姚虹聿

受害者幾乎包括全體巴西公民

據(jù)巴西《圣保羅州報(bào)》報(bào)道，圣保羅州警方透露，巴西近日發(fā)生了一起嚴(yán)重的互聯(lián)網(wǎng)數(shù)據(jù)泄露事件，警方正在全力進(jìn)行調(diào)查。

包括衛(wèi)生部和最高法院在內(nèi)的巴西政府部門(mén)和機(jī)構(gòu)，成為網(wǎng)絡(luò)攻擊的目標(biāo)?？偨y(tǒng)博索納羅、最高法院的11名法官、眾議院前議長(zhǎng)羅德里格·馬亞、參議院前議長(zhǎng)達(dá)維·阿爾科倫布雷等人的個(gè)人信息都遭到泄露。竊取信息的犯罪分子在暗網(wǎng)上以“打包”的形式出售政要、明星、商界人士的個(gè)人信息，報(bào)價(jià)415歐元。

遭到泄露的信息主要包括3個(gè)方面：首先是公民的個(gè)人數(shù)據(jù)，包括姓名、出生日期、CPF（個(gè)人稅號(hào)）、居住地址和收入等;其次是車(chē)輛信息，包括底盤(pán)號(hào)、牌照、所在城市、顏色、品牌、型號(hào)、生產(chǎn)年份、發(fā)動(dòng)機(jī)排量乃至使用的燃料等;最后是企業(yè)信息，包括企業(yè)名稱(chēng)、成立日期、經(jīng)營(yíng)范圍、CNPJ（企業(yè)稅號(hào)）等。

辦理此案的警方技術(shù)專(zhuān)家指出，黑客竊取的是最深層的互聯(lián)網(wǎng)數(shù)據(jù)，即那些通過(guò)普通搜索引擎無(wú)法找到的內(nèi)容。黑客將出售大量巴西人的電子郵件、電話號(hào)碼、購(gòu)買(mǎi)力數(shù)據(jù)等。警方最擔(dān)心的是，這些數(shù)據(jù)會(huì)被用于實(shí)施互聯(lián)網(wǎng)“釣魚(yú)”式詐騙，誘使人們支付費(fèi)用，參與所謂“投資”，或者提供更多的個(gè)人信息。另外，遭泄露的信息對(duì)于南美的犯罪集團(tuán)來(lái)說(shuō)是“寶貴的數(shù)據(jù)庫(kù)”，他們?cè)诎稻W(wǎng)上購(gòu)買(mǎi)相關(guān)信息后，可用于實(shí)施詐騙、敲詐勒索和綁架等犯罪。

據(jù)西班牙埃菲社報(bào)道，這是巴西迄今為止規(guī)模最大的一起互聯(lián)網(wǎng)信息泄露案件。根據(jù)巴西警方公布的數(shù)據(jù)，此次信息遭到泄露的巴西公民和企業(yè)主，總數(shù)達(dá)到2.23億，另有1.04億車(chē)輛的信息遭到泄露。

需要指出的是，有的受害者既是巴西公民，也是企業(yè)主，所以他們被統(tǒng)計(jì)了兩次。還有一些受害者是居住在海外的巴西籍人士。即便如此，根據(jù)2020年的最新統(tǒng)計(jì)數(shù)據(jù)，巴西的人口為2.1億——也就是說(shuō)，此次信息泄露事件的受害者幾乎包括了全體巴西公民！

重大信息泄露事件不了了之

埃菲社指出，這不是巴西首次發(fā)生大批公民信息遭泄露事件。作為南美地區(qū)的經(jīng)濟(jì)和人口大國(guó)，巴西的互聯(lián)網(wǎng)信息安全一直堪憂。

2019年11月，一家名為CheckMeu-Carro的巴西交通牌照信息公司的數(shù)據(jù)庫(kù)遭黑客攻陷，約1.9億個(gè)CPF和3500萬(wàn)個(gè)CNPJ被竊取。該數(shù)據(jù)庫(kù)記錄的個(gè)人信息包括客戶的姓名、居住地址、聯(lián)系方式、收入情況、出生日期、受教育程度以及其父母的姓名。一位匿名的安全信息專(zhuān)家在博客上曝光了此事：在特定的服務(wù)器上可以查到CheckMeuCarro公司記錄的所有數(shù)據(jù)。人們無(wú)從獲知這些數(shù)據(jù)是什么時(shí)候被傳到互聯(lián)網(wǎng)上的。

