wǎng)絡(luò)安全漏洞，數(shù)據(jù)傳輸加密失效。

2017年，另一家酒店連鎖企業(yè)凱悅集團(tuán)遭遇黑客攻擊，導(dǎo)致11個(gè)國(guó)家的41家凱悅酒店面臨數(shù)據(jù)泄露。同年，由于遭到黑客入侵，洲際酒店集團(tuán)旗下超過(guò)1000家酒店發(fā)生用戶支付卡信息泄露的現(xiàn)象。

據(jù)《2018年中國(guó)大住宿業(yè)發(fā)展報(bào)告》，截至2017年年底，全國(guó)酒店類住宿業(yè)設(shè)施31萬(wàn)家，每位住客入住酒店后，包括其身份證件、電話號(hào)碼、房間號(hào)等在內(nèi)的所有個(gè)人信息將會(huì)同步上傳至公安信息系統(tǒng)以及酒店內(nèi)部的管理系統(tǒng)。按照公安部的要求，相關(guān)的開(kāi)房記錄將被保留一定年限，以隨時(shí)備查。

雖然酒店行業(yè)所收集、存儲(chǔ)的數(shù)據(jù)規(guī)模巨大，而且其中有很多都是用戶的敏感隱私信息，但當(dāng)前我國(guó)制度層面對(duì)此類事件的處罰還欠缺具體標(biāo)準(zhǔn)，而歐盟的《通用數(shù)據(jù)保護(hù)條例》（GDPR）則明確規(guī)定，對(duì)泄漏用戶數(shù)據(jù)的互聯(lián)網(wǎng)公司最高處罰其全球營(yíng)業(yè)額的4％。

觀韜中茂（上海）律師事務(wù)所合伙人王渝偉表示，華住事件也反映了許多企業(yè)在保護(hù)用戶個(gè)人信息方面還有很多欠賬。如果此次事件確是由華住的程序員將數(shù)據(jù)庫(kù)連接方式上傳于GitHub用于交流而導(dǎo)致，那么說(shuō)明其內(nèi)部安全管理制度和操作規(guī)程存在紕漏，對(duì)于其程序員上傳數(shù)據(jù)庫(kù)連接方式的行為未做預(yù)防。

根據(jù)目前已知的各種信息，他認(rèn)為，華住對(duì)包含大量個(gè)人信息的數(shù)據(jù)未做加密、脫敏等必要措施在內(nèi)的安全處理，在數(shù)據(jù)泄露過(guò)程中，華住很可能也未采取恰當(dāng)?shù)难a(bǔ)救措施來(lái)減少數(shù)據(jù)的泄露。

在大量用戶隱私信息被泄露、企業(yè)對(duì)此投入不足的同時(shí)，還有許多企業(yè)在通過(guò)互聯(lián)網(wǎng)不斷收集個(gè)人數(shù)據(jù)，甚至違規(guī)也在所不惜。

中國(guó)消費(fèi)者協(xié)會(huì)于今年7月17日～8月13日開(kāi)展的“App個(gè)人信息泄露情況”問(wèn)卷調(diào)查結(jié)果顯示，經(jīng)營(yíng)者未經(jīng)本人同意、擅自收集成個(gè)人信息泄露的主要途徑，約占調(diào)查總樣本的62．2％；網(wǎng)絡(luò)服務(wù)系統(tǒng)存有漏洞造成個(gè)人信息泄露57．4％。

而手機(jī)App在自身功能不必要的情況下，獲取用戶隱私權(quán)限的情況也比較嚴(yán)重，有67．2％的受訪者遇到這種情況，其中讀取位置信息權(quán)限、訪問(wèn)聯(lián)系人權(quán)限是出現(xiàn)最多的情況，讀取通話記錄、讀取短信記錄、打開(kāi)攝像頭、打開(kāi)話筒錄音等權(quán)限也被過(guò)度要求授權(quán)。

