金元浦

大數(shù)據(jù)時(shí)代的數(shù)據(jù)管理是信息時(shí)代各國(guó)治國(guó)理政的重要課題。近年來(lái)，大量個(gè)人隱私數(shù)據(jù)泄露的現(xiàn)狀已成為當(dāng)前全球關(guān)注的一個(gè)重大社會(huì)問(wèn)題。它關(guān)涉經(jīng)濟(jì)運(yùn)行、商業(yè)倫理、文化安全、社會(huì)安定，乃至政治清明的眾多領(lǐng)域。本文選擇中外三年來(lái)的重要案例來(lái)分析隱私數(shù)據(jù)泄露的原因。研究發(fā)現(xiàn)，目前隱私數(shù)據(jù)泄露有四種類型。如何從頂層全面降低或進(jìn)一步杜絕大規(guī)模隱私數(shù)據(jù)泄露，構(gòu)建我國(guó)信息保護(hù)和數(shù)據(jù)管理的新格局，是我們當(dāng)前面臨的一項(xiàng)緊迫任務(wù)。

隱私; 數(shù)據(jù)泄露; 黑客攻擊; 技術(shù)漏洞; 數(shù)據(jù)管理; 數(shù)據(jù)保護(hù)

F490.6; G203-A-0018-12

大數(shù)據(jù)時(shí)代的數(shù)據(jù)管理是信息時(shí)代各國(guó)治國(guó)理政所面對(duì)的新現(xiàn)實(shí)、新課題。近年來(lái)，大量個(gè)人隱私數(shù)據(jù)泄露的現(xiàn)狀已成為當(dāng)前全球關(guān)注的一個(gè)重大社會(huì)問(wèn)題。它關(guān)涉各國(guó)的經(jīng)濟(jì)運(yùn)行、商業(yè)倫理、文化安全、社會(huì)安定，乃至政治清明的眾多領(lǐng)域，也關(guān)涉普通民眾的個(gè)人隱私、家庭關(guān)系、消費(fèi)活動(dòng)、文化背景，乃至個(gè)體自由等諸多方面。本文選擇中外三年來(lái)的重要案例來(lái)分析隱私數(shù)據(jù)泄露的原因。研究發(fā)現(xiàn)，目前隱私數(shù)據(jù)泄露有四種類型：黑客作為數(shù)據(jù)泄露的主因之一，通過(guò)攻擊企業(yè)技術(shù)漏洞帶來(lái)了嚴(yán)重后果;網(wǎng)絡(luò)企業(yè)觀念上的諸多問(wèn)題和管理上的漏洞，造成攻擊者可乘之機(jī);利益驅(qū)使第三方企業(yè)非法獲取、利用個(gè)人隱私數(shù)據(jù)獲利;數(shù)據(jù)管理松弛，企業(yè)內(nèi)部人員作案，外泄數(shù)據(jù)非法獲益。如何從頂層全面降低或進(jìn)一步杜絕大規(guī)模隱私數(shù)據(jù)泄露，構(gòu)建我國(guó)信息保護(hù)和數(shù)據(jù)管理的新格局是我們當(dāng)前面臨的一項(xiàng)緊迫的任務(wù)。

本文的邏輯為：?jiǎn)栴}導(dǎo)向—調(diào)研篩選—案例分析—討論建議—理論探討。

一、 隱私數(shù)據(jù)泄露已成為互聯(lián)網(wǎng)時(shí)代全球重大的社會(huì)問(wèn)題

隱私數(shù)據(jù)泄露已成為互聯(lián)網(wǎng)時(shí)代全球重大的社會(huì)問(wèn)題，嚴(yán)峻現(xiàn)實(shí)要求我們必須對(duì)此作出回答。近年來(lái)，隨著大數(shù)據(jù)運(yùn)用的日益頻繁、技術(shù)的日益成熟，隱私數(shù)據(jù)的泄露到了觸目驚心、令人恐懼的狀態(tài)。隱私數(shù)據(jù)泄露的案例比比皆是，據(jù)不完全統(tǒng)計(jì)，各類案例多達(dá)數(shù)百萬(wàn)起。受隱私數(shù)據(jù)泄露影響的人數(shù)已達(dá)數(shù)十億。隱私數(shù)據(jù)泄露的總量?jī)H2018年以來(lái)就達(dá)到數(shù)百億條，并且有不斷增加的趨勢(shì)。隱私數(shù)據(jù)泄露的頻次也越來(lái)越密集，由2013年以前的偶發(fā)變?yōu)槊芗猿B(tài)。

案例?2018年8月，澎湃新聞從紹興市越城區(qū)公安分局獲悉，該局日前偵破一起特大流量劫持案，涉案的新三板掛牌公司北京瑞智華勝科技股份有限公司，涉嫌非法竊取用戶個(gè)人信息30億條，非法操控公眾賬號(hào)進(jìn)行加粉或關(guān)注，涉及百度、騰訊、阿里、京東等全國(guó)96家互聯(lián)網(wǎng)公司。

案例?安全研究者Sanyam Jain先后5次發(fā)現(xiàn)Elasticsearch服務(wù)器不安全。第1臺(tái)服務(wù)器存有3300萬(wàn)中國(guó)用戶簡(jiǎn)歷。他將問(wèn)題報(bào)告給中國(guó)國(guó)家計(jì)算機(jī)應(yīng)急響應(yīng)小組（CNCERT），4天后數(shù)據(jù)庫(kù)得到修復(fù)。第2臺(tái)服務(wù)器存有8480萬(wàn)份簡(jiǎn)歷，在CNCERT的幫助下，問(wèn)題得以解決。第3臺(tái)服務(wù)器存放著9300萬(wàn)份簡(jiǎn)歷。第4臺(tái)服務(wù)器同樣存放著來(lái)自中國(guó)企業(yè)的900萬(wàn)份簡(jiǎn)歷數(shù)據(jù)。第5個(gè)泄露點(diǎn)是Elasticsearch服務(wù)器集群，里面存放逾1.29億份簡(jiǎn)歷。Jain無(wú)法確認(rèn)所有者，但數(shù)據(jù)庫(kù)仍為開(kāi)放狀態(tài)。

案例?據(jù)Wired報(bào)道，2018年曝光的市場(chǎng)和數(shù)據(jù)匯總公司Exactis服務(wù)器信息暴露的事情經(jīng)調(diào)查為實(shí)，該數(shù)據(jù)涉及大約3.4億條記錄，容量接近2TB，據(jù)說(shuō)涵蓋2.3億人。這些數(shù)據(jù)包含的隱私深度超乎想象，包括一個(gè)人是否吸煙、有什么宗教信仰、是否養(yǎng)狗或養(yǎng)貓以及各種興趣等。Exactis事后對(duì)數(shù)據(jù)進(jìn)行了加密防護(hù)，以避免信息的進(jìn)一步泄露。

隱私數(shù)據(jù)泄露所涉及的范圍日益擴(kuò)大，陷入困境的行業(yè)、部門(mén)越來(lái)越多。互聯(lián)網(wǎng)信息業(yè)、大數(shù)據(jù)行業(yè)、快遞業(yè)、酒店業(yè)、航空業(yè)、綜合類商業(yè)，以及醫(yī)療行業(yè)、餐飲業(yè)等，越是與人們現(xiàn)代生活、商務(wù)、出行有密切關(guān)系的行業(yè)，受到的影響越大。以酒店業(yè)為例，近年來(lái)，酒店業(yè)的信息泄露問(wèn)題越來(lái)越嚴(yán)重，原因就在于巨大的經(jīng)濟(jì)利益。截至2018年底，全國(guó)住宿業(yè)的設(shè)施總數(shù)為482，603家，客房總規(guī)模18，164，158間，其中的酒店類住宿業(yè)設(shè)施344，313家，客房總數(shù)16，858，721間。盈蝶咨詢、北京第二外國(guó)語(yǔ)學(xué)院旅游科學(xué)學(xué)院：《2019中國(guó)大住宿業(yè)發(fā)展報(bào)告（上）》，盈蝶咨詢網(wǎng)站，http：//inntie.com，2019年10月10日。每位住客的身份證號(hào)、電話號(hào)碼、房間號(hào)等個(gè)人信息將同步上傳至酒店內(nèi)部的管理系統(tǒng)。因此，從行業(yè)來(lái)看，酒店業(yè)是黑客獲取核心隱私數(shù)據(jù)最方便、最集中的行業(yè)之一，而國(guó)際連鎖酒店因其客源質(zhì)量很高，信息量巨大，經(jīng)濟(jì)效應(yīng)也十分可觀，故其往往成為黑客或犯罪人員的最佳選擇。

案例?信息業(yè)?2018年9月份，研究人員在一個(gè)配置錯(cuò)誤的服務(wù)器上發(fā)現(xiàn)了存儲(chǔ)有超過(guò)200GB數(shù)據(jù)的數(shù)據(jù)庫(kù)。據(jù)悉，該服務(wù)器處于完全無(wú)防御的狀態(tài)且面向公眾開(kāi)放，任何人都能夠公開(kāi)查詢和訪問(wèn)其數(shù)據(jù)。研究人員介紹稱，該數(shù)據(jù)庫(kù)中存儲(chǔ)有來(lái)自Veeam公司的約4.45億客戶記錄，其中包含客戶的個(gè)人信息，如姓名、電子郵件地址以及居住地等。此外，該服務(wù)器上提供的其他詳細(xì)信息還包括部分營(yíng)銷數(shù)據(jù)，例如：客戶類型和組織規(guī)模、IP地址、來(lái)源地址（referrer）、當(dāng)前頁(yè)面地址（URL）以及用戶代理等。

案例?快遞業(yè)?2018年6月，“暗網(wǎng)”一位ID“f666666”的用戶開(kāi)始兜售圓通10億條快遞數(shù)據(jù)，該用戶表示售賣的數(shù)據(jù)為2014年下旬的數(shù)據(jù)，數(shù)據(jù)信息包括寄（收）件人姓名、電話、地址等信息，10億條數(shù)據(jù)經(jīng)過(guò)處理，數(shù)據(jù)重復(fù)率低于20%，數(shù)據(jù)被該用戶以1比特幣打包出售。網(wǎng)友驗(yàn)證了其中一部分?jǐn)?shù)據(jù)，發(fā)現(xiàn)在所購(gòu)“單號(hào)”中，姓名、電話、住址等信息均屬實(shí)。