互聯(lián)網(wǎng)數(shù)據(jù)保護(hù)是巴西面臨的嚴(yán)峻問(wèn)題

事發(fā)后，CheckMeuCarro公司表示，泄露數(shù)據(jù)的服務(wù)器是公司內(nèi)部用來(lái)測(cè)試的平臺(tái)，公司對(duì)它進(jìn)行了實(shí)時(shí)流量監(jiān)控和訪問(wèn)限制，訪問(wèn)服務(wù)器的人無(wú)法下載詳細(xì)的數(shù)據(jù)，也無(wú)法將這些數(shù)據(jù)商用。然而，那位曝光此事的專(zhuān)家指出，他對(duì)該服務(wù)器進(jìn)行了數(shù)十次訪問(wèn)，均成功進(jìn)入系統(tǒng)，可以在線查閱所有數(shù)據(jù)——這與直接下載數(shù)據(jù)沒(méi)有本質(zhì)上的區(qū)別。

專(zhuān)攻數(shù)據(jù)保護(hù)法的巴西法律專(zhuān)家馬塞洛·克雷斯波表示，人們可以找到泄露數(shù)據(jù)的公司，并針對(duì)因數(shù)據(jù)泄露遭受的損失提出索賠。但是，受害者必須證實(shí)自己受到的損失的具體數(shù)額，才能提出索賠——這非常困難，幾乎不可能實(shí)現(xiàn)。

CheckMeuCarro公司表示，“受害者的損失沒(méi)有他們想象得那么大”。該公司甚至“甩鍋”給巴西政府，聲稱(chēng)“很多數(shù)據(jù)來(lái)自巴西政府公布的信息，比如教育機(jī)構(gòu)和司法機(jī)構(gòu)公布的信息。既然這些信息之前已經(jīng)由政府公開(kāi)過(guò)了，就不應(yīng)視之為公民的隱私”。

這一事件很快不了了之。CheckMeu-Carro公司關(guān)閉了服務(wù)器，停止了用戶的訪問(wèn)，僅此而已。

2020年1月，巴西Orsegups公司的服務(wù)器配置出現(xiàn)錯(cuò)誤，泄露了大量稅務(wù)文件，其中包括公司與客戶之間簽訂的合同的金額，以及公司員工的個(gè)人信息。泄露數(shù)據(jù)的總量超過(guò)25GB。

頗具諷刺意味的是，Orsegups公司是巴西安全防護(hù)領(lǐng)域的巨頭，專(zhuān)門(mén)為私營(yíng)公司、公共機(jī)構(gòu)和家庭提供安全服務(wù)，擁有40多年的行業(yè)經(jīng)驗(yàn)。該公司的業(yè)務(wù)范圍包括閉路電視監(jiān)控系統(tǒng)、警報(bào)系統(tǒng)、車(chē)輛行程安保和遠(yuǎn)程禮賓服務(wù)等。遭到泄露的文件中包含成千上萬(wàn)的客戶在接受住宅和車(chē)輛保護(hù)服務(wù)后收到的發(fā)票，其姓名、社會(huì)保險(xiǎn)號(hào)碼、CPF、居住地址和電話號(hào)碼，均一目了然。此次信息泄露事件無(wú)異于一枚重磅炸彈，令大批巴西政要、富商和明星如臨大敵——他們都是Orsegups公司的客戶。

Orsegups公司最終關(guān)閉了易受攻擊的服務(wù)器，并表示“專(zhuān)門(mén)成立了安全團(tuán)隊(duì)來(lái)監(jiān)控公司的相關(guān)平臺(tái)，針對(duì)數(shù)據(jù)安全實(shí)施更好的策略”。沒(méi)有受害者向Orsegups公司提出索賠，因?yàn)樗麄冎?，按照巴西法律，難以打贏索賠官司。

網(wǎng)絡(luò)信息保護(hù)立法姍姍來(lái)遲

《圣保羅州報(bào)》指出，數(shù)據(jù)泄露案的涉事公司未受到應(yīng)有的懲處，導(dǎo)致這類(lèi)案件頻發(fā)，使全體巴西公民都成了信息泄露的受害者。出現(xiàn)這種情況的根源在于法律監(jiān)管的缺失。竊取信息的黑客一經(jīng)查實(shí)，必然受到刑事懲處。而對(duì)于泄露信息的涉事企業(yè)來(lái)說(shuō)，幾乎不會(huì)因防控不力而承擔(dān)法律責(zé)任，甚至不必向受害者提供民事賠償。

