魏道培

黑客先后兩次攻入希爾頓公司的內(nèi)部網(wǎng)絡(luò)系統(tǒng)，導(dǎo)致大量客戶(hù)信息泄露。這是美國(guó)2015年年底披露的一樁大案。最初，這家世界著名酒店公司只想弄清旗下連鎖酒店的財(cái)產(chǎn)資料是否泄露。緊接著，美國(guó)信息安全技術(shù)獨(dú)立調(diào)查人布里安·克里布斯（Brian Krebs）發(fā)布消息稱(chēng)，希爾頓公司的餐館、酒吧、禮品店的所有終端都已發(fā)現(xiàn)收集個(gè)人財(cái)務(wù)信息的惡意軟件，大量客戶(hù)個(gè)人信息可能被劫。

此后，希爾頓再次確認(rèn)，公司內(nèi)部系統(tǒng)遭入侵，尤其是HLT0.53%數(shù)據(jù)系統(tǒng)。這類(lèi)惡意軟件是專(zhuān)門(mén)設(shè)計(jì)用于收集個(gè)人支付卡信息，包括持卡人姓名、支付卡卡號(hào)、密碼和有效期。此時(shí)，希爾頓公司才意識(shí)到他們低估了問(wèn)題的嚴(yán)重性，于是立即開(kāi)展深入調(diào)查并著手強(qiáng)化網(wǎng)絡(luò)安全。事實(shí)上，他們已無(wú)法準(zhǔn)確說(shuō)出，被盜信息中包含了多少持卡人姓名、支付卡賬號(hào)、安全代碼和有效期。

個(gè)人信息泄露日趨嚴(yán)重

希爾頓是世界最著名的酒店服務(wù)公司之一。它在全球97個(gè)國(guó)家和地區(qū)擁有4500家連鎖酒店。此案已發(fā)，若不盡快通知個(gè)人客戶(hù)，希爾頓公司就可能承擔(dān)刑責(zé)，或被告上法庭，賠償客戶(hù)因此遭遇的財(cái)物損失。他們不得不通知一定期限內(nèi)曾住宿、用餐和購(gòu)物的所有客戶(hù)，要求其查詢(xún)并核實(shí)自己的銀行賬單，修改密碼，還向一定期限內(nèi)購(gòu)買(mǎi)服務(wù)的客戶(hù)免費(fèi)提供一年的信用監(jiān)控與查詢(xún)服務(wù)。其實(shí)，黑客盯上的酒店已不止希爾頓，美國(guó)萬(wàn)豪酒店公司曾同意并購(gòu)擁有120億美元資產(chǎn)的連鎖酒店，但發(fā)現(xiàn)即將并購(gòu)的外公司有54家的個(gè)人客戶(hù)信息遭泄露，若并購(gòu)，那么其他萬(wàn)豪連鎖酒店也有可能遭入侵。

在美國(guó)歷史上，公司曾把客戶(hù)的姓名、年齡、購(gòu)買(mǎi)情況、家庭住址、社會(huì)安全代碼和其他個(gè)人信息視作有價(jià)資產(chǎn)加以收集利用，在某些情況下出售而不經(jīng)用戶(hù)同意。政府在過(guò)去也并無(wú)監(jiān)管措施。但自從有了互聯(lián)網(wǎng)，個(gè)人信息可輕易收集、使用、搜索和分享，因此濫用個(gè)人信息越來(lái)越普遍，引發(fā)的信息安全問(wèn)題也越來(lái)越突出，這導(dǎo)致涉事機(jī)構(gòu)和個(gè)人泄露有價(jià)值的信息問(wèn)題日趨嚴(yán)重。為遏制這一勢(shì)頭，美國(guó)國(guó)會(huì)與各州議會(huì)相繼推出法律規(guī)范措施并規(guī)定，無(wú)論是紙質(zhì)還是電子文檔，只要涉及個(gè)人敏感數(shù)據(jù)，涉事單位或個(gè)人都要給予分等級(jí)的管控，否則他們將承擔(dān)法律責(zé)任。

然而，盡管聯(lián)邦法院制定的法規(guī)嚴(yán)格限制了收集、使用和分享個(gè)人信息，但信息技術(shù)日新月異，法律的更新往往落后于技術(shù)的發(fā)展。在此之前，美國(guó)聯(lián)邦貿(mào)易委員會(huì)（FTC）也相繼推出行業(yè)自律規(guī)則，包括客戶(hù)隱私信息的使用規(guī)范，也制定了隱私數(shù)據(jù)保護(hù)規(guī)定，即未經(jīng)授權(quán)不得隨意使用。

