金元浦

(中國(guó)人民大學(xué) 文學(xué)院， 北京 100872)

大數(shù)據(jù)時(shí)代的數(shù)據(jù)管理是信息時(shí)代各國(guó)治國(guó)理政所面對(duì)的新現(xiàn)實(shí)、新課題。近年來(lái)，大量個(gè)人隱私數(shù)據(jù)泄露的現(xiàn)狀已成為當(dāng)前全球關(guān)注的一個(gè)重大社會(huì)問(wèn)題。它關(guān)涉各國(guó)的經(jīng)濟(jì)運(yùn)行、商業(yè)倫理、文化安全、社會(huì)安定，乃至政治清明的眾多領(lǐng)域，也關(guān)涉普通民眾的個(gè)人隱私、家庭關(guān)系、消費(fèi)活動(dòng)、文化背景，乃至個(gè)體自由等諸多方面。本文選擇中外三年來(lái)的重要案例來(lái)分析隱私數(shù)據(jù)泄露的原因。研究發(fā)現(xiàn)，目前隱私數(shù)據(jù)泄露有四種類(lèi)型：黑客作為數(shù)據(jù)泄露的主因之一，通過(guò)攻擊企業(yè)技術(shù)漏洞帶來(lái)了嚴(yán)重后果；網(wǎng)絡(luò)企業(yè)觀念上的諸多問(wèn)題和管理上的漏洞，造成攻擊者可乘之機(jī)；利益驅(qū)使第三方企業(yè)非法獲取、利用個(gè)人隱私數(shù)據(jù)獲利；數(shù)據(jù)管理松弛，企業(yè)內(nèi)部人員作案，外泄數(shù)據(jù)非法獲益。如何從頂層全面降低或進(jìn)一步杜絕大規(guī)模隱私數(shù)據(jù)泄露，構(gòu)建我國(guó)信息保護(hù)和數(shù)據(jù)管理的新格局是我們當(dāng)前面臨的一項(xiàng)緊迫的任務(wù)。

本文的邏輯為：?jiǎn)栴}導(dǎo)向—調(diào)研篩選—案例分析—討論建議—理論探討。

一、 隱私數(shù)據(jù)泄露已成為互聯(lián)網(wǎng)時(shí)代全球重大的社會(huì)問(wèn)題

隱私數(shù)據(jù)泄露已成為互聯(lián)網(wǎng)時(shí)代全球重大的社會(huì)問(wèn)題，嚴(yán)峻現(xiàn)實(shí)要求我們必須對(duì)此作出回答。近年來(lái)，隨著大數(shù)據(jù)運(yùn)用的日益頻繁、技術(shù)的日益成熟，隱私數(shù)據(jù)的泄露到了觸目驚心、令人恐懼的狀態(tài)。隱私數(shù)據(jù)泄露的案例比比皆是，據(jù)不完全統(tǒng)計(jì)，各類(lèi)案例多達(dá)數(shù)百萬(wàn)起。受隱私數(shù)據(jù)泄露影響的人數(shù)已達(dá)數(shù)十億。隱私數(shù)據(jù)泄露的總量?jī)H2018年以來(lái)就達(dá)到數(shù)百億條，并且有不斷增加的趨勢(shì)。隱私數(shù)據(jù)泄露的頻次也越來(lái)越密集，由2013年以前的偶發(fā)變?yōu)槊芗猿B(tài)。

案例2018年8月，澎湃新聞從紹興市越城區(qū)公安分局獲悉，該局日前偵破一起特大流量劫持案，涉案的新三板掛牌公司北京瑞智華勝科技股份有限公司，涉嫌非法竊取用戶個(gè)人信息30億條，非法操控公眾賬號(hào)進(jìn)行加粉或關(guān)注，涉及百度、騰訊、阿里、京東等全國(guó)96家互聯(lián)網(wǎng)公司。

案例安全研究者Sanyam Jain先后5次發(fā)現(xiàn)Elasticsearch服務(wù)器不安全。第1臺(tái)服務(wù)器存有3300萬(wàn)中國(guó)用戶簡(jiǎn)歷。他將問(wèn)題報(bào)告給中國(guó)國(guó)家計(jì)算機(jī)應(yīng)急響應(yīng)小組(CNCERT)，4天后數(shù)據(jù)庫(kù)得到修復(fù)。第2臺(tái)服務(wù)器存有8480萬(wàn)份簡(jiǎn)歷，在CNCERT的幫助下，問(wèn)題得以解決。第3臺(tái)服務(wù)器存放著9300萬(wàn)份簡(jiǎn)歷。第4臺(tái)服務(wù)器同樣存放著來(lái)自中國(guó)企業(yè)的900萬(wàn)份簡(jiǎn)歷數(shù)據(jù)。第5個(gè)泄露點(diǎn)是Elasticsearch服務(wù)器集群，里面存放逾1.29億份簡(jiǎn)歷。Jain無(wú)法確認(rèn)所有者，但數(shù)據(jù)庫(kù)仍為開(kāi)放狀態(tài)。

案例據(jù)Wired報(bào)道，2018年曝光的市場(chǎng)和數(shù)據(jù)匯總公司Exactis服務(wù)器信息暴露的事情經(jīng)調(diào)查為實(shí)，該數(shù)據(jù)涉及大約3.4億條記錄，容量接近2TB，據(jù)說(shuō)涵蓋2.3億人。這些數(shù)據(jù)包含的隱私深度超乎想象，包括一個(gè)人是否吸煙、有什么宗教信仰、是否養(yǎng)狗或養(yǎng)貓以及各種興趣等。Exactis事后對(duì)數(shù)據(jù)進(jìn)行了加密防護(hù)，以避免信息的進(jìn)一步泄露。

隱私數(shù)據(jù)泄露所涉及的范圍日益擴(kuò)大，陷入困境的行業(yè)、部門(mén)越來(lái)越多。互聯(lián)網(wǎng)信息業(yè)、大數(shù)據(jù)行業(yè)、快遞業(yè)、酒店業(yè)、航空業(yè)、綜合類(lèi)商業(yè)，以及醫(yī)療行業(yè)、餐飲業(yè)等，越是與人們現(xiàn)代生活、商務(wù)、出行有密切關(guān)系的行業(yè)，受到的影響越大。以酒店業(yè)為例，近年來(lái)，酒店業(yè)的信息泄露問(wèn)題越來(lái)越嚴(yán)重，原因就在于巨大的經(jīng)濟(jì)利益。截至2018年底，全國(guó)住宿業(yè)的設(shè)施總數(shù)為482,603家，客房總規(guī)模18,164,158間，其中的酒店類(lèi)住宿業(yè)設(shè)施344,313家，客房總數(shù)16,858,721間。(1)盈蝶咨詢(xún)、北京第二外國(guó)語(yǔ)學(xué)院旅游科學(xué)學(xué)院：《2019中國(guó)大住宿業(yè)發(fā)展報(bào)告(上)》，盈蝶咨詢(xún)網(wǎng)站，http://inntie.com，2019年10月10日。每位住客的身份證號(hào)、電話號(hào)碼、房間號(hào)等個(gè)人信息將同步上傳至酒店內(nèi)部的管理系統(tǒng)。因此，從行業(yè)來(lái)看，酒店業(yè)是黑客獲取核心隱私數(shù)據(jù)最方便、最集中的行業(yè)之一，而國(guó)際連鎖酒店因其客源質(zhì)量很高，信息量巨大，經(jīng)濟(jì)效應(yīng)也十分可觀，故其往往成為黑客或犯罪人員的最佳選擇。

案例 信息業(yè)2018年9月份，研究人員在一個(gè)配置錯(cuò)誤的服務(wù)器上發(fā)現(xiàn)了存儲(chǔ)有超過(guò)200GB數(shù)據(jù)的數(shù)據(jù)庫(kù)。據(jù)悉，該服務(wù)器處于完全無(wú)防御的狀態(tài)且面向公眾開(kāi)放，任何人都能夠公開(kāi)查詢(xún)和訪問(wèn)其數(shù)據(jù)。研究人員介紹稱(chēng)，該數(shù)據(jù)庫(kù)中存儲(chǔ)有來(lái)自Veeam公司的約4.45億客戶記錄，其中包含客戶的個(gè)人信息，如姓名、電子郵件地址以及居住地等。此外，該服務(wù)器上提供的其他詳細(xì)信息還包括部分營(yíng)銷(xiāo)數(shù)據(jù)，例如：客戶類(lèi)型和組織規(guī)模、IP地址、來(lái)源地址(referrer)、當(dāng)前頁(yè)面地址(URL)以及用戶代理等。

案例 快遞業(yè)2018年6月，“暗網(wǎng)”一位ID“f666666”的用戶開(kāi)始兜售圓通10億條快遞數(shù)據(jù)，該用戶表示售賣(mài)的數(shù)據(jù)為2014年下旬的數(shù)據(jù)，數(shù)據(jù)信息包括寄(收)件人姓名、電話、地址等信息，10億條數(shù)據(jù)經(jīng)過(guò)處理，數(shù)據(jù)重復(fù)率低于20%，數(shù)據(jù)被該用戶以1比特幣打包出售。網(wǎng)友驗(yàn)證了其中一部分?jǐn)?shù)據(jù)，發(fā)現(xiàn)在所購(gòu)“單號(hào)”中，姓名、電話、住址等信息均屬實(shí)。

案例 酒店業(yè)萬(wàn)豪國(guó)際集團(tuán)于2018年11月30日發(fā)布公告稱(chēng)，旗下喜達(dá)屋酒店客房預(yù)訂數(shù)據(jù)庫(kù)遭黑客入侵，最多約5億名客人的信息可能被泄露。萬(wàn)豪酒店在隨后的調(diào)查中發(fā)現(xiàn)，有第三方對(duì)喜達(dá)屋的網(wǎng)絡(luò)進(jìn)行未經(jīng)授權(quán)的訪問(wèn)。目前，未經(jīng)授權(quán)的第三方已復(fù)制并加密了某些信息，并且采取措施試圖將這些信息移出。萬(wàn)豪披露，大約3.27億名客人的個(gè)人姓名、通信地址、電話號(hào)碼、電子郵箱、護(hù)照號(hào)碼、喜達(dá)屋SPG俱樂(lè)部賬戶信息、出生日期、性別等信息可能已經(jīng)全部泄露。

案例 航空業(yè)2018年10月24日晚間，國(guó)泰航空發(fā)布公告稱(chēng)，公司及子公司港龍航空共有940萬(wàn)名乘客信息遭泄露，包括乘客姓名、出生日期、電話號(hào)碼、護(hù)照、身份證號(hào)碼、過(guò)往飛行記錄等資料。約86萬(wàn)個(gè)護(hù)照號(hào)碼及24.5萬(wàn)個(gè)香港地區(qū)身份證號(hào)碼曾被不當(dāng)取閱。另有403張已逾期信用卡號(hào)碼和27張無(wú)安全碼的信用卡號(hào)碼被不當(dāng)取閱。