巴西的互聯(lián)網(wǎng)信息保護(hù)立法可謂姍姍來(lái)遲。2020年9月，巴西政府才正式頒布了該國(guó)第一部通用數(shù)據(jù)保護(hù)法（LGPD）。LGPD以歐盟的通用數(shù)據(jù)保護(hù)法為藍(lán)本，與其有很多相似之處。另外，LGPD引入了一些新概念，例如“域外效力”，即一家公司無(wú)須設(shè)在巴西境內(nèi)，即可適用該法律，只要該公司從事以下任何一項(xiàng)業(yè)務(wù)：在巴西境內(nèi)處理個(gè)人數(shù)據(jù);處理在巴西境內(nèi)收集到的個(gè)人數(shù)據(jù);在巴西境內(nèi)提供商品或服務(wù)。

LGPD要求任何公司或機(jī)構(gòu)在獲取個(gè)人信息前，都必須征得個(gè)人的明確同意，并將數(shù)據(jù)請(qǐng)求和使用目的分開(kāi)表述;公司必須制定有約束力的相關(guān)規(guī)則，以及標(biāo)準(zhǔn)的合同工具;公司必須任命一名數(shù)據(jù)保護(hù)官。

這一次個(gè)人信息遭到泄露的巴西公民和企業(yè)主，總數(shù)達(dá)到2.23億。出現(xiàn)這種情況的根源在于法律監(jiān)管的缺失。

巴西政府要求企業(yè)和機(jī)構(gòu)自行審查其信息保護(hù)制度，明確與LGPD條款之間的差距，并進(jìn)行整改。

雖然完成了相關(guān)立法，但LGPD的解釋和執(zhí)行存在一些有待解決的問(wèn)題。首先，LGPD在行政制裁方面的規(guī)定要到今年8月1日才開(kāi)始生效，在此之前，受害者只能對(duì)涉事公司提出經(jīng)濟(jì)方面的索賠;其次，受害者要根據(jù)自己能夠證實(shí)的受損程度來(lái)提出賠償額度——這實(shí)際上非常困難;最后，LGPD的主要執(zhí)行機(jī)構(gòu)——巴西國(guó)家數(shù)據(jù)保護(hù)局（ANPD）剛剛成立，到今年8月還不一定能夠正式履行職責(zé)。

巴西網(wǎng)民“心慌慌”

據(jù)埃菲社報(bào)道，此次震動(dòng)巴西的“全民信息遭泄露”事件，有可能是黑客組織抓住LGPD正式實(shí)施之前的這個(gè)時(shí)間段，給巴西政府來(lái)一個(gè)下馬威。這也說(shuō)明巴西的互聯(lián)網(wǎng)信息保護(hù)工作任重而道遠(yuǎn)。

全球知名調(diào)查機(jī)構(gòu)益普索（Ipsos）以及國(guó)際管理創(chuàng)新中心（CIGI）共同進(jìn)行的一項(xiàng)調(diào)查顯示，在全球互聯(lián)網(wǎng)發(fā)展程度較高的24個(gè)國(guó)家中，巴西網(wǎng)民對(duì)于互聯(lián)網(wǎng)安全及隱私保護(hù)的擔(dān)憂最嚴(yán)重。

調(diào)查顯示，2020年上述國(guó)家中有57%的網(wǎng)民表示，比2019年更擔(dān)心互聯(lián)網(wǎng)的安全問(wèn)題。其中，巴西網(wǎng)民對(duì)互聯(lián)網(wǎng)安全表示憂慮的比例最高，達(dá)到63%。

在接受調(diào)查的巴西網(wǎng)民中，82%的人認(rèn)為目前互聯(lián)網(wǎng)犯罪猖獗;74%的人不信任互聯(lián)網(wǎng)公司;67%的人表示，相關(guān)企業(yè)防控不力是互聯(lián)網(wǎng)信息泄露的主要隱患;65%的人不相信巴西政府能夠解決這個(gè)問(wèn)題。

編輯：姚志剛 winter-yao@163.com