数据可以“打补丁” “人的漏洞”如何补

个人信息泄露频发 凸显企业数据安全短板

近日，国内最大的多品牌酒店企业之一华住集团被曝大量用户数据遭泄露。中国青年报⋅中青在线记者从华住方面获悉，目前警方还在调查此事，最新进展以警方消息为准。

8月28日，网上曝出，网络黑客通过“暗网”（存储在网络数据库里、但不能通过超链接访问的资源集合）中文论坛以8比特币的价格出售约5亿条华住旗下酒店的用户数据，涉及1.3亿人。当日，华住集团通过官方微博接连发布2份声明，表示已经报警并且聘请专业技术公司核查此事。

9月4日，在2018年互联网安全大会上，360公司董事长周鸿祎呼吁，对个人信息安全的关注和讨论不该停止。“最近层出不穷的安全事件，让我们很多人都没有安全感。”“现在每次一发生（此类）事件，好像企业是受害者，其实应该（对其）问责。”

从“永恒之蓝”勒索病毒全球爆发，到Facebook用户数据泄露，再到趣店被曝数百万学生数据疑泄露......涉及隐私的用户数据总是被不法分子盯上，有的企业对此束手无策，有的企业并未做好准备。

包含个人信息的用户数据是许多企业发展新兴业务的重要基础，而不断出现的个人信息泄露事件又在提醒：企业该如何真正将保护用户个人信息的责任履行好？制度层面可以做出怎样的安排？

一边是个人信息频频泄露，一边是个人数据过度收集

这并不是华住或其他酒店企业第一次出现用户个人信息被泄露的事件。

早在2013年，华住集团旗下汉庭酒店就被曝出数据泄露，后来的调查发现，这是因为酒店所使用的WiFi管理和认证管理系统存在网络安全漏洞，数据传输加密失效。

2017年，另一家酒店连锁企业凯悦集团遭遇黑客攻击，导致11个国家的41家凯悦酒店面临数据泄露。同年，由于遭到黑客入侵，洲际酒店集团旗下超过1000家酒店发生用户支付卡信息泄露的现象。

据《2018年中国大住宿业发展报告》，截至2017年年底，全国酒店类住宿业设施31万家，每位住客入住酒店后，包括其身份证件、电话号码、房间号等在内的所有个人信息将会同步上传至公安信息系统以及酒店内部的管理系统。按照公安部的要求，相关的开房记录将被保留一定年限，以随时备查。

虽然酒店行业所收集、存储的数据规模巨大，而且其中有很多都是用户的敏感隐私信息，但当前我国制度层面对此类事件的处罚还欠缺具体标准，而欧盟的《通用数据保护条例》（GDPR）则明确规定，对泄漏用户数据的互联网公司最高处罚其全球营业额的4%。

观韬中茂(上海)律师事务所合伙人王渝伟表示，华住事件也反映了许多企业在保护用户个人信息方面还有很多欠账。如果此次事件确是由华住的程序员将数据库连接方式上传于GitHub用于交流而导致，那么说明其内部安全管理制度和操作规程存在纰漏，对于其程序员上传数据库连接方式的行为未做预防。

根据目前已知的各种信息，他认为，华住对包含大量个人信息的数据未做加密、脱敏等必要措施在内的安全处理，在数据泄露过程中，华住很可能也未采取恰当的补救措施来减少数据的泄露。

在大量用户隐私信息被泄露、企业对此投入不足的同时，还有许多企业在通过互联网不断收集个人数据，甚至违规也在所不惜。

中国消费者协会于今年7月17日~8月13日开展 的“App个人信息泄露情况”问卷调查结果显示，经营者未经本人同意、擅自收集成个人信息泄露的主要途径，约占调查总样本的62.2%；网络服务系统存有漏洞造成个人信息泄露57.4%。

而手机App在自身功能不必要的情况下，获取用户隐私权限的情况也比较严重，有67.2%的受访者遇到这种情况，其中读取位置信息权限、访问联系人权限是出现最多的情况，读取通话记录、读取短信记录、打开摄像头、打开话筒录音等权限也被过度要求授权。

技术可以“打补丁”，可怎么堵上“人的漏洞”

中消协的上述调查结果显示，个人信息泄露后，受访者会采取多种措施维护自身权益，但最终有大约三分之一的受访者选择“自认倒霉”。这一方面可能是基于无力应对做出的选择，另一方面也可能是应对无效后不得不接受现状。

