金元浦

大數(shù)據時代的數(shù)據管理是信息時代各國治國理政的重要課題。近年來，大量個人隱私數(shù)據泄露的現(xiàn)狀已成為當前全球關注的一個重大社會問題。它關涉經濟運行、商業(yè)倫理、文化安全、社會安定，乃至政治清明的眾多領域。本文選擇中外三年來的重要案例來分析隱私數(shù)據泄露的原因。研究發(fā)現(xiàn)，目前隱私數(shù)據泄露有四種類型。如何從頂層全面降低或進一步杜絕大規(guī)模隱私數(shù)據泄露，構建我國信息保護和數(shù)據管理的新格局，是我們當前面臨的一項緊迫任務。

隱私; 數(shù)據泄露; 黑客攻擊; 技術漏洞; 數(shù)據管理; 數(shù)據保護

F490.6; G203-A-0018-12

大數(shù)據時代的數(shù)據管理是信息時代各國治國理政所面對的新現(xiàn)實、新課題。近年來，大量個人隱私數(shù)據泄露的現(xiàn)狀已成為當前全球關注的一個重大社會問題。它關涉各國的經濟運行、商業(yè)倫理、文化安全、社會安定，乃至政治清明的眾多領域，也關涉普通民眾的個人隱私、家庭關系、消費活動、文化背景，乃至個體自由等諸多方面。本文選擇中外三年來的重要案例來分析隱私數(shù)據泄露的原因。研究發(fā)現(xiàn)，目前隱私數(shù)據泄露有四種類型：黑客作為數(shù)據泄露的主因之一，通過攻擊企業(yè)技術漏洞帶來了嚴重后果;網絡企業(yè)觀念上的諸多問題和管理上的漏洞，造成攻擊者可乘之機;利益驅使第三方企業(yè)非法獲取、利用個人隱私數(shù)據獲利;數(shù)據管理松弛，企業(yè)內部人員作案，外泄數(shù)據非法獲益。如何從頂層全面降低或進一步杜絕大規(guī)模隱私數(shù)據泄露，構建我國信息保護和數(shù)據管理的新格局是我們當前面臨的一項緊迫的任務。

本文的邏輯為：問題導向—調研篩選—案例分析—討論建議—理論探討。

一、 隱私數(shù)據泄露已成為互聯(lián)網時代全球重大的社會問題

隱私數(shù)據泄露已成為互聯(lián)網時代全球重大的社會問題，嚴峻現(xiàn)實要求我們必須對此作出回答。近年來，隨著大數(shù)據運用的日益頻繁、技術的日益成熟，隱私數(shù)據的泄露到了觸目驚心、令人恐懼的狀態(tài)。隱私數(shù)據泄露的案例比比皆是，據不完全統(tǒng)計，各類案例多達數(shù)百萬起。受隱私數(shù)據泄露影響的人數(shù)已達數(shù)十億。隱私數(shù)據泄露的總量僅2018年以來就達到數(shù)百億條，并且有不斷增加的趨勢。隱私數(shù)據泄露的頻次也越來越密集，由2013年以前的偶發(fā)變?yōu)槊芗猿B(tài)。

案例?2018年8月，澎湃新聞從紹興市越城區(qū)公安分局獲悉，該局日前偵破一起特大流量劫持案，涉案的新三板掛牌公司北京瑞智華勝科技股份有限公司，涉嫌非法竊取用戶個人信息30億條，非法操控公眾賬號進行加粉或關注，涉及百度、騰訊、阿里、京東等全國96家互聯(lián)網公司。

案例?安全研究者Sanyam Jain先后5次發(fā)現(xiàn)Elasticsearch服務器不安全。第1臺服務器存有3300萬中國用戶簡歷。他將問題報告給中國國家計算機應急響應小組（CNCERT），4天后數(shù)據庫得到修復。第2臺服務器存有8480萬份簡歷，在CNCERT的幫助下，問題得以解決。第3臺服務器存放著9300萬份簡歷。第4臺服務器同樣存放著來自中國企業(yè)的900萬份簡歷數(shù)據。第5個泄露點是Elasticsearch服務器集群，里面存放逾1.29億份簡歷。Jain無法確認所有者，但數(shù)據庫仍為開放狀態(tài)。

案例?據Wired報道，2018年曝光的市場和數(shù)據匯總公司Exactis服務器信息暴露的事情經調查為實，該數(shù)據涉及大約3.4億條記錄，容量接近2TB，據說涵蓋2.3億人。這些數(shù)據包含的隱私深度超乎想象，包括一個人是否吸煙、有什么宗教信仰、是否養(yǎng)狗或養(yǎng)貓以及各種興趣等。Exactis事后對數(shù)據進行了加密防護，以避免信息的進一步泄露。

隱私數(shù)據泄露所涉及的范圍日益擴大，陷入困境的行業(yè)、部門越來越多?；ヂ?lián)網信息業(yè)、大數(shù)據行業(yè)、快遞業(yè)、酒店業(yè)、航空業(yè)、綜合類商業(yè)，以及醫(yī)療行業(yè)、餐飲業(yè)等，越是與人們現(xiàn)代生活、商務、出行有密切關系的行業(yè)，受到的影響越大。以酒店業(yè)為例，近年來，酒店業(yè)的信息泄露問題越來越嚴重，原因就在于巨大的經濟利益。截至2018年底，全國住宿業(yè)的設施總數(shù)為482，603家，客房總規(guī)模18，164，158間，其中的酒店類住宿業(yè)設施344，313家，客房總數(shù)16，858，721間。盈蝶咨詢、北京第二外國語學院旅游科學學院：《2019中國大住宿業(yè)發(fā)展報告（上）》，盈蝶咨詢網站，http：//inntie.com，2019年10月10日。每位住客的身份證號、電話號碼、房間號等個人信息將同步上傳至酒店內部的管理系統(tǒng)。因此，從行業(yè)來看，酒店業(yè)是黑客獲取核心隱私數(shù)據最方便、最集中的行業(yè)之一，而國際連鎖酒店因其客源質量很高，信息量巨大，經濟效應也十分可觀，故其往往成為黑客或犯罪人員的最佳選擇。

案例?信息業(yè)?2018年9月份，研究人員在一個配置錯誤的服務器上發(fā)現(xiàn)了存儲有超過200GB數(shù)據的數(shù)據庫。據悉，該服務器處于完全無防御的狀態(tài)且面向公眾開放，任何人都能夠公開查詢和訪問其數(shù)據。研究人員介紹稱，該數(shù)據庫中存儲有來自Veeam公司的約4.45億客戶記錄，其中包含客戶的個人信息，如姓名、電子郵件地址以及居住地等。此外，該服務器上提供的其他詳細信息還包括部分營銷數(shù)據，例如：客戶類型和組織規(guī)模、IP地址、來源地址（referrer）、當前頁面地址（URL）以及用戶代理等。

案例?快遞業(yè)?2018年6月，“暗網”一位ID“f666666”的用戶開始兜售圓通10億條快遞數(shù)據，該用戶表示售賣的數(shù)據為2014年下旬的數(shù)據，數(shù)據信息包括寄（收）件人姓名、電話、地址等信息，10億條數(shù)據經過處理，數(shù)據重復率低于20%，數(shù)據被該用戶以1比特幣打包出售。網友驗證了其中一部分數(shù)據，發(fā)現(xiàn)在所購“單號”中，姓名、電話、住址等信息均屬實。