案例?酒店業(yè)?萬(wàn)豪國(guó)際集團(tuán)于2018年11月30日發(fā)布公告稱，旗下喜達(dá)屋酒店客房預(yù)訂數(shù)據(jù)庫(kù)遭黑客入侵，最多約5億名客人的信息可能被泄露。萬(wàn)豪酒店在隨后的調(diào)查中發(fā)現(xiàn)，有第三方對(duì)喜達(dá)屋的網(wǎng)絡(luò)進(jìn)行未經(jīng)授權(quán)的訪問(wèn)。目前，未經(jīng)授權(quán)的第三方已復(fù)制并加密了某些信息，并且采取措施試圖將這些信息移出。萬(wàn)豪披露，大約3.27億名客人的個(gè)人姓名、通信地址、電話號(hào)碼、電子郵箱、護(hù)照號(hào)碼、喜達(dá)屋SPG俱樂(lè)部賬戶信息、出生日期、性別等信息可能已經(jīng)全部泄露。

案例?航空業(yè)?2018年10月24日晚間，國(guó)泰航空發(fā)布公告稱，公司及子公司港龍航空共有940萬(wàn)名乘客信息遭泄露，包括乘客姓名、出生日期、電話號(hào)碼、護(hù)照、身份證號(hào)碼、過(guò)往飛行記錄等資料。約86萬(wàn)個(gè)護(hù)照號(hào)碼及24.5萬(wàn)個(gè)香港地區(qū)身份證號(hào)碼曾被不當(dāng)取閱。另有403張已逾期信用卡號(hào)碼和27張無(wú)安全碼的信用卡號(hào)碼被不當(dāng)取閱。

案例?綜合商業(yè)類（含電子商務(wù)）?美國(guó)功能性運(yùn)動(dòng)品牌Under Armour（安德瑪）旗下飲食和營(yíng)養(yǎng)管理App及網(wǎng)站myfitnesspal多達(dá)1.5億用戶的信息被盜。此次數(shù)據(jù)泄露事件影響到的用戶數(shù)據(jù)包括用戶名、郵箱地址和加密的密碼。安德瑪表示，該數(shù)據(jù)泄露事件并沒(méi)有涉及用戶的社會(huì)安全號(hào)碼、駕駛證號(hào)、銀行卡號(hào)等隱私信息。

從以上的案例及梳理我們看到：隱私數(shù)據(jù)泄露是一個(gè)危及全球各國(guó)的國(guó)際性重大事件，是一個(gè)侵害公民生命財(cái)產(chǎn)安全的重大危機(jī)，是一個(gè)滲透到社會(huì)經(jīng)濟(jì)的各個(gè)領(lǐng)域的普遍性困境，是一個(gè)互聯(lián)網(wǎng)時(shí)代網(wǎng)絡(luò)安全、法律保護(hù)、制度建設(shè)的新課題，也是尊重人權(quán)、隱私權(quán)、知識(shí)產(chǎn)權(quán)等有關(guān)新時(shí)代網(wǎng)絡(luò)倫理、商業(yè)倫理、文化倫理的理論和實(shí)踐研究的重大課題。

隱私數(shù)據(jù)的大規(guī)模泄露是在4G/5G條件下互聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能、云計(jì)算、物聯(lián)網(wǎng)等新科技支撐下發(fā)生、發(fā)展并迅速蔓延的。一方面，隨著技術(shù)的進(jìn)步，我們享有著現(xiàn)代社會(huì)高科技帶來(lái)的高速、便捷、共享和智能的服務(wù);另一方面，反向的控制、盜竊等技術(shù)也日益精細(xì)，我們也因此不得不面對(duì)因隱私數(shù)據(jù)泄露而帶來(lái)的巨大危害的新困境。

隱私數(shù)據(jù)泄露的事件具有普遍性、多發(fā)性、爆發(fā)性特征。從目前來(lái)看，隱私數(shù)據(jù)泄露已經(jīng)十分普遍，除了上述大型案件，中小企業(yè)、普通民眾都受到騷擾和侵害。在云存儲(chǔ)服務(wù)平臺(tái)MEGA上，7.73億個(gè)電子郵件地址和近2200萬(wàn)個(gè)密碼被黑客公開(kāi)竊取。這些文件一共超過(guò)1.2萬(wàn)份，數(shù)據(jù)超過(guò)87GB。這類事件具有很高的發(fā)生頻率，隨著技術(shù)的更新，案件發(fā)生率不斷升高。隱私數(shù)據(jù)泄露往往會(huì)引發(fā)爆發(fā)性事件。事件一旦發(fā)生就會(huì)產(chǎn)生嚴(yán)重后果：其危害程度很高，往往產(chǎn)生共振效應(yīng)，引發(fā)社會(huì)不滿和動(dòng)蕩，影響廣泛;在時(shí)間上也可能會(huì)延續(xù)數(shù)年，短時(shí)間很難消除影響。

從社會(huì)安定和諧來(lái)看，我國(guó)隱私數(shù)據(jù)泄露帶來(lái)了非常多的社會(huì)問(wèn)題，甚至造成了嚴(yán)重社會(huì)危機(jī)事件。國(guó)內(nèi)外信息犯罪團(tuán)伙涉及的養(yǎng)老、養(yǎng)生、醫(yī)療、房地產(chǎn)、金融、股市、債市、慈善等巨量詐騙案件，都是從信息泄露開(kāi)始的，給眾多受害人帶來(lái)了嚴(yán)重?fù)p害，造成財(cái)產(chǎn)損失、家庭破裂、身心受損等后果，甚至帶來(lái)社會(huì)動(dòng)蕩，大大破壞了社會(huì)的安定團(tuán)結(jié)。

二、 大數(shù)據(jù)時(shí)代的數(shù)據(jù)管理是信息時(shí)代各國(guó)治國(guó)理政的重要課題

大數(shù)據(jù)時(shí)代的數(shù)據(jù)管理是信息時(shí)代各國(guó)治國(guó)理政的重要課題。習(xí)近平總書(shū)記多次提出關(guān)注推進(jìn)數(shù)字化時(shí)代的大數(shù)據(jù)、數(shù)據(jù)治理、數(shù)據(jù)運(yùn)行、網(wǎng)絡(luò)安全等一系列關(guān)乎治國(guó)理政的重大問(wèn)題。隨著世界多極化、經(jīng)濟(jì)全球化、社會(huì)信息化、文化多樣化的深入發(fā)展，互聯(lián)網(wǎng)對(duì)人類文明進(jìn)步將發(fā)揮更大促進(jìn)作用。數(shù)字信息流的全球流動(dòng)將不斷引領(lǐng)技術(shù)流、資金流、人才流，信息資源日益成為重要生產(chǎn)要素和社會(huì)財(cái)富，信息掌握的多寡成為國(guó)家軟實(shí)力和競(jìng)爭(zhēng)力強(qiáng)弱的重要標(biāo)志。我國(guó)積極倡導(dǎo)發(fā)展5G背景下的移動(dòng)網(wǎng)、大數(shù)據(jù)、云計(jì)算、人工智能、區(qū)塊鏈、物聯(lián)網(wǎng)等當(dāng)代數(shù)字信息科技，大力構(gòu)建數(shù)字中國(guó)。習(xí)近平總書(shū)記強(qiáng)調(diào)：“信息技術(shù)和產(chǎn)業(yè)發(fā)展程度決定著信息化發(fā)展水平，要加強(qiáng)核心技術(shù)自主創(chuàng)新和基礎(chǔ)設(shè)施建設(shè)，提升信息采集、處理、傳播、利用、安全能力，更好惠及民生?！薄读?xí)近平：讓企業(yè)成為信息產(chǎn)業(yè)發(fā)展主體》，人民網(wǎng)，http：//finance.people.com.cn/n/2014/0228/c7084624495058.html， 2014年2月28日。

在2018年4月20日召開(kāi)的全國(guó)網(wǎng)絡(luò)安全和信息化工作會(huì)議上，習(xí)近平總書(shū)記強(qiáng)調(diào)互聯(lián)網(wǎng)等高新科技代表著新的生產(chǎn)力和新的發(fā)展方向，他指出，“要發(fā)展數(shù)字經(jīng)濟(jì)，加快推動(dòng)數(shù)字產(chǎn)業(yè)化，依靠信息技術(shù)創(chuàng)新驅(qū)動(dòng)，不斷催生新產(chǎn)業(yè)新業(yè)態(tài)新模式，用新動(dòng)能推動(dòng)新發(fā)展。要推動(dòng)產(chǎn)業(yè)數(shù)字化，利用互聯(lián)網(wǎng)新技術(shù)新應(yīng)用對(duì)傳統(tǒng)產(chǎn)業(yè)進(jìn)行全方位、全角度、全鏈條的改造，提高全要素生產(chǎn)率，釋放數(shù)字對(duì)經(jīng)濟(jì)發(fā)展的放大、疊加、倍增作用”《習(xí)近平：要發(fā)展數(shù)字經(jīng)濟(jì)加快推動(dòng)數(shù)字產(chǎn)業(yè)化》，每經(jīng)網(wǎng)，http：//www.nbd.com.cn/articles/20180421/1210367.html， 2018年4月21日。。在這里，習(xí)近平總書(shū)記從頂層設(shè)計(jì)出發(fā)，提出了“五新”“四全”“三大作用”的總體要求。這是我們未來(lái)一段時(shí)間數(shù)字中國(guó)發(fā)展的總綱領(lǐng)。

在發(fā)展數(shù)字科技的同時(shí)，我國(guó)也大力推動(dòng)全面實(shí)施網(wǎng)絡(luò)安全、數(shù)據(jù)保護(hù)和信息管理的升級(jí)換代。早在2014年2月27日，習(xí)近平總書(shū)記在主持召開(kāi)中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組第一次會(huì)議時(shí)就提出，“沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全，沒(méi)有信息化就沒(méi)有現(xiàn)代化”②《習(xí)近平：沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全》，中華人民共和國(guó)國(guó)家互聯(lián)網(wǎng)信息辦公室網(wǎng)站，http：//www.cac.gov.cn/201812/27/c?1123907720.htm， 2018年12月27日。。他要求我們樹(shù)立正確的網(wǎng)絡(luò)安全觀，加強(qiáng)信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全防護(hù)，加強(qiáng)網(wǎng)絡(luò)安全信息統(tǒng)籌機(jī)制、手段、平臺(tái)建設(shè)，加強(qiáng)網(wǎng)絡(luò)安全事件應(yīng)急指揮能力建設(shè)，積極發(fā)展網(wǎng)絡(luò)安全產(chǎn)業(yè)，做到關(guān)口前移，防患于未然。2016年4月19日，習(xí)近平總書(shū)記在網(wǎng)絡(luò)安全和信息化工作座談會(huì)上指出：“網(wǎng)絡(luò)空間是億萬(wàn)民眾共同的精神家園。網(wǎng)絡(luò)空間天朗氣清、生態(tài)良好，符合人民利益。網(wǎng)絡(luò)空間烏煙瘴氣、生態(tài)惡化，不符合人民利益。誰(shuí)都不愿生活在一個(gè)充斥著虛假、詐騙、攻擊、謾罵、恐怖、色情、暴力的空間?；ヂ?lián)網(wǎng)不是法外之地。”②