案例 綜合商業(yè)類(lèi)(含電子商務(wù))美國(guó)功能性運(yùn)動(dòng)品牌Under Armour(安德瑪)旗下飲食和營(yíng)養(yǎng)管理App及網(wǎng)站myfitnesspal多達(dá)1.5億用戶的信息被盜。此次數(shù)據(jù)泄露事件影響到的用戶數(shù)據(jù)包括用戶名、郵箱地址和加密的密碼。安德瑪表示，該數(shù)據(jù)泄露事件并沒(méi)有涉及用戶的社會(huì)安全號(hào)碼、駕駛證號(hào)、銀行卡號(hào)等隱私信息。

從以上的案例及梳理我們看到：隱私數(shù)據(jù)泄露是一個(gè)危及全球各國(guó)的國(guó)際性重大事件，是一個(gè)侵害公民生命財(cái)產(chǎn)安全的重大危機(jī)，是一個(gè)滲透到社會(huì)經(jīng)濟(jì)的各個(gè)領(lǐng)域的普遍性困境，是一個(gè)互聯(lián)網(wǎng)時(shí)代網(wǎng)絡(luò)安全、法律保護(hù)、制度建設(shè)的新課題，也是尊重人權(quán)、隱私權(quán)、知識(shí)產(chǎn)權(quán)等有關(guān)新時(shí)代網(wǎng)絡(luò)倫理、商業(yè)倫理、文化倫理的理論和實(shí)踐研究的重大課題。

隱私數(shù)據(jù)的大規(guī)模泄露是在4G/5G條件下互聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能、云計(jì)算、物聯(lián)網(wǎng)等新科技支撐下發(fā)生、發(fā)展并迅速蔓延的。一方面，隨著技術(shù)的進(jìn)步，我們享有著現(xiàn)代社會(huì)高科技帶來(lái)的高速、便捷、共享和智能的服務(wù)；另一方面，反向的控制、盜竊等技術(shù)也日益精細(xì)，我們也因此不得不面對(duì)因隱私數(shù)據(jù)泄露而帶來(lái)的巨大危害的新困境。

隱私數(shù)據(jù)泄露的事件具有普遍性、多發(fā)性、爆發(fā)性特征。從目前來(lái)看，隱私數(shù)據(jù)泄露已經(jīng)十分普遍，除了上述大型案件，中小企業(yè)、普通民眾都受到騷擾和侵害。在云存儲(chǔ)服務(wù)平臺(tái)MEGA上，7.73億個(gè)電子郵件地址和近2200萬(wàn)個(gè)密碼被黑客公開(kāi)竊取。這些文件一共超過(guò)1.2萬(wàn)份，數(shù)據(jù)超過(guò)87GB。這類(lèi)事件具有很高的發(fā)生頻率，隨著技術(shù)的更新，案件發(fā)生率不斷升高。隱私數(shù)據(jù)泄露往往會(huì)引發(fā)爆發(fā)性事件。事件一旦發(fā)生就會(huì)產(chǎn)生嚴(yán)重后果：其危害程度很高，往往產(chǎn)生共振效應(yīng)，引發(fā)社會(huì)不滿和動(dòng)蕩，影響廣泛；在時(shí)間上也可能會(huì)延續(xù)數(shù)年，短時(shí)間很難消除影響。

從社會(huì)安定和諧來(lái)看，我國(guó)隱私數(shù)據(jù)泄露帶來(lái)了非常多的社會(huì)問(wèn)題，甚至造成了嚴(yán)重社會(huì)危機(jī)事件。國(guó)內(nèi)外信息犯罪團(tuán)伙涉及的養(yǎng)老、養(yǎng)生、醫(yī)療、房地產(chǎn)、金融、股市、債市、慈善等巨量詐騙案件，都是從信息泄露開(kāi)始的，給眾多受害人帶來(lái)了嚴(yán)重?fù)p害，造成財(cái)產(chǎn)損失、家庭破裂、身心受損等后果，甚至帶來(lái)社會(huì)動(dòng)蕩，大大破壞了社會(huì)的安定團(tuán)結(jié)。

二、 大數(shù)據(jù)時(shí)代的數(shù)據(jù)管理是信息時(shí)代各國(guó)治國(guó)理政的重要課題

大數(shù)據(jù)時(shí)代的數(shù)據(jù)管理是信息時(shí)代各國(guó)治國(guó)理政的重要課題。習(xí)近平總書(shū)記多次提出關(guān)注推進(jìn)數(shù)字化時(shí)代的大數(shù)據(jù)、數(shù)據(jù)治理、數(shù)據(jù)運(yùn)行、網(wǎng)絡(luò)安全等一系列關(guān)乎治國(guó)理政的重大問(wèn)題。隨著世界多極化、經(jīng)濟(jì)全球化、社會(huì)信息化、文化多樣化的深入發(fā)展，互聯(lián)網(wǎng)對(duì)人類(lèi)文明進(jìn)步將發(fā)揮更大促進(jìn)作用。數(shù)字信息流的全球流動(dòng)將不斷引領(lǐng)技術(shù)流、資金流、人才流，信息資源日益成為重要生產(chǎn)要素和社會(huì)財(cái)富，信息掌握的多寡成為國(guó)家軟實(shí)力和競(jìng)爭(zhēng)力強(qiáng)弱的重要標(biāo)志。我國(guó)積極倡導(dǎo)發(fā)展5G背景下的移動(dòng)網(wǎng)、大數(shù)據(jù)、云計(jì)算、人工智能、區(qū)塊鏈、物聯(lián)網(wǎng)等當(dāng)代數(shù)字信息科技，大力構(gòu)建數(shù)字中國(guó)。習(xí)近平總書(shū)記強(qiáng)調(diào)：“信息技術(shù)和產(chǎn)業(yè)發(fā)展程度決定著信息化發(fā)展水平，要加強(qiáng)核心技術(shù)自主創(chuàng)新和基礎(chǔ)設(shè)施建設(shè)，提升信息采集、處理、傳播、利用、安全能力，更好惠及民生。”(2)《習(xí)近平：讓企業(yè)成為信息產(chǎn)業(yè)發(fā)展主體》，人民網(wǎng)，http://finance.people.com.cn/n/2014/0228/c70846-24495058.html, 2014年2月28日。

在2018年4月20日召開(kāi)的全國(guó)網(wǎng)絡(luò)安全和信息化工作會(huì)議上，習(xí)近平總書(shū)記強(qiáng)調(diào)互聯(lián)網(wǎng)等高新科技代表著新的生產(chǎn)力和新的發(fā)展方向，他指出，“要發(fā)展數(shù)字經(jīng)濟(jì)，加快推動(dòng)數(shù)字產(chǎn)業(yè)化，依靠信息技術(shù)創(chuàng)新驅(qū)動(dòng)，不斷催生新產(chǎn)業(yè)新業(yè)態(tài)新模式，用新動(dòng)能推動(dòng)新發(fā)展。要推動(dòng)產(chǎn)業(yè)數(shù)字化，利用互聯(lián)網(wǎng)新技術(shù)新應(yīng)用對(duì)傳統(tǒng)產(chǎn)業(yè)進(jìn)行全方位、全角度、全鏈條的改造，提高全要素生產(chǎn)率，釋放數(shù)字對(duì)經(jīng)濟(jì)發(fā)展的放大、疊加、倍增作用”(3)《習(xí)近平：要發(fā)展數(shù)字經(jīng)濟(jì)加快推動(dòng)數(shù)字產(chǎn)業(yè)化》，每經(jīng)網(wǎng)，http://www.nbd.com.cn/articles/2018-04-21/1210367.html, 2018年4月21日。。在這里，習(xí)近平總書(shū)記從頂層設(shè)計(jì)出發(fā)，提出了“五新”“四全”“三大作用”的總體要求。這是我們未來(lái)一段時(shí)間數(shù)字中國(guó)發(fā)展的總綱領(lǐng)。

在發(fā)展數(shù)字科技的同時(shí)，我國(guó)也大力推動(dòng)全面實(shí)施網(wǎng)絡(luò)安全、數(shù)據(jù)保護(hù)和信息管理的升級(jí)換代。早在2014年2月27日，習(xí)近平總書(shū)記在主持召開(kāi)中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組第一次會(huì)議時(shí)就提出，“沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全，沒(méi)有信息化就沒(méi)有現(xiàn)代化”(4)《習(xí)近平：沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全》，中華人民共和國(guó)國(guó)家互聯(lián)網(wǎng)信息辦公室網(wǎng)站，http://www.cac.gov.cn/2018-12/27/c-1123907720.htm, 2018年12月27日。。他要求我們樹(shù)立正確的網(wǎng)絡(luò)安全觀，加強(qiáng)信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全防護(hù)，加強(qiáng)網(wǎng)絡(luò)安全信息統(tǒng)籌機(jī)制、手段、平臺(tái)建設(shè)，加強(qiáng)網(wǎng)絡(luò)安全事件應(yīng)急指揮能力建設(shè)，積極發(fā)展網(wǎng)絡(luò)安全產(chǎn)業(yè)，做到關(guān)口前移，防患于未然。2016年4月19日，習(xí)近平總書(shū)記在網(wǎng)絡(luò)安全和信息化工作座談會(huì)上指出：“網(wǎng)絡(luò)空間是億萬(wàn)民眾共同的精神家園。網(wǎng)絡(luò)空間天朗氣清、生態(tài)良好，符合人民利益。網(wǎng)絡(luò)空間烏煙瘴氣、生態(tài)惡化，不符合人民利益。誰(shuí)都不愿生活在一個(gè)充斥著虛假、詐騙、攻擊、謾罵、恐怖、色情、暴力的空間。互聯(lián)網(wǎng)不是法外之地?！?5)《習(xí)近平：沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全》，中華人民共和國(guó)國(guó)家互聯(lián)網(wǎng)信息辦公室網(wǎng)站，http://www.cac.gov.cn/2018-12/27/c-1123907720.htm, 2018年12月27日。