早在2009年初，《美國(guó)數(shù)據(jù)泄露成本研究》發(fā)布報(bào)告稱(chēng)，2008年美國(guó)公司信息泄露，導(dǎo)致客戶(hù)人均損失202美元，而2007年僅為197美元，更比2005年提高了40%。公司因此造成損失更高，平均達(dá)665萬(wàn)美元。倘若提早應(yīng)對(duì)，即可防患于未然。在過(guò)去三年中，美國(guó)執(zhí)法部門(mén)對(duì)機(jī)構(gòu)和個(gè)人的數(shù)據(jù)安全關(guān)注度進(jìn)一步提高，原因是過(guò)去制定的相關(guān)法規(guī)越來(lái)越不適應(yīng)需要，法不治眾普遍存在，屢次出現(xiàn)大規(guī)模的泄露隱私數(shù)據(jù)的案情，用立法來(lái)遏制這一勢(shì)頭已成必然。

個(gè)人信息泄露給機(jī)構(gòu)帶來(lái)災(zāi)難

聯(lián)邦貿(mào)易委員會(huì)已明文規(guī)定，任何機(jī)構(gòu)只要泄露客戶(hù)的個(gè)人信息，尤其是敏感信息，那么它必須承擔(dān)相應(yīng)的法律責(zé)任。公司泄露個(gè)人信息不僅要承擔(dān)法律責(zé)任，而且還意味著丟失潛在的客戶(hù)、收益和股份價(jià)值，同時(shí)也使公司深陷絕境，形象受損。當(dāng)然，這要取決于公司的類(lèi)型和泄露數(shù)據(jù)的性質(zhì)。最普遍的泄露案件是網(wǎng)絡(luò)遭入侵、非安全的無(wú)線(xiàn)通信、桌面終端被盜等等，也有郵件、惡意軟件、人為操作和攝像失誤等方式。一份調(diào)查發(fā)現(xiàn)，美國(guó)約有74%的隱私數(shù)據(jù)泄露屬于外部劫取，32%屬于商務(wù)搭檔搞鬼，另有20%屬內(nèi)賊竊取。

資金或有價(jià)票據(jù)的信息泄露時(shí)，公司要付出高昂的代價(jià)。據(jù)彭那蒙研究，美國(guó)公司一臺(tái)筆記本電腦丟失，平均造成價(jià)值20萬(wàn)美元的數(shù)據(jù)損失，若加上調(diào)查費(fèi)、客戶(hù)咨詢(xún)、危機(jī)管控、中心呼叫、信用監(jiān)控、律師費(fèi)、罰款、訴訟費(fèi)、傳票費(fèi)、法庭專(zhuān)家認(rèn)定費(fèi)等等，損失不可估量。

個(gè)人信息的泄露在美國(guó)也要分性質(zhì)和嚴(yán)重程度。若敏感信息泄露，如金融機(jī)構(gòu)和健康護(hù)理提供商泄露了客戶(hù)個(gè)人信息，那么他們不僅要承擔(dān)法律責(zé)任，而且還會(huì)作為丑聞曝光，最大限度地披露出來(lái)。此外，若公司雇員泄露了未經(jīng)授權(quán)的個(gè)人信息，那么這類(lèi)案件將被刊登在當(dāng)?shù)仡^版頭條新聞上，還會(huì)引發(fā)連鎖反應(yīng)。美國(guó)大陸航空公司就是最典型的一例。一筆記本電腦丟失在異地，內(nèi)有200名乘客的姓名、地址、社會(huì)安全代碼和指紋。隨之，美國(guó)最大的信用卡支付系統(tǒng)公司之一HPS（Heartland Payment Systems）公司宣布，大陸航空的失竊案造成了美國(guó)有史以來(lái)最大的個(gè)人信息泄露案。竊賊依據(jù)盜取的個(gè)人社會(huì)安全代碼進(jìn)入這家支付系統(tǒng)公司內(nèi)網(wǎng)，進(jìn)行了大量的非法交易，導(dǎo)致該公司月均1億美元被人從銀行刷走，超過(guò)17萬(wàn)商人的賬戶(hù)受影響。隨后，這家支付公司被起訴，罪名是，他們未能及時(shí)通知相關(guān)用戶(hù)而造成巨額損失。另一案例是2009年4月，俄克拉荷馬州政府公共事業(yè)部遭遇一次意外事故。竊賊從政府雇員車(chē)中盜走一臺(tái)筆記本電腦，內(nèi)裝100萬(wàn)居民的姓名、地址、家庭電話(huà)號(hào)碼和社會(huì)安全代碼，并且這份文件未加密。2010年，美國(guó)最大的折價(jià)商業(yè)公司TJX的網(wǎng)絡(luò)系統(tǒng)有4570萬(wàn)張未加密的客戶(hù)信用卡和借記卡遭黑客盜取。調(diào)查表明，該公司的所有電腦數(shù)據(jù)和現(xiàn)金記錄機(jī)上的所有個(gè)人信息都遭到詐騙團(tuán)伙用技術(shù)手段劫走。此案導(dǎo)致該公司直接損失在2.56億-5億美元之間，間接損失高達(dá)10億美元，涉及全美眾多的客戶(hù)、發(fā)卡銀行、州銀行協(xié)會(huì)和股東。此后，美國(guó)FBI在全球范圍內(nèi)抓獲11名相關(guān)嫌疑人。2008年，美國(guó)俄亥俄州一家醫(yī)療保險(xiǎn)公司丟失11張光盤(pán)，內(nèi)含3.6萬(wàn)雇員和退休人員的個(gè)人信息。最終這些光盤(pán)被找到，然后在寄往哥倫布市的途中再次丟失。消息一傳出即在美國(guó)引發(fā)軒然大波。