習(xí)近平總書(shū)記還指出：“利用網(wǎng)絡(luò)進(jìn)行欺詐活動(dòng)，散布色情材料，進(jìn)行人身攻擊，兜售非法物品，等等，這樣的言行也要堅(jiān)決管控，決不能任其大行其道。沒(méi)有哪個(gè)國(guó)家會(huì)允許這樣的行為泛濫開(kāi)來(lái)。我們要本著對(duì)社會(huì)負(fù)責(zé)、對(duì)人民負(fù)責(zé)的態(tài)度，依法加強(qiáng)網(wǎng)絡(luò)空間治理，加強(qiáng)網(wǎng)絡(luò)內(nèi)容建設(shè)，做強(qiáng)網(wǎng)上正面宣傳，培育積極健康、向上向善的網(wǎng)絡(luò)文化，用社會(huì)主義核心價(jià)值觀和人類優(yōu)秀文明成果滋養(yǎng)人心、滋養(yǎng)社會(huì)，做到正能量充沛、主旋律高昂，為廣大網(wǎng)民特別是青少年?duì)I造一個(gè)風(fēng)清氣正的網(wǎng)絡(luò)空間?！雹堋读?xí)近平：在網(wǎng)絡(luò)安全和信息化工作座談會(huì)上的講話》（2016年4月19日），載《人民日?qǐng)?bào)》，2016年4月26日。“不能搬弄是非、顛倒黑白、造謠生事、違法犯罪，不能超越了憲法法律界限?！雹苊鎸?duì)復(fù)雜變化的現(xiàn)實(shí)，習(xí)近平總書(shū)記要求全黨“認(rèn)清我們面臨的形勢(shì)和任務(wù)，充分認(rèn)識(shí)做好工作的重要性和緊迫性，因勢(shì)而謀，應(yīng)勢(shì)而動(dòng)，順勢(shì)而為”⑥⑦《習(xí)近平主持召開(kāi)中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組第一次會(huì)議強(qiáng)調(diào)總體布局統(tǒng)籌各方創(chuàng)新發(fā)展努力把我國(guó)建設(shè)成為網(wǎng)絡(luò)強(qiáng)國(guó)李克強(qiáng)劉云山出席》，載《人民日?qǐng)?bào)》，2014年2月28日。。

如何把握和運(yùn)用我國(guó)目前已經(jīng)擁有的互聯(lián)網(wǎng)高位勢(shì)能，解決發(fā)展和安全、開(kāi)放與法制、數(shù)據(jù)管理與隱私保護(hù)等一系列的現(xiàn)實(shí)難題？習(xí)近平總書(shū)記提出辯證治理、對(duì)位發(fā)展的總體戰(zhàn)略：“網(wǎng)絡(luò)安全和信息化是一體之兩翼、驅(qū)動(dòng)之雙輪，必須統(tǒng)一謀劃、統(tǒng)一部署、統(tǒng)一推進(jìn)、統(tǒng)一實(shí)施。做好網(wǎng)絡(luò)安全和信息化工作，要處理好安全和發(fā)展的關(guān)系，做到協(xié)調(diào)一致、齊頭并進(jìn)，以安全保發(fā)展、以發(fā)展促安全，努力建久安之勢(shì)、成長(zhǎng)治之業(yè)?！雹蘖?xí)近平總書(shū)記高瞻遠(yuǎn)矚，從頂層設(shè)計(jì)把握看來(lái)矛盾的雙方，將之視為同一事物的兩個(gè)側(cè)面，實(shí)施四個(gè)統(tǒng)一，方能建久安之勢(shì)、成長(zhǎng)治之業(yè)。

要想保證數(shù)字信息發(fā)展與網(wǎng)絡(luò)安全保護(hù)的對(duì)位性辯證治理，保證網(wǎng)絡(luò)空間風(fēng)清氣朗，習(xí)近平總書(shū)記提出了時(shí)、度、效三個(gè)重要策略⑦。所謂時(shí)，即時(shí)間節(jié)點(diǎn)的把握。進(jìn)入第四次工業(yè)革命，時(shí)間代表速度、代表機(jī)遇、代表競(jìng)爭(zhēng)。在互聯(lián)網(wǎng)、移動(dòng)網(wǎng)時(shí)代，經(jīng)濟(jì)變革時(shí)時(shí)發(fā)生，技術(shù)創(chuàng)新瞬息萬(wàn)變，社會(huì)思潮動(dòng)蕩不已，政治斗爭(zhēng)如箭在弦。在這種環(huán)境下，時(shí)間節(jié)點(diǎn)的精準(zhǔn)把握就顯得尤為重要。度，是指度的界限的把握，審大局，度大勢(shì)。在不同維度之間，在質(zhì)量與數(shù)量之間，在前進(jìn)與后撤之間，在國(guó)際與國(guó)內(nèi)之間，都存在著度的把握問(wèn)題。效，是指效果、效應(yīng)、效能。它包含：直指數(shù)字信息發(fā)展與網(wǎng)絡(luò)安全保護(hù)的對(duì)位性辯證治理的目標(biāo)、可能實(shí)現(xiàn)的實(shí)效;由效能極值而選擇的合理路徑;量力而行，適度選擇的風(fēng)險(xiǎn)值與難度值;特別是由效果要求而來(lái)的溯源探究和效果歷史意識(shí)。

三、 當(dāng)前隱私數(shù)據(jù)泄露的四種類型及其防范

本文選擇中外三年來(lái)的重要案例來(lái)分析隱私數(shù)據(jù)泄露的原因。習(xí)近平總書(shū)記指出：“要依法嚴(yán)厲打擊網(wǎng)絡(luò)黑客、電信網(wǎng)絡(luò)詐騙、侵犯公民個(gè)人隱私等違法犯罪行為，切斷網(wǎng)絡(luò)犯罪利益鏈條，持續(xù)形成高壓態(tài)勢(shì)，維護(hù)人民群眾合法權(quán)益。”⑨《習(xí)近平在全國(guó)網(wǎng)絡(luò)安全和信息化工作會(huì)議上強(qiáng)調(diào)敏銳抓住信息化發(fā)展歷史機(jī)遇自主創(chuàng)新推進(jìn)網(wǎng)絡(luò)強(qiáng)國(guó)建設(shè)李克強(qiáng)主持栗戰(zhàn)書(shū)汪洋王滬寧趙樂(lè)際韓正出席》，載《人民日?qǐng)?bào)》，2018年4月22日。“網(wǎng)信事業(yè)發(fā)展必須貫徹以人民為中心的發(fā)展思想，把增進(jìn)人民福祉作為信息化發(fā)展的出發(fā)點(diǎn)和落腳點(diǎn)，讓人民群眾在信息化發(fā)展中有更多獲得感、幸福感、安全感?！雹?/p>

研究發(fā)現(xiàn)，目前隱私數(shù)據(jù)泄露有四種類型：黑客作為數(shù)據(jù)泄露的主因之一，通過(guò)攻擊企業(yè)技術(shù)漏洞帶來(lái)嚴(yán)重后果;網(wǎng)絡(luò)企業(yè)觀念上的諸多問(wèn)題和管理上的漏洞，造成攻擊者可乘之機(jī);利益驅(qū)使第三方企業(yè)非法獲取、利用個(gè)人隱私數(shù)據(jù)獲利;數(shù)據(jù)管理松弛，企業(yè)內(nèi)部人員作案，外泄數(shù)據(jù)非法獲益。

第一，黑客攻擊是數(shù)據(jù)泄露的首要原因。黑客入侵企業(yè)的技術(shù)漏洞是導(dǎo)致個(gè)人隱私與企業(yè)機(jī)密暴露的首要原因。一批或以營(yíng)利等為目的的職業(yè)黑客，專門(mén)在未經(jīng)許可的情況下，載入對(duì)方系統(tǒng)。

案例?2016年9月22日，雅虎證實(shí)至少5億用戶的信息在2014年遭人竊取，內(nèi)容涉及用戶姓名、電子郵箱、電話號(hào)碼、出生日期和部分登錄密碼。3個(gè)月后，雅虎再次發(fā)布聲明，2013年8月，未經(jīng)授權(quán)的第三方盜取了超過(guò)10億用戶的賬戶信息。2017年10月3日，雅虎公司證實(shí)，其所有30億個(gè)用戶賬號(hào)應(yīng)該都受到了黑客攻擊的影響，公司已經(jīng)向更多用戶發(fā)送提示，請(qǐng)其更改登錄密碼以及相關(guān)登錄信息。

案例?2018年9月6日，英國(guó)航空公司發(fā)布，因遭黑客攻擊從而導(dǎo)致其乘客數(shù)據(jù)被盜，約有38萬(wàn)名乘客在此數(shù)據(jù)泄露事件中受到影響，這些被盜數(shù)據(jù)信息包括個(gè)人基本信息和付款記錄，但不包括個(gè)人護(hù)照信息。英航董事長(zhǎng)稱，黑客作案手法“極其復(fù)雜”，為英航在線運(yùn)營(yíng)20多年來(lái)所未見(jiàn)。黑客沒(méi)有破壞英航加密系統(tǒng)，而是用“另一種非常復(fù)雜”的方式侵入英航系統(tǒng)并獲取用戶信息。他沒(méi)有說(shuō)明黑客到底采用哪一種方式竊取信息。根據(jù)網(wǎng)絡(luò)安全專家的調(diào)查，此事件很可能與黑客組織Magecart有關(guān)。此次網(wǎng)絡(luò)攻擊是為英航定制的。目前的技術(shù)無(wú)法確定攻擊者在英航服務(wù)器上的覆蓋范圍，但可以確認(rèn)黑客的訪問(wèn)權(quán)限極大，黑客可以修改站點(diǎn)資源。

根據(jù)本次調(diào)研結(jié)果來(lái)看，黑客攻擊是當(dāng)代互聯(lián)網(wǎng)條件下數(shù)據(jù)泄露事件中最典型、最常見(jiàn)的原因。在課題組采集到的相關(guān)案例中，國(guó)泰航空、優(yōu)步（Uber）、雅虎、優(yōu)衣庫(kù)、多個(gè)大型酒店集團(tuán)等知名企業(yè)都是黑客入侵的受害者。黑客入侵具有巨大的破壞性。

