作者: 呂倩
[ 在海外非法交易的境內(nèi)機構數(shù)據(jù)中,55.6%的交易事件涉及個人信息,81.0%的交易數(shù)據(jù)為個人信息數(shù)據(jù)。 ]近日,一名中國人民大學學生馬某某在其讀碩士研究生期間,利用專業(yè)技術盜取全校學生個人信息的事件被網(wǎng)友曝光,隨即該學生被海淀公安分局依法刑事拘留,目前該案件正在進一步調(diào)查中。
20年前,類似的行為成就了互聯(lián)網(wǎng)社交界的一代巨頭扎克伯格,但如今的網(wǎng)絡時代,人們更關注個人隱私數(shù)據(jù)安全保護。這也是為何昔日的創(chuàng)業(yè)明星如今數(shù)次要站在聽證會上接受詢問和監(jiān)管。在數(shù)字化與數(shù)字經(jīng)濟相關因素中,大數(shù)據(jù)占據(jù)中心地位,數(shù)據(jù)的安全成為全球關心的議題。在侵犯和泄露他人隱私的基礎上做任何商業(yè)化或者非商業(yè)化的探索都會被追究責任。
在我國,數(shù)據(jù)被定義為繼土地、勞動力、資本、技術之后第五大生產(chǎn)要素。360公司創(chuàng)始人、董事長兼CEO周鴻祎認為,在大數(shù)據(jù)驅(qū)動業(yè)務中,數(shù)據(jù)成為新的攻擊對象,而數(shù)字安全,是一切數(shù)字文明的基座。
被盯上的校園數(shù)據(jù)
7月1日,有網(wǎng)友在微博上爆料稱,中國人民大學一男生在讀碩士研究生期間,利用專業(yè)技術盜取全校學生個人信息,包括照片、姓名、學號、籍貫、生日等,并搭建了給全校學生顏值打分的網(wǎng)站。
7月3日,平安北京海淀微博公號發(fā)布情況通報稱,針對“中國人民大學部分學生信息被非法獲取”的情況,海淀警方接到報警后,立即開展調(diào)查。經(jīng)查,嫌疑人馬某某(男,25歲,該校畢業(yè)生)涉嫌非法獲取該校部分學生個人信息等違法犯罪行為。目前,馬某某已被海淀公安分局依法刑事拘留,案件正在進一步調(diào)查中。警方高度重視公民個人信息保護,對于相關違法犯罪,將依法予以嚴厲打擊。
從進展來看,馬某某大概率不會如20年前的扎克伯格一樣有機會從同學的數(shù)據(jù)中找到自己的商業(yè)模式了。
2003年,美國臉書公司創(chuàng)始人扎克伯格也對哈佛大學系統(tǒng)曾做過類似的事情。當年,扎克伯格侵入哈佛大學學生名錄系統(tǒng),下載了同學照片并將其發(fā)布于一個名為Facemash的網(wǎng)站,來評定誰更受歡迎。該網(wǎng)站首日便有超過450人注冊,頁面瀏覽量超過22000次。但扎克伯格本人也因受到學校的指控而被處以留校察看。
扎克伯格的故事如果放在中國,會有怎樣的結局?