習(xí)近平總書(shū)記還指出：“利用網(wǎng)絡(luò)進(jìn)行欺詐活動(dòng)，散布色情材料，進(jìn)行人身攻擊，兜售非法物品，等等，這樣的言行也要堅(jiān)決管控，決不能任其大行其道。沒(méi)有哪個(gè)國(guó)家會(huì)允許這樣的行為泛濫開(kāi)來(lái)。我們要本著對(duì)社會(huì)負(fù)責(zé)、對(duì)人民負(fù)責(zé)的態(tài)度，依法加強(qiáng)網(wǎng)絡(luò)空間治理，加強(qiáng)網(wǎng)絡(luò)內(nèi)容建設(shè)，做強(qiáng)網(wǎng)上正面宣傳，培育積極健康、向上向善的網(wǎng)絡(luò)文化，用社會(huì)主義核心價(jià)值觀和人類(lèi)優(yōu)秀文明成果滋養(yǎng)人心、滋養(yǎng)社會(huì)，做到正能量充沛、主旋律高昂，為廣大網(wǎng)民特別是青少年?duì)I造一個(gè)風(fēng)清氣正的網(wǎng)絡(luò)空間?！?6)《習(xí)近平：在網(wǎng)絡(luò)安全和信息化工作座談會(huì)上的講話》(2016年4月19日)，載《人民日?qǐng)?bào)》，2016年4月26日。“不能搬弄是非、顛倒黑白、造謠生事、違法犯罪，不能超越了憲法法律界限?！?7)《習(xí)近平：在網(wǎng)絡(luò)安全和信息化工作座談會(huì)上的講話》(2016年4月19日)，載《人民日?qǐng)?bào)》，2016年4月26日。面對(duì)復(fù)雜變化的現(xiàn)實(shí)，習(xí)近平總書(shū)記要求全黨“認(rèn)清我們面臨的形勢(shì)和任務(wù)，充分認(rèn)識(shí)做好工作的重要性和緊迫性，因勢(shì)而謀，應(yīng)勢(shì)而動(dòng)，順勢(shì)而為”(8)《習(xí)近平主持召開(kāi)中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組第一次會(huì)議強(qiáng)調(diào) 總體布局統(tǒng)籌各方創(chuàng)新發(fā)展努力把我國(guó)建設(shè)成為網(wǎng)絡(luò)強(qiáng)國(guó)李克強(qiáng)劉云山出席》，載《人民日?qǐng)?bào)》，2014年2月28日。。

如何把握和運(yùn)用我國(guó)目前已經(jīng)擁有的互聯(lián)網(wǎng)高位勢(shì)能，解決發(fā)展和安全、開(kāi)放與法制、數(shù)據(jù)管理與隱私保護(hù)等一系列的現(xiàn)實(shí)難題？習(xí)近平總書(shū)記提出辯證治理、對(duì)位發(fā)展的總體戰(zhàn)略：“網(wǎng)絡(luò)安全和信息化是一體之兩翼、驅(qū)動(dòng)之雙輪，必須統(tǒng)一謀劃、統(tǒng)一部署、統(tǒng)一推進(jìn)、統(tǒng)一實(shí)施。做好網(wǎng)絡(luò)安全和信息化工作，要處理好安全和發(fā)展的關(guān)系，做到協(xié)調(diào)一致、齊頭并進(jìn)，以安全保發(fā)展、以發(fā)展促安全，努力建久安之勢(shì)、成長(zhǎng)治之業(yè)?！?9)《習(xí)近平主持召開(kāi)中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組第一次會(huì)議強(qiáng)調(diào) 總體布局統(tǒng)籌各方創(chuàng)新發(fā)展努力把我國(guó)建設(shè)成為網(wǎng)絡(luò)強(qiáng)國(guó)李克強(qiáng)劉云山出席》，載《人民日?qǐng)?bào)》，2014年2月28日。習(xí)近平總書(shū)記高瞻遠(yuǎn)矚，從頂層設(shè)計(jì)把握看來(lái)矛盾的雙方，將之視為同一事物的兩個(gè)側(cè)面，實(shí)施四個(gè)統(tǒng)一，方能建久安之勢(shì)、成長(zhǎng)治之業(yè)。

要想保證數(shù)字信息發(fā)展與網(wǎng)絡(luò)安全保護(hù)的對(duì)位性辯證治理，保證網(wǎng)絡(luò)空間風(fēng)清氣朗，習(xí)近平總書(shū)記提出了時(shí)、度、效三個(gè)重要策略(10)《習(xí)近平主持召開(kāi)中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組第一次會(huì)議強(qiáng)調(diào) 總體布局統(tǒng)籌各方創(chuàng)新發(fā)展努力把我國(guó)建設(shè)成為網(wǎng)絡(luò)強(qiáng)國(guó)李克強(qiáng)劉云山出席》，載《人民日?qǐng)?bào)》，2014年2月28日。。所謂時(shí)，即時(shí)間節(jié)點(diǎn)的把握。進(jìn)入第四次工業(yè)革命，時(shí)間代表速度、代表機(jī)遇、代表競(jìng)爭(zhēng)。在互聯(lián)網(wǎng)、移動(dòng)網(wǎng)時(shí)代，經(jīng)濟(jì)變革時(shí)時(shí)發(fā)生，技術(shù)創(chuàng)新瞬息萬(wàn)變，社會(huì)思潮動(dòng)蕩不已，政治斗爭(zhēng)如箭在弦。在這種環(huán)境下，時(shí)間節(jié)點(diǎn)的精準(zhǔn)把握就顯得尤為重要。度，是指度的界限的把握，審大局，度大勢(shì)。在不同維度之間，在質(zhì)量與數(shù)量之間，在前進(jìn)與后撤之間，在國(guó)際與國(guó)內(nèi)之間，都存在著度的把握問(wèn)題。效，是指效果、效應(yīng)、效能。它包含：直指數(shù)字信息發(fā)展與網(wǎng)絡(luò)安全保護(hù)的對(duì)位性辯證治理的目標(biāo)、可能實(shí)現(xiàn)的實(shí)效；由效能極值而選擇的合理路徑；量力而行，適度選擇的風(fēng)險(xiǎn)值與難度值；特別是由效果要求而來(lái)的溯源探究和效果歷史意識(shí)。

三、 當(dāng)前隱私數(shù)據(jù)泄露的四種類(lèi)型及其防范

本文選擇中外三年來(lái)的重要案例來(lái)分析隱私數(shù)據(jù)泄露的原因。習(xí)近平總書(shū)記指出：“要依法嚴(yán)厲打擊網(wǎng)絡(luò)黑客、電信網(wǎng)絡(luò)詐騙、侵犯公民個(gè)人隱私等違法犯罪行為，切斷網(wǎng)絡(luò)犯罪利益鏈條，持續(xù)形成高壓態(tài)勢(shì)，維護(hù)人民群眾合法權(quán)益。”(11)《習(xí)近平在全國(guó)網(wǎng)絡(luò)安全和信息化工作會(huì)議上強(qiáng)調(diào) 敏銳抓住信息化發(fā)展歷史機(jī)遇 自主創(chuàng)新推進(jìn)網(wǎng)絡(luò)強(qiáng)國(guó)建設(shè) 李克強(qiáng)主持 栗戰(zhàn)書(shū)汪洋王滬寧趙樂(lè)際韓正出席》，載《人民日?qǐng)?bào)》，2018年4月22日?！熬W(wǎng)信事業(yè)發(fā)展必須貫徹以人民為中心的發(fā)展思想，把增進(jìn)人民福祉作為信息化發(fā)展的出發(fā)點(diǎn)和落腳點(diǎn)，讓人民群眾在信息化發(fā)展中有更多獲得感、幸福感、安全感?！?12)《習(xí)近平在全國(guó)網(wǎng)絡(luò)安全和信息化工作會(huì)議上強(qiáng)調(diào) 敏銳抓住信息化發(fā)展歷史機(jī)遇 自主創(chuàng)新推進(jìn)網(wǎng)絡(luò)強(qiáng)國(guó)建設(shè) 李克強(qiáng)主持 栗戰(zhàn)書(shū)汪洋王滬寧趙樂(lè)際韓正出席》，載《人民日?qǐng)?bào)》，2018年4月22日。

研究發(fā)現(xiàn)，目前隱私數(shù)據(jù)泄露有四種類(lèi)型：黑客作為數(shù)據(jù)泄露的主因之一，通過(guò)攻擊企業(yè)技術(shù)漏洞帶來(lái)嚴(yán)重后果；網(wǎng)絡(luò)企業(yè)觀念上的諸多問(wèn)題和管理上的漏洞，造成攻擊者可乘之機(jī)；利益驅(qū)使第三方企業(yè)非法獲取、利用個(gè)人隱私數(shù)據(jù)獲利；數(shù)據(jù)管理松弛，企業(yè)內(nèi)部人員作案，外泄數(shù)據(jù)非法獲益。

第一，黑客攻擊是數(shù)據(jù)泄露的首要原因。黑客入侵企業(yè)的技術(shù)漏洞是導(dǎo)致個(gè)人隱私與企業(yè)機(jī)密暴露的首要原因。一批或以營(yíng)利等為目的的職業(yè)黑客，專(zhuān)門(mén)在未經(jīng)許可的情況下，載入對(duì)方系統(tǒng)。

案例2016年9月22日，雅虎證實(shí)至少5億用戶的信息在2014年遭人竊取，內(nèi)容涉及用戶姓名、電子郵箱、電話號(hào)碼、出生日期和部分登錄密碼。3個(gè)月后，雅虎再次發(fā)布聲明，2013年8月，未經(jīng)授權(quán)的第三方盜取了超過(guò)10億用戶的賬戶信息。2017年10月3日，雅虎公司證實(shí)，其所有30億個(gè)用戶賬號(hào)應(yīng)該都受到了黑客攻擊的影響，公司已經(jīng)向更多用戶發(fā)送提示，請(qǐng)其更改登錄密碼以及相關(guān)登錄信息。

案例2018年9月6日，英國(guó)航空公司發(fā)布，因遭黑客攻擊從而導(dǎo)致其乘客數(shù)據(jù)被盜，約有38萬(wàn)名乘客在此數(shù)據(jù)泄露事件中受到影響，這些被盜數(shù)據(jù)信息包括個(gè)人基本信息和付款記錄，但不包括個(gè)人護(hù)照信息。英航董事長(zhǎng)稱(chēng)，黑客作案手法“極其復(fù)雜”，為英航在線運(yùn)營(yíng)20多年來(lái)所未見(jiàn)。黑客沒(méi)有破壞英航加密系統(tǒng)，而是用“另一種非常復(fù)雜”的方式侵入英航系統(tǒng)并獲取用戶信息。他沒(méi)有說(shuō)明黑客到底采用哪一種方式竊取信息。根據(jù)網(wǎng)絡(luò)安全專(zhuān)家的調(diào)查，此事件很可能與黑客組織Magecart有關(guān)。此次網(wǎng)絡(luò)攻擊是為英航定制的。目前的技術(shù)無(wú)法確定攻擊者在英航服務(wù)器上的覆蓋范圍，但可以確認(rèn)黑客的訪問(wèn)權(quán)限極大，黑客可以修改站點(diǎn)資源。

根據(jù)本次調(diào)研結(jié)果來(lái)看，黑客攻擊是當(dāng)代互聯(lián)網(wǎng)條件下數(shù)據(jù)泄露事件中最典型、最常見(jiàn)的原因。在課題組采集到的相關(guān)案例中，國(guó)泰航空、優(yōu)步(Uber)、雅虎、優(yōu)衣庫(kù)、多個(gè)大型酒店集團(tuán)等知名企業(yè)都是黑客入侵的受害者。黑客入侵具有巨大的破壞性。

