十年数据泄露事件大观："互联网+"时代，无人能自保?

　　原标题 十年数据泄露事件大观：“互联网+”时代，各行各业都易中招

　　记者 实习生 陈良贤

　　近来，国内外大规模数据泄露事件密集发生。11月30日，万豪发公告称旗下酒店喜达屋5亿房客信息被泄露；12月3日，社交平台陌陌3000万用户数据在暗网被销售；12月4日，问答网站鼻祖Quora遭恶意攻击，1亿用户数据被窃；12月10日，谷歌因可能出现的数据泄露问题关闭旗下产品。

　　大数据时代，数据不仅是企业的核心财产，也事关用户最关心的隐私安全。然而，数据泄露事件却屡屡发生。澎湃新闻梳理了近十年来有关企业数据泄露的报道后发现，企业数据泄露事件不仅发生频率未减，被泄露的数据规模还在不断扩大。

　　数据泄露：中招的不仅仅是互联网公司

　　数据泄露是指“受保护或机密数据可能被未经授权的人查看、偷窃或使用”。互联网公司则是数据泄露事件的多发领域，包括阿里、腾讯在内的知名互联网公司都被爆出过数据泄露的负面消息。

　　不过，不少公司并不承认用户数据发生了泄露。在2013年支付宝数据泄露事件中，支付宝称泄露非通过其网站，而且泄露的只是账号名，不构成安全威胁。而发生在2015年的数亿网易163、126邮箱账号泄露事件中，网易的回应也和支付宝类似——账号密码泄露源于第三方网站，不存在自身用户数据库被泄露的问题。

　　大部分数据泄露是由黑客攻击导致。根据IBM公司（国际商业机器公司）发布的研究报告（《2018 Cost of a Data Breach Study:Global Overview》）显示，数据泄露的主要原因是恶意和犯罪攻击（48%）。除了攻击漏洞、使用病毒外，黑客会利用人们在不同平台账户使用同一账号和密码的习惯，通过“撞库”（通过已泄露的账户和密码去登录其他网站）的手段来侵入更多网站。而很多掌握大量用户数据的企业从未建立有效的安全管理系统，这让泄露事件难以被阻止。

　　2011年年底，中国互联网爆发了史上规模最大的数据泄密事件，包括天涯社区、百合网、人人网在内的多家网站被指用户数据疑遭泄露。让人大跌眼镜的是，最早被爆出数据泄露的CSDN论坛，被发现使用明文存储密码，这样一个以程序员为主要用户的大型社区，却没有使用任何加密保护。

　　“互联网+”时代，企业的数据安全挑战会越来越严峻。

　　越来越多的行业也要建立应对数据泄露的机制。由于越来越多的设备、平台相互联通，以及云计算、物联网的不断融合，数据泄露的高风险将不再仅限于互联网行业。2017年10月，一家医疗设备公司存放在亚马逊云存储库的47GB医疗数据遭破解，15万患者的姓名、地址、医生和病例纪录等隐私信息被泄露。

　　面对数据泄露，多数企业反应迟钝

　　用户数据的重要性对企业而言不言而喻，然而，大部分公司并没有应对经验和有效的反应机制，甚至都不能快速察觉数据遭遇泄露。

　　在IBM公司发布的报告中，企业发现数据泄露的平均时间是197天，而控制住由此产生的后果还额外需要平均69天。发现和控制的时间越久，由此产生的损失也越高。

　　国际知名酒店集团万豪国际在今年11月底告知外界旗下喜达屋酒店预订数据库被外人访问。令人震惊的是，数据库早在2014年起就遭黑客入侵，但直到2018年9月，万豪才收到内部安全工具的警报。这意味着2018年9月及之前，喜达屋酒店预订数据库中的宾客信息都一直在泄露。

　　“迟钝”的不止万豪一家，事实上，连许多高科技公司都迟迟没有发现自己的用户数据遭遇泄露。

　　雅虎曾在2013年、2014年多次遭遇黑客攻击，被窃取了大量用户信息，察觉时已是三年后。2016年9月，雅虎调查后发现约有5亿账号数据在2014年时被泄露。到了同年12月，雅虎才发现2013年的攻击导致自己10亿用户数据被破解。直到2017年10月，雅虎发现自己当年所有的用户数据都已泄露，30亿用户账号无一幸免。

　　企业数据泄露的损失有多少？

　　数据泄露带给企业和用户的损失不容小觑。

　　IBM的研究报告调查了全球477家公司过去一年2200多起数据泄露事件，发现大型数据泄露的代价十分高昂。平均来看，泄露百万条记录会导致损失2.8亿人民币，而泄露5000万条记录的损失高达24.1亿人民币。

　　而不同行业的数据泄露成本也不同。在监管较严的行业，如医疗保健和金融行业，数据泄露的成本非常的高，而物流、酒店行业的数据泄露成本就要低很多。虽然中国公司并未被列入调查范围，但这一结论依然可以参考。

　　对公司而言，数据泄露的损失主要由检测与升级、通知各方、赔偿与罚款以及用户流失这四个方面构成。在监管较严格的地区，数据泄露的罚款非常大，由此带来的股价下跌也经常发生。

　　今年5月，旨在保护用户数据的《通用数据保护条例》（GDPR）在欧盟生效，企业如果没有保护好数据而导致数据泄露，将会被处以1000万欧元（约合7825万人民币），或全球年营业额2%的高额罚款；而主动泄露用户数据的，处罚将会翻倍。

　　值得一提的是，目前在中国，还没有企业因数据泄露问题而被重罚。虽然现行有关个人信息保护的法律法规并不少，重庆大学网络与大数据战略研究院院长齐爱民曾统计过，有关个人信息的法律有52部，行政法规有42部，司法解释或者文件有50部，部门规章更多。但是众多法律法规并没有形成完整体系，企业违法行为难以认定，用户维权也很艰难。

　　不过，纵然没有高额的罚款，用户也会用脚投票。雅虎发生大规模数据泄露后，有研究显示多达97%的用户会对雅虎失去信任。当一家企业不能保护他们的用户数据，用户的信任将很难回归，即便“中国人更加开放，愿意用隐私交换便捷服务或效率”。