案例?酒店業(yè)?萬豪國際集團于2018年11月30日發(fā)布公告稱，旗下喜達屋酒店客房預訂數(shù)據庫遭黑客入侵，最多約5億名客人的信息可能被泄露。萬豪酒店在隨后的調查中發(fā)現(xiàn)，有第三方對喜達屋的網絡進行未經授權的訪問。目前，未經授權的第三方已復制并加密了某些信息，并且采取措施試圖將這些信息移出。萬豪披露，大約3.27億名客人的個人姓名、通信地址、電話號碼、電子郵箱、護照號碼、喜達屋SPG俱樂部賬戶信息、出生日期、性別等信息可能已經全部泄露。

案例?航空業(yè)?2018年10月24日晚間，國泰航空發(fā)布公告稱，公司及子公司港龍航空共有940萬名乘客信息遭泄露，包括乘客姓名、出生日期、電話號碼、護照、身份證號碼、過往飛行記錄等資料。約86萬個護照號碼及24.5萬個香港地區(qū)身份證號碼曾被不當取閱。另有403張已逾期信用卡號碼和27張無安全碼的信用卡號碼被不當取閱。

案例?綜合商業(yè)類（含電子商務）?美國功能性運動品牌Under Armour（安德瑪）旗下飲食和營養(yǎng)管理App及網站myfitnesspal多達1.5億用戶的信息被盜。此次數(shù)據泄露事件影響到的用戶數(shù)據包括用戶名、郵箱地址和加密的密碼。安德瑪表示，該數(shù)據泄露事件并沒有涉及用戶的社會安全號碼、駕駛證號、銀行卡號等隱私信息。

從以上的案例及梳理我們看到：隱私數(shù)據泄露是一個危及全球各國的國際性重大事件，是一個侵害公民生命財產安全的重大危機，是一個滲透到社會經濟的各個領域的普遍性困境，是一個互聯(lián)網時代網絡安全、法律保護、制度建設的新課題，也是尊重人權、隱私權、知識產權等有關新時代網絡倫理、商業(yè)倫理、文化倫理的理論和實踐研究的重大課題。

隱私數(shù)據的大規(guī)模泄露是在4G/5G條件下互聯(lián)網、大數(shù)據、人工智能、云計算、物聯(lián)網等新科技支撐下發(fā)生、發(fā)展并迅速蔓延的。一方面，隨著技術的進步，我們享有著現(xiàn)代社會高科技帶來的高速、便捷、共享和智能的服務;另一方面，反向的控制、盜竊等技術也日益精細，我們也因此不得不面對因隱私數(shù)據泄露而帶來的巨大危害的新困境。

隱私數(shù)據泄露的事件具有普遍性、多發(fā)性、爆發(fā)性特征。從目前來看，隱私數(shù)據泄露已經十分普遍，除了上述大型案件，中小企業(yè)、普通民眾都受到騷擾和侵害。在云存儲服務平臺MEGA上，7.73億個電子郵件地址和近2200萬個密碼被黑客公開竊取。這些文件一共超過1.2萬份，數(shù)據超過87GB。這類事件具有很高的發(fā)生頻率，隨著技術的更新，案件發(fā)生率不斷升高。隱私數(shù)據泄露往往會引發(fā)爆發(fā)性事件。事件一旦發(fā)生就會產生嚴重后果：其危害程度很高，往往產生共振效應，引發(fā)社會不滿和動蕩，影響廣泛;在時間上也可能會延續(xù)數(shù)年，短時間很難消除影響。

從社會安定和諧來看，我國隱私數(shù)據泄露帶來了非常多的社會問題，甚至造成了嚴重社會危機事件。國內外信息犯罪團伙涉及的養(yǎng)老、養(yǎng)生、醫(yī)療、房地產、金融、股市、債市、慈善等巨量詐騙案件，都是從信息泄露開始的，給眾多受害人帶來了嚴重損害，造成財產損失、家庭破裂、身心受損等后果，甚至帶來社會動蕩，大大破壞了社會的安定團結。

二、 大數(shù)據時代的數(shù)據管理是信息時代各國治國理政的重要課題

大數(shù)據時代的數(shù)據管理是信息時代各國治國理政的重要課題。習近平總書記多次提出關注推進數(shù)字化時代的大數(shù)據、數(shù)據治理、數(shù)據運行、網絡安全等一系列關乎治國理政的重大問題。隨著世界多極化、經濟全球化、社會信息化、文化多樣化的深入發(fā)展，互聯(lián)網對人類文明進步將發(fā)揮更大促進作用。數(shù)字信息流的全球流動將不斷引領技術流、資金流、人才流，信息資源日益成為重要生產要素和社會財富，信息掌握的多寡成為國家軟實力和競爭力強弱的重要標志。我國積極倡導發(fā)展5G背景下的移動網、大數(shù)據、云計算、人工智能、區(qū)塊鏈、物聯(lián)網等當代數(shù)字信息科技，大力構建數(shù)字中國。習近平總書記強調：“信息技術和產業(yè)發(fā)展程度決定著信息化發(fā)展水平，要加強核心技術自主創(chuàng)新和基礎設施建設，提升信息采集、處理、傳播、利用、安全能力，更好惠及民生?！薄读暯剑鹤屍髽I(yè)成為信息產業(yè)發(fā)展主體》，人民網，http：//finance.people.com.cn/n/2014/0228/c7084624495058.html， 2014年2月28日。

在2018年4月20日召開的全國網絡安全和信息化工作會議上，習近平總書記強調互聯(lián)網等高新科技代表著新的生產力和新的發(fā)展方向，他指出，“要發(fā)展數(shù)字經濟，加快推動數(shù)字產業(yè)化，依靠信息技術創(chuàng)新驅動，不斷催生新產業(yè)新業(yè)態(tài)新模式，用新動能推動新發(fā)展。要推動產業(yè)數(shù)字化，利用互聯(lián)網新技術新應用對傳統(tǒng)產業(yè)進行全方位、全角度、全鏈條的改造，提高全要素生產率，釋放數(shù)字對經濟發(fā)展的放大、疊加、倍增作用”《習近平：要發(fā)展數(shù)字經濟加快推動數(shù)字產業(yè)化》，每經網，http：//www.nbd.com.cn/articles/20180421/1210367.html， 2018年4月21日。。在這里，習近平總書記從頂層設計出發(fā)，提出了“五新”“四全”“三大作用”的總體要求。這是我們未來一段時間數(shù)字中國發(fā)展的總綱領。

在發(fā)展數(shù)字科技的同時，我國也大力推動全面實施網絡安全、數(shù)據保護和信息管理的升級換代。早在2014年2月27日，習近平總書記在主持召開中央網絡安全和信息化領導小組第一次會議時就提出，“沒有網絡安全就沒有國家安全，沒有信息化就沒有現(xiàn)代化”②《習近平：沒有網絡安全就沒有國家安全》，中華人民共和國國家互聯(lián)網信息辦公室網站，http：//www.cac.gov.cn/201812/27/c?1123907720.htm， 2018年12月27日。。他要求我們樹立正確的網絡安全觀，加強信息基礎設施網絡安全防護，加強網絡安全信息統(tǒng)籌機制、手段、平臺建設，加強網絡安全事件應急指揮能力建設，積極發(fā)展網絡安全產業(yè)，做到關口前移，防患于未然。2016年4月19日，習近平總書記在網絡安全和信息化工作座談會上指出：“網絡空間是億萬民眾共同的精神家園。網絡空間天朗氣清、生態(tài)良好，符合人民利益。網絡空間烏煙瘴氣、生態(tài)惡化，不符合人民利益。誰都不愿生活在一個充斥著虛假、詐騙、攻擊、謾罵、恐怖、色情、暴力的空間?；ヂ?lián)網不是法外之地?！雹?/p>