公司淡漠客戶(hù)個(gè)人信息，泄露了本可以避免泄露的客戶(hù)敏感信息，他們不僅要造成巨額損失，而且還要面臨法律的制裁并擔(dān)刑責(zé)，還存在倒閉的風(fēng)險(xiǎn)。2005年，美國(guó)凱撒醫(yī)療公司（Kaiser Permanente）的一位雇員由于對(duì)老板不滿(mǎn)，竟把公司一份文件鏈接到她自己的博客上，包括醫(yī)療客戶(hù)個(gè)人姓名、IP地址、計(jì)算機(jī)代碼，總共導(dǎo)致140名客戶(hù)信息泄露。由此，她使公司違反了美國(guó)HIPAA法，即《健康保險(xiǎn)攜帶和責(zé)任法》，該公司被罰20萬(wàn)美元。又如，2008年美國(guó)華盛頓都市地區(qū)高速運(yùn)輸管理局未經(jīng)授權(quán)把所有雇員的社會(huì)安全代碼發(fā)布在網(wǎng)站上。按理說(shuō)，這是公司內(nèi)部事務(wù)，但由于未經(jīng)授權(quán)，因此被認(rèn)定為“非法發(fā)布”，一時(shí)成為眾矢之的。

美國(guó)公民的個(gè)人信息丟失引發(fā)的社會(huì)犯罪日趨嚴(yán)重，最終迫使美國(guó)聯(lián)邦政府與州政府兩個(gè)層次采取立法措施。聯(lián)邦政府立法部門(mén)先后推出系列法律，要求各機(jī)構(gòu)采取措施保護(hù)個(gè)人信息，尤其是敏感信息，如財(cái)務(wù)、健康信息，兒童信息也在保護(hù)之列。各州立法部門(mén)還向個(gè)人消費(fèi)者提供保護(hù)個(gè)人信息的方法。截至目前，美國(guó)已有44個(gè)州立法保護(hù)個(gè)人信息。最近哥倫比亞特區(qū)、美屬維京群島也列入其中，其總的要求是：商業(yè)企業(yè)務(wù)必制定嚴(yán)密的安全規(guī)章制度，采取自律措施，限制雇員的行為。

美國(guó)保護(hù)個(gè)人信息最著名的聯(lián)邦與州法律措施

*聯(lián)邦政府立法措施

·1996年聯(lián)邦政府頒布并實(shí)施HIPAA法，即《健康保險(xiǎn)攜帶和責(zé)任法》。該法明確規(guī)定，健康信息（PHI）權(quán)屬于受保護(hù)的個(gè)人隱私，任何個(gè)人或機(jī)構(gòu)未經(jīng)授權(quán)，無(wú)論有意無(wú)意或任何形式，不管是紙質(zhì)還是電子文檔，均在保護(hù)之列。

·2009年，美國(guó)頒布實(shí)施《經(jīng)濟(jì)復(fù)蘇及再投資法》，該法再次強(qiáng)制規(guī)定，在披露個(gè)人健康信息前必須經(jīng)由本人同意。