黑客(13)“黑客”一詞，最初曾指熱心于計(jì)算機(jī)技術(shù)、水平高超的電腦專(zhuān)家，尤其是程序設(shè)計(jì)人員。在互聯(lián)網(wǎng)時(shí)代，這些具有互聯(lián)網(wǎng)專(zhuān)業(yè)技能的“技術(shù)控”，由早先對(duì)互聯(lián)網(wǎng)技術(shù)的迷戀和探索，分裂演變?yōu)椤鞍酌薄薄盎颐薄薄昂诿薄钡龋渲小昂诿薄奔春诳?cracker)。在媒體報(bào)道中，“黑客”一詞常指軟件黑客(software cracker)，而與黑客(“黑帽子”)相對(duì)的則是“白帽”(維護(hù)計(jì)算機(jī)和互聯(lián)網(wǎng)安全)，“灰帽”則居于其間。黑客們精通各種編程語(yǔ)言和各類(lèi)操作系統(tǒng)，伴隨著計(jì)算機(jī)和網(wǎng)絡(luò)的發(fā)展而成長(zhǎng)。的興起具有其發(fā)生、發(fā)展的歷史。黑客一般具有較高的技術(shù)能力，是“一種熱衷于研究系統(tǒng)和計(jì)算機(jī)(特別是網(wǎng)絡(luò))內(nèi)部運(yùn)作的人”。但他們無(wú)視當(dāng)代社會(huì)的道德和倫理規(guī)范，破壞信息安全。為某種經(jīng)濟(jì)利益不惜以身犯險(xiǎn)，甚至踐踏法律，走上犯罪的境地。

雅虎信息泄露事件是有史以來(lái)規(guī)模最大的單一網(wǎng)站數(shù)據(jù)泄露事件，當(dāng)前，重要商業(yè)網(wǎng)站的海量用戶數(shù)據(jù)是企業(yè)的核心資產(chǎn)，也是民間黑客甚至國(guó)家級(jí)攻擊的重要對(duì)象，重點(diǎn)企業(yè)的數(shù)據(jù)安全管理面臨更高的要求，企業(yè)必須建立嚴(yán)格的安全能力體系，不僅需要確保對(duì)用戶數(shù)據(jù)進(jìn)行加密處理，對(duì)數(shù)據(jù)的訪問(wèn)權(quán)限進(jìn)行精準(zhǔn)控制，還要為網(wǎng)絡(luò)破壞事件、應(yīng)急響應(yīng)建立彈性設(shè)計(jì)方案，與監(jiān)管部門(mén)建立應(yīng)急溝通機(jī)制。

雅虎數(shù)據(jù)泄露事件的性質(zhì)非常嚴(yán)重，海量用戶賬號(hào)失竊，令網(wǎng)民對(duì)賬戶安全產(chǎn)生強(qiáng)烈的不信任感，今后更多互聯(lián)網(wǎng)用戶會(huì)設(shè)法避免在互聯(lián)網(wǎng)的系統(tǒng)上存儲(chǔ)敏感信息。

口令簡(jiǎn)單或疏于管理是數(shù)據(jù)泄露的重要原因?？诹钍蔷W(wǎng)絡(luò)系統(tǒng)保密的第一道防線。當(dāng)前的網(wǎng)絡(luò)系統(tǒng)都是通過(guò)口令來(lái)驗(yàn)證用戶身份、實(shí)施訪問(wèn)控制的?？诹罟羰侵负诳鸵钥诹顬楣裟繕?biāo)，破解合法用戶的口令，或避開(kāi)口令驗(yàn)證過(guò)程，然后冒充合法用戶嵌入目標(biāo)網(wǎng)絡(luò)系統(tǒng)，奪取目標(biāo)系統(tǒng)控制權(quán)的過(guò)程。然而在現(xiàn)實(shí)生活中，人們常會(huì)不經(jīng)意間使用了弱口令(即簡(jiǎn)單、易破解口令)去防護(hù)自己或企業(yè)的資產(chǎn)。全球最大的漏洞響應(yīng)平臺(tái)“補(bǔ)天平臺(tái)”的數(shù)據(jù)顯示，52.2%的數(shù)據(jù)泄露事件是由于使用弱口令導(dǎo)致其所在機(jī)構(gòu)被攻擊的。雖然人們或企業(yè)已經(jīng)在隱私數(shù)據(jù)保護(hù)方面有所改進(jìn)，但弱口令問(wèn)題依然是黑客能夠攻擊成功的關(guān)鍵因素。黑客破解或繞過(guò)網(wǎng)站設(shè)置的口令，進(jìn)入目標(biāo)網(wǎng)絡(luò)系統(tǒng)后，即可隨心所欲地竊取、破壞和篡改被侵入方的信息，直至完全控制被侵入方。

更令人驚詫的是，黑客通過(guò)更新解碼技術(shù)侵入網(wǎng)絡(luò)軟件公司思杰(Citrix Systems)多個(gè)員工賬號(hào)獲得內(nèi)網(wǎng)權(quán)限，竊取了6TB—10TB的敏感數(shù)據(jù)，包括電子郵件、網(wǎng)絡(luò)共享文件，以及項(xiàng)目管理和采購(gòu)相關(guān)文檔等。美國(guó)聯(lián)邦調(diào)查局(FBI)表示黑客可能使用了一種名為“密碼噴霧”(Password Spraying)的密碼破解技術(shù)。黑客侵入英航的作案手法“極其復(fù)雜”，為英航在線運(yùn)營(yíng)20多年來(lái)所未見(jiàn)。黑客沒(méi)有破壞英航加密系統(tǒng)，而是用“另一種非常復(fù)雜”的方式侵入英航系統(tǒng)并獲取用戶信息。這些案件也告訴我們，大企業(yè)的網(wǎng)絡(luò)安全技術(shù)其實(shí)是一場(chǎng)與黑客組織的軍備競(jìng)賽，尤其是那些配備了支付形式的網(wǎng)站，其敏感的財(cái)務(wù)數(shù)據(jù)和信用卡信息必須受到最高級(jí)別的網(wǎng)絡(luò)安全防護(hù)。

第二，隱私數(shù)據(jù)泄露與企業(yè)技術(shù)操作的失誤有密切關(guān)系，網(wǎng)絡(luò)系統(tǒng)亟待技術(shù)升級(jí)。隱私數(shù)據(jù)泄露的一個(gè)重要原因是一些企業(yè)部門(mén)出現(xiàn)了特別重大的失誤，他們直接將數(shù)據(jù)包誤傳到公共網(wǎng)絡(luò)，甚至讓那些沒(méi)掌握黑客技術(shù)的普通網(wǎng)民亦可順利獲?。换蛘甙l(fā)生誤發(fā)送郵件、權(quán)限設(shè)置錯(cuò)誤和服務(wù)器配置不當(dāng)?shù)仁д`操作，導(dǎo)致數(shù)據(jù)泄露事件正在顯著上升，這也從中反映了內(nèi)部人員缺乏基本的安全意識(shí)或風(fēng)險(xiǎn)評(píng)估能力。2018年全球重大數(shù)據(jù)泄露事件統(tǒng)計(jì)分析顯示，11.1%的事件是由于配置錯(cuò)誤或操作不當(dāng)導(dǎo)致的政企機(jī)構(gòu)數(shù)據(jù)泄露。

案例2018年8月，華住酒店集團(tuán)旗下酒店用戶信息在“暗網(wǎng)”售賣(mài)，售賣(mài)者稱(chēng)數(shù)據(jù)已在8月14日脫庫(kù)。售賣(mài)的公民信息包括身份證號(hào)、手機(jī)號(hào)等，共涉及5億條。涉及酒店范圍包括：漢庭、美爵、禧玥、諾富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡萊、海友。全部信息的打包價(jià)為8比特幣，或者520門(mén)羅幣(約合人民幣38萬(wàn)元)。賣(mài)家還稱(chēng)，以上數(shù)據(jù)信息的截止時(shí)間為2018年8月14日。華住集團(tuán)酒店官方微博回應(yīng)此事稱(chēng)，“已經(jīng)報(bào)警了。真實(shí)性目前無(wú)法查證，我們信息安全部門(mén)在緊急處理中”。同時(shí)官方微博也呼吁，請(qǐng)相關(guān)網(wǎng)絡(luò)用戶、網(wǎng)絡(luò)平臺(tái)立即刪除并停止傳播上述信息，保留追究相關(guān)侵權(quán)人法律責(zé)任的權(quán)利。

從本研究采集到的多起酒店系統(tǒng)數(shù)據(jù)泄露事件來(lái)看，起因雖為黑客入侵，但大量公開(kāi)媒體披露及案情分析報(bào)告均顯示，酒店系統(tǒng)本身的安全漏洞其實(shí)由來(lái)已久，泄露事件的發(fā)生，并非偶然，實(shí)屬必然。華住公司程序員將數(shù)據(jù)庫(kù)連接方式大規(guī)模地上傳至代碼托管服務(wù)平臺(tái)(Github)，而且系統(tǒng)本身沒(méi)有報(bào)警設(shè)施。在這樣幾乎不設(shè)防的網(wǎng)絡(luò)安全措施之下，黑客無(wú)須有太過(guò)高明的技術(shù)手段，只要對(duì)數(shù)據(jù)庫(kù)知識(shí)簡(jiǎn)單了解，就可以輕松截獲大量客戶隱私數(shù)據(jù)。

根據(jù)保密原則，企業(yè)(含政府)數(shù)據(jù)庫(kù)為了安全起見(jiàn)應(yīng)該只限內(nèi)部IP訪問(wèn)，但華住的數(shù)據(jù)庫(kù)IP是允許外網(wǎng)訪問(wèn)的；最夸張的是，數(shù)據(jù)庫(kù)的用戶名是“root”，密碼是“123456”。黑客進(jìn)入企業(yè)內(nèi)網(wǎng)毫無(wú)阻隔，如入無(wú)人之境。如果IT部門(mén)的網(wǎng)絡(luò)安全工作到位，注意保密技術(shù)的升級(jí)，堵塞漏洞，黑客的得手概率會(huì)大大降低。所以除了道德倫理和精神價(jià)值的引導(dǎo)、教育之外，從建設(shè)的角度看，政府、企業(yè)的互聯(lián)網(wǎng)防護(hù)技術(shù)需要不斷升級(jí)。