習近平總書記還指出：“利用網絡進行欺詐活動，散布色情材料，進行人身攻擊，兜售非法物品，等等，這樣的言行也要堅決管控，決不能任其大行其道。沒有哪個國家會允許這樣的行為泛濫開來。我們要本著對社會負責、對人民負責的態(tài)度，依法加強網絡空間治理，加強網絡內容建設，做強網上正面宣傳，培育積極健康、向上向善的網絡文化，用社會主義核心價值觀和人類優(yōu)秀文明成果滋養(yǎng)人心、滋養(yǎng)社會，做到正能量充沛、主旋律高昂，為廣大網民特別是青少年營造一個風清氣正的網絡空間?！雹堋读暯剑涸诰W絡安全和信息化工作座談會上的講話》（2016年4月19日），載《人民日報》，2016年4月26日?！安荒馨崤欠恰㈩嵉购诎?、造謠生事、違法犯罪，不能超越了憲法法律界限?！雹苊鎸碗s變化的現(xiàn)實，習近平總書記要求全黨“認清我們面臨的形勢和任務，充分認識做好工作的重要性和緊迫性，因勢而謀，應勢而動，順勢而為”⑥⑦《習近平主持召開中央網絡安全和信息化領導小組第一次會議強調總體布局統(tǒng)籌各方創(chuàng)新發(fā)展努力把我國建設成為網絡強國李克強劉云山出席》，載《人民日報》，2014年2月28日。。

如何把握和運用我國目前已經擁有的互聯(lián)網高位勢能，解決發(fā)展和安全、開放與法制、數(shù)據管理與隱私保護等一系列的現(xiàn)實難題？習近平總書記提出辯證治理、對位發(fā)展的總體戰(zhàn)略：“網絡安全和信息化是一體之兩翼、驅動之雙輪，必須統(tǒng)一謀劃、統(tǒng)一部署、統(tǒng)一推進、統(tǒng)一實施。做好網絡安全和信息化工作，要處理好安全和發(fā)展的關系，做到協(xié)調一致、齊頭并進，以安全保發(fā)展、以發(fā)展促安全，努力建久安之勢、成長治之業(yè)。”⑥習近平總書記高瞻遠矚，從頂層設計把握看來矛盾的雙方，將之視為同一事物的兩個側面，實施四個統(tǒng)一，方能建久安之勢、成長治之業(yè)。

要想保證數(shù)字信息發(fā)展與網絡安全保護的對位性辯證治理，保證網絡空間風清氣朗，習近平總書記提出了時、度、效三個重要策略⑦。所謂時，即時間節(jié)點的把握。進入第四次工業(yè)革命，時間代表速度、代表機遇、代表競爭。在互聯(lián)網、移動網時代，經濟變革時時發(fā)生，技術創(chuàng)新瞬息萬變，社會思潮動蕩不已，政治斗爭如箭在弦。在這種環(huán)境下，時間節(jié)點的精準把握就顯得尤為重要。度，是指度的界限的把握，審大局，度大勢。在不同維度之間，在質量與數(shù)量之間，在前進與后撤之間，在國際與國內之間，都存在著度的把握問題。效，是指效果、效應、效能。它包含：直指數(shù)字信息發(fā)展與網絡安全保護的對位性辯證治理的目標、可能實現(xiàn)的實效;由效能極值而選擇的合理路徑;量力而行，適度選擇的風險值與難度值;特別是由效果要求而來的溯源探究和效果歷史意識。

三、 當前隱私數(shù)據泄露的四種類型及其防范

本文選擇中外三年來的重要案例來分析隱私數(shù)據泄露的原因。習近平總書記指出：“要依法嚴厲打擊網絡黑客、電信網絡詐騙、侵犯公民個人隱私等違法犯罪行為，切斷網絡犯罪利益鏈條，持續(xù)形成高壓態(tài)勢，維護人民群眾合法權益?！雹帷读暯皆谌珖W絡安全和信息化工作會議上強調敏銳抓住信息化發(fā)展歷史機遇自主創(chuàng)新推進網絡強國建設李克強主持栗戰(zhàn)書汪洋王滬寧趙樂際韓正出席》，載《人民日報》，2018年4月22日?！熬W信事業(yè)發(fā)展必須貫徹以人民為中心的發(fā)展思想，把增進人民福祉作為信息化發(fā)展的出發(fā)點和落腳點，讓人民群眾在信息化發(fā)展中有更多獲得感、幸福感、安全感。”⑨

研究發(fā)現(xiàn)，目前隱私數(shù)據泄露有四種類型：黑客作為數(shù)據泄露的主因之一，通過攻擊企業(yè)技術漏洞帶來嚴重后果;網絡企業(yè)觀念上的諸多問題和管理上的漏洞，造成攻擊者可乘之機;利益驅使第三方企業(yè)非法獲取、利用個人隱私數(shù)據獲利;數(shù)據管理松弛，企業(yè)內部人員作案，外泄數(shù)據非法獲益。

第一，黑客攻擊是數(shù)據泄露的首要原因。黑客入侵企業(yè)的技術漏洞是導致個人隱私與企業(yè)機密暴露的首要原因。一批或以營利等為目的的職業(yè)黑客，專門在未經許可的情況下，載入對方系統(tǒng)。

案例?2016年9月22日，雅虎證實至少5億用戶的信息在2014年遭人竊取，內容涉及用戶姓名、電子郵箱、電話號碼、出生日期和部分登錄密碼。3個月后，雅虎再次發(fā)布聲明，2013年8月，未經授權的第三方盜取了超過10億用戶的賬戶信息。2017年10月3日，雅虎公司證實，其所有30億個用戶賬號應該都受到了黑客攻擊的影響，公司已經向更多用戶發(fā)送提示，請其更改登錄密碼以及相關登錄信息。

案例?2018年9月6日，英國航空公司發(fā)布，因遭黑客攻擊從而導致其乘客數(shù)據被盜，約有38萬名乘客在此數(shù)據泄露事件中受到影響，這些被盜數(shù)據信息包括個人基本信息和付款記錄，但不包括個人護照信息。英航董事長稱，黑客作案手法“極其復雜”，為英航在線運營20多年來所未見。黑客沒有破壞英航加密系統(tǒng)，而是用“另一種非常復雜”的方式侵入英航系統(tǒng)并獲取用戶信息。他沒有說明黑客到底采用哪一種方式竊取信息。根據網絡安全專家的調查，此事件很可能與黑客組織Magecart有關。此次網絡攻擊是為英航定制的。目前的技術無法確定攻擊者在英航服務器上的覆蓋范圍，但可以確認黑客的訪問權限極大，黑客可以修改站點資源。

根據本次調研結果來看，黑客攻擊是當代互聯(lián)網條件下數(shù)據泄露事件中最典型、最常見的原因。在課題組采集到的相關案例中，國泰航空、優(yōu)步（Uber）、雅虎、優(yōu)衣庫、多個大型酒店集團等知名企業(yè)都是黑客入侵的受害者。黑客入侵具有巨大的破壞性。

