近來，國內(nèi)外大規(guī)模數(shù)據(jù)泄露事件密集發(fā)生。11月30日，萬豪發(fā)公告稱旗下酒店喜達(dá)屋5億房客信息被泄露；12月3日，社交平臺(tái)陌陌3000萬用戶數(shù)據(jù)在暗網(wǎng)被銷售；12月4日，問答網(wǎng)站鼻祖Quora遭惡意攻擊，1億用戶數(shù)據(jù)被竊；12月10日，谷歌因可能出現(xiàn)的數(shù)據(jù)泄露問題關(guān)閉旗下產(chǎn)品。

大數(shù)據(jù)時(shí)代，數(shù)據(jù)不僅是企業(yè)的核心財(cái)產(chǎn)，也事關(guān)用戶最關(guān)心的隱私安全。然而，數(shù)據(jù)泄露事件卻屢屢發(fā)生。澎湃新聞（www.thepaper.cn）梳理了近十年來有關(guān)企業(yè)數(shù)據(jù)泄露的報(bào)道后發(fā)現(xiàn)，企業(yè)數(shù)據(jù)泄露事件不僅發(fā)生頻率未減，被泄露的數(shù)據(jù)規(guī)模還在不斷擴(kuò)大。

數(shù)據(jù)泄露：中招的不僅僅是互聯(lián)網(wǎng)公司

數(shù)據(jù)泄露是指“受保護(hù)或機(jī)密數(shù)據(jù)可能被未經(jīng)授權(quán)的人查看、偷竊或使用”。互聯(lián)網(wǎng)公司則是數(shù)據(jù)泄露事件的多發(fā)領(lǐng)域，包括阿里、騰訊在內(nèi)的知名互聯(lián)網(wǎng)公司都被爆出過數(shù)據(jù)泄露的負(fù)面消息。

不過，不少公司并不承認(rèn)用戶數(shù)據(jù)發(fā)生了泄露。在2013年支付寶數(shù)據(jù)泄露事件中，支付寶稱泄露非通過其網(wǎng)站，而且泄露的只是賬號(hào)名，不構(gòu)成安全威脅。而發(fā)生在2015年的數(shù)億網(wǎng)易163、126郵箱賬號(hào)泄露事件中，網(wǎng)易的回應(yīng)也和支付寶類似——賬號(hào)密碼泄露源于第三方網(wǎng)站，不存在自身用戶數(shù)據(jù)庫被泄露的問題。

大部分?jǐn)?shù)據(jù)泄露是由黑客攻擊導(dǎo)致。根據(jù)IBM公司（國際商業(yè)機(jī)器公司）發(fā)布的研究報(bào)告（《2018 Cost of a Data Breach Study:Global Overview》）顯示，數(shù)據(jù)泄露的主要原因是惡意和犯罪攻擊（48%）。除了攻擊漏洞、使用病毒外，黑客會(huì)利用人們?cè)诓煌脚_(tái)賬戶使用同一賬號(hào)和密碼的習(xí)慣，通過“撞庫”（通過已泄露的賬戶和密碼去登錄其他網(wǎng)站）的手段來侵入更多網(wǎng)站。而很多掌握大量用戶數(shù)據(jù)的企業(yè)從未建立有效的安全管理系統(tǒng)，這讓泄露事件難以被阻止。

2011年年底，中國互聯(lián)網(wǎng)爆發(fā)了史上規(guī)模最大的數(shù)據(jù)泄密事件，包括天涯社區(qū)、百合網(wǎng)、人人網(wǎng)在內(nèi)的多家網(wǎng)站被指用戶數(shù)據(jù)疑遭泄露。讓人大跌眼鏡的是，最早被爆出數(shù)據(jù)泄露的CSDN論壇，被發(fā)現(xiàn)使用明文存儲(chǔ)密碼，這樣一個(gè)以程序員為主要用戶的大型社區(qū)，卻沒有使用任何加密保護(hù)。

“互聯(lián)網(wǎng)+”時(shí)代，企業(yè)的數(shù)據(jù)安全挑戰(zhàn)會(huì)越來越嚴(yán)峻。

越來越多的行業(yè)也要建立應(yīng)對(duì)數(shù)據(jù)泄露的機(jī)制。由于越來越多的設(shè)備、平臺(tái)相互聯(lián)通，以及云計(jì)算、物聯(lián)網(wǎng)的不斷融合，數(shù)據(jù)泄露的高風(fēng)險(xiǎn)將不再僅限于互聯(lián)網(wǎng)行業(yè)。2017年10月，一家醫(yī)療設(shè)備公司存放在亞馬遜云存儲(chǔ)庫的47GB醫(yī)療數(shù)據(jù)遭破解，15萬患者的姓名、地址、醫(yī)生和病例紀(jì)錄等隱私信息被泄露。