第三，企業(yè)在信息安全的投入與需要被保護(hù)目標(biāo)的商業(yè)價(jià)值、社會(huì)價(jià)值不匹配，不能滿足安全運(yùn)維的需要，也是政企數(shù)據(jù)泄露的重要因素。安全投入不足與保護(hù)目標(biāo)價(jià)值不匹配，一方面反映出企業(yè)在技術(shù)和管理層面目前仍未達(dá)到國(guó)家安全標(biāo)準(zhǔn)；另一方面也反映出網(wǎng)絡(luò)安全保障的意識(shí)、認(rèn)知和能力均落后于信息網(wǎng)絡(luò)技術(shù)及其應(yīng)用的爆發(fā)式增長(zhǎng)。

案例2018年4月，臉書(shū)(Facebook)在官網(wǎng)發(fā)布聲明，共有8700萬(wàn)Facebook用戶的個(gè)人資料被泄露給了劍橋分析公司(Cambridge Analytica)，這些用戶主要集中在美國(guó)。事件起源于Facebook與劍橋分析公司的合作。劍橋分析公司為了學(xué)術(shù)研究，在Facebook上創(chuàng)建了預(yù)測(cè)用戶性格喜好的App，但它不僅收集了用戶的測(cè)試結(jié)果，還在未經(jīng)允許的情況下收集了5000萬(wàn)用戶在Facebook上的個(gè)人信息。劍橋分析公司在獲得了5000萬(wàn)活躍用戶數(shù)據(jù)后，建立起用戶畫(huà)像，通過(guò)計(jì)算機(jī)對(duì)每個(gè)用戶的興趣愛(ài)好、性格和行為特點(diǎn)進(jìn)行精確分析，預(yù)測(cè)他們的政治傾向，然后定向向用戶推送新聞，借助Facebook的廣告投放系統(tǒng)，影響用戶的投票行為。于是，F(xiàn)acebook對(duì)美國(guó)大選產(chǎn)生了難以推脫的影響。第三方Facebook應(yīng)用程序數(shù)據(jù)泄露了5.4億條記錄。2019年4月，安全研究人員透露，有兩個(gè)第三方開(kāi)發(fā)的Facebook應(yīng)用程序數(shù)據(jù)集已暴露于公共互聯(lián)網(wǎng)中。一個(gè)數(shù)據(jù)庫(kù)來(lái)自墨西哥的媒體公司Cultura Colectiva，數(shù)據(jù)高達(dá)146GB，其中有5.4億條記錄詳細(xì)記錄了評(píng)論、喜好、反應(yīng)、賬戶名、Facebook ID等。研究人員說(shuō)，另一個(gè)第三方應(yīng)用“At the Pool”通過(guò)Amazon S3存儲(chǔ)桶公開(kāi)訪問(wèn)了公共互聯(lián)網(wǎng)。該數(shù)據(jù)庫(kù)備份包含例如用戶名ID、朋友、喜好、音樂(lè)、電影、書(shū)籍、照片、事件、組、簽到、興趣、密碼等諸多隱私信息。這是一起典型的社交網(wǎng)絡(luò)平臺(tái)以犧牲用戶隱私數(shù)據(jù)為商業(yè)模式背書(shū)的案例。

事件發(fā)生之后，F(xiàn)acebook在網(wǎng)絡(luò)平臺(tái)上發(fā)布暫時(shí)關(guān)閉劍橋分析公司、戰(zhàn)略交流實(shí)驗(yàn)室公司等Facebook賬號(hào)，同時(shí)宣布，此后6個(gè)月終止與多家大數(shù)據(jù)企業(yè)合作，以更好地保護(hù)用戶隱私。在“終止合作”清單上，F(xiàn)acebook列出九家知名大數(shù)據(jù)企業(yè)，包括安客誠(chéng)、益百利、甲骨文云數(shù)據(jù)和WPP集團(tuán)。媒體推斷，F(xiàn)acebook迫于政府和民眾的壓力終止與大數(shù)據(jù)企業(yè)合作，希望扭轉(zhuǎn)外界“保護(hù)用戶隱私不力”的印象。

2009年，《華爾街日?qǐng)?bào)》曾有一篇名為“Putting Your Best Faces Forward”(《展示你最好的一面》)的文章。該文分析了Facebook何以能夠在當(dāng)時(shí)激烈的社交媒體大戰(zhàn)中脫穎而出，其原因就是用戶基于信任而“愿意用自己的隱私換取一個(gè)基于信任的溝通平臺(tái)”。與諸多的匿名平臺(tái)相比，F(xiàn)acebook要求用真實(shí)身份信息注冊(cè)獲得了用戶的信任。

但是，“真實(shí)身份信息注冊(cè)”是不是意味著無(wú)底線地“透支隱私”？對(duì)此，需要界定何為隱私，何為個(gè)人信息。盡管我們經(jīng)常在媒體上看到隱私和個(gè)人信息的討論，但是這兩者的內(nèi)涵和外延并不盡一致，甚至存在巨大差別。

雖然本案的主要責(zé)任不在Facebook，但社交網(wǎng)絡(luò)平臺(tái)是劍橋分析公司在監(jiān)測(cè)數(shù)據(jù)時(shí)最重要的依仗，F(xiàn)acebook負(fù)有不可推卸的責(zé)任。此外，通過(guò)本案可以看出，F(xiàn)acebook的技術(shù)和管理有著巨大的漏洞，即與用戶有關(guān)的信息，未經(jīng)用戶的同意，在用戶完全不知情的狀況下，同樣可能被第三方獲取，只要這個(gè)第三方經(jīng)過(guò)我好友的同意即可。也就是說(shuō)，社交網(wǎng)絡(luò)上的個(gè)人信息，能否被搜索到，決定權(quán)不在用戶，而在搜索用戶的其他人。

在當(dāng)下這樣一個(gè)人人都在社交網(wǎng)絡(luò)上的信息時(shí)代，F(xiàn)acebook一案的警示意義重大。在中國(guó)，所有社交網(wǎng)絡(luò)平臺(tái)的隱私保護(hù)方案可能都存在漏洞，而這些漏洞到底是客觀存在的，還是平臺(tái)運(yùn)營(yíng)方借由商業(yè)模式考量而放任其存在的？這關(guān)乎所有網(wǎng)民的隱私安全。

案例2019年3月，中國(guó)跨境大賣(mài)旗下自營(yíng)網(wǎng)站Gearbest泄露了數(shù)百萬(wàn)用戶的檔案和購(gòu)物訂單。名為Elasticsearch的服務(wù)器每周泄露了數(shù)百萬(wàn)條記錄，包括客戶數(shù)據(jù)、訂單和付款記錄。該服務(wù)器未受密碼保護(hù)，允許任何人搜索數(shù)據(jù)?？偛课挥谏钲诘腉earbest在歐洲擁有大量業(yè)務(wù)，在西班牙、波蘭、捷克和英國(guó)設(shè)有倉(cāng)庫(kù)，這些國(guó)家都適用歐盟數(shù)據(jù)保護(hù)和隱私法。任何違反通用數(shù)據(jù)保護(hù)法規(guī)(GDPR)的公司都可能要求繳納高達(dá)其全球收入4%的罰款。Gearbest稱(chēng)自己的服務(wù)器是安全的，但是用來(lái)臨時(shí)存儲(chǔ)數(shù)據(jù)的外部工具可能已被其他人訪問(wèn)，導(dǎo)致安全性受到損害。該公司解釋?zhuān)褂猛獠抗ぞ叩谋疽馐翘岣咝屎头乐箶?shù)據(jù)超載，只有在自動(dòng)銷(xiāo)毀前的三日內(nèi)的數(shù)據(jù)才會(huì)存儲(chǔ)在此類(lèi)工具中?？紤]到可能的數(shù)據(jù)安全漏洞，他們使用了功能強(qiáng)大的防火墻保護(hù)這些工具，以避免任何數(shù)據(jù)被其他人惡意破壞。

之后的調(diào)查證明，這并不是一起單純的黑客攻擊事件，更重要的原因來(lái)自技術(shù)人員的誤操作。2019年3月1日，安保團(tuán)隊(duì)成員錯(cuò)誤地將這些防火墻拆除(具體原因還在調(diào)查當(dāng)中)。這種不受保護(hù)的狀態(tài)直接暴露了這些工具無(wú)須進(jìn)一步驗(yàn)證即可進(jìn)行掃描和訪問(wèn)的問(wèn)題。

這是Gearbest多年來(lái)發(fā)生的第二起安全問(wèn)題。2017年12月，該公司在所謂的“憑證填充物攻擊”之后，賬戶被攻破。

案例當(dāng)前，人臉識(shí)別成為應(yīng)用最為廣泛的AI技術(shù)之一，尤其是在智慧安防中，國(guó)內(nèi)大多數(shù)城市都會(huì)借助人臉識(shí)別、視頻監(jiān)控去打擊罪犯、尋找失蹤人員等等。但智能化的監(jiān)控也不得不面臨著數(shù)據(jù)泄露的問(wèn)題。荷蘭安全研究人員Victor Gevers在推特上曝光，中國(guó)一家面部識(shí)別公司深網(wǎng)視界(SenseNet)存在數(shù)據(jù)泄露問(wèn)題，任何人都可以訪問(wèn)其人臉跟蹤數(shù)據(jù)的記錄。深網(wǎng)視界是一家專(zhuān)注于計(jì)算機(jī)視覺(jué)和深度學(xué)習(xí)，主要為視頻監(jiān)控提供智能分析產(chǎn)品服務(wù)。而此次數(shù)據(jù)泄露事件涉及256萬(wàn)人的數(shù)據(jù)，共計(jì)680萬(wàn)條記錄。由于開(kāi)放了數(shù)據(jù)庫(kù)，任何人都可以根據(jù)SenseNet的實(shí)時(shí)面部識(shí)別來(lái)查看個(gè)人的身份證信息，可以獲取這些記錄并跟蹤個(gè)人，捕捉其行動(dòng)軌跡。這非常容易引發(fā)各種犯罪行為。

在本研究采集的案例中，有大量因操作失誤或管理漏洞導(dǎo)致的數(shù)據(jù)泄露事件，如上述人臉識(shí)別案例，深網(wǎng)視界的數(shù)據(jù)庫(kù)保持公開(kāi)狀態(tài)長(zhǎng)達(dá)半年之久。企業(yè)的這種疏忽可能帶來(lái)巨大的危險(xiǎn)。另如數(shù)據(jù)營(yíng)銷(xiāo)公司Exactis服務(wù)器未設(shè)置加密防火墻導(dǎo)致數(shù)億條記錄暴露在公眾面前，招聘網(wǎng)站Ladders也沒(méi)有為數(shù)據(jù)庫(kù)設(shè)置訪問(wèn)的權(quán)限。

在黑客技術(shù)愈加強(qiáng)大的當(dāng)下，攻破企業(yè)網(wǎng)站已非難事，沒(méi)有安全防護(hù)的網(wǎng)絡(luò)服務(wù)期，就像沒(méi)有上鎖的大門(mén)一樣，而數(shù)據(jù)對(duì)于現(xiàn)代企業(yè)而言，可視為最核心的商業(yè)資產(chǎn)，未加任何保護(hù)措施，或安保紀(jì)律松散，無(wú)異于玩火自焚。