黑客“黑客”一詞，最初曾指熱心于計算機技術、水平高超的電腦專家，尤其是程序設計人員。在互聯(lián)網時代，這些具有互聯(lián)網專業(yè)技能的“技術控”，由早先對互聯(lián)網技術的迷戀和探索，分裂演變?yōu)椤鞍酌薄薄盎颐薄薄昂诿薄钡?，其中“黑帽”即黑客（cracker）。在媒體報道中，“黑客”一詞常指軟件黑客（software cracker），而與黑客（“黑帽子”）相對的則是“白帽”（維護計算機和互聯(lián)網安全），“灰帽”則居于其間。黑客們精通各種編程語言和各類操作系統(tǒng)，伴隨著計算機和網絡的發(fā)展而成長。的興起具有其發(fā)生、發(fā)展的歷史。黑客一般具有較高的技術能力，是“一種熱衷于研究系統(tǒng)和計算機（特別是網絡）內部運作的人”。但他們無視當代社會的道德和倫理規(guī)范，破壞信息安全。為某種經濟利益不惜以身犯險，甚至踐踏法律，走上犯罪的境地。

雅虎信息泄露事件是有史以來規(guī)模最大的單一網站數(shù)據泄露事件，當前，重要商業(yè)網站的海量用戶數(shù)據是企業(yè)的核心資產，也是民間黑客甚至國家級攻擊的重要對象，重點企業(yè)的數(shù)據安全管理面臨更高的要求，企業(yè)必須建立嚴格的安全能力體系，不僅需要確保對用戶數(shù)據進行加密處理，對數(shù)據的訪問權限進行精準控制，還要為網絡破壞事件、應急響應建立彈性設計方案，與監(jiān)管部門建立應急溝通機制。

雅虎數(shù)據泄露事件的性質非常嚴重，海量用戶賬號失竊，令網民對賬戶安全產生強烈的不信任感，今后更多互聯(lián)網用戶會設法避免在互聯(lián)網的系統(tǒng)上存儲敏感信息。

口令簡單或疏于管理是數(shù)據泄露的重要原因?？诹钍蔷W絡系統(tǒng)保密的第一道防線。當前的網絡系統(tǒng)都是通過口令來驗證用戶身份、實施訪問控制的?？诹罟羰侵负诳鸵钥诹顬楣裟繕耍平夂戏ㄓ脩舻目诹?，或避開口令驗證過程，然后冒充合法用戶嵌入目標網絡系統(tǒng)，奪取目標系統(tǒng)控制權的過程。然而在現(xiàn)實生活中，人們常會不經意間使用了弱口令（即簡單、易破解口令）去防護自己或企業(yè)的資產。全球最大的漏洞響應平臺“補天平臺”的數(shù)據顯示，52.2%的數(shù)據泄露事件是由于使用弱口令導致其所在機構被攻擊的。雖然人們或企業(yè)已經在隱私數(shù)據保護方面有所改進，但弱口令問題依然是黑客能夠攻擊成功的關鍵因素。黑客破解或繞過網站設置的口令，進入目標網絡系統(tǒng)后，即可隨心所欲地竊取、破壞和篡改被侵入方的信息，直至完全控制被侵入方。

更令人驚詫的是，黑客通過更新解碼技術侵入網絡軟件公司思杰（Citrix Systems）多個員工賬號獲得內網權限，竊取了6TB—10TB的敏感數(shù)據，包括電子郵件、網絡共享文件，以及項目管理和采購相關文檔等。美國聯(lián)邦調查局（FBI）表示黑客可能使用了一種名為“密碼噴霧”（Password Spraying）的密碼破解技術。黑客侵入英航的作案手法“極其復雜”，為英航在線運營20多年來所未見。黑客沒有破壞英航加密系統(tǒng)，而是用“另一種非常復雜”的方式侵入英航系統(tǒng)并獲取用戶信息。這些案件也告訴我們，大企業(yè)的網絡安全技術其實是一場與黑客組織的軍備競賽，尤其是那些配備了支付形式的網站，其敏感的財務數(shù)據和信用卡信息必須受到最高級別的網絡安全防護。

第二，隱私數(shù)據泄露與企業(yè)技術操作的失誤有密切關系，網絡系統(tǒng)亟待技術升級。隱私數(shù)據泄露的一個重要原因是一些企業(yè)部門出現(xiàn)了特別重大的失誤，他們直接將數(shù)據包誤傳到公共網絡，甚至讓那些沒掌握黑客技術的普通網民亦可順利獲取;或者發(fā)生誤發(fā)送郵件、權限設置錯誤和服務器配置不當?shù)仁д`操作，導致數(shù)據泄露事件正在顯著上升，這也從中反映了內部人員缺乏基本的安全意識或風險評估能力。2018年全球重大數(shù)據泄露事件統(tǒng)計分析顯示，11.1%的事件是由于配置錯誤或操作不當導致的政企機構數(shù)據泄露。

案例?2018年8月，華住酒店集團旗下酒店用戶信息在“暗網”售賣，售賣者稱數(shù)據已在8月14日脫庫。售賣的公民信息包括身份證號、手機號等，共涉及5億條。涉及酒店范圍包括：漢庭、美爵、禧玥、諾富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡萊、海友。全部信息的打包價為8比特幣，或者520門羅幣（約合人民幣38萬元）。賣家還稱，以上數(shù)據信息的截止時間為2018年8月14日。華住集團酒店官方微博回應此事稱，“已經報警了。真實性目前無法查證，我們信息安全部門在緊急處理中”。同時官方微博也呼吁，請相關網絡用戶、網絡平臺立即刪除并停止傳播上述信息，保留追究相關侵權人法律責任的權利。

從本研究采集到的多起酒店系統(tǒng)數(shù)據泄露事件來看，起因雖為黑客入侵，但大量公開媒體披露及案情分析報告均顯示，酒店系統(tǒng)本身的安全漏洞其實由來已久，泄露事件的發(fā)生，并非偶然，實屬必然。華住公司程序員將數(shù)據庫連接方式大規(guī)模地上傳至代碼托管服務平臺（Github），而且系統(tǒng)本身沒有報警設施。在這樣幾乎不設防的網絡安全措施之下，黑客無須有太過高明的技術手段，只要對數(shù)據庫知識簡單了解，就可以輕松截獲大量客戶隱私數(shù)據。

根據保密原則，企業(yè)（含政府）數(shù)據庫為了安全起見應該只限內部IP訪問，但華住的數(shù)據庫IP是允許外網訪問的;最夸張的是，數(shù)據庫的用戶名是“root”，密碼是“123456”。黑客進入企業(yè)內網毫無阻隔，如入無人之境。如果IT部門的網絡安全工作到位，注意保密技術的升級，堵塞漏洞，黑客的得手概率會大大降低。所以除了道德倫理和精神價值的引導、教育之外，從建設的角度看，政府、企業(yè)的互聯(lián)網防護技術需要不斷升級。

第三，企業(yè)在信息安全的投入與需要被保護目標的商業(yè)價值、社會價值不匹配，不能滿足安全運維的需要，也是政企數(shù)據泄露的重要因素。安全投入不足與保護目標價值不匹配，一方面反映出企業(yè)在技術和管理層面目前仍未達到國家安全標準;另一方面也反映出網絡安全保障的意識、認知和能力均落后于信息網絡技術及其應用的爆發(fā)式增長。