黑客“黑客”一詞，最初曾指熱心于計(jì)算機(jī)技術(shù)、水平高超的電腦專家，尤其是程序設(shè)計(jì)人員。在互聯(lián)網(wǎng)時(shí)代，這些具有互聯(lián)網(wǎng)專業(yè)技能的“技術(shù)控”，由早先對(duì)互聯(lián)網(wǎng)技術(shù)的迷戀和探索，分裂演變?yōu)椤鞍酌薄薄盎颐薄薄昂诿薄钡?，其中“黑帽”即黑客（cracker）。在媒體報(bào)道中，“黑客”一詞常指軟件黑客（software cracker），而與黑客（“黑帽子”）相對(duì)的則是“白帽”（維護(hù)計(jì)算機(jī)和互聯(lián)網(wǎng)安全），“灰帽”則居于其間。黑客們精通各種編程語(yǔ)言和各類操作系統(tǒng)，伴隨著計(jì)算機(jī)和網(wǎng)絡(luò)的發(fā)展而成長(zhǎng)。的興起具有其發(fā)生、發(fā)展的歷史。黑客一般具有較高的技術(shù)能力，是“一種熱衷于研究系統(tǒng)和計(jì)算機(jī)（特別是網(wǎng)絡(luò)）內(nèi)部運(yùn)作的人”。但他們無(wú)視當(dāng)代社會(huì)的道德和倫理規(guī)范，破壞信息安全。為某種經(jīng)濟(jì)利益不惜以身犯險(xiǎn)，甚至踐踏法律，走上犯罪的境地。

雅虎信息泄露事件是有史以來(lái)規(guī)模最大的單一網(wǎng)站數(shù)據(jù)泄露事件，當(dāng)前，重要商業(yè)網(wǎng)站的海量用戶數(shù)據(jù)是企業(yè)的核心資產(chǎn)，也是民間黑客甚至國(guó)家級(jí)攻擊的重要對(duì)象，重點(diǎn)企業(yè)的數(shù)據(jù)安全管理面臨更高的要求，企業(yè)必須建立嚴(yán)格的安全能力體系，不僅需要確保對(duì)用戶數(shù)據(jù)進(jìn)行加密處理，對(duì)數(shù)據(jù)的訪問(wèn)權(quán)限進(jìn)行精準(zhǔn)控制，還要為網(wǎng)絡(luò)破壞事件、應(yīng)急響應(yīng)建立彈性設(shè)計(jì)方案，與監(jiān)管部門(mén)建立應(yīng)急溝通機(jī)制。

雅虎數(shù)據(jù)泄露事件的性質(zhì)非常嚴(yán)重，海量用戶賬號(hào)失竊，令網(wǎng)民對(duì)賬戶安全產(chǎn)生強(qiáng)烈的不信任感，今后更多互聯(lián)網(wǎng)用戶會(huì)設(shè)法避免在互聯(lián)網(wǎng)的系統(tǒng)上存儲(chǔ)敏感信息。

口令簡(jiǎn)單或疏于管理是數(shù)據(jù)泄露的重要原因?？诹钍蔷W(wǎng)絡(luò)系統(tǒng)保密的第一道防線。當(dāng)前的網(wǎng)絡(luò)系統(tǒng)都是通過(guò)口令來(lái)驗(yàn)證用戶身份、實(shí)施訪問(wèn)控制的?？诹罟羰侵负诳鸵钥诹顬楣裟繕?biāo)，破解合法用戶的口令，或避開(kāi)口令驗(yàn)證過(guò)程，然后冒充合法用戶嵌入目標(biāo)網(wǎng)絡(luò)系統(tǒng)，奪取目標(biāo)系統(tǒng)控制權(quán)的過(guò)程。然而在現(xiàn)實(shí)生活中，人們常會(huì)不經(jīng)意間使用了弱口令（即簡(jiǎn)單、易破解口令）去防護(hù)自己或企業(yè)的資產(chǎn)。全球最大的漏洞響應(yīng)平臺(tái)“補(bǔ)天平臺(tái)”的數(shù)據(jù)顯示，52.2%的數(shù)據(jù)泄露事件是由于使用弱口令導(dǎo)致其所在機(jī)構(gòu)被攻擊的。雖然人們或企業(yè)已經(jīng)在隱私數(shù)據(jù)保護(hù)方面有所改進(jìn)，但弱口令問(wèn)題依然是黑客能夠攻擊成功的關(guān)鍵因素。黑客破解或繞過(guò)網(wǎng)站設(shè)置的口令，進(jìn)入目標(biāo)網(wǎng)絡(luò)系統(tǒng)后，即可隨心所欲地竊取、破壞和篡改被侵入方的信息，直至完全控制被侵入方。

更令人驚詫的是，黑客通過(guò)更新解碼技術(shù)侵入網(wǎng)絡(luò)軟件公司思杰（Citrix Systems）多個(gè)員工賬號(hào)獲得內(nèi)網(wǎng)權(quán)限，竊取了6TB—10TB的敏感數(shù)據(jù)，包括電子郵件、網(wǎng)絡(luò)共享文件，以及項(xiàng)目管理和采購(gòu)相關(guān)文檔等。美國(guó)聯(lián)邦調(diào)查局（FBI）表示黑客可能使用了一種名為“密碼噴霧”（Password Spraying）的密碼破解技術(shù)。黑客侵入英航的作案手法“極其復(fù)雜”，為英航在線運(yùn)營(yíng)20多年來(lái)所未見(jiàn)。黑客沒(méi)有破壞英航加密系統(tǒng)，而是用“另一種非常復(fù)雜”的方式侵入英航系統(tǒng)并獲取用戶信息。這些案件也告訴我們，大企業(yè)的網(wǎng)絡(luò)安全技術(shù)其實(shí)是一場(chǎng)與黑客組織的軍備競(jìng)賽，尤其是那些配備了支付形式的網(wǎng)站，其敏感的財(cái)務(wù)數(shù)據(jù)和信用卡信息必須受到最高級(jí)別的網(wǎng)絡(luò)安全防護(hù)。

第二，隱私數(shù)據(jù)泄露與企業(yè)技術(shù)操作的失誤有密切關(guān)系，網(wǎng)絡(luò)系統(tǒng)亟待技術(shù)升級(jí)。隱私數(shù)據(jù)泄露的一個(gè)重要原因是一些企業(yè)部門(mén)出現(xiàn)了特別重大的失誤，他們直接將數(shù)據(jù)包誤傳到公共網(wǎng)絡(luò)，甚至讓那些沒(méi)掌握黑客技術(shù)的普通網(wǎng)民亦可順利獲取;或者發(fā)生誤發(fā)送郵件、權(quán)限設(shè)置錯(cuò)誤和服務(wù)器配置不當(dāng)?shù)仁д`操作，導(dǎo)致數(shù)據(jù)泄露事件正在顯著上升，這也從中反映了內(nèi)部人員缺乏基本的安全意識(shí)或風(fēng)險(xiǎn)評(píng)估能力。2018年全球重大數(shù)據(jù)泄露事件統(tǒng)計(jì)分析顯示，11.1%的事件是由于配置錯(cuò)誤或操作不當(dāng)導(dǎo)致的政企機(jī)構(gòu)數(shù)據(jù)泄露。

案例?2018年8月，華住酒店集團(tuán)旗下酒店用戶信息在“暗網(wǎng)”售賣，售賣者稱數(shù)據(jù)已在8月14日脫庫(kù)。售賣的公民信息包括身份證號(hào)、手機(jī)號(hào)等，共涉及5億條。涉及酒店范圍包括：漢庭、美爵、禧玥、諾富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡萊、海友。全部信息的打包價(jià)為8比特幣，或者520門(mén)羅幣（約合人民幣38萬(wàn)元）。賣家還稱，以上數(shù)據(jù)信息的截止時(shí)間為2018年8月14日。華住集團(tuán)酒店官方微博回應(yīng)此事稱，“已經(jīng)報(bào)警了。真實(shí)性目前無(wú)法查證，我們信息安全部門(mén)在緊急處理中”。同時(shí)官方微博也呼吁，請(qǐng)相關(guān)網(wǎng)絡(luò)用戶、網(wǎng)絡(luò)平臺(tái)立即刪除并停止傳播上述信息，保留追究相關(guān)侵權(quán)人法律責(zé)任的權(quán)利。

從本研究采集到的多起酒店系統(tǒng)數(shù)據(jù)泄露事件來(lái)看，起因雖為黑客入侵，但大量公開(kāi)媒體披露及案情分析報(bào)告均顯示，酒店系統(tǒng)本身的安全漏洞其實(shí)由來(lái)已久，泄露事件的發(fā)生，并非偶然，實(shí)屬必然。華住公司程序員將數(shù)據(jù)庫(kù)連接方式大規(guī)模地上傳至代碼托管服務(wù)平臺(tái)（Github），而且系統(tǒng)本身沒(méi)有報(bào)警設(shè)施。在這樣幾乎不設(shè)防的網(wǎng)絡(luò)安全措施之下，黑客無(wú)須有太過(guò)高明的技術(shù)手段，只要對(duì)數(shù)據(jù)庫(kù)知識(shí)簡(jiǎn)單了解，就可以輕松截獲大量客戶隱私數(shù)據(jù)。

根據(jù)保密原則，企業(yè)（含政府）數(shù)據(jù)庫(kù)為了安全起見(jiàn)應(yīng)該只限內(nèi)部IP訪問(wèn)，但華住的數(shù)據(jù)庫(kù)IP是允許外網(wǎng)訪問(wèn)的;最夸張的是，數(shù)據(jù)庫(kù)的用戶名是“root”，密碼是“123456”。黑客進(jìn)入企業(yè)內(nèi)網(wǎng)毫無(wú)阻隔，如入無(wú)人之境。如果IT部門(mén)的網(wǎng)絡(luò)安全工作到位，注意保密技術(shù)的升級(jí)，堵塞漏洞，黑客的得手概率會(huì)大大降低。所以除了道德倫理和精神價(jià)值的引導(dǎo)、教育之外，從建設(shè)的角度看，政府、企業(yè)的互聯(lián)網(wǎng)防護(hù)技術(shù)需要不斷升級(jí)。

第三，企業(yè)在信息安全的投入與需要被保護(hù)目標(biāo)的商業(yè)價(jià)值、社會(huì)價(jià)值不匹配，不能滿足安全運(yùn)維的需要，也是政企數(shù)據(jù)泄露的重要因素。安全投入不足與保護(hù)目標(biāo)價(jià)值不匹配，一方面反映出企業(yè)在技術(shù)和管理層面目前仍未達(dá)到國(guó)家安全標(biāo)準(zhǔn);另一方面也反映出網(wǎng)絡(luò)安全保障的意識(shí)、認(rèn)知和能力均落后于信息網(wǎng)絡(luò)技術(shù)及其應(yīng)用的爆發(fā)式增長(zhǎng)。