上海大邦律師事務所高級合伙人、知識產(chǎn)權律師游云庭表示,2003年,中國法律尚未將類似行為作為刑法規(guī)制的對象:非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪是2009年《刑法修正案七》增設,侵犯公民個人信息罪是在2015年的《刑法修正案九》增設的。
游云庭表示,如果新聞報道屬實,人大學生馬某某獲取并發(fā)布了中國人民大學14-20級的全校學生的“照片、姓名、學號、籍貫、生日”,這些信息法律上屬于個人信息,由于獲取手段不合法,涉嫌非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪。這些個人信息數(shù)量巨大,如果被發(fā)布上網(wǎng),觸發(fā)了侵犯公民個人信息罪。
值得注意的是,學校的信息安全問題并非中國獨有。2022年3月,美國爆發(fā)了史上規(guī)模最大的學生個人數(shù)據(jù)失竊事件,黑客入侵了lluminateEducation公司的IT系統(tǒng),竊取了學生信息的數(shù)據(jù)。有大約82萬名學生的信息被泄露。根據(jù)美國教育部公布的信息,這些數(shù)據(jù)包括學生的姓名、出生日期、學生證號碼等基礎信息以及一些和教育相關的數(shù)據(jù)。
在周鴻祎看來,數(shù)字化是繼工業(yè)革命之后最重要的生產(chǎn)力革命,其中互聯(lián)網(wǎng)上半場的主線是消費互聯(lián)網(wǎng),下半場的主線是產(chǎn)業(yè)互聯(lián)網(wǎng)。上半場中,誕生了諸如阿里、騰訊、字節(jié)跳動等一批互聯(lián)網(wǎng)巨頭,通過各種應用、平臺、產(chǎn)品,基本完成了用戶數(shù)據(jù)的初步積累,隨著數(shù)字化的推進,互聯(lián)網(wǎng)領域更多迎來的應該是應用層面的更新。
網(wǎng)絡安全環(huán)境日趨險峻
網(wǎng)絡安全的法律法規(guī)的逐漸完善,其后是技術發(fā)展與網(wǎng)絡安全形勢的嚴峻。在普通民眾眼中,大學生個人信息泄露尚未造成嚴重后果,但在更廣泛的范圍內(nèi),數(shù)據(jù)安全環(huán)境并不樂觀。
游云庭稱,2003年時,PC互聯(lián)網(wǎng)時代的互聯(lián)網(wǎng)產(chǎn)業(yè)還是“少年”,公眾對于新生事物比較寬容,但隨著2007年蘋果公司發(fā)布iphone,世界進入移動互聯(lián)網(wǎng)時代,互聯(lián)網(wǎng)產(chǎn)業(yè)有了新一波突飛猛進的發(fā)展,產(chǎn)業(yè)如日中天,數(shù)據(jù)和個人信息泄露和被濫用的弊端也不斷顯現(xiàn)。
奇安信(50.280, -0.01, -0.02%)《中國政企機構數(shù)據(jù)安全風險分析報告》顯示,2022年,數(shù)據(jù)泄露事件已超過數(shù)據(jù)破壞事件,成為全球數(shù)據(jù)安全風險的首要問題。從全球公開新聞報道來看,51.7%的數(shù)據(jù)安全事件為數(shù)據(jù)泄露事件。而針對機構數(shù)據(jù)的外部威脅,57.4%是為了竊取數(shù)據(jù)。僅2022年1~10月,就有超過950億條,至少46.4TB的中國境內(nèi)機構數(shù)據(jù)在海外被非法交易。數(shù)據(jù)泄露問題形勢嚴峻。
其中,個人信息是數(shù)據(jù)泄露最主要的類型。從全球公開新聞報道來看,60.2%的數(shù)據(jù)泄露事件,泄露的是個人信息數(shù)據(jù),其中,實名制信息占比個人信息數(shù)據(jù)泄露總量的64.3%,其次是賬號密碼和用戶行為等數(shù)據(jù)。在海外非法交易的境內(nèi)機構數(shù)據(jù)中,55.6%的交易事件涉及個人信息,81.0%的交易數(shù)據(jù)為個人信息數(shù)據(jù)。