面對(duì)數(shù)據(jù)泄露，多數(shù)企業(yè)反應(yīng)遲鈍

用戶數(shù)據(jù)的重要性對(duì)企業(yè)而言不言而喻，然而，大部分公司并沒有應(yīng)對(duì)經(jīng)驗(yàn)和有效的反應(yīng)機(jī)制，甚至都不能快速察覺數(shù)據(jù)遭遇泄露。

在IBM公司發(fā)布的報(bào)告中，企業(yè)發(fā)現(xiàn)數(shù)據(jù)泄露的平均時(shí)間是197天，而控制住由此產(chǎn)生的后果還額外需要平均69天。發(fā)現(xiàn)和控制的時(shí)間越久，由此產(chǎn)生的損失也越高。

國際知名酒店集團(tuán)萬豪國際在今年11月底告知外界旗下喜達(dá)屋酒店預(yù)訂數(shù)據(jù)庫被外人訪問。令人震驚的是，數(shù)據(jù)庫早在2014年起就遭黑客入侵，但直到2018年9月，萬豪才收到內(nèi)部安全工具的警報(bào)。這意味著2018年9月及之前，喜達(dá)屋酒店預(yù)訂數(shù)據(jù)庫中的賓客信息都一直在泄露。

“遲鈍”的不止萬豪一家，事實(shí)上，連許多高科技公司都遲遲沒有發(fā)現(xiàn)自己的用戶數(shù)據(jù)遭遇泄露。

雅虎曾在2013年、2014年多次遭遇黑客攻擊，被竊取了大量用戶信息，察覺時(shí)已是三年后。2016年9月，雅虎調(diào)查后發(fā)現(xiàn)約有5億賬號(hào)數(shù)據(jù)在2014年時(shí)被泄露。到了同年12月，雅虎才發(fā)現(xiàn)2013年的攻擊導(dǎo)致自己10億用戶數(shù)據(jù)被破解。直到2017年10月，雅虎發(fā)現(xiàn)自己當(dāng)年所有的用戶數(shù)據(jù)都已泄露，30億用戶賬號(hào)無一幸免。

企業(yè)數(shù)據(jù)泄露的損失有多少？

數(shù)據(jù)泄露帶給企業(yè)和用戶的損失不容小覷。

IBM的研究報(bào)告調(diào)查了全球477家公司過去一年2200多起數(shù)據(jù)泄露事件，發(fā)現(xiàn)大型數(shù)據(jù)泄露的代價(jià)十分高昂。平均來看，泄露百萬條記錄會(huì)導(dǎo)致?lián)p失2.8億人民幣，而泄露5000萬條記錄的損失高達(dá)24.1億人民幣。

而不同行業(yè)的數(shù)據(jù)泄露成本也不同。在監(jiān)管較嚴(yán)的行業(yè)，如醫(yī)療保健和金融行業(yè)，數(shù)據(jù)泄露的成本非常的高，而物流、酒店行業(yè)的數(shù)據(jù)泄露成本就要低很多。雖然中國公司并未被列入調(diào)查范圍，但這一結(jié)論依然可以參考。

對(duì)公司而言，數(shù)據(jù)泄露的損失主要由檢測(cè)與升級(jí)、通知各方、賠償與罰款以及用戶流失這四個(gè)方面構(gòu)成。在監(jiān)管較嚴(yán)格的地區(qū)，數(shù)據(jù)泄露的罰款非常大，由此帶來的股價(jià)下跌也經(jīng)常發(fā)生。

今年5月，旨在保護(hù)用戶數(shù)據(jù)的《通用數(shù)據(jù)保護(hù)條例》（GDPR）在歐盟生效，企業(yè)如果沒有保護(hù)好數(shù)據(jù)而導(dǎo)致數(shù)據(jù)泄露，將會(huì)被處以1000萬歐元（約合7825萬人民幣），或全球年?duì)I業(yè)額2%的高額罰款；而主動(dòng)泄露用戶數(shù)據(jù)的，處罰將會(huì)翻倍。

值得一提的是，目前在中國，還沒有企業(yè)因數(shù)據(jù)泄露問題而被重罰。雖然現(xiàn)行有關(guān)個(gè)人信息保護(hù)的法律法規(guī)并不少，重慶大學(xué)網(wǎng)絡(luò)與大數(shù)據(jù)戰(zhàn)略研究院院長齊愛民曾統(tǒng)計(jì)過，有關(guān)個(gè)人信息的法律有52部，行政法規(guī)有42部，司法解釋或者文件有50部，部門規(guī)章更多。但是眾多法律法規(guī)并沒有形成完整體系，企業(yè)違法行為難以認(rèn)定，用戶維權(quán)也很艱難。

不過，縱然沒有高額的罰款，用戶也會(huì)用腳投票。雅虎發(fā)生大規(guī)模數(shù)據(jù)泄露后，有研究顯示多達(dá)97%的用戶會(huì)對(duì)雅虎失去信任。當(dāng)一家企業(yè)不能保護(hù)他們的用戶數(shù)據(jù)，用戶的信任將很難回歸，即便“中國人更加開放，愿意用隱私交換便捷服務(wù)或效率”。