第四，企業(yè)內(nèi)部人員作案，外泄數(shù)據(jù)非法獲益。內(nèi)部人員在高額利益的驅(qū)使下鋌而走險(xiǎn)，利用職務(wù)之便非法獲取大量公民個(gè)人信息，這已經(jīng)成為數(shù)據(jù)泄露的重要源頭。2018年全球重大數(shù)據(jù)泄露事件統(tǒng)計(jì)分析顯示，16%的政企機(jī)構(gòu)數(shù)據(jù)泄露事件是由于內(nèi)部威脅導(dǎo)致的，內(nèi)部威脅已經(jīng)成為數(shù)據(jù)泄露的第二大源頭。內(nèi)部人員違規(guī)操作、出賣(mài)公司利益已經(jīng)成為公司數(shù)據(jù)安全的重要威脅。

案例2017年11月20日，趣店超過(guò)百萬(wàn)條學(xué)生信息數(shù)據(jù)疑似外泄，數(shù)據(jù)維度極為細(xì)致，除學(xué)生借款金額、滯納金等金融數(shù)據(jù)外，甚至還包括學(xué)生父母電話、男女朋友電話、學(xué)信網(wǎng)賬號(hào)密碼等隱私信息。這家企業(yè)的內(nèi)部員工稱(chēng)此事與企業(yè)在此前的大規(guī)模裁員后賠償金是否到位有關(guān)，可能系內(nèi)部員工所為。有離職員工稱(chēng)，早期趣店數(shù)據(jù)管理就存在巨大安全隱患。

趣店方面后續(xù)回應(yīng)稱(chēng)，趣店一直高度重視用戶個(gè)人信息安全，不斷提高數(shù)據(jù)安全能力與信息加密強(qiáng)度。同時(shí)，在內(nèi)部建立了嚴(yán)格的用戶信息保護(hù)制度，針對(duì)可能存在信息安全風(fēng)險(xiǎn)的用戶進(jìn)行安全升級(jí)提示。趣店還回應(yīng)稱(chēng)，地下黑色產(chǎn)業(yè)是行業(yè)毒瘤，此前多家知名互聯(lián)網(wǎng)企業(yè)都曾深受其害。針對(duì)地下黑色產(chǎn)業(yè)鏈中盜取用戶賬號(hào)資產(chǎn)和販賣(mài)用戶信息等不法行為，趣店將與警方密切合作，建立長(zhǎng)效合作機(jī)制，對(duì)不法行為進(jìn)行堅(jiān)決打擊，切實(shí)保護(hù)用戶信息安全。

作為一家互聯(lián)網(wǎng)金融企業(yè)，用戶隱私安全是所有商業(yè)模式的核心部分，但趣店因企業(yè)信息保密制度不健全、用戶數(shù)據(jù)管理模式疏漏松散、數(shù)據(jù)管理權(quán)限門(mén)檻過(guò)低等問(wèn)題，給內(nèi)部人員竊取數(shù)據(jù)外泄以可乘之機(jī)。很多內(nèi)部員工都可導(dǎo)出用戶數(shù)據(jù)表格，重要數(shù)據(jù)一覽無(wú)余，沒(méi)有任何脫敏，員工級(jí)別越高，可導(dǎo)出的數(shù)據(jù)就越多。趣店上市前就已經(jīng)有多個(gè)高管離職，而一份多達(dá)百萬(wàn)用戶的數(shù)據(jù)，則很有可能是其離職高管泄露的。

案例2018年9月，杭州警方破獲菜鳥(niǎo)驛站信息泄露案。本案中，1000余萬(wàn)條快遞信息被非法獲取。作案人身份為菜鳥(niǎo)服務(wù)商，其在推廣本公司的閘機(jī)、微信公眾號(hào)的同時(shí)，將控件程序安裝到各個(gè)驛站的“巴槍”，獲取包裹入庫(kù)數(shù)據(jù)，私自打通“菜鳥(niǎo)驛站”同微信公眾號(hào)之間的數(shù)據(jù)壁壘，為以后利用微信公眾號(hào)進(jìn)行商業(yè)推廣做準(zhǔn)備。至2018年6月份，該程序已非法獲取“菜鳥(niǎo)驛站”的快遞數(shù)據(jù)達(dá)1000余萬(wàn)條。作為菜鳥(niǎo)驛站的運(yùn)營(yíng)方，菜鳥(niǎo)網(wǎng)絡(luò)在本案中有不可推卸的責(zé)任。

案例自2014年起，新三板上市公司瑞智華勝及合作伙伴以競(jìng)標(biāo)的方式，先后與覆蓋全國(guó)十余省市的電信、移動(dòng)、聯(lián)通、廣電等多家運(yùn)營(yíng)商簽訂營(yíng)銷(xiāo)廣告系統(tǒng)服務(wù)合同，為其提供精準(zhǔn)廣告投放系統(tǒng)的開(kāi)發(fā)、維護(hù)等服務(wù)，進(jìn)而拿到了運(yùn)營(yíng)商服務(wù)器的遠(yuǎn)程登錄權(quán)限。軟件開(kāi)發(fā)業(yè)務(wù)的收入不高，但卻能接觸到運(yùn)營(yíng)商流量，該企業(yè)開(kāi)始清洗賬號(hào)的登錄憑證，操縱用戶賬戶。第三方公司通過(guò)cookie不需要輸入賬號(hào)和密碼，就可以進(jìn)入賬號(hào)，從中獲取注冊(cè)信息、搜索記錄、開(kāi)房記錄等數(shù)據(jù)，也可以用用戶的賬戶執(zhí)行加關(guān)注、刷量等操作。該企業(yè)利用用戶數(shù)據(jù)通過(guò)加粉等所謂的“互聯(lián)網(wǎng)營(yíng)銷(xiāo)和推廣”手段盈利。

案例從2019年1月20日凌晨開(kāi)始，拼多多網(wǎng)站出現(xiàn)巨大漏洞，用戶可以領(lǐng)取100元無(wú)門(mén)檻券。有大批用戶開(kāi)啟“薅羊毛”的節(jié)奏，利用無(wú)門(mén)檻券來(lái)充值話費(fèi)、Q幣。4毛就可以充100元話費(fèi)，瘋狂者“一夜未眠”，利用這一漏洞給自己儲(chǔ)備好了夠用十幾年的話費(fèi)，有網(wǎng)友甚至?xí)癯鼋貓D，表示自己賬戶內(nèi)有超過(guò)50萬(wàn)Q幣余額。拼多多在20日中午發(fā)表《關(guān)于“黑灰產(chǎn)通過(guò)平臺(tái)優(yōu)惠券漏洞不正當(dāng)牟利”的聲明》，表示被盜取了數(shù)千萬(wàn)元平臺(tái)優(yōu)惠券。

電子商務(wù)和快遞企業(yè)掌握著海量公民個(gè)人信息，這些信息一旦泄露將造成惡劣社會(huì)影響和嚴(yán)重危害后果。網(wǎng)購(gòu)在在線下單、倉(cāng)庫(kù)發(fā)貨、快遞物流運(yùn)輸、末端配送等多個(gè)環(huán)節(jié)都存在信息泄露的可能性。過(guò)去曾出現(xiàn)多起快遞員出售信息的案件，導(dǎo)致大量個(gè)人、家庭信息被犯罪團(tuán)伙掌握，引發(fā)巨量詐騙案件發(fā)生。我國(guó)手機(jī)用戶的電話受擾率逐年走高，就與此有密切聯(lián)系。

在新形勢(shì)下，在巨大利益驅(qū)使下，黑灰產(chǎn)團(tuán)伙通過(guò)平臺(tái)漏洞不正當(dāng)牟利。一些第三方企業(yè)不惜鋌而走險(xiǎn)，或直接盜取算法，或借由委托項(xiàng)目等渠道非法獲取個(gè)人隱私數(shù)據(jù)，利用隱私獲取巨額利益。此類(lèi)侵害的組織性更強(qiáng)，泄露一旦發(fā)生，對(duì)企業(yè)的商業(yè)損害更大，速度也更快。瑞智華勝的財(cái)報(bào)數(shù)據(jù)顯示：2015年，其軟件開(kāi)發(fā)服務(wù)的營(yíng)收僅187萬(wàn)元，凈利潤(rùn)2萬(wàn)元；轉(zhuǎn)型為互聯(lián)網(wǎng)營(yíng)銷(xiāo)后的2016年，公司營(yíng)收3028萬(wàn)元，凈利潤(rùn)達(dá)1053萬(wàn)元，比上年增長(zhǎng)500倍。截至該案告破，該企業(yè)共竊取30億條用戶數(shù)據(jù)，對(duì)社會(huì)造成了巨大損害。值得注意的是，該企業(yè)的數(shù)據(jù)來(lái)源于合作的多家通信運(yùn)營(yíng)商，通過(guò)本案可以看出，這些運(yùn)營(yíng)商對(duì)于用戶數(shù)據(jù)的權(quán)限管理相當(dāng)松弛，一家營(yíng)收不到200萬(wàn)的小公司就可以輕松獲取所有運(yùn)營(yíng)商用戶隱私數(shù)據(jù)。因此，各級(jí)各類(lèi)企業(yè)及其相關(guān)人員，一定要樹(shù)立明確的法律意識(shí)，不能見(jiàn)利忘義。企業(yè)也要嚴(yán)格建立網(wǎng)購(gòu)信息的相關(guān)保密機(jī)制，堵塞漏洞，嚴(yán)防犯罪。

案例數(shù)據(jù)堂公司在8個(gè)月時(shí)間內(nèi)，日均傳輸公民個(gè)人信息1億3000萬(wàn)余條，累計(jì)傳輸數(shù)據(jù)壓縮后約為4000GB。此次查獲的數(shù)據(jù)隱私性高，案件涉及的數(shù)據(jù)包含了手機(jī)號(hào)碼、上網(wǎng)基站代碼等40余項(xiàng)信息要素，還可記錄手機(jī)用戶具體的上網(wǎng)行為，甚至通過(guò)部分?jǐn)?shù)據(jù)能夠直接進(jìn)入公民個(gè)人賬號(hào)主頁(yè)，危害巨大。2016年下半年，“交易”二字逐漸淡出數(shù)據(jù)堂的官方宣傳和對(duì)公司的定位描述。數(shù)據(jù)堂的交易平臺(tái)屬性已經(jīng)漸漸隱藏，但其標(biāo)榜的數(shù)據(jù)服務(wù)業(yè)務(wù)依然繼續(xù)。

