趣店数据疑似外泄,信息安全再敲警钟
2017-11-22
此文首发于2017年11月22日《新京报》“评论”。
近期黑市上出现一份数据,据称是“趣店学生用户数据”。该数据维度极细,除学生借款金额、滞纳金等金融数据外,甚至还包括学生父母电话、男女朋友电话、学信网账号密码等隐私信息。有媒体记者经过向部分网贷中介、多位趣店离职员工和趣店学生用户调查了解,部分证实趣店疑似存在重大数据外泄。
面对媒体报道和用户追问,趣店并未给出正面回应。趣店公关负责人仅称:“趣店一直高度重视用户个人信息安全,不断提高数据安全能力与信息加密强度”。不过,就在趣店给出官方答复的同时,相关数据依然在黑市上被公开兜售。有业者介绍称,包括百万学生信息的数据,叫卖价格近10万。
如果网上流传的“趣店学生用户数据”属实,那么受到波及和侵害的人数将是巨量的,所造成的后果也将是灾难性的。趣店公司绝不应该仅止于摆出一副不冷不热的高姿态,而应该尽快查实情况,采取切实的补救措施。因为这不仅事关商业伦理,更事关千千万万趣店用户的人身、财产安全,同时还事关趣店自身的法律责任。
2016年年底通过的《网络安全法》明文规定:“网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失”。目前尚不知道,疑似来自趣店的信息究竟是怎样泄露的。但不论何种原因,趣店作为网络运营者都对其收集的用户信息负有法定的保密义务,如果数据外泄都负有不可推卸的责任。如果确认信息已经外泄,那么趣店除了应当自行查找监管漏洞和数据外泄原因外,还应当及时向主管部门报告,请求主管部门介入调查,阻止相关数据进一步传播。
就当下看,网络上公开兜售和购买这些数据的人,都涉嫌严重的刑事犯罪。根据最高法、最高检《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》的规定,无论是发布还是获取公民个人信息,只要违反国家有关规定,都有可能触犯刑法。具体的说,非法提供或者非法获取公民个人信息五千条以上,或者违法所得五千元以上,均应以侵犯公民个人信息罪追究相关人员的刑事责任。也即,只要达到入罪门槛,无论是泄露信息的公司责任人员,还是非法获取这些数据的人员,亦或是在网络上公开兜售、购买这些数据的人员都可能面临相应的刑事责任追究。
对于广大用户来说,最担心或者最忧虑的就是如何阻止相关数据进一步传播。理论上讲,数据一旦电子化并且已经外泄,那么其存储和传播都将变得难以控制。因为数据的源头已经分散,既可以存储在物理介质上,又可以存储在网络空间。因此,单靠涉事公司自己已经无法阻止事态升级和恶化,相关政府职能部门应当立即介入。当务之急是,警方应当尽快介入调查,对相关涉嫌犯罪的人员实施抓捕,形成有力震慑。同时,尽快查找相关数据源头,采取技术措施对相关数据进行传播阻断。
互联网时代,个人信息既是重要的个人隐私,又是重要的经济资源。对于大规模收集、存储、保管、使用个人信息的互联网企业,信息安全这根弦任何时候都不能松。特别是趣店这类现金贷企业,业务操作严重依赖个人信息征集与信用评估,在公民个人信息保护上更是应该筑起缜密“防火墙”,担负起相应的责任。