魏道培

黑客先后兩次攻入希爾頓公司的內部網(wǎng)絡系統(tǒng)，導致大量客戶信息泄露。這是美國2015年年底披露的一樁大案。最初，這家世界著名酒店公司只想弄清旗下連鎖酒店的財產(chǎn)資料是否泄露。緊接著，美國信息安全技術獨立調查人布里安·克里布斯（Brian Krebs）發(fā)布消息稱，希爾頓公司的餐館、酒吧、禮品店的所有終端都已發(fā)現(xiàn)收集個人財務信息的惡意軟件，大量客戶個人信息可能被劫。

此后，希爾頓再次確認，公司內部系統(tǒng)遭入侵，尤其是HLT0.53%數(shù)據(jù)系統(tǒng)。這類惡意軟件是專門設計用于收集個人支付卡信息，包括持卡人姓名、支付卡卡號、密碼和有效期。此時，希爾頓公司才意識到他們低估了問題的嚴重性，于是立即開展深入調查并著手強化網(wǎng)絡安全。事實上，他們已無法準確說出，被盜信息中包含了多少持卡人姓名、支付卡賬號、安全代碼和有效期。

個人信息泄露日趨嚴重

希爾頓是世界最著名的酒店服務公司之一。它在全球97個國家和地區(qū)擁有4500家連鎖酒店。此案已發(fā)，若不盡快通知個人客戶，希爾頓公司就可能承擔刑責，或被告上法庭，賠償客戶因此遭遇的財物損失。他們不得不通知一定期限內曾住宿、用餐和購物的所有客戶，要求其查詢并核實自己的銀行賬單，修改密碼，還向一定期限內購買服務的客戶免費提供一年的信用監(jiān)控與查詢服務。其實，黑客盯上的酒店已不止希爾頓，美國萬豪酒店公司曾同意并購擁有120億美元資產(chǎn)的連鎖酒店，但發(fā)現(xiàn)即將并購的外公司有54家的個人客戶信息遭泄露，若并購，那么其他萬豪連鎖酒店也有可能遭入侵。

在美國歷史上，公司曾把客戶的姓名、年齡、購買情況、家庭住址、社會安全代碼和其他個人信息視作有價資產(chǎn)加以收集利用，在某些情況下出售而不經(jīng)用戶同意。政府在過去也并無監(jiān)管措施。但自從有了互聯(lián)網(wǎng)，個人信息可輕易收集、使用、搜索和分享，因此濫用個人信息越來越普遍，引發(fā)的信息安全問題也越來越突出，這導致涉事機構和個人泄露有價值的信息問題日趨嚴重。為遏制這一勢頭，美國國會與各州議會相繼推出法律規(guī)范措施并規(guī)定，無論是紙質還是電子文檔，只要涉及個人敏感數(shù)據(jù)，涉事單位或個人都要給予分等級的管控，否則他們將承擔法律責任。

然而，盡管聯(lián)邦法院制定的法規(guī)嚴格限制了收集、使用和分享個人信息，但信息技術日新月異，法律的更新往往落后于技術的發(fā)展。在此之前，美國聯(lián)邦貿易委員會（FTC）也相繼推出行業(yè)自律規(guī)則，包括客戶隱私信息的使用規(guī)范，也制定了隱私數(shù)據(jù)保護規(guī)定，即未經(jīng)授權不得隨意使用。

早在2009年初，《美國數(shù)據(jù)泄露成本研究》發(fā)布報告稱，2008年美國公司信息泄露，導致客戶人均損失202美元，而2007年僅為197美元，更比2005年提高了40%。公司因此造成損失更高，平均達665萬美元。倘若提早應對，即可防患于未然。在過去三年中，美國執(zhí)法部門對機構和個人的數(shù)據(jù)安全關注度進一步提高，原因是過去制定的相關法規(guī)越來越不適應需要，法不治眾普遍存在，屢次出現(xiàn)大規(guī)模的泄露隱私數(shù)據(jù)的案情，用立法來遏制這一勢頭已成必然。

