治愈数据泄露良药何在

　　治愈数据泄露良药何在

　　我国对于数据保护起步较晚，仍然有很长的路要走。现行有效的法律处在一个“不上不下”的状态，事实上，面对庞大群体遭受到的影响而言，并没有起到实质意义上的保护作用

　　文 《法人》特约撰稿 董毅智

　　近日，华住酒店集团被爆出5亿条用户信息疑遭泄露，包括1.3亿条身份信息和2.4亿条开房记录。

　　该事件起因是在暗网中文论坛上出现一则出售华住集团旗下酒店数据的帖子，这些数据涉及1.3亿条身份信息和2.4亿条开房记录等共5亿条信息，被标价为8比特币或520门罗币(约等于37万人民币)出售。

　　数据泄露范围为在官网登记的姓名、手机号、邮箱、身份证号、登录密码，入住登记的身份信息包括家庭住址，以及酒店开房记录，包括内部ID号、同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店ID号、房间号、消费金额等。

　　随后华住集团表示已在第一时间报警，公安机关正在展开调查。

　　华住集团是国内知名的酒店集团，目前，华住集团旗下运营的酒店品牌已经覆盖所有市场，包括美爵、VUE、禧玥、诺富特、美居、漫心、全季、桔子水晶、桔子精选、CitiGO、星程、宜必思尚品、宜必思、汉庭优佳、汉庭、怡莱、海友等众多品牌。

　　近来，关于酒店开房记录被泄露的事件时有发生，而目前的法律规范及酒店企业内部的一系列保密措施，效果显然十分有限。

　　屡被泄露的信息

　　2015年，凯悦酒店就爆出过因支付系统问题导致信用卡信息泄露，涉及约50个国家的250个酒店。2017年10月，全球范围内41家凯悦酒店遭到黑客攻击，导致11个国家的凯悦酒店信息泄露，其中中国酒店有11家，分布于上海、杭州、广州等地。泄露信息内容包括持卡人姓名、卡号、到期时间、内部认证密码等。运营总裁称泄露原因是“第三方针对酒店IT系统植入的含有恶意软件代码的卡片”。凯悦酒店此后表示事情已经解决，但并未对消费者补偿。

　　2017年11月，希尔顿对于在2014年至2015年之间的信息泄露，被纽约和佛蒙特州的总检察长宣布罚款为700,000美元。希尔顿被认为未能妥善保护他们的信息，且在发生信息泄露事件后未能及时告知客户，“商家有义务通知消费者在违约的情况下，保护个人信息安全的可能”。

　　此前，一家名为“瑞智华胜”新三板公司被爆出劫持运营商流量，违规窃取用户数据，媒体戏称为“史上最大规模的数据窃取案”，BAT们纷纷中招，包括百度、腾讯、阿里、今日头条等全国96家互联网公司。数据称，该公司一年营收超3000万元。

　　据相关报道显示，瑞智华胜自2014年开始，通过竞标与覆盖全国十余个省市多家运营商签订正式的服务合同，以为其提供精准广告投放系统的开发和维护工作的名义，获取运营商服务器的远程登录权限，从而窃取用户的cookie数据。财新报道提及，公司内部存在“内鬼”提供帮助。

　　2016年12月京东被曝有多达12G的用户数据外泄；在2017年3月，京东员工与黑客协作再次导致用户信息泄露。

　　2017年1月，名为“DoubleFlag”的知名暗网供应商出售窃取自多家中国互联网公司的用户数据，8亿多个用户数据价格仅为0.4457比特币（折合人民币2750元）。

　　2017年10月，南非遭遇史上最大规模数据泄露，3000多万客户信息被公开。

　　2017年11月Uber主动公开去年曾向黑客支付10万美元封口费以隐瞒5700万账户数据泄露事件；2018年6月Acfun发布公告称遭遇黑客攻击，近千万条用户数据外泄。

　　一系列与泄露隐私相关的案例显示，数据泄露问题已成为现代人的梦魇之一。

　　泄露事件背后的纵横交错

　　当前，新媒体发展迅速，用户普及度已经足够，信息已充斥于各个虚拟空间，剩下的只是如何用信息来赚钱的问题。BAT所靠的流量红利到达瓶颈，以至于广告投放效益也受到影响，如同互联网的发展思路，在“走量”已获得阶段性成功后，下一步致力于精准投放。所谓知己知彼，对信息的获取、整合能够帮助企业减少投放成本，使广告商在有限支出范围内获取最大效益。

　　于BAT企业而言，态度是坚决拒绝买卖、泄露信息，但是获取信息的方式可不止买卖一种，何况，现状是用户信息并不被某特殊几家所拥有，而是存在公共空间内肆意抓取。另外，黑客侵入也是信息大面积泄露的原因之一，包括与内部员工勾结的方式，其背后透露出的是企业内部的管理以及技术上存在缺陷。

　　监管的问题自不用多说，几个月前欧盟GDPR的出台让一众相关互联网公司慌乱，可见其问题之严峻，也从侧面反映出，信息的滥用已是行业内的“潜规则”。

　　我国对于数据保护起步较晚，仍然有很长的路要走，现行有效的法律处在一个“不上不下”的状态。在2009年刑七出台之后，将“侵犯公民信息罪”纳入其中，随后在2017年出台司法解释，对“情节严重”“情节特别严重”等做出解释，除外还有在2016年通过的《中华人民共和国网络安全法》，然而事实上，国内就此走上诉讼程序的案子少之又少，面对庞大群体遭受到的影响而言，并没有起到实质意义上的保护作用。

　　企业与个人均应担起重任

　　不少用户包括笔者自身也感受到了信息泄露的情况之甚，比如前几天还在与同伴面对面称要买一件物品，第二天就在某电商平台推荐看到了类似产品。监管尚不完善，情势逐渐严峻的情况下用户需要提升个人隐私的保护意识，“破罐子破摔”“怕麻烦”“徒劳无功”等心理并不可取，只是寄期望于《黑镜》中的悲剧不要发生的侥幸心理，往往成为自己的刽子手。

　　对于企业层面的警示已无须多说，但又不可弃之。在法律法规执行力尚缺的情形下，企业应当从自身出发，尤其是几大BAT巨头，以身作则将保护数据放到至关重要的位置。

　　包括但不限于完善内部规制，联合上下游商户共同抵制数据泄露，以及从企业出发提出行业内部的数据保护办法，或采取举报奖励机制，领头打压数据泄露问题。

　　“数据泄露”短期内难以根治

　　数据泄露问题之大之难，在于行业范围、受众群体广阔，违法成本低廉，作为互联网时代下的突出问题，尚未有一个可以效仿的对象，很难打击到位，以及牵扯到巨头之间的权力制衡，前路漫漫。

　　笔者认为，短期内或将持续爆发类似数据泄露问题，在欧盟的GDPR出台后，国际间或将出台类似条约以达成共识，但这需要一个较为漫长的过程，或需要一个强有力的国家真实感受到利益的受损，才能诞生类似提议。

　　笔者长期强调“创新”需要技术层面的“不可替代”，而不仅是理念、讲故事，近来马云、马化腾也发表了对于“创新”的新看法，这已是从国家层面渗透至企业的趋势、意识，相信对于用户信息的保护亦如是，我们总会看到明媚的那一天，只是希望它早一点、再早一点到来。

责任编辑：万露