技術(shù)可以“打補(bǔ)丁”，可怎么堵上“人的漏洞”

中消協(xié)的上述調(diào)查結(jié)果顯示，個(gè)人信息泄露后，受訪者會(huì)采取多種措施維護(hù)自身權(quán)益，但最終有大約三分之一的受訪者選擇“自認(rèn)倒霉”。這一方面可能是基于無(wú)力應(yīng)對(duì)做出的選擇，另一方面也可能是應(yīng)對(duì)無(wú)效后不得不接受現(xiàn)狀。

“能力越大，責(zé)任越大?！边@是許多互聯(lián)網(wǎng)企業(yè)常標(biāo)榜自我的一句話。作為用戶個(gè)人信息最直接的利用者和保護(hù)者，企業(yè)應(yīng)該怎么彌補(bǔ)過(guò)去在這方面的欠賬？

360網(wǎng)絡(luò)安全響應(yīng)中心負(fù)責(zé)人蔡玉光表示，數(shù)據(jù)泄露事件發(fā)生時(shí)，涉事企業(yè)要第一時(shí)間開(kāi)展事件應(yīng)急處置，包括事件回溯和負(fù)責(zé)任的影響面評(píng)估等，也要及時(shí)對(duì)外披露各種進(jìn)展。而在安全事件發(fā)生前，應(yīng)該開(kāi)展?jié)B透測(cè)試，及時(shí)對(duì)有漏洞的網(wǎng)絡(luò)服務(wù)“打補(bǔ)丁”（修補(bǔ)網(wǎng)絡(luò)安全漏洞）。

作為服務(wù)眾多企業(yè)信息安全的一線技術(shù)專家，蔡玉光建議，其他企業(yè)可以從華住事件中吸取教訓(xùn)，做好完整可靠的數(shù)據(jù)安全措施，杜絕明文密碼存儲(chǔ)，“這樣即便被黑也能降低損失”；對(duì)用戶數(shù)據(jù)交互點(diǎn)進(jìn)行防御，如注冊(cè)登錄點(diǎn)加驗(yàn)證碼等二步驗(yàn)證方式，增加不法分子“撞庫(kù)”（通過(guò)收集互聯(lián)網(wǎng)已泄露的用戶和密碼信息，嘗試批量登陸其他網(wǎng)站）攻擊的成本。

不過(guò)，不同于技術(shù)問(wèn)題，企業(yè)在個(gè)人信息管理方面“人的漏洞”，并不是通過(guò)“打補(bǔ)丁”就可以解決的。

“我們研究過(guò)所有安全事件，最后歸根到底天大的事件都是從攻擊一個(gè)很小的終端開(kāi)始?！敝茗櫟t表示，在很多網(wǎng)絡(luò)安全事件中，“人的漏洞”是很大的問(wèn)題，即使病毒被檢測(cè)到，很多企業(yè)和機(jī)構(gòu)依然不修補(bǔ)漏洞。

周鴻祎認(rèn)為，企事業(yè)機(jī)構(gòu)應(yīng)該建立健全其內(nèi)部網(wǎng)絡(luò)安全制度，尤其重視涉及個(gè)人信息安全的人員管理。他舉例稱，前段時(shí)間某省不動(dòng)產(chǎn)登記中心遭到“WannaCry勒索病毒”攻擊，而此前許多安全廠商早已發(fā)布相關(guān)的漏洞補(bǔ)丁，但包括該中心在內(nèi)的許多單位，依然沒(méi)有及時(shí)修補(bǔ)自身的網(wǎng)絡(luò)安全漏洞。

“他不采取行動(dòng)，確實(shí)我們也沒(méi)有辦法?！敝茗櫟t強(qiáng)調(diào)，相比病毒、黑客等攻擊，“人的漏洞”需要花費(fèi)很多精力去修補(bǔ)，尤其是要建立健全企業(yè)自身的網(wǎng)絡(luò)安全制度。