個人信息泄露給機構帶來災難

聯(lián)邦貿易委員會已明文規(guī)定，任何機構只要泄露客戶的個人信息，尤其是敏感信息，那么它必須承擔相應的法律責任。公司泄露個人信息不僅要承擔法律責任，而且還意味著丟失潛在的客戶、收益和股份價值，同時也使公司深陷絕境，形象受損。當然，這要取決于公司的類型和泄露數(shù)據(jù)的性質。最普遍的泄露案件是網(wǎng)絡遭入侵、非安全的無線通信、桌面終端被盜等等，也有郵件、惡意軟件、人為操作和攝像失誤等方式。一份調查發(fā)現(xiàn)，美國約有74%的隱私數(shù)據(jù)泄露屬于外部劫取，32%屬于商務搭檔搞鬼，另有20%屬內賊竊取。

資金或有價票據(jù)的信息泄露時，公司要付出高昂的代價。據(jù)彭那蒙研究，美國公司一臺筆記本電腦丟失，平均造成價值20萬美元的數(shù)據(jù)損失，若加上調查費、客戶咨詢、危機管控、中心呼叫、信用監(jiān)控、律師費、罰款、訴訟費、傳票費、法庭專家認定費等等，損失不可估量。

個人信息的泄露在美國也要分性質和嚴重程度。若敏感信息泄露，如金融機構和健康護理提供商泄露了客戶個人信息，那么他們不僅要承擔法律責任，而且還會作為丑聞曝光，最大限度地披露出來。此外，若公司雇員泄露了未經(jīng)授權的個人信息，那么這類案件將被刊登在當?shù)仡^版頭條新聞上，還會引發(fā)連鎖反應。美國大陸航空公司就是最典型的一例。一筆記本電腦丟失在異地，內有200名乘客的姓名、地址、社會安全代碼和指紋。隨之，美國最大的信用卡支付系統(tǒng)公司之一HPS（Heartland Payment Systems）公司宣布，大陸航空的失竊案造成了美國有史以來最大的個人信息泄露案。竊賊依據(jù)盜取的個人社會安全代碼進入這家支付系統(tǒng)公司內網(wǎng)，進行了大量的非法交易，導致該公司月均1億美元被人從銀行刷走，超過17萬商人的賬戶受影響。隨后，這家支付公司被起訴，罪名是，他們未能及時通知相關用戶而造成巨額損失。另一案例是2009年4月，俄克拉荷馬州政府公共事業(yè)部遭遇一次意外事故。竊賊從政府雇員車中盜走一臺筆記本電腦，內裝100萬居民的姓名、地址、家庭電話號碼和社會安全代碼，并且這份文件未加密。2010年，美國最大的折價商業(yè)公司TJX的網(wǎng)絡系統(tǒng)有4570萬張未加密的客戶信用卡和借記卡遭黑客盜取。調查表明，該公司的所有電腦數(shù)據(jù)和現(xiàn)金記錄機上的所有個人信息都遭到詐騙團伙用技術手段劫走。此案導致該公司直接損失在2.56億-5億美元之間，間接損失高達10億美元，涉及全美眾多的客戶、發(fā)卡銀行、州銀行協(xié)會和股東。此后，美國FBI在全球范圍內抓獲11名相關嫌疑人。2008年，美國俄亥俄州一家醫(yī)療保險公司丟失11張光盤，內含3.6萬雇員和退休人員的個人信息。最終這些光盤被找到，然后在寄往哥倫布市的途中再次丟失。消息一傳出即在美國引發(fā)軒然大波。

公司淡漠客戶個人信息，泄露了本可以避免泄露的客戶敏感信息，他們不僅要造成巨額損失，而且還要面臨法律的制裁并擔刑責，還存在倒閉的風險。2005年，美國凱撒醫(yī)療公司（Kaiser Permanente）的一位雇員由于對老板不滿，竟把公司一份文件鏈接到她自己的博客上，包括醫(yī)療客戶個人姓名、IP地址、計算機代碼，總共導致140名客戶信息泄露。由此，她使公司違反了美國HIPAA法，即《健康保險攜帶和責任法》，該公司被罰20萬美元。又如，2008年美國華盛頓都市地區(qū)高速運輸管理局未經(jīng)授權把所有雇員的社會安全代碼發(fā)布在網(wǎng)站上。按理說，這是公司內部事務，但由于未經(jīng)授權，因此被認定為“非法發(fā)布”，一時成為眾矢之的。

