個人信息泄露事件頻頻發(fā)生 凸顯企業(yè)數(shù)據(jù)安全短板

數(shù)據(jù)可以“打補丁”“人的漏洞”如何補

個人信息泄露頻發(fā)凸顯企業(yè)數(shù)據(jù)安全短板

近日，國內(nèi)最大的多品牌酒店企業(yè)之一華住集團被曝大量用戶數(shù)據(jù)遭泄露。中國青年報·中青在線記者從華住方面獲悉，目前警方還在調(diào)查此事，最新進展以警方消息為準。

8月28日，網(wǎng)上曝出，網(wǎng)絡(luò)黑客通過“暗網(wǎng)”（存儲在網(wǎng)絡(luò)數(shù)據(jù)庫里、但不能通過超鏈接訪問的資源集合）中文論壇以8比特幣的價格出售約5億條華住旗下酒店的用戶數(shù)據(jù)，涉及1．3億人。當日，華住集團通過官方微博接連發(fā)布2份聲明，表示已經(jīng)報警并且聘請專業(yè)技術(shù)公司核查此事。

9月4日，在2018年互聯(lián)網(wǎng)安全大會上，360公司董事長周鴻祎呼吁，對個人信息安全的關(guān)注和討論不該停止?！白罱鼘映霾桓F的安全事件，讓我們很多人都沒有安全感?！薄艾F(xiàn)在每次一發(fā)生（此類）事件，好像企業(yè)是受害者，其實應該（對其）問責。”

從“永恒之藍”勒索病毒全球爆發(fā)，到Facebook用戶數(shù)據(jù)泄露，再到趣店被曝數(shù)百萬學生數(shù)據(jù)疑泄露．．．．．．涉及隱私的用戶數(shù)據(jù)總是被不法分子盯上，有的企業(yè)對此束手無策，有的企業(yè)并未做好準備。

包含個人信息的用戶數(shù)據(jù)是許多企業(yè)發(fā)展新興業(yè)務的重要基礎(chǔ)，而不斷出現(xiàn)的個人信息泄露事件又在提醒：企業(yè)該如何真正將保護用戶個人信息的責任履行好？制度層面可以做出怎樣的安排？

一邊是個人信息頻頻泄露，一邊是個人數(shù)據(jù)過度收集

這并不是華住或其他酒店企業(yè)第一次出現(xiàn)用戶個人信息被泄露的事件。

早在2013年，華住集團旗下漢庭酒店就被曝出數(shù)據(jù)泄露，后來的調(diào)查發(fā)現(xiàn)，這是因為酒店所使用的WiFi管理和認證管理系統(tǒng)存在網(wǎng)絡(luò)安全漏洞，數(shù)據(jù)傳輸加密失效。

2017年，另一家酒店連鎖企業(yè)凱悅集團遭遇黑客攻擊，導致11個國家的41家凱悅酒店面臨數(shù)據(jù)泄露。同年，由于遭到黑客入侵，洲際酒店集團旗下超過1000家酒店發(fā)生用戶支付卡信息泄露的現(xiàn)象。

據(jù)《2018年中國大住宿業(yè)發(fā)展報告》，截至2017年年底，全國酒店類住宿業(yè)設(shè)施31萬家，每位住客入住酒店后，包括其身份證件、電話號碼、房間號等在內(nèi)的所有個人信息將會同步上傳至公安信息系統(tǒng)以及酒店內(nèi)部的管理系統(tǒng)。按照公安部的要求，相關(guān)的開房記錄將被保留一定年限，以隨時備查。

雖然酒店行業(yè)所收集、存儲的數(shù)據(jù)規(guī)模巨大，而且其中有很多都是用戶的敏感隱私信息，但當前我國制度層面對此類事件的處罰還欠缺具體標準，而歐盟的《通用數(shù)據(jù)保護條例》（GDPR）則明確規(guī)定，對泄漏用戶數(shù)據(jù)的互聯(lián)網(wǎng)公司最高處罰其全球營業(yè)額的4％。