數(shù)據(jù)堂是一家上市公司，已采取停牌措施，各項(xiàng)業(yè)務(wù)受到很大影響。事件發(fā)生后，數(shù)據(jù)堂重新審視了自己的風(fēng)控體系，為所有業(yè)務(wù)設(shè)定了更高標(biāo)準(zhǔn)的紅線。2017年，數(shù)據(jù)堂的產(chǎn)品營(yíng)銷(xiāo)線和金融征信線已被關(guān)停，目前僅剩余人工智能業(yè)務(wù)維持公司運(yùn)行。

其實(shí)，數(shù)據(jù)堂并非沒(méi)有意識(shí)到數(shù)據(jù)交易可能涉及隱私而觸雷的風(fēng)險(xiǎn)。其在2017年報(bào)中稱(chēng)，“公司作為一家數(shù)據(jù)收集和交易公司，必然會(huì)和形形色色的數(shù)據(jù)打交道，國(guó)家在不斷出臺(tái)各種法律法規(guī)來(lái)確保數(shù)據(jù)來(lái)源及交易的合法性，因此如何合法合規(guī)地獲取交易數(shù)據(jù)成為大數(shù)據(jù)企業(yè)，特別是數(shù)據(jù)收集和交易公司重點(diǎn)關(guān)注的問(wèn)題”。但不管宣言有多么響亮，內(nèi)部管理則必須建立嚴(yán)格的制度，老老實(shí)實(shí)遵守法律法規(guī)，不踩紅線，不存僥幸。數(shù)據(jù)與商業(yè)價(jià)值之間的關(guān)系必須得到有效監(jiān)管，才能預(yù)防此類(lèi)事件的再次發(fā)生。

四、 全面推動(dòng)我國(guó)數(shù)據(jù)管理升級(jí)換代，實(shí)施數(shù)據(jù)保護(hù)的全民教育

數(shù)據(jù)管理是信息時(shí)代的基礎(chǔ)商業(yè)素養(yǎng)。從以上案例的調(diào)研和分析中，我們看到，隱私數(shù)據(jù)泄露關(guān)涉一個(gè)國(guó)家的經(jīng)濟(jì)運(yùn)行、商業(yè)倫理、文化安全、社會(huì)安定，乃至政治治理的眾多領(lǐng)域。

從政治治理來(lái)看，隱私數(shù)據(jù)泄露的治理是一個(gè)全局性的國(guó)家系統(tǒng)工程，需要各級(jí)政府及企業(yè)首先在理念上給予充分關(guān)注，認(rèn)識(shí)到這個(gè)問(wèn)題的嚴(yán)重性。目前從政府各級(jí)官員到企業(yè)都對(duì)這個(gè)問(wèn)題認(rèn)識(shí)不足，將其看成小事，這是很危險(xiǎn)的。同時(shí)，隱私數(shù)據(jù)泄露的治理也是維護(hù)人民群眾根本利益的重要工作。從本文列舉的案件來(lái)看，隱私數(shù)據(jù)一旦泄露，受害面往往十分廣泛，社會(huì)影響惡劣，給社會(huì)輿論帶來(lái)極大的負(fù)面效應(yīng)。對(duì)此我們必須有充分的認(rèn)識(shí)和警覺(jué)。

從經(jīng)濟(jì)運(yùn)行來(lái)看，隱私信息泄露事件造成了大型企業(yè)出現(xiàn)嚴(yán)重危機(jī)，帶來(lái)了經(jīng)濟(jì)運(yùn)行的不同程度的混亂和損失。如黑客攻破雅虎用戶賬戶保密算法，竊得用戶密碼，造成30億賬戶信息泄露。這一事件是至今全球規(guī)模最大的單一網(wǎng)站數(shù)據(jù)泄露事件，最終導(dǎo)致雅虎關(guān)張。實(shí)際上，不僅僅是雅虎、數(shù)據(jù)堂等企業(yè)，許多互聯(lián)網(wǎng)金融企業(yè)、跨境電商都是大數(shù)據(jù)時(shí)代的商業(yè)新形態(tài)，用戶隱私安全是新型數(shù)字商業(yè)模式的核心部分。它們的成功和興盛，關(guān)乎國(guó)家整體經(jīng)濟(jì)的升級(jí)換代與高質(zhì)量創(chuàng)新發(fā)展，絕不可等閑視之。

從商業(yè)倫理來(lái)看，產(chǎn)業(yè)運(yùn)行中商業(yè)道德的缺失、企業(yè)信息保密制度的漏洞，都會(huì)帶來(lái)嚴(yán)重問(wèn)題。特別是第三方公司在巨大利益驅(qū)使下，公然盜竊運(yùn)營(yíng)商用戶賬號(hào)，嚴(yán)重違背商業(yè)倫理，并涉嫌違法。如新三板上市公司瑞智華勝及合作伙伴曾以競(jìng)標(biāo)的方式獲得多家運(yùn)營(yíng)商營(yíng)銷(xiāo)廣告系統(tǒng)服務(wù)合同，為其提供精準(zhǔn)廣告投放系統(tǒng)的開(kāi)發(fā)、維護(hù)等服務(wù)，因而拿到了運(yùn)營(yíng)商服務(wù)器的遠(yuǎn)程登錄權(quán)限。如果到此為止，瑞智華勝并未違反商業(yè)倫理和市場(chǎng)規(guī)則。然而，在巨額利潤(rùn)的驅(qū)使下，企業(yè)主或完全喪失商業(yè)道德，或根本認(rèn)識(shí)不到這種做法是錯(cuò)誤或違法的，因?yàn)楹芏嗥髽I(yè)主在嶄新的數(shù)字環(huán)境下尚未普遍具備新數(shù)字倫理的教育準(zhǔn)備。

從道德價(jià)值與文化倫理來(lái)看，前述案例表明，近年來(lái)我國(guó)隱私數(shù)據(jù)泄露的事件發(fā)生頻繁，數(shù)量驚人。過(guò)度收集、違規(guī)甚至違法濫用用戶個(gè)人隱私信息的事件大量存在，非法數(shù)據(jù)共享與交易帶來(lái)的安全挑戰(zhàn)愈加嚴(yán)峻。李彥宏在談到數(shù)據(jù)保護(hù)和用戶隱私保護(hù)的重要性時(shí)說(shuō)，“在過(guò)去的幾年當(dāng)中，中國(guó)越來(lái)越認(rèn)識(shí)到這個(gè)問(wèn)題，而且也一直在加強(qiáng)相關(guān)的法律法規(guī)的建設(shè)”。(14)《李彥宏談大數(shù)據(jù)：中國(guó)人不敏感 愿意用隱私換便利》，新浪網(wǎng)財(cái)經(jīng)頻道，http://finance.sina.com.cn/meeting/2018-03-26/doc-ifysqfnf8646820.shtml?from=finance_zaker，2018年3月26日。但李彥宏也表示，中國(guó)人相對(duì)開(kāi)放，對(duì)隱私問(wèn)題沒(méi)有外國(guó)人那么敏感?！叭绻秒[私來(lái)交換便捷性或者是效率的話，很多情況下，他們是愿意這么做的。”(15)《李彥宏談大數(shù)據(jù)：中國(guó)人不敏感 愿意用隱私換便利》，新浪網(wǎng)財(cái)經(jīng)頻道，http://finance.sina.com.cn/meeting/2018-03-26/doc-ifysqfnf8646820.shtml?from=finance_zaker，2018年3月26日。美國(guó)聯(lián)邦貿(mào)易委員會(huì)(FTC)通過(guò)投票批準(zhǔn)了與Facebook達(dá)成的和解協(xié)議，對(duì)后者開(kāi)出50億美元的罰單以結(jié)束有關(guān)針對(duì)其隱私問(wèn)題的調(diào)查。FTC的這項(xiàng)50億美元罰款創(chuàng)下了一項(xiàng)新的紀(jì)錄，成為有史以來(lái)該機(jī)構(gòu)對(duì)違反隱私承諾的科技公司開(kāi)出的最大罰單。此后，巴西司法部以同一原因?qū)acebook處以660萬(wàn)雷亞爾(約合164萬(wàn)美元)的罰款；歐洲隱私管制機(jī)構(gòu)愛(ài)爾蘭數(shù)據(jù)保護(hù)委員會(huì)也著手調(diào)查，F(xiàn)acebook又被罰款超過(guò)16億美元。受一系列事件的影響，F(xiàn)acebook股價(jià)已受到影響。這也從一方面震懾了涉嫌違規(guī)的企業(yè)，同時(shí)也維護(hù)、教育和鼓勵(lì)了消費(fèi)者。比起歐美國(guó)家，我國(guó)大眾普遍缺乏明確的個(gè)體隱私保護(hù)意識(shí)，對(duì)于大量違背現(xiàn)代道德倫理和文化倫理的錯(cuò)誤觀念不敏感、不警覺(jué)；對(duì)于個(gè)人隱私權(quán)益受到侵害往往采取息事寧人的態(tài)度，維權(quán)不堅(jiān)決、不在行，對(duì)于互聯(lián)網(wǎng)信息世界的復(fù)雜的運(yùn)作方式往往會(huì)采取簡(jiǎn)單接受的態(tài)度。如前述Facebook用戶信息泄露的事件就在歐美引起軒然大波。創(chuàng)始人扎克伯格，在6份英國(guó)報(bào)紙和3份美國(guó)報(bào)紙上，采用道歉信形式為5000萬(wàn)Facebook用戶信息被劍橋分析公司泄露和利用一事道歉。信中，扎克伯格直接對(duì)用戶表示了歉意，稱(chēng)：“這是對(duì)信任的違背，我很抱歉我們沒(méi)有在當(dāng)時(shí)做得更多。”(16)承天蒙：《扎克伯格在英美9家報(bào)紙登報(bào)道歉，正式為泄密說(shuō)了Sorry》，澎湃新聞，https://www.thepaper.cn/newsDetail_forward_2042694，2018年3月26日。報(bào)紙頁(yè)面用較大字體寫(xiě)著：“我們有責(zé)任保護(hù)你們的信息。如果做不到，我們就不配提供服務(wù)。”(17)承天蒙：《扎克伯格在英美9家報(bào)紙登報(bào)道歉，正式為泄密說(shuō)了Sorry》，澎湃新聞，https://www.thepaper.cn/newsDetail_forward_2042694，2018年3月26日。但在中國(guó)，盡管互聯(lián)網(wǎng)數(shù)據(jù)泄露案件頻發(fā)，但所引發(fā)的關(guān)注度卻令人嘆息。李彥宏所謂中國(guó)用戶往往愿意以隱私來(lái)?yè)Q方便和效率的論調(diào)引發(fā)了廣泛爭(zhēng)議，也帶來(lái)了業(yè)界的深入思考。中國(guó)用戶隱私泄露嚴(yán)重，就能夠倒推得到中國(guó)用戶愿意用隱私換便利的結(jié)論嗎？其實(shí)，中國(guó)用戶并不是“愿意用隱私交換便利”，當(dāng)騷擾電話、騷擾郵件和騷擾微信鋪天蓋地時(shí)，數(shù)據(jù)泄露已經(jīng)成為常態(tài)，而我們又不得不被迫接受，不得不出賣(mài)隱私交換便利，甚至于出了問(wèn)題往往無(wú)可奈何，難以維權(quán)，這才是當(dāng)前的現(xiàn)實(shí)。毫無(wú)疑問(wèn)，這種不合理、不道德的狀況恰恰需要我們進(jìn)行一場(chǎng)全民的學(xué)習(xí)和維權(quán)教育。