對政企機構而言,商業(yè)機密數(shù)據(jù)的泄露是安全經(jīng)營的重大挑戰(zhàn)。在海外非法交易的境內(nèi)機構數(shù)據(jù)中,19.3%的交易,買賣的是商業(yè)機密數(shù)據(jù)。商業(yè)機密數(shù)據(jù)泄露的主要形式是各類文檔,包括內(nèi)部制度、員工手冊、財務報表、戰(zhàn)略分析、產(chǎn)品文檔、項目策劃等,占比高達73.2%。特別值得警惕的是,文檔類商業(yè)機密數(shù)據(jù)泄露的最大源頭,并不是外部威脅,而是合作伙伴和內(nèi)部員工。而百度文庫、道客巴巴、豆丁網(wǎng)、360文庫等文檔分享平臺,則是文檔類商業(yè)機密數(shù)據(jù)泄露的主要渠道。
奇安信數(shù)據(jù)顯示,從2022年1月至2022年10月,政企機構重大數(shù)據(jù)安全事件發(fā)生的原因來看,超過五成安全事件是由于外部攻擊(指沒有獲得認證的、未經(jīng)授權的非法用戶對內(nèi)網(wǎng)進行的訪問請求或攻擊行為)導致的,但也有5.0%的事件是由于內(nèi)部人員違規(guī)操作。3.9%的重大數(shù)據(jù)安全事件是由于存在漏洞。
“內(nèi)鬼作案”是數(shù)據(jù)安全事件發(fā)生的重要途徑,奇安信方面建議,不僅要防外也要防內(nèi),做好數(shù)據(jù)操作的審計,防止非授權信息讀取,防止越權的敏感信息讀取,包括一些過度的數(shù)據(jù)讀取其實也是一種泄露,如在辦一些業(yè)務的時候本來只用知道該用戶的姓名、性別及年齡,但是在相關資料上還能看到其聯(lián)系方式、工作單位等信息,這樣的過度讀取或者暴露個人信息的行為也不合適。
從南非所有公民征信數(shù)據(jù)泄露,到香格里拉酒店被黑,再到熱搜不斷的學習通事件,無不說明個人信息泄露不分國界,信息保護形勢嚴峻。
需要技術和法律的“雙保險”
目前,世界各地將近有150個國家都對個人信息保護做了相關規(guī)定,我國也高度關注個人信息泄露問題,不斷完善規(guī)制個人信息泄露相關制度規(guī)則。
在亞信安全首席研發(fā)官吳湘寧看來,作為安全防護平臺,三十年前亞信守護PC,二十年前守護網(wǎng)絡,十年前守護云,今天守護5G、IoT、大數(shù)據(jù),未來將要守護大模型、人工智能,安全伴隨技術發(fā)展一直在進化迭代。
著眼于當下正熱的AIGC與大模型,英普華亞太及日本區(qū)技術副總裁周達偉表示,大模型在人工智能方面造成了安全領域上有著不同著重,過去很注重遠程安全、應用安全,但在大模型的產(chǎn)業(yè)互聯(lián)網(wǎng)的時代,企業(yè)將更加注重數(shù)據(jù)安全的保障。
周達偉提到,從流量方面來看,現(xiàn)在最新的數(shù)據(jù)有83%的網(wǎng)頁應用與API有直接關系,其中27%的相關攻擊是針對相關的API做出的攻擊。具體到產(chǎn)業(yè)鏈損失,數(shù)據(jù)顯示,2022年一整年造成相關API的損失高達5300億元人民幣,這是非常巨大的體量。
近年來,《網(wǎng)絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》等系列法律法規(guī)、網(wǎng)絡安全審查制度相繼出臺。2021年,國家出臺《關鍵信息基礎設施安全保護條例》,在關鍵信息基礎設施認定、運營者責任義務、保障和促進、法律責任等方面進行了明確、具體的規(guī)范。
中央網(wǎng)信辦網(wǎng)絡安全協(xié)調(diào)局副局長羅鋒盈表示,加快出臺網(wǎng)絡數(shù)據(jù)安全管理法律法規(guī),應建立健全數(shù)據(jù)分類分級保護,個人信息保護合規(guī)審計,數(shù)據(jù)促進安全制度等,從違法違規(guī)搜集使用個人信息等行為不斷強化能力建設,堅持底線思維,強化風險意識、責任意識,加強重點行業(yè)、重點數(shù)據(jù)安全監(jiān)管,切實保障數(shù)據(jù)安全。