案例?2018年4月，臉書（Facebook）在官網發(fā)布聲明，共有8700萬Facebook用戶的個人資料被泄露給了劍橋分析公司（Cambridge Analytica），這些用戶主要集中在美國。事件起源于Facebook與劍橋分析公司的合作。劍橋分析公司為了學術研究，在Facebook上創(chuàng)建了預測用戶性格喜好的App，但它不僅收集了用戶的測試結果，還在未經允許的情況下收集了5000萬用戶在Facebook上的個人信息。劍橋分析公司在獲得了5000萬活躍用戶數(shù)據后，建立起用戶畫像，通過計算機對每個用戶的興趣愛好、性格和行為特點進行精確分析，預測他們的政治傾向，然后定向向用戶推送新聞，借助Facebook的廣告投放系統(tǒng)，影響用戶的投票行為。于是，F(xiàn)acebook對美國大選產生了難以推脫的影響。第三方Facebook應用程序數(shù)據泄露了5.4億條記錄。2019年4月，安全研究人員透露，有兩個第三方開發(fā)的Facebook應用程序數(shù)據集已暴露于公共互聯(lián)網中。一個數(shù)據庫來自墨西哥的媒體公司Cultura Colectiva，數(shù)據高達146GB，其中有5.4億條記錄詳細記錄了評論、喜好、反應、賬戶名、Facebook ID等。研究人員說，另一個第三方應用“At the Pool”通過Amazon S3存儲桶公開訪問了公共互聯(lián)網。該數(shù)據庫備份包含例如用戶名ID、朋友、喜好、音樂、電影、書籍、照片、事件、組、簽到、興趣、密碼等諸多隱私信息。這是一起典型的社交網絡平臺以犧牲用戶隱私數(shù)據為商業(yè)模式背書的案例。

事件發(fā)生之后，F(xiàn)acebook在網絡平臺上發(fā)布暫時關閉劍橋分析公司、戰(zhàn)略交流實驗室公司等Facebook賬號，同時宣布，此后6個月終止與多家大數(shù)據企業(yè)合作，以更好地保護用戶隱私。在“終止合作”清單上，F(xiàn)acebook列出九家知名大數(shù)據企業(yè)，包括安客誠、益百利、甲骨文云數(shù)據和WPP集團。媒體推斷，F(xiàn)acebook迫于政府和民眾的壓力終止與大數(shù)據企業(yè)合作，希望扭轉外界“保護用戶隱私不力”的印象。

2009年，《華爾街日報》曾有一篇名為“Putting Your Best Faces Forward”（《展示你最好的一面》）的文章。該文分析了Facebook何以能夠在當時激烈的社交媒體大戰(zhàn)中脫穎而出，其原因就是用戶基于信任而“愿意用自己的隱私換取一個基于信任的溝通平臺”。與諸多的匿名平臺相比，F(xiàn)acebook要求用真實身份信息注冊獲得了用戶的信任。

但是，“真實身份信息注冊”是不是意味著無底線地“透支隱私”？對此，需要界定何為隱私，何為個人信息。盡管我們經常在媒體上看到隱私和個人信息的討論，但是這兩者的內涵和外延并不盡一致，甚至存在巨大差別。

雖然本案的主要責任不在Facebook，但社交網絡平臺是劍橋分析公司在監(jiān)測數(shù)據時最重要的依仗，F(xiàn)acebook負有不可推卸的責任。此外，通過本案可以看出，F(xiàn)acebook的技術和管理有著巨大的漏洞，即與用戶有關的信息，未經用戶的同意，在用戶完全不知情的狀況下，同樣可能被第三方獲取，只要這個第三方經過我好友的同意即可。也就是說，社交網絡上的個人信息，能否被搜索到，決定權不在用戶，而在搜索用戶的其他人。

在當下這樣一個人人都在社交網絡上的信息時代，F(xiàn)acebook一案的警示意義重大。在中國，所有社交網絡平臺的隱私保護方案可能都存在漏洞，而這些漏洞到底是客觀存在的，還是平臺運營方借由商業(yè)模式考量而放任其存在的？這關乎所有網民的隱私安全。

案例?2019年3月，中國跨境大賣旗下自營網站Gearbest泄露了數(shù)百萬用戶的檔案和購物訂單。名為Elasticsearch的服務器每周泄露了數(shù)百萬條記錄，包括客戶數(shù)據、訂單和付款記錄。該服務器未受密碼保護，允許任何人搜索數(shù)據?？偛课挥谏钲诘腉earbest在歐洲擁有大量業(yè)務，在西班牙、波蘭、捷克和英國設有倉庫，這些國家都適用歐盟數(shù)據保護和隱私法。任何違反通用數(shù)據保護法規(guī)（GDPR）的公司都可能要求繳納高達其全球收入4%的罰款。Gearbest稱自己的服務器是安全的，但是用來臨時存儲數(shù)據的外部工具可能已被其他人訪問，導致安全性受到損害。該公司解釋，使用外部工具的本意是提高效率和防止數(shù)據超載，只有在自動銷毀前的三日內的數(shù)據才會存儲在此類工具中。考慮到可能的數(shù)據安全漏洞，他們使用了功能強大的防火墻保護這些工具，以避免任何數(shù)據被其他人惡意破壞。

之后的調查證明，這并不是一起單純的黑客攻擊事件，更重要的原因來自技術人員的誤操作。2019年3月1日，安保團隊成員錯誤地將這些防火墻拆除（具體原因還在調查當中）。這種不受保護的狀態(tài)直接暴露了這些工具無須進一步驗證即可進行掃描和訪問的問題。

這是Gearbest多年來發(fā)生的第二起安全問題。2017年12月，該公司在所謂的“憑證填充物攻擊”之后，賬戶被攻破。

案例?當前，人臉識別成為應用最為廣泛的AI技術之一，尤其是在智慧安防中，國內大多數(shù)城市都會借助人臉識別、視頻監(jiān)控去打擊罪犯、尋找失蹤人員等等。但智能化的監(jiān)控也不得不面臨著數(shù)據泄露的問題。荷蘭安全研究人員Victor Gevers在推特上曝光，中國一家面部識別公司深網視界（SenseNet）存在數(shù)據泄露問題，任何人都可以訪問其人臉跟蹤數(shù)據的記錄。深網視界是一家專注于計算機視覺和深度學習，主要為視頻監(jiān)控提供智能分析產品服務。而此次數(shù)據泄露事件涉及256萬人的數(shù)據，共計680萬條記錄。由于開放了數(shù)據庫，任何人都可以根據SenseNet的實時面部識別來查看個人的身份證信息，可以獲取這些記錄并跟蹤個人，捕捉其行動軌跡。這非常容易引發(fā)各種犯罪行為。

在本研究采集的案例中，有大量因操作失誤或管理漏洞導致的數(shù)據泄露事件，如上述人臉識別案例，深網視界的數(shù)據庫保持公開狀態(tài)長達半年之久。企業(yè)的這種疏忽可能帶來巨大的危險。另如數(shù)據營銷公司Exactis服務器未設置加密防火墻導致數(shù)億條記錄暴露在公眾面前，招聘網站Ladders也沒有為數(shù)據庫設置訪問的權限。

