治愈數(shù)據(jù)泄露良藥何在

文 《法人》特約撰稿 董毅智

我國對于數(shù)據(jù)保護(hù)起步較晚，仍然有很長的路要走。現(xiàn)行有效的法律處在一個(gè)“不上不下”的狀態(tài)，事實(shí)上，面對龐大群體遭受到的影響而言，并沒有起到實(shí)質(zhì)意義上的保護(hù)作用

近日，華住酒店集團(tuán)被爆出5億條用戶信息疑遭泄露，包括1.3億條身份信息和2.4億條開房記錄。

該事件起因是在暗網(wǎng)中文論壇上出現(xiàn)一則出售華住集團(tuán)旗下酒店數(shù)據(jù)的帖子，這些數(shù)據(jù)涉及1.3億條身份信息和2.4億條開房記錄等共5億條信息，被標(biāo)價(jià)為8比特幣或520門羅幣(約等于37萬人民幣)出售。

數(shù)據(jù)泄露范圍為在官網(wǎng)登記的姓名、手機(jī)號、郵箱、身份證號、登錄密碼，入住登記的身份信息包括家庭住址，以及酒店開房記錄，包括內(nèi)部ID號、同房間關(guān)聯(lián)號、姓名、卡號、手機(jī)號、郵箱、入住時(shí)間、離開時(shí)間、酒店ID號、房間號、消費(fèi)金額等。

隨后華住集團(tuán)表示已在第一時(shí)間報(bào)警，公安機(jī)關(guān)正在展開調(diào)查。

華住集團(tuán)是國內(nèi)知名的酒店集團(tuán)，目前，華住集團(tuán)旗下運(yùn)營的酒店品牌已經(jīng)覆蓋所有市場，包括美爵、VUE、禧玥、諾富特、美居、漫心、全季、桔子水晶、桔子精選、CitiGO、星程、宜必思尚品、宜必思、漢庭優(yōu)佳、漢庭、怡萊、海友等眾多品牌。

近來，關(guān)于酒店開房記錄被泄露的事件時(shí)有發(fā)生，而目前的法律規(guī)范及酒店企業(yè)內(nèi)部的一系列保密措施，效果顯然十分有限。

屢被泄露的信息

2015年，凱悅酒店就爆出過因支付系統(tǒng)問題導(dǎo)致信用卡信息泄露，涉及約50個(gè)國家的250個(gè)酒店。2017年10月，全球范圍內(nèi)41家凱悅酒店遭到黑客攻擊，導(dǎo)致11個(gè)國家的凱悅酒店信息泄露，其中中國酒店有11家，分布于上海、杭州、廣州等地。泄露信息內(nèi)容包括持卡人姓名、卡號、到期時(shí)間、內(nèi)部認(rèn)證密碼等。運(yùn)營總裁稱泄露原因是“第三方針對酒店IT系統(tǒng)植入的含有惡意軟件代碼的卡片”。凱悅酒店此后表示事情已經(jīng)解決，但并未對消費(fèi)者補(bǔ)償。

2017年11月，希爾頓對于在2014年至2015年之間的信息泄露，被紐約和佛蒙特州的總檢察長宣布罰款為700,000美元。希爾頓被認(rèn)為未能妥善保護(hù)他們的信息，且在發(fā)生信息泄露事件后未能及時(shí)告知客戶，“商家有義務(wù)通知消費(fèi)者在違約的情況下，保護(hù)個(gè)人信息安全的可能”。

此前，一家名為“瑞智華勝”新三板公司被爆出劫持運(yùn)營商流量，違規(guī)竊取用戶數(shù)據(jù)，媒體戲稱為“史上最大規(guī)模的數(shù)據(jù)竊取案”，BAT們紛紛中招，包括百度、騰訊、阿里、今日頭條等全國96家互聯(lián)網(wǎng)公司。數(shù)據(jù)稱，該公司一年?duì)I收超3000萬元。

據(jù)相關(guān)報(bào)道顯示，瑞智華勝自2014年開始，通過競標(biāo)與覆蓋全國十余個(gè)省市多家運(yùn)營商簽訂正式的服務(wù)合同，以為其提供精準(zhǔn)廣告投放系統(tǒng)的開發(fā)和維護(hù)工作的名義，獲取運(yùn)營商服務(wù)器的遠(yuǎn)程登錄權(quán)限，從而竊取用戶的cookie數(shù)據(jù)。財(cái)新報(bào)道提及，公司內(nèi)部存在“內(nèi)鬼”提供幫助。

2016年12月京東被曝有多達(dá)12G的用戶數(shù)據(jù)外泄；在2017年3月，京東員工與黑客協(xié)作再次導(dǎo)致用戶信息泄露。

2017年1月，名為“DoubleFlag”的知名暗網(wǎng)供應(yīng)商出售竊取自多家中國互聯(lián)網(wǎng)公司的用戶數(shù)據(jù)，8億多個(gè)用戶數(shù)據(jù)價(jià)格僅為0.4457比特幣（折合人民幣2750元）。

2017年10月，南非遭遇史上最大規(guī)模數(shù)據(jù)泄露，3000多萬客戶信息被公開。

2017年11月Uber主動(dòng)公開去年曾向黑客支付10萬美元封口費(fèi)以隱瞞5700萬賬戶數(shù)據(jù)泄露事件；2018年6月Acfun發(fā)布公告稱遭遇黑客攻擊，近千萬條用戶數(shù)據(jù)外泄。