案例?2018年4月，臉書(shū)（Facebook）在官網(wǎng)發(fā)布聲明，共有8700萬(wàn)Facebook用戶的個(gè)人資料被泄露給了劍橋分析公司（Cambridge Analytica），這些用戶主要集中在美國(guó)。事件起源于Facebook與劍橋分析公司的合作。劍橋分析公司為了學(xué)術(shù)研究，在Facebook上創(chuàng)建了預(yù)測(cè)用戶性格喜好的App，但它不僅收集了用戶的測(cè)試結(jié)果，還在未經(jīng)允許的情況下收集了5000萬(wàn)用戶在Facebook上的個(gè)人信息。劍橋分析公司在獲得了5000萬(wàn)活躍用戶數(shù)據(jù)后，建立起用戶畫(huà)像，通過(guò)計(jì)算機(jī)對(duì)每個(gè)用戶的興趣愛(ài)好、性格和行為特點(diǎn)進(jìn)行精確分析，預(yù)測(cè)他們的政治傾向，然后定向向用戶推送新聞，借助Facebook的廣告投放系統(tǒng)，影響用戶的投票行為。于是，F(xiàn)acebook對(duì)美國(guó)大選產(chǎn)生了難以推脫的影響。第三方Facebook應(yīng)用程序數(shù)據(jù)泄露了5.4億條記錄。2019年4月，安全研究人員透露，有兩個(gè)第三方開(kāi)發(fā)的Facebook應(yīng)用程序數(shù)據(jù)集已暴露于公共互聯(lián)網(wǎng)中。一個(gè)數(shù)據(jù)庫(kù)來(lái)自墨西哥的媒體公司Cultura Colectiva，數(shù)據(jù)高達(dá)146GB，其中有5.4億條記錄詳細(xì)記錄了評(píng)論、喜好、反應(yīng)、賬戶名、Facebook ID等。研究人員說(shuō)，另一個(gè)第三方應(yīng)用“At the Pool”通過(guò)Amazon S3存儲(chǔ)桶公開(kāi)訪問(wèn)了公共互聯(lián)網(wǎng)。該數(shù)據(jù)庫(kù)備份包含例如用戶名ID、朋友、喜好、音樂(lè)、電影、書(shū)籍、照片、事件、組、簽到、興趣、密碼等諸多隱私信息。這是一起典型的社交網(wǎng)絡(luò)平臺(tái)以犧牲用戶隱私數(shù)據(jù)為商業(yè)模式背書(shū)的案例。

事件發(fā)生之后，F(xiàn)acebook在網(wǎng)絡(luò)平臺(tái)上發(fā)布暫時(shí)關(guān)閉劍橋分析公司、戰(zhàn)略交流實(shí)驗(yàn)室公司等Facebook賬號(hào)，同時(shí)宣布，此后6個(gè)月終止與多家大數(shù)據(jù)企業(yè)合作，以更好地保護(hù)用戶隱私。在“終止合作”清單上，F(xiàn)acebook列出九家知名大數(shù)據(jù)企業(yè)，包括安客誠(chéng)、益百利、甲骨文云數(shù)據(jù)和WPP集團(tuán)。媒體推斷，F(xiàn)acebook迫于政府和民眾的壓力終止與大數(shù)據(jù)企業(yè)合作，希望扭轉(zhuǎn)外界“保護(hù)用戶隱私不力”的印象。

2009年，《華爾街日?qǐng)?bào)》曾有一篇名為“Putting Your Best Faces Forward”（《展示你最好的一面》）的文章。該文分析了Facebook何以能夠在當(dāng)時(shí)激烈的社交媒體大戰(zhàn)中脫穎而出，其原因就是用戶基于信任而“愿意用自己的隱私換取一個(gè)基于信任的溝通平臺(tái)”。與諸多的匿名平臺(tái)相比，F(xiàn)acebook要求用真實(shí)身份信息注冊(cè)獲得了用戶的信任。

但是，“真實(shí)身份信息注冊(cè)”是不是意味著無(wú)底線地“透支隱私”？對(duì)此，需要界定何為隱私，何為個(gè)人信息。盡管我們經(jīng)常在媒體上看到隱私和個(gè)人信息的討論，但是這兩者的內(nèi)涵和外延并不盡一致，甚至存在巨大差別。

雖然本案的主要責(zé)任不在Facebook，但社交網(wǎng)絡(luò)平臺(tái)是劍橋分析公司在監(jiān)測(cè)數(shù)據(jù)時(shí)最重要的依仗，F(xiàn)acebook負(fù)有不可推卸的責(zé)任。此外，通過(guò)本案可以看出，F(xiàn)acebook的技術(shù)和管理有著巨大的漏洞，即與用戶有關(guān)的信息，未經(jīng)用戶的同意，在用戶完全不知情的狀況下，同樣可能被第三方獲取，只要這個(gè)第三方經(jīng)過(guò)我好友的同意即可。也就是說(shuō)，社交網(wǎng)絡(luò)上的個(gè)人信息，能否被搜索到，決定權(quán)不在用戶，而在搜索用戶的其他人。

在當(dāng)下這樣一個(gè)人人都在社交網(wǎng)絡(luò)上的信息時(shí)代，F(xiàn)acebook一案的警示意義重大。在中國(guó)，所有社交網(wǎng)絡(luò)平臺(tái)的隱私保護(hù)方案可能都存在漏洞，而這些漏洞到底是客觀存在的，還是平臺(tái)運(yùn)營(yíng)方借由商業(yè)模式考量而放任其存在的？這關(guān)乎所有網(wǎng)民的隱私安全。

案例?2019年3月，中國(guó)跨境大賣旗下自營(yíng)網(wǎng)站Gearbest泄露了數(shù)百萬(wàn)用戶的檔案和購(gòu)物訂單。名為Elasticsearch的服務(wù)器每周泄露了數(shù)百萬(wàn)條記錄，包括客戶數(shù)據(jù)、訂單和付款記錄。該服務(wù)器未受密碼保護(hù)，允許任何人搜索數(shù)據(jù)?？偛课挥谏钲诘腉earbest在歐洲擁有大量業(yè)務(wù)，在西班牙、波蘭、捷克和英國(guó)設(shè)有倉(cāng)庫(kù)，這些國(guó)家都適用歐盟數(shù)據(jù)保護(hù)和隱私法。任何違反通用數(shù)據(jù)保護(hù)法規(guī)（GDPR）的公司都可能要求繳納高達(dá)其全球收入4%的罰款。Gearbest稱自己的服務(wù)器是安全的，但是用來(lái)臨時(shí)存儲(chǔ)數(shù)據(jù)的外部工具可能已被其他人訪問(wèn)，導(dǎo)致安全性受到損害。該公司解釋，使用外部工具的本意是提高效率和防止數(shù)據(jù)超載，只有在自動(dòng)銷毀前的三日內(nèi)的數(shù)據(jù)才會(huì)存儲(chǔ)在此類工具中?？紤]到可能的數(shù)據(jù)安全漏洞，他們使用了功能強(qiáng)大的防火墻保護(hù)這些工具，以避免任何數(shù)據(jù)被其他人惡意破壞。

之后的調(diào)查證明，這并不是一起單純的黑客攻擊事件，更重要的原因來(lái)自技術(shù)人員的誤操作。2019年3月1日，安保團(tuán)隊(duì)成員錯(cuò)誤地將這些防火墻拆除（具體原因還在調(diào)查當(dāng)中）。這種不受保護(hù)的狀態(tài)直接暴露了這些工具無(wú)須進(jìn)一步驗(yàn)證即可進(jìn)行掃描和訪問(wèn)的問(wèn)題。

這是Gearbest多年來(lái)發(fā)生的第二起安全問(wèn)題。2017年12月，該公司在所謂的“憑證填充物攻擊”之后，賬戶被攻破。

案例?當(dāng)前，人臉識(shí)別成為應(yīng)用最為廣泛的AI技術(shù)之一，尤其是在智慧安防中，國(guó)內(nèi)大多數(shù)城市都會(huì)借助人臉識(shí)別、視頻監(jiān)控去打擊罪犯、尋找失蹤人員等等。但智能化的監(jiān)控也不得不面臨著數(shù)據(jù)泄露的問(wèn)題。荷蘭安全研究人員Victor Gevers在推特上曝光，中國(guó)一家面部識(shí)別公司深網(wǎng)視界（SenseNet）存在數(shù)據(jù)泄露問(wèn)題，任何人都可以訪問(wèn)其人臉跟蹤數(shù)據(jù)的記錄。深網(wǎng)視界是一家專注于計(jì)算機(jī)視覺(jué)和深度學(xué)習(xí)，主要為視頻監(jiān)控提供智能分析產(chǎn)品服務(wù)。而此次數(shù)據(jù)泄露事件涉及256萬(wàn)人的數(shù)據(jù)，共計(jì)680萬(wàn)條記錄。由于開(kāi)放了數(shù)據(jù)庫(kù)，任何人都可以根據(jù)SenseNet的實(shí)時(shí)面部識(shí)別來(lái)查看個(gè)人的身份證信息，可以獲取這些記錄并跟蹤個(gè)人，捕捉其行動(dòng)軌跡。這非常容易引發(fā)各種犯罪行為。

在本研究采集的案例中，有大量因操作失誤或管理漏洞導(dǎo)致的數(shù)據(jù)泄露事件，如上述人臉識(shí)別案例，深網(wǎng)視界的數(shù)據(jù)庫(kù)保持公開(kāi)狀態(tài)長(zhǎng)達(dá)半年之久。企業(yè)的這種疏忽可能帶來(lái)巨大的危險(xiǎn)。另如數(shù)據(jù)營(yíng)銷公司Exactis服務(wù)器未設(shè)置加密防火墻導(dǎo)致數(shù)億條記錄暴露在公眾面前，招聘網(wǎng)站Ladders也沒(méi)有為數(shù)據(jù)庫(kù)設(shè)置訪問(wèn)的權(quán)限。

在黑客技術(shù)愈加強(qiáng)大的當(dāng)下，攻破企業(yè)網(wǎng)站已非難事，沒(méi)有安全防護(hù)的網(wǎng)絡(luò)服務(wù)期，就像沒(méi)有上鎖的大門(mén)一樣，而數(shù)據(jù)對(duì)于現(xiàn)代企業(yè)而言，可視為最核心的商業(yè)資產(chǎn)，未加任何保護(hù)措施，或安保紀(jì)律松散，無(wú)異于玩火自焚。