在黑客技術愈加強大的當下，攻破企業(yè)網站已非難事，沒有安全防護的網絡服務期，就像沒有上鎖的大門一樣，而數(shù)據對于現(xiàn)代企業(yè)而言，可視為最核心的商業(yè)資產，未加任何保護措施，或安保紀律松散，無異于玩火自焚。

第四，企業(yè)內部人員作案，外泄數(shù)據非法獲益。內部人員在高額利益的驅使下鋌而走險，利用職務之便非法獲取大量公民個人信息，這已經成為數(shù)據泄露的重要源頭。2018年全球重大數(shù)據泄露事件統(tǒng)計分析顯示，16%的政企機構數(shù)據泄露事件是由于內部威脅導致的，內部威脅已經成為數(shù)據泄露的第二大源頭。內部人員違規(guī)操作、出賣公司利益已經成為公司數(shù)據安全的重要威脅。

案例?2017年11月20日，趣店超過百萬條學生信息數(shù)據疑似外泄，數(shù)據維度極為細致，除學生借款金額、滯納金等金融數(shù)據外，甚至還包括學生父母電話、男女朋友電話、學信網賬號密碼等隱私信息。這家企業(yè)的內部員工稱此事與企業(yè)在此前的大規(guī)模裁員后賠償金是否到位有關，可能系內部員工所為。有離職員工稱，早期趣店數(shù)據管理就存在巨大安全隱患。

趣店方面后續(xù)回應稱，趣店一直高度重視用戶個人信息安全，不斷提高數(shù)據安全能力與信息加密強度。同時，在內部建立了嚴格的用戶信息保護制度，針對可能存在信息安全風險的用戶進行安全升級提示。趣店還回應稱，地下黑色產業(yè)是行業(yè)毒瘤，此前多家知名互聯(lián)網企業(yè)都曾深受其害。針對地下黑色產業(yè)鏈中盜取用戶賬號資產和販賣用戶信息等不法行為，趣店將與警方密切合作，建立長效合作機制，對不法行為進行堅決打擊，切實保護用戶信息安全。

作為一家互聯(lián)網金融企業(yè)，用戶隱私安全是所有商業(yè)模式的核心部分，但趣店因企業(yè)信息保密制度不健全、用戶數(shù)據管理模式疏漏松散、數(shù)據管理權限門檻過低等問題，給內部人員竊取數(shù)據外泄以可乘之機。很多內部員工都可導出用戶數(shù)據表格，重要數(shù)據一覽無余，沒有任何脫敏，員工級別越高，可導出的數(shù)據就越多。趣店上市前就已經有多個高管離職，而一份多達百萬用戶的數(shù)據，則很有可能是其離職高管泄露的。

案例?2018年9月，杭州警方破獲菜鳥驛站信息泄露案。本案中，1000余萬條快遞信息被非法獲取。作案人身份為菜鳥服務商，其在推廣本公司的閘機、微信公眾號的同時，將控件程序安裝到各個驛站的“巴槍”，獲取包裹入庫數(shù)據，私自打通“菜鳥驛站”同微信公眾號之間的數(shù)據壁壘，為以后利用微信公眾號進行商業(yè)推廣做準備。至2018年6月份，該程序已非法獲取“菜鳥驛站”的快遞數(shù)據達1000余萬條。作為菜鳥驛站的運營方，菜鳥網絡在本案中有不可推卸的責任。

案例?自2014年起，新三板上市公司瑞智華勝及合作伙伴以競標的方式，先后與覆蓋全國十余省市的電信、移動、聯(lián)通、廣電等多家運營商簽訂營銷廣告系統(tǒng)服務合同，為其提供精準廣告投放系統(tǒng)的開發(fā)、維護等服務，進而拿到了運營商服務器的遠程登錄權限。軟件開發(fā)業(yè)務的收入不高，但卻能接觸到運營商流量，該企業(yè)開始清洗賬號的登錄憑證，操縱用戶賬戶。第三方公司通過cookie不需要輸入賬號和密碼，就可以進入賬號，從中獲取注冊信息、搜索記錄、開房記錄等數(shù)據，也可以用用戶的賬戶執(zhí)行加關注、刷量等操作。該企業(yè)利用用戶數(shù)據通過加粉等所謂的“互聯(lián)網營銷和推廣”手段盈利。

案例?從2019年1月20日凌晨開始，拼多多網站出現(xiàn)巨大漏洞，用戶可以領取100元無門檻券。有大批用戶開啟“薅羊毛”的節(jié)奏，利用無門檻券來充值話費、Q幣。4毛就可以充100元話費，瘋狂者“一夜未眠”，利用這一漏洞給自己儲備好了夠用十幾年的話費，有網友甚至曬出截圖，表示自己賬戶內有超過50萬Q幣余額。拼多多在20日中午發(fā)表《關于“黑灰產通過平臺優(yōu)惠券漏洞不正當牟利”的聲明》，表示被盜取了數(shù)千萬元平臺優(yōu)惠券。

電子商務和快遞企業(yè)掌握著海量公民個人信息，這些信息一旦泄露將造成惡劣社會影響和嚴重危害后果。網購在在線下單、倉庫發(fā)貨、快遞物流運輸、末端配送等多個環(huán)節(jié)都存在信息泄露的可能性。過去曾出現(xiàn)多起快遞員出售信息的案件，導致大量個人、家庭信息被犯罪團伙掌握，引發(fā)巨量詐騙案件發(fā)生。我國手機用戶的電話受擾率逐年走高，就與此有密切聯(lián)系。

在新形勢下，在巨大利益驅使下，黑灰產團伙通過平臺漏洞不正當牟利。一些第三方企業(yè)不惜鋌而走險，或直接盜取算法，或借由委托項目等渠道非法獲取個人隱私數(shù)據，利用隱私獲取巨額利益。此類侵害的組織性更強，泄露一旦發(fā)生，對企業(yè)的商業(yè)損害更大，速度也更快。瑞智華勝的財報數(shù)據顯示：2015年，其軟件開發(fā)服務的營收僅187萬元，凈利潤2萬元;轉型為互聯(lián)網營銷后的2016年，公司營收3028萬元，凈利潤達1053萬元，比上年增長500倍。截至該案告破，該企業(yè)共竊取30億條用戶數(shù)據，對社會造成了巨大損害。值得注意的是，該企業(yè)的數(shù)據來源于合作的多家通信運營商，通過本案可以看出，這些運營商對于用戶數(shù)據的權限管理相當松弛，一家營收不到200萬的小公司就可以輕松獲取所有運營商用戶隱私數(shù)據。因此，各級各類企業(yè)及其相關人員，一定要樹立明確的法律意識，不能見利忘義。企業(yè)也要嚴格建立網購信息的相關保密機制，堵塞漏洞，嚴防犯罪。

案例?數(shù)據堂公司在8個月時間內，日均傳輸公民個人信息1億3000萬余條，累計傳輸數(shù)據壓縮后約為4000GB。此次查獲的數(shù)據隱私性高，案件涉及的數(shù)據包含了手機號碼、上網基站代碼等40余項信息要素，還可記錄手機用戶具體的上網行為，甚至通過部分數(shù)據能夠直接進入公民個人賬號主頁，危害巨大。2016年下半年，“交易”二字逐漸淡出數(shù)據堂的官方宣傳和對公司的定位描述。數(shù)據堂的交易平臺屬性已經漸漸隱藏，但其標榜的數(shù)據服務業(yè)務依然繼續(xù)。