觀韜中茂（上海）律師事務所合伙人王渝偉表示，華住事件也反映了許多企業(yè)在保護用戶個人信息方面還有很多欠賬。如果此次事件確是由華住的程序員將數(shù)據(jù)庫連接方式上傳于GitHub用于交流而導致，那么說明其內(nèi)部安全管理制度和操作規(guī)程存在紕漏，對于其程序員上傳數(shù)據(jù)庫連接方式的行為未做預防。

根據(jù)目前已知的各種信息，他認為，華住對包含大量個人信息的數(shù)據(jù)未做加密、脫敏等必要措施在內(nèi)的安全處理，在數(shù)據(jù)泄露過程中，華住很可能也未采取恰當?shù)难a救措施來減少數(shù)據(jù)的泄露。

在大量用戶隱私信息被泄露、企業(yè)對此投入不足的同時，還有許多企業(yè)在通過互聯(lián)網(wǎng)不斷收集個人數(shù)據(jù)，甚至違規(guī)也在所不惜。

中國消費者協(xié)會于今年7月17日～8月13日開展的“App個人信息泄露情況”問卷調(diào)查結(jié)果顯示，經(jīng)營者未經(jīng)本人同意、擅自收集成個人信息泄露的主要途徑，約占調(diào)查總樣本的62．2％；網(wǎng)絡(luò)服務系統(tǒng)存有漏洞造成個人信息泄露57．4％。

而手機App在自身功能不必要的情況下，獲取用戶隱私權(quán)限的情況也比較嚴重，有67．2％的受訪者遇到這種情況，其中讀取位置信息權(quán)限、訪問聯(lián)系人權(quán)限是出現(xiàn)最多的情況，讀取通話記錄、讀取短信記錄、打開攝像頭、打開話筒錄音等權(quán)限也被過度要求授權(quán)。

技術(shù)可以“打補丁”，可怎么堵上“人的漏洞”

中消協(xié)的上述調(diào)查結(jié)果顯示，個人信息泄露后，受訪者會采取多種措施維護自身權(quán)益，但最終有大約三分之一的受訪者選擇“自認倒霉”。這一方面可能是基于無力應對做出的選擇，另一方面也可能是應對無效后不得不接受現(xiàn)狀。

“能力越大，責任越大?！边@是許多互聯(lián)網(wǎng)企業(yè)常標榜自我的一句話。作為用戶個人信息最直接的利用者和保護者，企業(yè)應該怎么彌補過去在這方面的欠賬？

360網(wǎng)絡(luò)安全響應中心負責人蔡玉光表示，數(shù)據(jù)泄露事件發(fā)生時，涉事企業(yè)要第一時間開展事件應急處置，包括事件回溯和負責任的影響面評估等，也要及時對外披露各種進展。而在安全事件發(fā)生前，應該開展?jié)B透測試，及時對有漏洞的網(wǎng)絡(luò)服務“打補丁”（修補網(wǎng)絡(luò)安全漏洞）。

作為服務眾多企業(yè)信息安全的一線技術(shù)專家，蔡玉光建議，其他企業(yè)可以從華住事件中吸取教訓，做好完整可靠的數(shù)據(jù)安全措施，杜絕明文密碼存儲，“這樣即便被黑也能降低損失”；對用戶數(shù)據(jù)交互點進行防御，如注冊登錄點加驗證碼等二步驗證方式，增加不法分子“撞庫”（通過收集互聯(lián)網(wǎng)已泄露的用戶和密碼信息，嘗試批量登陸其他網(wǎng)站）攻擊的成本。

不過，不同于技術(shù)問題，企業(yè)在個人信息管理方面“人的漏洞”，并不是通過“打補丁”就可以解決的。

“我們研究過所有安全事件，最后歸根到底天大的事件都是從攻擊一個很小的終端開始?！敝茗櫟t表示，在很多網(wǎng)絡(luò)安全事件中，“人的漏洞”是很大的問題，即使病毒被檢測到，很多企業(yè)和機構(gòu)依然不修補漏洞。