個(gè)人信息保護(hù)還需更多細(xì)則，改善“用戶體驗(yàn)”

事實(shí)上，在個(gè)人信息保護(hù)方面還存在欠賬不只是企業(yè)，還有制度層面。

在王渝偉看來(lái)，個(gè)人信息泄露事件頻頻發(fā)生，一方面顯示出很多企業(yè)在技術(shù)、管理層面仍然不能達(dá)到法律法規(guī)的要求，對(duì)數(shù)據(jù)泄露存在規(guī)避責(zé)任的僥幸心理；另一方面也說(shuō)明當(dāng)前對(duì)這類個(gè)人信息泄露事件責(zé)任主體的監(jiān)管力度和懲罰力度不到位，縱容了企業(yè)的這種僥幸。

目前，我國(guó)已經(jīng)出臺(tái)一些規(guī)范性文件和推薦性標(biāo)準(zhǔn)，對(duì)App收集個(gè)人信息行為進(jìn)行規(guī)范和引導(dǎo)，但消費(fèi)者普遍關(guān)心的懲戒手段、賠償?shù)葐?wèn)題仍然需要完善和細(xì)化。

針對(duì)個(gè)人信息保護(hù)的具體問(wèn)題，中消協(xié)在上述報(bào)告中建議，進(jìn)一步明確網(wǎng)絡(luò)信息服務(wù)中交易雙方的權(quán)利和義務(wù)，嚴(yán)格準(zhǔn)入門(mén)檻和登記備案，如對(duì)開(kāi)發(fā)商資質(zhì)的審核、App的登記備案、App服務(wù)功能和內(nèi)容的審查、違規(guī)懲罰機(jī)制各個(gè)環(huán)節(jié)等都應(yīng)形成聯(lián)動(dòng)；嚴(yán)厲懲處各類違法違規(guī)行為，嚴(yán)厲打擊個(gè)人信息販賣的黑色產(chǎn)業(yè)鏈；嚴(yán)密關(guān)注市場(chǎng)App發(fā)展態(tài)勢(shì)，如聯(lián)合建立App抽查制度和黑名單制度，及時(shí)公示黑榜軟件，提醒消費(fèi)者謹(jǐn)慎下載。

公安部第三研究所信息網(wǎng)絡(luò)安全法律研究中心主任黃道麗認(rèn)為，當(dāng)前的制度安排下，對(duì)泄露個(gè)人信息的懲戒力度仍然較為薄弱，已知的司法案例也難有對(duì)用戶支持的。雖然關(guān)于這一問(wèn)題的法律法規(guī)有很多，但執(zhí)行力差，“用戶體驗(yàn)差”，執(zhí)法的效力沒(méi)有監(jiān)督評(píng)價(jià)，特別是沒(méi)有和最終的用戶建立聯(lián)系。

中國(guó)裁判文書(shū)網(wǎng)的數(shù)據(jù)顯示，截至9月初，全國(guó)侵犯公民信息的刑事犯罪案例有3100多起，而涉及隱私權(quán)糾紛的公民個(gè)人信息泄露的民事判例只有約20條。

在她看來(lái)，由于上述問(wèn)題的存在，個(gè)人、企業(yè)和監(jiān)管各方都維系著一種脆弱的平衡，一旦出現(xiàn)信息安全事件，這種平衡就會(huì)打破，大家才會(huì)發(fā)現(xiàn)，原來(lái)網(wǎng)絡(luò)安全法等法律針對(duì)許多問(wèn)題早有規(guī)定。

“如果從權(quán)宜之計(jì)上，可能迫切需要一些典型的司法案例，樹(shù)立標(biāo)桿和指引，讓一線執(zhí)法部門(mén)認(rèn)識(shí)到，確實(shí)可以按照網(wǎng)絡(luò)安全法的規(guī)定釋法和裁判?！彼ㄗh。