“能力越大，责任越大。”这是许多互联网企业常标榜自我的一句话。作为用户个人信息最直接的利用者和保护者，企业应该怎么弥补过去在这方面的欠账？

360网络安全响应中心负责人蔡玉光表示，数据泄露事件发生时，涉事企业要第一时间开展事件应急处置，包括事件回溯和负责任的影响面评估等，也要及时对外披露各种进展。而在安全事件发生前，应该开展渗透测试, 及时对有漏洞的网络服务“打补丁”（修补网络安全漏洞）。

作为服务众多企业信息安全的一线技术专家，蔡玉光建议，其他企业可以从华住事件中吸取教训，做好完整可靠的数据安全措施, 杜绝明文密码存储, “这样即便被黑也能降低损失”；对用户数据交互点进行防御, 如注册登录点加验证码等二步验证方式, 增加不法分子“撞库”（通过收集互联网已泄露的用户和密码信息，尝试批量登陆其他网站）攻击的成本。

不过，不同于技术问题，企业在个人信息管理方面“人的漏洞”，并不是通过“打补丁”就可以解决的。

“我们研究过所有安全事件，最后归根到底天大的事件都是从攻击一个很小的终端开始。”周鸿祎表示，在很多网络安全事件中，“人的漏洞”是很大的问题，即使病毒被检测到，很多企业和机构依然不修补漏洞。

周鸿祎认为，企事业机构应该建立健全其内部网络安全制度，尤其重视涉及个人信息安全的人员管理。他举例称，前段时间某省不动产登记中心遭到“WannaCry勒索病毒”攻击，而此前许多安全厂商早已发布相关的漏洞补丁，但包括该中心在内的许多单位，依然没有及时修补自身的网络安全漏洞。

“他不采取行动，确实我们也没有办法。”周鸿祎强调，相比病毒、黑客等攻击，“人的漏洞”需要花费很多精力去修补，尤其是要建立健全企业自身的网络安全制度。

个人信息保护还需更多细则，改善“用户体验”

事实上，在个人信息保护方面还存在欠账不只是企业，还有制度层面。

在王渝伟看来，个人信息泄露事件频频发生，一方面显示出很多企业在技术、管理层面仍然不能达到法律法规的要求，对数据泄露存在规避责任的侥幸心理；另一方面也说明当前对这类个人信息泄露事件责任主体的监管力度和惩罚力度不到位，纵容了企业的这种侥幸。

目前，我国已经出台一些规范性文件和推荐性标准，对App收集个人信息行为进行规范和引导，但消费者普遍关心的惩戒手段、赔偿等问题仍然需要完善和细化。

针对个人信息保护的具体问题，中消协在上述报告中建议，进一步明确网络信息服务中交易双方的权利和义务，严格准入门槛和登记备案，如对开发商资质的审核、App的登记备案、App服务功能和内容的审查、违规惩罚机制各个环节等都应形成联动；严厉惩处各类违法违规行为，严厉打击个人信息贩卖的黑色产业链；严密关注市场App发展态势，如联合建立App抽查制度和黑名单制度，及时公示黑榜软件，提醒消费者谨慎下载。

公安部第三研究所信息网络安全法律研究中心主任黄道丽认为，当前的制度安排下，对泄露个人信息的惩戒力度仍然较为薄弱，已知的司法案例也难有对用户支持的。虽然关于这一问题的法律法规有很多，但执行力差，“用户体验差”，执法的效力没有监督评价，特别是没有和最终的用户建立联系。

中国裁判文书网的数据显示，截至9月初，全国侵犯公民信息的刑事犯罪案例有3100多起，而涉及隐私权纠纷的公民个人信息泄露的民事判例只有约20条。

在她看来，由于上述问题的存在，个人、企业和监管各方都维系着一种脆弱的平衡，一旦出现信息安全事件，这种平衡就会打破，大家才会发现，原来网络安全法等法律针对许多问题早有规定。

“如果从权宜之计上，可能迫切需要一些典型的司法案例，树立标杆和指引，让一线执法部门认识到，确实可以按照网络安全法的规定释法和裁判。”她建议。

中国青年报⋅中青在线记者 王林 实习生 潘婷