第四，企業(yè)內(nèi)部人員作案，外泄數(shù)據(jù)非法獲益。內(nèi)部人員在高額利益的驅(qū)使下鋌而走險(xiǎn)，利用職務(wù)之便非法獲取大量公民個(gè)人信息，這已經(jīng)成為數(shù)據(jù)泄露的重要源頭。2018年全球重大數(shù)據(jù)泄露事件統(tǒng)計(jì)分析顯示，16%的政企機(jī)構(gòu)數(shù)據(jù)泄露事件是由于內(nèi)部威脅導(dǎo)致的，內(nèi)部威脅已經(jīng)成為數(shù)據(jù)泄露的第二大源頭。內(nèi)部人員違規(guī)操作、出賣公司利益已經(jīng)成為公司數(shù)據(jù)安全的重要威脅。

案例?2017年11月20日，趣店超過(guò)百萬(wàn)條學(xué)生信息數(shù)據(jù)疑似外泄，數(shù)據(jù)維度極為細(xì)致，除學(xué)生借款金額、滯納金等金融數(shù)據(jù)外，甚至還包括學(xué)生父母電話、男女朋友電話、學(xué)信網(wǎng)賬號(hào)密碼等隱私信息。這家企業(yè)的內(nèi)部員工稱此事與企業(yè)在此前的大規(guī)模裁員后賠償金是否到位有關(guān)，可能系內(nèi)部員工所為。有離職員工稱，早期趣店數(shù)據(jù)管理就存在巨大安全隱患。

趣店方面后續(xù)回應(yīng)稱，趣店一直高度重視用戶個(gè)人信息安全，不斷提高數(shù)據(jù)安全能力與信息加密強(qiáng)度。同時(shí)，在內(nèi)部建立了嚴(yán)格的用戶信息保護(hù)制度，針對(duì)可能存在信息安全風(fēng)險(xiǎn)的用戶進(jìn)行安全升級(jí)提示。趣店還回應(yīng)稱，地下黑色產(chǎn)業(yè)是行業(yè)毒瘤，此前多家知名互聯(lián)網(wǎng)企業(yè)都曾深受其害。針對(duì)地下黑色產(chǎn)業(yè)鏈中盜取用戶賬號(hào)資產(chǎn)和販賣用戶信息等不法行為，趣店將與警方密切合作，建立長(zhǎng)效合作機(jī)制，對(duì)不法行為進(jìn)行堅(jiān)決打擊，切實(shí)保護(hù)用戶信息安全。

作為一家互聯(lián)網(wǎng)金融企業(yè)，用戶隱私安全是所有商業(yè)模式的核心部分，但趣店因企業(yè)信息保密制度不健全、用戶數(shù)據(jù)管理模式疏漏松散、數(shù)據(jù)管理權(quán)限門(mén)檻過(guò)低等問(wèn)題，給內(nèi)部人員竊取數(shù)據(jù)外泄以可乘之機(jī)。很多內(nèi)部員工都可導(dǎo)出用戶數(shù)據(jù)表格，重要數(shù)據(jù)一覽無(wú)余，沒(méi)有任何脫敏，員工級(jí)別越高，可導(dǎo)出的數(shù)據(jù)就越多。趣店上市前就已經(jīng)有多個(gè)高管離職，而一份多達(dá)百萬(wàn)用戶的數(shù)據(jù)，則很有可能是其離職高管泄露的。

案例?2018年9月，杭州警方破獲菜鳥(niǎo)驛站信息泄露案。本案中，1000余萬(wàn)條快遞信息被非法獲取。作案人身份為菜鳥(niǎo)服務(wù)商，其在推廣本公司的閘機(jī)、微信公眾號(hào)的同時(shí)，將控件程序安裝到各個(gè)驛站的“巴槍”，獲取包裹入庫(kù)數(shù)據(jù)，私自打通“菜鳥(niǎo)驛站”同微信公眾號(hào)之間的數(shù)據(jù)壁壘，為以后利用微信公眾號(hào)進(jìn)行商業(yè)推廣做準(zhǔn)備。至2018年6月份，該程序已非法獲取“菜鳥(niǎo)驛站”的快遞數(shù)據(jù)達(dá)1000余萬(wàn)條。作為菜鳥(niǎo)驛站的運(yùn)營(yíng)方，菜鳥(niǎo)網(wǎng)絡(luò)在本案中有不可推卸的責(zé)任。

案例?自2014年起，新三板上市公司瑞智華勝及合作伙伴以競(jìng)標(biāo)的方式，先后與覆蓋全國(guó)十余省市的電信、移動(dòng)、聯(lián)通、廣電等多家運(yùn)營(yíng)商簽訂營(yíng)銷廣告系統(tǒng)服務(wù)合同，為其提供精準(zhǔn)廣告投放系統(tǒng)的開(kāi)發(fā)、維護(hù)等服務(wù)，進(jìn)而拿到了運(yùn)營(yíng)商服務(wù)器的遠(yuǎn)程登錄權(quán)限。軟件開(kāi)發(fā)業(yè)務(wù)的收入不高，但卻能接觸到運(yùn)營(yíng)商流量，該企業(yè)開(kāi)始清洗賬號(hào)的登錄憑證，操縱用戶賬戶。第三方公司通過(guò)cookie不需要輸入賬號(hào)和密碼，就可以進(jìn)入賬號(hào)，從中獲取注冊(cè)信息、搜索記錄、開(kāi)房記錄等數(shù)據(jù)，也可以用用戶的賬戶執(zhí)行加關(guān)注、刷量等操作。該企業(yè)利用用戶數(shù)據(jù)通過(guò)加粉等所謂的“互聯(lián)網(wǎng)營(yíng)銷和推廣”手段盈利。

案例?從2019年1月20日凌晨開(kāi)始，拼多多網(wǎng)站出現(xiàn)巨大漏洞，用戶可以領(lǐng)取100元無(wú)門(mén)檻券。有大批用戶開(kāi)啟“薅羊毛”的節(jié)奏，利用無(wú)門(mén)檻券來(lái)充值話費(fèi)、Q幣。4毛就可以充100元話費(fèi)，瘋狂者“一夜未眠”，利用這一漏洞給自己儲(chǔ)備好了夠用十幾年的話費(fèi)，有網(wǎng)友甚至?xí)癯鼋貓D，表示自己賬戶內(nèi)有超過(guò)50萬(wàn)Q幣余額。拼多多在20日中午發(fā)表《關(guān)于“黑灰產(chǎn)通過(guò)平臺(tái)優(yōu)惠券漏洞不正當(dāng)牟利”的聲明》，表示被盜取了數(shù)千萬(wàn)元平臺(tái)優(yōu)惠券。

電子商務(wù)和快遞企業(yè)掌握著海量公民個(gè)人信息，這些信息一旦泄露將造成惡劣社會(huì)影響和嚴(yán)重危害后果。網(wǎng)購(gòu)在在線下單、倉(cāng)庫(kù)發(fā)貨、快遞物流運(yùn)輸、末端配送等多個(gè)環(huán)節(jié)都存在信息泄露的可能性。過(guò)去曾出現(xiàn)多起快遞員出售信息的案件，導(dǎo)致大量個(gè)人、家庭信息被犯罪團(tuán)伙掌握，引發(fā)巨量詐騙案件發(fā)生。我國(guó)手機(jī)用戶的電話受擾率逐年走高，就與此有密切聯(lián)系。

在新形勢(shì)下，在巨大利益驅(qū)使下，黑灰產(chǎn)團(tuán)伙通過(guò)平臺(tái)漏洞不正當(dāng)牟利。一些第三方企業(yè)不惜鋌而走險(xiǎn)，或直接盜取算法，或借由委托項(xiàng)目等渠道非法獲取個(gè)人隱私數(shù)據(jù)，利用隱私獲取巨額利益。此類侵害的組織性更強(qiáng)，泄露一旦發(fā)生，對(duì)企業(yè)的商業(yè)損害更大，速度也更快。瑞智華勝的財(cái)報(bào)數(shù)據(jù)顯示：2015年，其軟件開(kāi)發(fā)服務(wù)的營(yíng)收僅187萬(wàn)元，凈利潤(rùn)2萬(wàn)元;轉(zhuǎn)型為互聯(lián)網(wǎng)營(yíng)銷后的2016年，公司營(yíng)收3028萬(wàn)元，凈利潤(rùn)達(dá)1053萬(wàn)元，比上年增長(zhǎng)500倍。截至該案告破，該企業(yè)共竊取30億條用戶數(shù)據(jù)，對(duì)社會(huì)造成了巨大損害。值得注意的是，該企業(yè)的數(shù)據(jù)來(lái)源于合作的多家通信運(yùn)營(yíng)商，通過(guò)本案可以看出，這些運(yùn)營(yíng)商對(duì)于用戶數(shù)據(jù)的權(quán)限管理相當(dāng)松弛，一家營(yíng)收不到200萬(wàn)的小公司就可以輕松獲取所有運(yùn)營(yíng)商用戶隱私數(shù)據(jù)。因此，各級(jí)各類企業(yè)及其相關(guān)人員，一定要樹(shù)立明確的法律意識(shí)，不能見(jiàn)利忘義。企業(yè)也要嚴(yán)格建立網(wǎng)購(gòu)信息的相關(guān)保密機(jī)制，堵塞漏洞，嚴(yán)防犯罪。

案例?數(shù)據(jù)堂公司在8個(gè)月時(shí)間內(nèi)，日均傳輸公民個(gè)人信息1億3000萬(wàn)余條，累計(jì)傳輸數(shù)據(jù)壓縮后約為4000GB。此次查獲的數(shù)據(jù)隱私性高，案件涉及的數(shù)據(jù)包含了手機(jī)號(hào)碼、上網(wǎng)基站代碼等40余項(xiàng)信息要素，還可記錄手機(jī)用戶具體的上網(wǎng)行為，甚至通過(guò)部分?jǐn)?shù)據(jù)能夠直接進(jìn)入公民個(gè)人賬號(hào)主頁(yè)，危害巨大。2016年下半年，“交易”二字逐漸淡出數(shù)據(jù)堂的官方宣傳和對(duì)公司的定位描述。數(shù)據(jù)堂的交易平臺(tái)屬性已經(jīng)漸漸隱藏，但其標(biāo)榜的數(shù)據(jù)服務(wù)業(yè)務(wù)依然繼續(xù)。

數(shù)據(jù)堂是一家上市公司，已采取停牌措施，各項(xiàng)業(yè)務(wù)受到很大影響。事件發(fā)生后，數(shù)據(jù)堂重新審視了自己的風(fēng)控體系，為所有業(yè)務(wù)設(shè)定了更高標(biāo)準(zhǔn)的紅線。2017年，數(shù)據(jù)堂的產(chǎn)品營(yíng)銷線和金融征信線已被關(guān)停，目前僅剩余人工智能業(yè)務(wù)維持公司運(yùn)行。