數(shù)據堂是一家上市公司，已采取停牌措施，各項業(yè)務受到很大影響。事件發(fā)生后，數(shù)據堂重新審視了自己的風控體系，為所有業(yè)務設定了更高標準的紅線。2017年，數(shù)據堂的產品營銷線和金融征信線已被關停，目前僅剩余人工智能業(yè)務維持公司運行。

其實，數(shù)據堂并非沒有意識到數(shù)據交易可能涉及隱私而觸雷的風險。其在2017年報中稱，“公司作為一家數(shù)據收集和交易公司，必然會和形形色色的數(shù)據打交道，國家在不斷出臺各種法律法規(guī)來確保數(shù)據來源及交易的合法性，因此如何合法合規(guī)地獲取交易數(shù)據成為大數(shù)據企業(yè)，特別是數(shù)據收集和交易公司重點關注的問題”。但不管宣言有多么響亮，內部管理則必須建立嚴格的制度，老老實實遵守法律法規(guī)，不踩紅線，不存僥幸。數(shù)據與商業(yè)價值之間的關系必須得到有效監(jiān)管，才能預防此類事件的再次發(fā)生。

四、 全面推動我國數(shù)據管理升級換代，實施數(shù)據保護的全民教育

數(shù)據管理是信息時代的基礎商業(yè)素養(yǎng)。從以上案例的調研和分析中，我們看到，隱私數(shù)據泄露關涉一個國家的經濟運行、商業(yè)倫理、文化安全、社會安定，乃至政治治理的眾多領域。

從政治治理來看，隱私數(shù)據泄露的治理是一個全局性的國家系統(tǒng)工程，需要各級政府及企業(yè)首先在理念上給予充分關注，認識到這個問題的嚴重性。目前從政府各級官員到企業(yè)都對這個問題認識不足，將其看成小事，這是很危險的。同時，隱私數(shù)據泄露的治理也是維護人民群眾根本利益的重要工作。從本文列舉的案件來看，隱私數(shù)據一旦泄露，受害面往往十分廣泛，社會影響惡劣，給社會輿論帶來極大的負面效應。對此我們必須有充分的認識和警覺。

從經濟運行來看，隱私信息泄露事件造成了大型企業(yè)出現(xiàn)嚴重危機，帶來了經濟運行的不同程度的混亂和損失。如黑客攻破雅虎用戶賬戶保密算法，竊得用戶密碼，造成30億賬戶信息泄露。這一事件是至今全球規(guī)模最大的單一網站數(shù)據泄露事件，最終導致雅虎關張。實際上，不僅僅是雅虎、數(shù)據堂等企業(yè)，許多互聯(lián)網金融企業(yè)、跨境電商都是大數(shù)據時代的商業(yè)新形態(tài)，用戶隱私安全是新型數(shù)字商業(yè)模式的核心部分。它們的成功和興盛，關乎國家整體經濟的升級換代與高質量創(chuàng)新發(fā)展，絕不可等閑視之。

從商業(yè)倫理來看，產業(yè)運行中商業(yè)道德的缺失、企業(yè)信息保密制度的漏洞，都會帶來嚴重問題。特別是第三方公司在巨大利益驅使下，公然盜竊運營商用戶賬號，嚴重違背商業(yè)倫理，并涉嫌違法。如新三板上市公司瑞智華勝及合作伙伴曾以競標的方式獲得多家運營商營銷廣告系統(tǒng)服務合同，為其提供精準廣告投放系統(tǒng)的開發(fā)、維護等服務，因而拿到了運營商服務器的遠程登錄權限。如果到此為止，瑞智華勝并未違反商業(yè)倫理和市場規(guī)則。然而，在巨額利潤的驅使下，企業(yè)主或完全喪失商業(yè)道德，或根本認識不到這種做法是錯誤或違法的，因為很多企業(yè)主在嶄新的數(shù)字環(huán)境下尚未普遍具備新數(shù)字倫理的教育準備。

從道德價值與文化倫理來看，前述案例表明，近年來我國隱私數(shù)據泄露的事件發(fā)生頻繁，數(shù)量驚人。過度收集、違規(guī)甚至違法濫用用戶個人隱私信息的事件大量存在，非法數(shù)據共享與交易帶來的安全挑戰(zhàn)愈加嚴峻。李彥宏在談到數(shù)據保護和用戶隱私保護的重要性時說，“在過去的幾年當中，中國越來越認識到這個問題，而且也一直在加強相關的法律法規(guī)的建設”。②《李彥宏談大數(shù)據：中國人不敏感愿意用隱私換便利》，新浪網財經頻道，http：//finance.sina.com.cn/meeting/20180326/doc?ifysqfnf8646820.shtml？from=finance_zaker，2018年3月26日。但李彥宏也表示，中國人相對開放，對隱私問題沒有外國人那么敏感?！叭绻秒[私來交換便捷性或者是效率的話，很多情況下，他們是愿意這么做的。”②美國聯(lián)邦貿易委員會（FTC）通過投票批準了與Facebook達成的和解協(xié)議，對后者開出50億美元的罰單以結束有關針對其隱私問題的調查。FTC的這項50億美元罰款創(chuàng)下了一項新的紀錄，成為有史以來該機構對違反隱私承諾的科技公司開出的最大罰單。此后，巴西司法部以同一原因對Facebook處以660萬雷亞爾（約合164萬美元）的罰款;歐洲隱私管制機構愛爾蘭數(shù)據保護委員會也著手調查，F(xiàn)acebook又被罰款超過16億美元。受一系列事件的影響，F(xiàn)acebook股價已受到影響。這也從一方面震懾了涉嫌違規(guī)的企業(yè)，同時也維護、教育和鼓勵了消費者。比起歐美國家，我國大眾普遍缺乏明確的個體隱私保護意識，對于大量違背現(xiàn)代道德倫理和文化倫理的錯誤觀念不敏感、不警覺;對于個人隱私權益受到侵害往往采取息事寧人的態(tài)度，維權不堅決、不在行，對于互聯(lián)網信息世界的復雜的運作方式往往會采取簡單接受的態(tài)度。如前述Facebook用戶信息泄露的事件就在歐美引起軒然大波。創(chuàng)始人扎克伯格，在6份英國報紙和3份美國報紙上，采用道歉信形式為5000萬Facebook用戶信息被劍橋分析公司泄露和利用一事道歉。信中，扎克伯格直接對用戶表示了歉意，稱：“這是對信任的違背，我很抱歉我們沒有在當時做得更多?！雹艹刑烀桑骸对瞬裨谟⒚?家報紙登報道歉，正式為泄密說了Sorry》，澎湃新聞，https：//www.thepaper.cn/newsDetail_forward_2042694，2018年3月26日。報紙頁面用較大字體寫著：“我們有責任保護你們的信息。如果做不到，我們就不配提供服務?！雹艿谥袊?，盡管互聯(lián)網數(shù)據泄露案件頻發(fā)，但所引發(fā)的關注度卻令人嘆息。李彥宏所謂中國用戶往往愿意以隱私來換方便和效率的論調引發(fā)了廣泛爭議，也帶來了業(yè)界的深入思考。中國用戶隱私泄露嚴重，就能夠倒推得到中國用戶愿意用隱私換便利的結論嗎？其實，中國用戶并不是“愿意用隱私交換便利”，當騷擾電話、騷擾郵件和騷擾微信鋪天蓋地時，數(shù)據泄露已經成為常態(tài)，而我們又不得不被迫接受，不得不出賣隱私交換便利，甚至于出了問題往往無可奈何，難以維權，這才是當前的現(xiàn)實。毫無疑問，這種不合理、不道德的狀況恰恰需要我們進行一場全民的學習和維權教育。

