年度盤點 | 十年資料洩露事件大觀："網際網路+"時代，無人能自保?

近來，國內外大規模資料洩露事件密集發生。11月30日，萬豪發公告稱旗下酒店喜達屋5億房客資訊被洩露；12月3日，社交平臺陌陌3000萬使用者資料在暗網被銷售；12月4日，問答網站鼻祖Quora遭惡意攻擊，1億使用者資料被竊；12月10日，谷歌因可能出現的資料洩露問題關閉旗下產品。

大資料時代，資料不僅是企業的核心財產，也事關使用者最關心的隱私安全。然而，資料洩露事件卻屢屢發生。澎湃新聞梳理了近十年來有關企業資料洩露的報導後發現，企業資料洩露事件不僅發生頻率未減，被洩露的資料規模還在不斷擴大。

資料洩露：中招的不僅僅是網際網路公司

資料洩露是指“受保護或機密資料可能被未經授權的人檢視、偷竊或使用”。網際網路公司則是資料洩露事件的多發領域，包括阿里、騰訊在內的知名網際網路公司都被爆出過資料洩露的負面訊息。

不過，不少公司並不承認使用者資料發生了洩露。在2013年支付寶資料洩露事件中，支付寶稱洩露非透過其網站，而且洩露的只是賬號名，不構成安全威脅。而發生在2015年的數億網易163、126郵箱賬號洩露事件中，網易的回應也和支付寶類似——賬號密碼洩露源於第三方網站，不存在自身使用者資料庫被洩露的問題。

大部分資料洩露是由駭客攻擊導致。根據IBM公司（國際商業機器公司）釋出的研究報告（《2018 Cost of a Data Breach Study:Global Overview》）顯示，資料洩露的主要原因是惡意和犯罪攻擊（48%）。除了攻擊漏洞、使用病毒外，駭客會利用人們在不同平臺賬戶使用同一賬號和密碼的習慣，透過“撞庫”（透過已洩露的賬戶和密碼去登入其他網站）的手段來侵入更多網站。而很多掌握大量使用者資料的企業從未建立有效的安全管理系統，這讓洩露事件難以被阻止。

2011年年底，中國網際網路爆發了史上規模最大的資料洩密事件，包括天涯社群、百合網、人人網在內的多家網站被指使用者資料疑遭洩露。讓人大跌眼鏡的是，最早被爆出資料洩露的CSDN論壇，被發現使用明文儲存密碼，這樣一個以程式設計師為主要使用者的大型社群，卻沒有使用任何加密保護。

“網際網路+”時代，企業的資料安全挑戰會越來越嚴峻

越來越多的行業也要建立應對資料洩露的機制。由於越來越多的裝置、平臺相互聯通，以及雲端計算、物聯網的不斷融合，資料洩露的高風險將不再僅限於網際網路行業。2017年10月，一家醫療裝置公司存放在亞馬遜雲端儲存庫的47GB醫療資料遭破解，15萬患者的姓名、地址、醫生和病例紀錄等隱私資訊被洩露。

面對資料洩露，多數企業反應遲鈍

使用者資料的重要性對企業而言不言而喻，然而，大部分公司並沒有應對經驗和有效的反應機制，甚至都不能快速察覺資料遭遇洩露。

在IBM公司釋出的報告中，企業發現資料洩露的平均時間是197天，而控制住由此產生的後果還額外需要平均69天。發現和控制的時間越久，由此產生的損失也越高。

國際知名酒店集團萬豪國際在今年11月底告知外界旗下喜達屋酒店預訂資料庫被外人訪問。令人震驚的是，資料庫早在2014年起就遭駭客入侵，但直到2018年9月，萬豪才收到內部安全工具的警報。這意味著2018年9月及之前，喜達屋酒店預訂資料庫中的賓客資訊都一直在洩露。

“遲鈍”的不止萬豪一家，事實上，連許多高科技公司都遲遲沒有發現自己的使用者資料遭遇洩露。

雅虎曾在2013年、2014年多次遭遇駭客攻擊，被竊取了大量使用者資訊，察覺時已是三年後。2016年9月，雅虎調查後發現約有5億賬號資料在2014年時被洩露。到了同年12月，雅虎才發現2013年的攻擊導致自己10億使用者資料被破解。直到2017年10月，雅虎發現自己當年所有的使用者資料都已洩露，30億使用者賬號無一倖免。

企業資料洩露的損失有多少？

資料洩露帶給企業和使用者的損失不容小覷。

IBM的研究報告調查了全球477家公司過去一年2200多起資料洩露事件，發現大型資料洩露的代價十分高昂。平均來看，洩露百萬條記錄會導致損失2.8億人民幣，而洩露5000萬條記錄的損失高達24.1億人民幣。

而不同行業的資料洩露成本也不同。在監管較嚴的行業，如醫療保健和金融行業，資料洩露的成本非常的高，而物流、酒店行業的資料洩露成本就要低很多。雖然中國公司並未被列入調查範圍，但這一結論依然可以參考。

對公司而言，資料洩露的損失主要由檢測與升級、通知各方、賠償與罰款以及使用者流失這四個方面構成。在監管較嚴格的地區，資料洩露的罰款非常大，由此帶來的股價下跌也經常發生。

今年5月，旨在保護使用者資料的《通用資料保護條例》（GDPR）在歐盟生效，企業如果沒有保護好資料而導致資料洩露，將會被處以1000萬歐元（約合7825萬人民幣），或全球年營業額2%的高額罰款；而主動洩露使用者資料的，處罰將會翻倍。

值得一提的是，目前在中國，還沒有企業因資料洩露問題而被重罰。雖然現行有關個人資訊保護的法律法規並不少，重慶大學網路與大資料戰略研究院院長齊愛民曾統計過，有關個人資訊的法律有52部，行政法規有42部，司法解釋或者檔案有50部，部門規章更多。但是眾多法律法規並沒有形成完整體系，企業違法行為難以認定，使用者維權也很艱難。

不過，縱然沒有高額的罰款，使用者也會用腳投票。雅虎發生大規模資料洩露後，有研究顯示多達97%的使用者會對雅虎失去信任。當一家企業不能保護他們的使用者資料，使用者的信任將很難迴歸，即便“中國人更加開放，願意用隱私交換便捷服務或效率”。