其實(shí)，數(shù)據(jù)堂并非沒(méi)有意識(shí)到數(shù)據(jù)交易可能涉及隱私而觸雷的風(fēng)險(xiǎn)。其在2017年報(bào)中稱，“公司作為一家數(shù)據(jù)收集和交易公司，必然會(huì)和形形色色的數(shù)據(jù)打交道，國(guó)家在不斷出臺(tái)各種法律法規(guī)來(lái)確保數(shù)據(jù)來(lái)源及交易的合法性，因此如何合法合規(guī)地獲取交易數(shù)據(jù)成為大數(shù)據(jù)企業(yè)，特別是數(shù)據(jù)收集和交易公司重點(diǎn)關(guān)注的問(wèn)題”。但不管宣言有多么響亮，內(nèi)部管理則必須建立嚴(yán)格的制度，老老實(shí)實(shí)遵守法律法規(guī)，不踩紅線，不存僥幸。數(shù)據(jù)與商業(yè)價(jià)值之間的關(guān)系必須得到有效監(jiān)管，才能預(yù)防此類事件的再次發(fā)生。

四、 全面推動(dòng)我國(guó)數(shù)據(jù)管理升級(jí)換代，實(shí)施數(shù)據(jù)保護(hù)的全民教育

數(shù)據(jù)管理是信息時(shí)代的基礎(chǔ)商業(yè)素養(yǎng)。從以上案例的調(diào)研和分析中，我們看到，隱私數(shù)據(jù)泄露關(guān)涉一個(gè)國(guó)家的經(jīng)濟(jì)運(yùn)行、商業(yè)倫理、文化安全、社會(huì)安定，乃至政治治理的眾多領(lǐng)域。

從政治治理來(lái)看，隱私數(shù)據(jù)泄露的治理是一個(gè)全局性的國(guó)家系統(tǒng)工程，需要各級(jí)政府及企業(yè)首先在理念上給予充分關(guān)注，認(rèn)識(shí)到這個(gè)問(wèn)題的嚴(yán)重性。目前從政府各級(jí)官員到企業(yè)都對(duì)這個(gè)問(wèn)題認(rèn)識(shí)不足，將其看成小事，這是很危險(xiǎn)的。同時(shí)，隱私數(shù)據(jù)泄露的治理也是維護(hù)人民群眾根本利益的重要工作。從本文列舉的案件來(lái)看，隱私數(shù)據(jù)一旦泄露，受害面往往十分廣泛，社會(huì)影響惡劣，給社會(huì)輿論帶來(lái)極大的負(fù)面效應(yīng)。對(duì)此我們必須有充分的認(rèn)識(shí)和警覺(jué)。

從經(jīng)濟(jì)運(yùn)行來(lái)看，隱私信息泄露事件造成了大型企業(yè)出現(xiàn)嚴(yán)重危機(jī)，帶來(lái)了經(jīng)濟(jì)運(yùn)行的不同程度的混亂和損失。如黑客攻破雅虎用戶賬戶保密算法，竊得用戶密碼，造成30億賬戶信息泄露。這一事件是至今全球規(guī)模最大的單一網(wǎng)站數(shù)據(jù)泄露事件，最終導(dǎo)致雅虎關(guān)張。實(shí)際上，不僅僅是雅虎、數(shù)據(jù)堂等企業(yè)，許多互聯(lián)網(wǎng)金融企業(yè)、跨境電商都是大數(shù)據(jù)時(shí)代的商業(yè)新形態(tài)，用戶隱私安全是新型數(shù)字商業(yè)模式的核心部分。它們的成功和興盛，關(guān)乎國(guó)家整體經(jīng)濟(jì)的升級(jí)換代與高質(zhì)量創(chuàng)新發(fā)展，絕不可等閑視之。

從商業(yè)倫理來(lái)看，產(chǎn)業(yè)運(yùn)行中商業(yè)道德的缺失、企業(yè)信息保密制度的漏洞，都會(huì)帶來(lái)嚴(yán)重問(wèn)題。特別是第三方公司在巨大利益驅(qū)使下，公然盜竊運(yùn)營(yíng)商用戶賬號(hào)，嚴(yán)重違背商業(yè)倫理，并涉嫌違法。如新三板上市公司瑞智華勝及合作伙伴曾以競(jìng)標(biāo)的方式獲得多家運(yùn)營(yíng)商營(yíng)銷廣告系統(tǒng)服務(wù)合同，為其提供精準(zhǔn)廣告投放系統(tǒng)的開(kāi)發(fā)、維護(hù)等服務(wù)，因而拿到了運(yùn)營(yíng)商服務(wù)器的遠(yuǎn)程登錄權(quán)限。如果到此為止，瑞智華勝并未違反商業(yè)倫理和市場(chǎng)規(guī)則。然而，在巨額利潤(rùn)的驅(qū)使下，企業(yè)主或完全喪失商業(yè)道德，或根本認(rèn)識(shí)不到這種做法是錯(cuò)誤或違法的，因?yàn)楹芏嗥髽I(yè)主在嶄新的數(shù)字環(huán)境下尚未普遍具備新數(shù)字倫理的教育準(zhǔn)備。

從道德價(jià)值與文化倫理來(lái)看，前述案例表明，近年來(lái)我國(guó)隱私數(shù)據(jù)泄露的事件發(fā)生頻繁，數(shù)量驚人。過(guò)度收集、違規(guī)甚至違法濫用用戶個(gè)人隱私信息的事件大量存在，非法數(shù)據(jù)共享與交易帶來(lái)的安全挑戰(zhàn)愈加嚴(yán)峻。李彥宏在談到數(shù)據(jù)保護(hù)和用戶隱私保護(hù)的重要性時(shí)說(shuō)，“在過(guò)去的幾年當(dāng)中，中國(guó)越來(lái)越認(rèn)識(shí)到這個(gè)問(wèn)題，而且也一直在加強(qiáng)相關(guān)的法律法規(guī)的建設(shè)”。②《李彥宏談大數(shù)據(jù)：中國(guó)人不敏感愿意用隱私換便利》，新浪網(wǎng)財(cái)經(jīng)頻道，http：//finance.sina.com.cn/meeting/20180326/doc?ifysqfnf8646820.shtml？from=finance_zaker，2018年3月26日。但李彥宏也表示，中國(guó)人相對(duì)開(kāi)放，對(duì)隱私問(wèn)題沒(méi)有外國(guó)人那么敏感。“如果用隱私來(lái)交換便捷性或者是效率的話，很多情況下，他們是愿意這么做的。”②美國(guó)聯(lián)邦貿(mào)易委員會(huì)（FTC）通過(guò)投票批準(zhǔn)了與Facebook達(dá)成的和解協(xié)議，對(duì)后者開(kāi)出50億美元的罰單以結(jié)束有關(guān)針對(duì)其隱私問(wèn)題的調(diào)查。FTC的這項(xiàng)50億美元罰款創(chuàng)下了一項(xiàng)新的紀(jì)錄，成為有史以來(lái)該機(jī)構(gòu)對(duì)違反隱私承諾的科技公司開(kāi)出的最大罰單。此后，巴西司法部以同一原因?qū)acebook處以660萬(wàn)雷亞爾（約合164萬(wàn)美元）的罰款;歐洲隱私管制機(jī)構(gòu)愛(ài)爾蘭數(shù)據(jù)保護(hù)委員會(huì)也著手調(diào)查，F(xiàn)acebook又被罰款超過(guò)16億美元。受一系列事件的影響，F(xiàn)acebook股價(jià)已受到影響。這也從一方面震懾了涉嫌違規(guī)的企業(yè)，同時(shí)也維護(hù)、教育和鼓勵(lì)了消費(fèi)者。比起歐美國(guó)家，我國(guó)大眾普遍缺乏明確的個(gè)體隱私保護(hù)意識(shí)，對(duì)于大量違背現(xiàn)代道德倫理和文化倫理的錯(cuò)誤觀念不敏感、不警覺(jué);對(duì)于個(gè)人隱私權(quán)益受到侵害往往采取息事寧人的態(tài)度，維權(quán)不堅(jiān)決、不在行，對(duì)于互聯(lián)網(wǎng)信息世界的復(fù)雜的運(yùn)作方式往往會(huì)采取簡(jiǎn)單接受的態(tài)度。如前述Facebook用戶信息泄露的事件就在歐美引起軒然大波。創(chuàng)始人扎克伯格，在6份英國(guó)報(bào)紙和3份美國(guó)報(bào)紙上，采用道歉信形式為5000萬(wàn)Facebook用戶信息被劍橋分析公司泄露和利用一事道歉。信中，扎克伯格直接對(duì)用戶表示了歉意，稱：“這是對(duì)信任的違背，我很抱歉我們沒(méi)有在當(dāng)時(shí)做得更多?！雹艹刑烀桑骸对瞬裨谟⒚?家報(bào)紙登報(bào)道歉，正式為泄密說(shuō)了Sorry》，澎湃新聞，https：//www.thepaper.cn/newsDetail_forward_2042694，2018年3月26日。報(bào)紙頁(yè)面用較大字體寫(xiě)著：“我們有責(zé)任保護(hù)你們的信息。如果做不到，我們就不配提供服務(wù)。”④但在中國(guó)，盡管互聯(lián)網(wǎng)數(shù)據(jù)泄露案件頻發(fā)，但所引發(fā)的關(guān)注度卻令人嘆息。李彥宏所謂中國(guó)用戶往往愿意以隱私來(lái)?yè)Q方便和效率的論調(diào)引發(fā)了廣泛爭(zhēng)議，也帶來(lái)了業(yè)界的深入思考。中國(guó)用戶隱私泄露嚴(yán)重，就能夠倒推得到中國(guó)用戶愿意用隱私換便利的結(jié)論嗎？其實(shí)，中國(guó)用戶并不是“愿意用隱私交換便利”，當(dāng)騷擾電話、騷擾郵件和騷擾微信鋪天蓋地時(shí)，數(shù)據(jù)泄露已經(jīng)成為常態(tài)，而我們又不得不被迫接受，不得不出賣隱私交換便利，甚至于出了問(wèn)題往往無(wú)可奈何，難以維權(quán)，這才是當(dāng)前的現(xiàn)實(shí)。毫無(wú)疑問(wèn)，這種不合理、不道德的狀況恰恰需要我們進(jìn)行一場(chǎng)全民的學(xué)習(xí)和維權(quán)教育。