一系列與泄露隱私相關(guān)的案例顯示，數(shù)據(jù)泄露問題已成為現(xiàn)代人的夢魘之一。

泄露事件背后的縱橫交錯(cuò)

當(dāng)前，新媒體發(fā)展迅速，用戶普及度已經(jīng)足夠，信息已充斥于各個(gè)虛擬空間，剩下的只是如何用信息來賺錢的問題。BAT所靠的流量紅利到達(dá)瓶頸，以至于廣告投放效益也受到影響，如同互聯(lián)網(wǎng)的發(fā)展思路，在“走量”已獲得階段性成功后，下一步致力于精準(zhǔn)投放。所謂知己知彼，對信息的獲取、整合能夠幫助企業(yè)減少投放成本，使廣告商在有限支出范圍內(nèi)獲取最大效益。

于BAT企業(yè)而言，態(tài)度是堅(jiān)決拒絕買賣、泄露信息，但是獲取信息的方式可不止買賣一種，何況，現(xiàn)狀是用戶信息并不被某特殊幾家所擁有，而是存在公共空間內(nèi)肆意抓取。另外，黑客侵入也是信息大面積泄露的原因之一，包括與內(nèi)部員工勾結(jié)的方式，其背后透露出的是企業(yè)內(nèi)部的管理以及技術(shù)上存在缺陷。

監(jiān)管的問題自不用多說，幾個(gè)月前歐盟GDPR的出臺讓一眾相關(guān)互聯(lián)網(wǎng)公司慌亂，可見其問題之嚴(yán)峻，也從側(cè)面反映出，信息的濫用已是行業(yè)內(nèi)的“潛規(guī)則”。

我國對于數(shù)據(jù)保護(hù)起步較晚，仍然有很長的路要走，現(xiàn)行有效的法律處在一個(gè)“不上不下”的狀態(tài)。在2009年刑七出臺之后，將“侵犯公民信息罪”納入其中，隨后在2017年出臺司法解釋，對“情節(jié)嚴(yán)重”“情節(jié)特別嚴(yán)重”等做出解釋，除外還有在2016年通過的《中華人民共和國網(wǎng)絡(luò)安全法》，然而事實(shí)上，國內(nèi)就此走上訴訟程序的案子少之又少，面對龐大群體遭受到的影響而言，并沒有起到實(shí)質(zhì)意義上的保護(hù)作用。

企業(yè)與個(gè)人均應(yīng)擔(dān)起重任

不少用戶包括筆者自身也感受到了信息泄露的情況之甚，比如前幾天還在與同伴面對面稱要買一件物品，第二天就在某電商平臺推薦看到了類似產(chǎn)品。監(jiān)管尚不完善，情勢逐漸嚴(yán)峻的情況下用戶需要提升個(gè)人隱私的保護(hù)意識，“破罐子破摔”“怕麻煩”“徒勞無功”等心理并不可取，只是寄期望于《黑鏡》中的悲劇不要發(fā)生的僥幸心理，往往成為自己的劊子手。

對于企業(yè)層面的警示已無須多說，但又不可棄之。在法律法規(guī)執(zhí)行力尚缺的情形下，企業(yè)應(yīng)當(dāng)從自身出發(fā)，尤其是幾大BAT巨頭，以身作則將保護(hù)數(shù)據(jù)放到至關(guān)重要的位置。

包括但不限于完善內(nèi)部規(guī)制，聯(lián)合上下游商戶共同抵制數(shù)據(jù)泄露，以及從企業(yè)出發(fā)提出行業(yè)內(nèi)部的數(shù)據(jù)保護(hù)辦法，或采取舉報(bào)獎(jiǎng)勵(lì)機(jī)制，領(lǐng)頭打壓數(shù)據(jù)泄露問題。

“數(shù)據(jù)泄露”短期內(nèi)難以根治

數(shù)據(jù)泄露問題之大之難，在于行業(yè)范圍、受眾群體廣闊，違法成本低廉，作為互聯(lián)網(wǎng)時(shí)代下的突出問題，尚未有一個(gè)可以效仿的對象，很難打擊到位，以及牽扯到巨頭之間的權(quán)力制衡，前路漫漫。

筆者認(rèn)為，短期內(nèi)或?qū)⒊掷m(xù)爆發(fā)類似數(shù)據(jù)泄露問題，在歐盟的GDPR出臺后，國際間或?qū)⒊雠_類似條約以達(dá)成共識，但這需要一個(gè)較為漫長的過程，或需要一個(gè)強(qiáng)有力的國家真實(shí)感受到利益的受損，才能誕生類似提議。

筆者長期強(qiáng)調(diào)“創(chuàng)新”需要技術(shù)層面的“不可替代”，而不僅是理念、講故事，近來馬云、馬化騰也發(fā)表了對于“創(chuàng)新”的新看法，這已是從國家層面滲透至企業(yè)的趨勢、意識，相信對于用戶信息的保護(hù)亦如是，我們總會(huì)看到明媚的那一天，只是希望它早一點(diǎn)、再早一點(diǎn)到來。