從文化安全角度來看，像密碼/口令這種網民/企業(yè)保護自身網絡安全的第一道防護門，卻由于多數(shù)網民設置的密碼/口令十分隨意，簡單重復，使其極易被破解。這種弱口令給大多數(shù)網民/企業(yè)帶了巨大損失，成為黑客攻擊成功的關鍵因素。案例證明，52.2%的泄露事件是由于使用弱口令導致的。一系列的案例告訴我們，必須認真嚴謹?shù)匕押每诹畹谝魂P。隨后發(fā)生數(shù)據泄露的口令也要迅速采取措施，如封鎖IP地址、關閉一些服務器及在整個網絡環(huán)境內設立進階威脅偵測系統(tǒng)等。一些企業(yè)管理者不是不能防止這種現(xiàn)象發(fā)生，而是因為種種原因忽視甚至不愿意預先設置有效的安全措施予以防范。這里，黑客問題固然是個全球頭疼的嚴峻問題，而普遍的公民網絡安全教育則是刻不容緩的。

從全球發(fā)展看，互聯(lián)網領域發(fā)展不平衡、規(guī)則不健全、秩序不合理等問題日益凸顯。不同國家和地區(qū)信息鴻溝不斷拉大，現(xiàn)有網絡空間治理規(guī)則難以反映大多數(shù)國家意愿和利益;世界范圍內侵害個人隱私、侵犯知識產權、網絡犯罪等現(xiàn)象時有發(fā)生，網絡監(jiān)聽、網絡攻擊、網絡恐怖主義活動等成為全球公害。在防止隱私數(shù)據泄露上，全球各國是一個“人類命運共同體”。2014年7月16日習近平總書記出訪巴西時，就在巴西國會的演講中指出，“雖然互聯(lián)網具有高度全球化的特征，但每一個國家在信息領域的主權權益都不應受到侵犯，互聯(lián)網技術再發(fā)展也不能侵犯他國的信息主權。在信息領域沒有雙重標準，各國都有權維護自己的信息安全，不能一個國家安全而其他國家不安全，一部分國家安全而另一部分國家不安全，更不能犧牲別國安全謀求自身所謂絕對安全”《“平語”近人——習近平的“互聯(lián)網思維”》，新華網，http：//www.xinhuanet.com/politics/201512/17/C_1120861474.htm， 2015年12月17日。。

如何落實習近平總書記的頂層規(guī)劃，防范隱私數(shù)據泄露，如何全面規(guī)劃網絡數(shù)據安全的標準體系，從制度層面建設長效防火墻，減少和杜絕大規(guī)模的嚴重隱私數(shù)據泄露事件，是我們必須抓緊攻克的難關。

目前我國網絡數(shù)據安全標準化工作仍存在三方面問題：一是標準體系性不強，標準制定工作缺乏統(tǒng)籌協(xié)調，術語定義、分類分級等基礎性標準尚不完善;二是部分關鍵標準亟須制定，數(shù)據安全評估、重要數(shù)據保護等重點標準的制定工作進展緩慢;三是部分重點領域相關標準仍存在空白，網絡數(shù)據安全標準對5G、移動互聯(lián)網、車聯(lián)網、物聯(lián)網、工業(yè)互聯(lián)網、云計算、大數(shù)據、人工智能、區(qū)塊鏈等重點領域高質量發(fā)展的支撐作用有待加強。

2020年，工業(yè)和信息化部等單位編制完成《網絡數(shù)據安全標準體系建設指南》（征求意見稿）及編制說明，通過頂層設計，制定政府引導和市場驅動相結合的網絡數(shù)據安全標準體系建設方案，為行業(yè)網絡數(shù)據安全管理提供有力支撐。雖然目前還只是一個征求意見稿，但其從標準體系入手，既可以解決當前的現(xiàn)實問題，又具有長遠的歷史意義。

工信部表示，網絡數(shù)據資源與傳統(tǒng)資源不同，其具有流動特性，需要切實加強網絡數(shù)據全生命周期各個環(huán)節(jié)的安全保護，針對各應用領域和業(yè)務場景下的不同特點，形成閉環(huán)安全管理模式，有效保護用戶合法權益，切實維護國家重要數(shù)據安全?！丁淳W絡數(shù)據安全標準體系建設指南〉編制說明》，中華人民共和國工業(yè)和信息化部網站，http：//miit.gov.cn，2020年6月8日。

《網絡數(shù)據安全標準體系建設指南》（征求意見稿）指出，到2021年，初步建立網絡數(shù)據安全標準體系，有效落實網絡數(shù)據安全管理要求，基本滿足行業(yè)網絡數(shù)據安全保護需要，推進標準在重點企業(yè)、重點領域中的應用，研制網絡數(shù)據安全行業(yè)標準20項以上。到2023年，健全完善網絡數(shù)據安全標準體系，使標準技術水平、應用水平和國際化水平顯著提高，有力促進行業(yè)網絡數(shù)據安全保護能力提升，研制網絡數(shù)據安全行業(yè)標準50項以上。

有了標準體系，就需要我們遵照體系要求，全面培育我國全體國民的網絡安全與隱私保護意識。目前我國社會對此危機的認識還存在許多觀念和認識上的問題。隱私數(shù)據泄露者與被泄露者均十分缺乏法律意識、維權意識。很多人對個人或企業(yè)信息被盜的危害性認識不足，或信息被盜取但無法維權，對此持無奈、消極態(tài)度。國家對防止隱私數(shù)據泄露的整體監(jiān)管也還存在著諸多需要解決的問題。因此，推動一個網絡安全與隱私保護的全民宣傳教育活動十分必要。

在2015年12月16日召開的第二屆世界互聯(lián)網大會上，習近平總書記指出，互聯(lián)網雖然是無形的，但運用互聯(lián)網的人們都是有形的，互聯(lián)網是人類的共同家園。讓這個家園更美麗、更干凈、更安全，是國際社會的共同責任。國際社會應該在相互尊重、相互信任的基礎上，加強對話合作，推動互聯(lián)網全球治理體系變革，共同構建和平、安全、開放、合作的網絡空間，建立多邊、民主、透明的全球互聯(lián)網治理體系?！读暯皆诘诙檬澜缁ヂ?lián)網大會開幕式上的講話》，新華網，http：//www.xinhuanet.com/politics/201512/16/C_1117481089.htm， 2015年12月16日。

這就是本研究力圖實現(xiàn)的最高目標。

On the Personal Privacy Data Leakage and Protection

in the Era of Big Data

JIN Yuanpu

School of Liberal Arts， Renmin University of China， Beijing 100872， China

Data management in the era of big data is an important subject of national governance in the information age. A large number of personal privacy data leaks in recent years， which has become a major social issue of global concern. It involves many areas of economic operation， business ethics， cultural security， social stability， and even political clarity. This article selects important cases from China and abroad in the last three years to analyze the causes of privacy data leakage. It can be found that there are currently four types of privacy data leakage. It is an urgent task to reduce or completely eradicate large?scale privacy data leakage from the top level and to build a new pattern of information protection and data management in China.

privacy;?data leakage;?hacking;?technical vulnerabilities;?data management;?data protection