·1999年，克林頓總統(tǒng)簽署了當(dāng)時(shí)最具影響力的《金融服務(wù)現(xiàn)代化法》，它要求美國(guó)的所有金融機(jī)構(gòu)，一旦發(fā)生個(gè)人信息泄露，必須立即通知每一位相關(guān)客戶(hù)，否則將承擔(dān)因此引發(fā)的法律責(zé)任。

·2005年，美國(guó)立法部門(mén)在2003年頒布實(shí)施的《公平與準(zhǔn)確信用交易法》（FACTA）基礎(chǔ)上，再推出與之配套的《處置規(guī)則》（Disposal Rule），旨在進(jìn)一步細(xì)化管控措施，杜絕非授權(quán)使用和其他不當(dāng)使用個(gè)人信息，禁止機(jī)構(gòu)保留、收集或另作他用。

·1998年，美國(guó)頒布實(shí)施《兒童在線(xiàn)隱私權(quán)保護(hù)法》（COPPA）。該法旨在賦予父母管控孩子上網(wǎng)使用信息的權(quán)利，同時(shí)預(yù)防不法分子從孩子處收集家庭敏感信息。

·《聯(lián)邦貿(mào)易委員會(huì)法》（FTC ACT）是在20世紀(jì)初就已制定，此后隨著時(shí)代的變遷歷經(jīng)多次修訂。該法禁止不公平競(jìng)爭(zhēng)或欺騙手段或以非公正的行為影響市場(chǎng)。最新修訂的該法明文規(guī)定，若機(jī)構(gòu)未經(jīng)授權(quán)采集，使用和分享個(gè)人信息，將被視作“非公平”、“欺詐”的貿(mào)易行為，消費(fèi)者可直接控告該機(jī)構(gòu)。該法被視作美國(guó)最有實(shí)用性最普遍的個(gè)人信息安全管控法。

*州政府立法措施

美國(guó)加利福尼亞州2002年率先制定法律措施保護(hù)個(gè)人信息安全以來(lái)，已有44個(gè)州制定了與信息泄露和通知制度相關(guān)的法律。這些法律規(guī)定，一旦機(jī)構(gòu)獲知并確信客戶(hù)信息被解密或被傳輸?shù)狡渌麢C(jī)構(gòu)并將直接影響客戶(hù)前，公司應(yīng)通知客戶(hù)。加州該法實(shí)施以來(lái)已修訂多次，要求通知更詳細(xì)。美國(guó)賓夕法尼亞州最近通過(guò)一項(xiàng)法案，即機(jī)構(gòu)的個(gè)人信息被泄露，須在7天內(nèi)無(wú)條件通知相關(guān)的州公民個(gè)人。緊隨其后，其他州的相關(guān)法律也做出類(lèi)似修訂。其中馬薩諸塞州和內(nèi)華達(dá)州的相關(guān)法案更為嚴(yán)格，他們要求任何機(jī)構(gòu)把個(gè)人信息傳輸給商業(yè)安全系統(tǒng)之外的任何人或機(jī)構(gòu)都必須加密，以確保安全。2010年，馬薩諸塞州修訂相關(guān)法律，推出新的個(gè)人信息泄露通知的最低標(biāo)準(zhǔn)，即無(wú)論是紙質(zhì)還是電子文檔，只要包含任何個(gè)人信息均須以書(shū)面的形式通知對(duì)方。

*機(jī)構(gòu)的行業(yè)自律措施

美國(guó)支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)（PCI DSS），具體而言，是針對(duì)在全天候工作日中處理持卡人數(shù)據(jù)的金融機(jī)構(gòu)、貿(mào)易商和服務(wù)提供商提出的要求。它為各行業(yè)自律設(shè)置了12個(gè)基本的安全要求。迄今為止，它已成為一種強(qiáng)制性行業(yè)標(biāo)準(zhǔn)，即金融機(jī)構(gòu)或其他企業(yè)在處理、儲(chǔ)存、傳輸持卡人數(shù)據(jù)時(shí)必須遵守的規(guī)則。美國(guó)金融機(jī)構(gòu)在處理過(guò)程中若未加密，監(jiān)管機(jī)構(gòu)一旦發(fā)現(xiàn)就會(huì)對(duì)其采取懲罰措施。

由于因特網(wǎng)使用頻率越來(lái)越高，收集、傳輸和儲(chǔ)存電子記錄文檔所引發(fā)的數(shù)據(jù)失竊也日趨頻繁，美國(guó)聯(lián)邦政府為機(jī)構(gòu)也制定了相關(guān)參考指南。