美國公民的個人信息丟失引發(fā)的社會犯罪日趨嚴重，最終迫使美國聯(lián)邦政府與州政府兩個層次采取立法措施。聯(lián)邦政府立法部門先后推出系列法律，要求各機構采取措施保護個人信息，尤其是敏感信息，如財務、健康信息，兒童信息也在保護之列。各州立法部門還向個人消費者提供保護個人信息的方法。截至目前，美國已有44個州立法保護個人信息。最近哥倫比亞特區(qū)、美屬維京群島也列入其中，其總的要求是：商業(yè)企業(yè)務必制定嚴密的安全規(guī)章制度，采取自律措施，限制雇員的行為。

美國保護個人信息最著名的聯(lián)邦與州法律措施

*聯(lián)邦政府立法措施

·1996年聯(lián)邦政府頒布并實施HIPAA法，即《健康保險攜帶和責任法》。該法明確規(guī)定，健康信息（PHI）權屬于受保護的個人隱私，任何個人或機構未經(jīng)授權，無論有意無意或任何形式，不管是紙質還是電子文檔，均在保護之列。

·2009年，美國頒布實施《經(jīng)濟復蘇及再投資法》，該法再次強制規(guī)定，在披露個人健康信息前必須經(jīng)由本人同意。

·1999年，克林頓總統(tǒng)簽署了當時最具影響力的《金融服務現(xiàn)代化法》，它要求美國的所有金融機構，一旦發(fā)生個人信息泄露，必須立即通知每一位相關客戶，否則將承擔因此引發(fā)的法律責任。

·2005年，美國立法部門在2003年頒布實施的《公平與準確信用交易法》（FACTA）基礎上，再推出與之配套的《處置規(guī)則》（Disposal Rule），旨在進一步細化管控措施，杜絕非授權使用和其他不當使用個人信息，禁止機構保留、收集或另作他用。

·1998年，美國頒布實施《兒童在線隱私權保護法》（COPPA）。該法旨在賦予父母管控孩子上網(wǎng)使用信息的權利，同時預防不法分子從孩子處收集家庭敏感信息。

·《聯(lián)邦貿易委員會法》（FTC ACT）是在20世紀初就已制定，此后隨著時代的變遷歷經(jīng)多次修訂。該法禁止不公平競爭或欺騙手段或以非公正的行為影響市場。最新修訂的該法明文規(guī)定，若機構未經(jīng)授權采集，使用和分享個人信息，將被視作“非公平”、“欺詐”的貿易行為，消費者可直接控告該機構。該法被視作美國最有實用性最普遍的個人信息安全管控法。

*州政府立法措施

美國加利福尼亞州2002年率先制定法律措施保護個人信息安全以來，已有44個州制定了與信息泄露和通知制度相關的法律。這些法律規(guī)定，一旦機構獲知并確信客戶信息被解密或被傳輸?shù)狡渌麢C構并將直接影響客戶前，公司應通知客戶。加州該法實施以來已修訂多次，要求通知更詳細。美國賓夕法尼亞州最近通過一項法案，即機構的個人信息被泄露，須在7天內無條件通知相關的州公民個人。緊隨其后，其他州的相關法律也做出類似修訂。其中馬薩諸塞州和內華達州的相關法案更為嚴格，他們要求任何機構把個人信息傳輸給商業(yè)安全系統(tǒng)之外的任何人或機構都必須加密，以確保安全。2010年，馬薩諸塞州修訂相關法律，推出新的個人信息泄露通知的最低標準，即無論是紙質還是電子文檔，只要包含任何個人信息均須以書面的形式通知對方。

*機構的行業(yè)自律措施

美國支付卡行業(yè)數(shù)據(jù)安全標準（PCI DSS），具體而言，是針對在全天候工作日中處理持卡人數(shù)據(jù)的金融機構、貿易商和服務提供商提出的要求。它為各行業(yè)自律設置了12個基本的安全要求。迄今為止，它已成為一種強制性行業(yè)標準，即金融機構或其他企業(yè)在處理、儲存、傳輸持卡人數(shù)據(jù)時必須遵守的規(guī)則。美國金融機構在處理過程中若未加密，監(jiān)管機構一旦發(fā)現(xiàn)就會對其采取懲罰措施。

由于因特網(wǎng)使用頻率越來越高，收集、傳輸和儲存電子記錄文檔所引發(fā)的數(shù)據(jù)失竊也日趨頻繁，美國聯(lián)邦政府為機構也制定了相關參考指南。