周鴻祎認為，企事業(yè)機構(gòu)應該建立健全其內(nèi)部網(wǎng)絡(luò)安全制度，尤其重視涉及個人信息安全的人員管理。他舉例稱，前段時間某省不動產(chǎn)登記中心遭到“WannaCry勒索病毒”攻擊，而此前許多安全廠商早已發(fā)布相關(guān)的漏洞補丁，但包括該中心在內(nèi)的許多單位，依然沒有及時修補自身的網(wǎng)絡(luò)安全漏洞。

“他不采取行動，確實我們也沒有辦法?！敝茗櫟t強調(diào)，相比病毒、黑客等攻擊，“人的漏洞”需要花費很多精力去修補，尤其是要建立健全企業(yè)自身的網(wǎng)絡(luò)安全制度。

個人信息保護還需更多細則，改善“用戶體驗”

事實上，在個人信息保護方面還存在欠賬不只是企業(yè)，還有制度層面。

在王渝偉看來，個人信息泄露事件頻頻發(fā)生，一方面顯示出很多企業(yè)在技術(shù)、管理層面仍然不能達到法律法規(guī)的要求，對數(shù)據(jù)泄露存在規(guī)避責任的僥幸心理；另一方面也說明當前對這類個人信息泄露事件責任主體的監(jiān)管力度和懲罰力度不到位，縱容了企業(yè)的這種僥幸。

目前，我國已經(jīng)出臺一些規(guī)范性文件和推薦性標準，對App收集個人信息行為進行規(guī)范和引導，但消費者普遍關(guān)心的懲戒手段、賠償?shù)葐栴}仍然需要完善和細化。

針對個人信息保護的具體問題，中消協(xié)在上述報告中建議，進一步明確網(wǎng)絡(luò)信息服務中交易雙方的權(quán)利和義務，嚴格準入門檻和登記備案，如對開發(fā)商資質(zhì)的審核、App的登記備案、App服務功能和內(nèi)容的審查、違規(guī)懲罰機制各個環(huán)節(jié)等都應形成聯(lián)動；嚴厲懲處各類違法違規(guī)行為，嚴厲打擊個人信息販賣的黑色產(chǎn)業(yè)鏈；嚴密關(guān)注市場App發(fā)展態(tài)勢，如聯(lián)合建立App抽查制度和黑名單制度，及時公示黑榜軟件，提醒消費者謹慎下載。

公安部第三研究所信息網(wǎng)絡(luò)安全法律研究中心主任黃道麗認為，當前的制度安排下，對泄露個人信息的懲戒力度仍然較為薄弱，已知的司法案例也難有對用戶支持的。雖然關(guān)于這一問題的法律法規(guī)有很多，但執(zhí)行力差，“用戶體驗差”，執(zhí)法的效力沒有監(jiān)督評價，特別是沒有和最終的用戶建立聯(lián)系。

中國裁判文書網(wǎng)的數(shù)據(jù)顯示，截至9月初，全國侵犯公民信息的刑事犯罪案例有3100多起，而涉及隱私權(quán)糾紛的公民個人信息泄露的民事判例只有約20條。

在她看來，由于上述問題的存在，個人、企業(yè)和監(jiān)管各方都維系著一種脆弱的平衡，一旦出現(xiàn)信息安全事件，這種平衡就會打破，大家才會發(fā)現(xiàn)，原來網(wǎng)絡(luò)安全法等法律針對許多問題早有規(guī)定。

“如果從權(quán)宜之計上，可能迫切需要一些典型的司法案例，樹立標桿和指引，讓一線執(zhí)法部門認識到，確實可以按照網(wǎng)絡(luò)安全法的規(guī)定釋法和裁判。”她建議。