從文化安全角度來(lái)看，像密碼/口令這種網(wǎng)民/企業(yè)保護(hù)自身網(wǎng)絡(luò)安全的第一道防護(hù)門(mén)，卻由于多數(shù)網(wǎng)民設(shè)置的密碼/口令十分隨意，簡(jiǎn)單重復(fù)，使其極易被破解。這種弱口令給大多數(shù)網(wǎng)民/企業(yè)帶了巨大損失，成為黑客攻擊成功的關(guān)鍵因素。案例證明，52.2%的泄露事件是由于使用弱口令導(dǎo)致的。一系列的案例告訴我們，必須認(rèn)真嚴(yán)謹(jǐn)?shù)匕押每诹畹谝魂P(guān)。隨后發(fā)生數(shù)據(jù)泄露的口令也要迅速采取措施，如封鎖IP地址、關(guān)閉一些服務(wù)器及在整個(gè)網(wǎng)絡(luò)環(huán)境內(nèi)設(shè)立進(jìn)階威脅偵測(cè)系統(tǒng)等。一些企業(yè)管理者不是不能防止這種現(xiàn)象發(fā)生，而是因?yàn)榉N種原因忽視甚至不愿意預(yù)先設(shè)置有效的安全措施予以防范。這里，黑客問(wèn)題固然是個(gè)全球頭疼的嚴(yán)峻問(wèn)題，而普遍的公民網(wǎng)絡(luò)安全教育則是刻不容緩的。

從全球發(fā)展看，互聯(lián)網(wǎng)領(lǐng)域發(fā)展不平衡、規(guī)則不健全、秩序不合理等問(wèn)題日益凸顯。不同國(guó)家和地區(qū)信息鴻溝不斷拉大，現(xiàn)有網(wǎng)絡(luò)空間治理規(guī)則難以反映大多數(shù)國(guó)家意愿和利益;世界范圍內(nèi)侵害個(gè)人隱私、侵犯知識(shí)產(chǎn)權(quán)、網(wǎng)絡(luò)犯罪等現(xiàn)象時(shí)有發(fā)生，網(wǎng)絡(luò)監(jiān)聽(tīng)、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)恐怖主義活動(dòng)等成為全球公害。在防止隱私數(shù)據(jù)泄露上，全球各國(guó)是一個(gè)“人類命運(yùn)共同體”。2014年7月16日習(xí)近平總書(shū)記出訪巴西時(shí)，就在巴西國(guó)會(huì)的演講中指出，“雖然互聯(lián)網(wǎng)具有高度全球化的特征，但每一個(gè)國(guó)家在信息領(lǐng)域的主權(quán)權(quán)益都不應(yīng)受到侵犯，互聯(lián)網(wǎng)技術(shù)再發(fā)展也不能侵犯他國(guó)的信息主權(quán)。在信息領(lǐng)域沒(méi)有雙重標(biāo)準(zhǔn)，各國(guó)都有權(quán)維護(hù)自己的信息安全，不能一個(gè)國(guó)家安全而其他國(guó)家不安全，一部分國(guó)家安全而另一部分國(guó)家不安全，更不能犧牲別國(guó)安全謀求自身所謂絕對(duì)安全”《“平語(yǔ)”近人——習(xí)近平的“互聯(lián)網(wǎng)思維”》，新華網(wǎng)，http：//www.xinhuanet.com/politics/201512/17/C_1120861474.htm， 2015年12月17日。。

如何落實(shí)習(xí)近平總書(shū)記的頂層規(guī)劃，防范隱私數(shù)據(jù)泄露，如何全面規(guī)劃網(wǎng)絡(luò)數(shù)據(jù)安全的標(biāo)準(zhǔn)體系，從制度層面建設(shè)長(zhǎng)效防火墻，減少和杜絕大規(guī)模的嚴(yán)重隱私數(shù)據(jù)泄露事件，是我們必須抓緊攻克的難關(guān)。

目前我國(guó)網(wǎng)絡(luò)數(shù)據(jù)安全標(biāo)準(zhǔn)化工作仍存在三方面問(wèn)題：一是標(biāo)準(zhǔn)體系性不強(qiáng)，標(biāo)準(zhǔn)制定工作缺乏統(tǒng)籌協(xié)調(diào)，術(shù)語(yǔ)定義、分類分級(jí)等基礎(chǔ)性標(biāo)準(zhǔn)尚不完善;二是部分關(guān)鍵標(biāo)準(zhǔn)亟須制定，數(shù)據(jù)安全評(píng)估、重要數(shù)據(jù)保護(hù)等重點(diǎn)標(biāo)準(zhǔn)的制定工作進(jìn)展緩慢;三是部分重點(diǎn)領(lǐng)域相關(guān)標(biāo)準(zhǔn)仍存在空白，網(wǎng)絡(luò)數(shù)據(jù)安全標(biāo)準(zhǔn)對(duì)5G、移動(dòng)互聯(lián)網(wǎng)、車聯(lián)網(wǎng)、物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)、人工智能、區(qū)塊鏈等重點(diǎn)領(lǐng)域高質(zhì)量發(fā)展的支撐作用有待加強(qiáng)。

2020年，工業(yè)和信息化部等單位編制完成《網(wǎng)絡(luò)數(shù)據(jù)安全標(biāo)準(zhǔn)體系建設(shè)指南》（征求意見(jiàn)稿）及編制說(shuō)明，通過(guò)頂層設(shè)計(jì)，制定政府引導(dǎo)和市場(chǎng)驅(qū)動(dòng)相結(jié)合的網(wǎng)絡(luò)數(shù)據(jù)安全標(biāo)準(zhǔn)體系建設(shè)方案，為行業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全管理提供有力支撐。雖然目前還只是一個(gè)征求意見(jiàn)稿，但其從標(biāo)準(zhǔn)體系入手，既可以解決當(dāng)前的現(xiàn)實(shí)問(wèn)題，又具有長(zhǎng)遠(yuǎn)的歷史意義。

工信部表示，網(wǎng)絡(luò)數(shù)據(jù)資源與傳統(tǒng)資源不同，其具有流動(dòng)特性，需要切實(shí)加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)全生命周期各個(gè)環(huán)節(jié)的安全保護(hù)，針對(duì)各應(yīng)用領(lǐng)域和業(yè)務(wù)場(chǎng)景下的不同特點(diǎn)，形成閉環(huán)安全管理模式，有效保護(hù)用戶合法權(quán)益，切實(shí)維護(hù)國(guó)家重要數(shù)據(jù)安全。《〈網(wǎng)絡(luò)數(shù)據(jù)安全標(biāo)準(zhǔn)體系建設(shè)指南〉編制說(shuō)明》，中華人民共和國(guó)工業(yè)和信息化部網(wǎng)站，http：//miit.gov.cn，2020年6月8日。

《網(wǎng)絡(luò)數(shù)據(jù)安全標(biāo)準(zhǔn)體系建設(shè)指南》（征求意見(jiàn)稿）指出，到2021年，初步建立網(wǎng)絡(luò)數(shù)據(jù)安全標(biāo)準(zhǔn)體系，有效落實(shí)網(wǎng)絡(luò)數(shù)據(jù)安全管理要求，基本滿足行業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全保護(hù)需要，推進(jìn)標(biāo)準(zhǔn)在重點(diǎn)企業(yè)、重點(diǎn)領(lǐng)域中的應(yīng)用，研制網(wǎng)絡(luò)數(shù)據(jù)安全行業(yè)標(biāo)準(zhǔn)20項(xiàng)以上。到2023年，健全完善網(wǎng)絡(luò)數(shù)據(jù)安全標(biāo)準(zhǔn)體系，使標(biāo)準(zhǔn)技術(shù)水平、應(yīng)用水平和國(guó)際化水平顯著提高，有力促進(jìn)行業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全保護(hù)能力提升，研制網(wǎng)絡(luò)數(shù)據(jù)安全行業(yè)標(biāo)準(zhǔn)50項(xiàng)以上。

有了標(biāo)準(zhǔn)體系，就需要我們遵照體系要求，全面培育我國(guó)全體國(guó)民的網(wǎng)絡(luò)安全與隱私保護(hù)意識(shí)。目前我國(guó)社會(huì)對(duì)此危機(jī)的認(rèn)識(shí)還存在許多觀念和認(rèn)識(shí)上的問(wèn)題。隱私數(shù)據(jù)泄露者與被泄露者均十分缺乏法律意識(shí)、維權(quán)意識(shí)。很多人對(duì)個(gè)人或企業(yè)信息被盜的危害性認(rèn)識(shí)不足，或信息被盜取但無(wú)法維權(quán)，對(duì)此持無(wú)奈、消極態(tài)度。國(guó)家對(duì)防止隱私數(shù)據(jù)泄露的整體監(jiān)管也還存在著諸多需要解決的問(wèn)題。因此，推動(dòng)一個(gè)網(wǎng)絡(luò)安全與隱私保護(hù)的全民宣傳教育活動(dòng)十分必要。

在2015年12月16日召開(kāi)的第二屆世界互聯(lián)網(wǎng)大會(huì)上，習(xí)近平總書(shū)記指出，互聯(lián)網(wǎng)雖然是無(wú)形的，但運(yùn)用互聯(lián)網(wǎng)的人們都是有形的，互聯(lián)網(wǎng)是人類的共同家園。讓這個(gè)家園更美麗、更干凈、更安全，是國(guó)際社會(huì)的共同責(zé)任。國(guó)際社會(huì)應(yīng)該在相互尊重、相互信任的基礎(chǔ)上，加強(qiáng)對(duì)話合作，推動(dòng)互聯(lián)網(wǎng)全球治理體系變革，共同構(gòu)建和平、安全、開(kāi)放、合作的網(wǎng)絡(luò)空間，建立多邊、民主、透明的全球互聯(lián)網(wǎng)治理體系?！读?xí)近平在第二屆世界互聯(lián)網(wǎng)大會(huì)開(kāi)幕式上的講話》，新華網(wǎng)，http：//www.xinhuanet.com/politics/201512/16/C_1117481089.htm， 2015年12月16日。

這就是本研究力圖實(shí)現(xiàn)的最高目標(biāo)。

On the Personal Privacy Data Leakage and Protection

in the Era of Big Data

JIN Yuanpu

School of Liberal Arts， Renmin University of China， Beijing 100872， China

Data management in the era of big data is an important subject of national governance in the information age. A large number of personal privacy data leaks in recent years， which has become a major social issue of global concern. It involves many areas of economic operation， business ethics， cultural security， social stability， and even political clarity. This article selects important cases from China and abroad in the last three years to analyze the causes of privacy data leakage. It can be found that there are currently four types of privacy data leakage. It is an urgent task to reduce or completely eradicate large?scale privacy data leakage from the top level and to build a new pattern of information protection and data management in China.

privacy;?data leakage;?hacking;?technical vulnerabilities;?data management;?data protection