從文化安全角度來(lái)看，像密碼/口令這種網(wǎng)民/企業(yè)保護(hù)自身網(wǎng)絡(luò)安全的第一道防護(hù)門(mén)，卻由于多數(shù)網(wǎng)民設(shè)置的密碼/口令十分隨意，簡(jiǎn)單重復(fù)，使其極易被破解。這種弱口令給大多數(shù)網(wǎng)民/企業(yè)帶了巨大損失，成為黑客攻擊成功的關(guān)鍵因素。案例證明，52.2%的泄露事件是由于使用弱口令導(dǎo)致的。一系列的案例告訴我們，必須認(rèn)真嚴(yán)謹(jǐn)?shù)匕押每诹畹谝魂P(guān)。隨后發(fā)生數(shù)據(jù)泄露的口令也要迅速采取措施，如封鎖IP地址、關(guān)閉一些服務(wù)器及在整個(gè)網(wǎng)絡(luò)環(huán)境內(nèi)設(shè)立進(jìn)階威脅偵測(cè)系統(tǒng)等。一些企業(yè)管理者不是不能防止這種現(xiàn)象發(fā)生，而是因?yàn)榉N種原因忽視甚至不愿意預(yù)先設(shè)置有效的安全措施予以防范。這里，黑客問(wèn)題固然是個(gè)全球頭疼的嚴(yán)峻問(wèn)題，而普遍的公民網(wǎng)絡(luò)安全教育則是刻不容緩的。

從全球發(fā)展看，互聯(lián)網(wǎng)領(lǐng)域發(fā)展不平衡、規(guī)則不健全、秩序不合理等問(wèn)題日益凸顯。不同國(guó)家和地區(qū)信息鴻溝不斷拉大，現(xiàn)有網(wǎng)絡(luò)空間治理規(guī)則難以反映大多數(shù)國(guó)家意愿和利益；世界范圍內(nèi)侵害個(gè)人隱私、侵犯知識(shí)產(chǎn)權(quán)、網(wǎng)絡(luò)犯罪等現(xiàn)象時(shí)有發(fā)生，網(wǎng)絡(luò)監(jiān)聽(tīng)、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)恐怖主義活動(dòng)等成為全球公害。在防止隱私數(shù)據(jù)泄露上，全球各國(guó)是一個(gè)“人類(lèi)命運(yùn)共同體”。2014年7月16日習(xí)近平總書(shū)記出訪巴西時(shí)，就在巴西國(guó)會(huì)的演講中指出，“雖然互聯(lián)網(wǎng)具有高度全球化的特征，但每一個(gè)國(guó)家在信息領(lǐng)域的主權(quán)權(quán)益都不應(yīng)受到侵犯，互聯(lián)網(wǎng)技術(shù)再發(fā)展也不能侵犯他國(guó)的信息主權(quán)。在信息領(lǐng)域沒(méi)有雙重標(biāo)準(zhǔn)，各國(guó)都有權(quán)維護(hù)自己的信息安全，不能一個(gè)國(guó)家安全而其他國(guó)家不安全，一部分國(guó)家安全而另一部分國(guó)家不安全，更不能犧牲別國(guó)安全謀求自身所謂絕對(duì)安全”(18)《“平語(yǔ)”近人——習(xí)近平的“互聯(lián)網(wǎng)思維”》，新華網(wǎng)，http://www.xinhuanet.com/politics/2015-12/17/C_1120861474.htm, 2015年12月17日。。

如何落實(shí)習(xí)近平總書(shū)記的頂層規(guī)劃，防范隱私數(shù)據(jù)泄露，如何全面規(guī)劃網(wǎng)絡(luò)數(shù)據(jù)安全的標(biāo)準(zhǔn)體系，從制度層面建設(shè)長(zhǎng)效防火墻，減少和杜絕大規(guī)模的嚴(yán)重隱私數(shù)據(jù)泄露事件，是我們必須抓緊攻克的難關(guān)。

目前我國(guó)網(wǎng)絡(luò)數(shù)據(jù)安全標(biāo)準(zhǔn)化工作仍存在三方面問(wèn)題：一是標(biāo)準(zhǔn)體系性不強(qiáng)，標(biāo)準(zhǔn)制定工作缺乏統(tǒng)籌協(xié)調(diào)，術(shù)語(yǔ)定義、分類(lèi)分級(jí)等基礎(chǔ)性標(biāo)準(zhǔn)尚不完善；二是部分關(guān)鍵標(biāo)準(zhǔn)亟須制定，數(shù)據(jù)安全評(píng)估、重要數(shù)據(jù)保護(hù)等重點(diǎn)標(biāo)準(zhǔn)的制定工作進(jìn)展緩慢；三是部分重點(diǎn)領(lǐng)域相關(guān)標(biāo)準(zhǔn)仍存在空白，網(wǎng)絡(luò)數(shù)據(jù)安全標(biāo)準(zhǔn)對(duì)5G、移動(dòng)互聯(lián)網(wǎng)、車(chē)聯(lián)網(wǎng)、物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)、人工智能、區(qū)塊鏈等重點(diǎn)領(lǐng)域高質(zhì)量發(fā)展的支撐作用有待加強(qiáng)。

2020年，工業(yè)和信息化部等單位編制完成《網(wǎng)絡(luò)數(shù)據(jù)安全標(biāo)準(zhǔn)體系建設(shè)指南》(征求意見(jiàn)稿)及編制說(shuō)明，通過(guò)頂層設(shè)計(jì)，制定政府引導(dǎo)和市場(chǎng)驅(qū)動(dòng)相結(jié)合的網(wǎng)絡(luò)數(shù)據(jù)安全標(biāo)準(zhǔn)體系建設(shè)方案，為行業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全管理提供有力支撐。雖然目前還只是一個(gè)征求意見(jiàn)稿，但其從標(biāo)準(zhǔn)體系入手，既可以解決當(dāng)前的現(xiàn)實(shí)問(wèn)題，又具有長(zhǎng)遠(yuǎn)的歷史意義。

工信部表示，網(wǎng)絡(luò)數(shù)據(jù)資源與傳統(tǒng)資源不同，其具有流動(dòng)特性，需要切實(shí)加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)全生命周期各個(gè)環(huán)節(jié)的安全保護(hù)，針對(duì)各應(yīng)用領(lǐng)域和業(yè)務(wù)場(chǎng)景下的不同特點(diǎn)，形成閉環(huán)安全管理模式，有效保護(hù)用戶合法權(quán)益，切實(shí)維護(hù)國(guó)家重要數(shù)據(jù)安全。(19)《〈網(wǎng)絡(luò)數(shù)據(jù)安全標(biāo)準(zhǔn)體系建設(shè)指南〉編制說(shuō)明》，中華人民共和國(guó)工業(yè)和信息化部網(wǎng)站，http://miit.gov.cn，2020年6月8日。

《網(wǎng)絡(luò)數(shù)據(jù)安全標(biāo)準(zhǔn)體系建設(shè)指南》(征求意見(jiàn)稿)指出，到2021年，初步建立網(wǎng)絡(luò)數(shù)據(jù)安全標(biāo)準(zhǔn)體系，有效落實(shí)網(wǎng)絡(luò)數(shù)據(jù)安全管理要求，基本滿足行業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全保護(hù)需要，推進(jìn)標(biāo)準(zhǔn)在重點(diǎn)企業(yè)、重點(diǎn)領(lǐng)域中的應(yīng)用，研制網(wǎng)絡(luò)數(shù)據(jù)安全行業(yè)標(biāo)準(zhǔn)20項(xiàng)以上。到2023年，健全完善網(wǎng)絡(luò)數(shù)據(jù)安全標(biāo)準(zhǔn)體系，使標(biāo)準(zhǔn)技術(shù)水平、應(yīng)用水平和國(guó)際化水平顯著提高，有力促進(jìn)行業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全保護(hù)能力提升，研制網(wǎng)絡(luò)數(shù)據(jù)安全行業(yè)標(biāo)準(zhǔn)50項(xiàng)以上。

有了標(biāo)準(zhǔn)體系，就需要我們遵照體系要求，全面培育我國(guó)全體國(guó)民的網(wǎng)絡(luò)安全與隱私保護(hù)意識(shí)。目前我國(guó)社會(huì)對(duì)此危機(jī)的認(rèn)識(shí)還存在許多觀念和認(rèn)識(shí)上的問(wèn)題。隱私數(shù)據(jù)泄露者與被泄露者均十分缺乏法律意識(shí)、維權(quán)意識(shí)。很多人對(duì)個(gè)人或企業(yè)信息被盜的危害性認(rèn)識(shí)不足，或信息被盜取但無(wú)法維權(quán)，對(duì)此持無(wú)奈、消極態(tài)度。國(guó)家對(duì)防止隱私數(shù)據(jù)泄露的整體監(jiān)管也還存在著諸多需要解決的問(wèn)題。因此，推動(dòng)一個(gè)網(wǎng)絡(luò)安全與隱私保護(hù)的全民宣傳教育活動(dòng)十分必要。

在2015年12月16日召開(kāi)的第二屆世界互聯(lián)網(wǎng)大會(huì)上，習(xí)近平總書(shū)記指出，互聯(lián)網(wǎng)雖然是無(wú)形的，但運(yùn)用互聯(lián)網(wǎng)的人們都是有形的，互聯(lián)網(wǎng)是人類(lèi)的共同家園。讓這個(gè)家園更美麗、更干凈、更安全，是國(guó)際社會(huì)的共同責(zé)任。國(guó)際社會(huì)應(yīng)該在相互尊重、相互信任的基礎(chǔ)上，加強(qiáng)對(duì)話合作，推動(dòng)互聯(lián)網(wǎng)全球治理體系變革，共同構(gòu)建和平、安全、開(kāi)放、合作的網(wǎng)絡(luò)空間，建立多邊、民主、透明的全球互聯(lián)網(wǎng)治理體系。(20)《習(xí)近平在第二屆世界互聯(lián)網(wǎng)大會(huì)開(kāi)幕式上的講話》，新華網(wǎng)，http://www.xinhuanet.com/politics/2015-12/16/C_1117481089.htm, 2015年12月16日。這就是本研究力圖實(shí)現(xiàn)的最高目標(biāo)。