撰文|闫书瑜 贾紫聪

编辑|贾紫聪

10月30日，英国信息办公室（ICO）发布声明称，连锁酒店万豪国际泄露全球数百万客人信息（包括姓名、邮寄地址、电话、电子邮件、护照号码等），故此对其处以1840万英镑（约1.6亿元人民币）罚款。

这意味着，所有住过酒店的用户此刻几乎都处在“裸奔”状态，下一秒你就可能接到某不知名广告商打来的电话，甚至你的身份证、银行卡信息将被用在你从未去过的地方……

是大数据时代的“通病”？还是执法不严的结果？个人信息到底该怎样被保护？

六年前的导火索

这场2020年的“闹剧”实际开始于2014年。

万豪旗下的喜达屋酒店在2014年曾遭受网络攻击。

而万豪是2016年收购喜达屋酒店后，才于2018年9月发现这一漏洞。

2018年11月30日，万豪宣称，旗下喜达屋酒店预订数据库中约5亿客人信息或被泄露。

泄露的客人信息包括姓名、邮寄地址、电话号码、电子邮件地址、护照号码、出生日期、性别、入住与退房时间、预订日期和通信编号等，还有部分客人的支付卡卡号和有效期。

万豪通报数据泄露距离数据库被黑客入侵，时间跨度长达4年，这足见万豪国际集团在数据安全管理方面存在严重漏洞。

直到今年，也就是2020年3月31日，万豪国际集团又发布公告称，约520万名客户的资料可能被泄露，而他们也正在调查。

也就是说，在不到两年的时间里，万豪发生了两次大规模数据泄露事件。

万豪国际集团，成立于1927年，总部位于美国马里兰州贝塞斯达，拥有万豪、万丽、万怡、万豪居家、万豪费尔菲得等多个品牌，是全球最大的酒店集团。

这次事件对万豪可谓是一次沉重的打击，作为酒店行业的“大佬”，品牌声誉形象的受损最为致命。受此事件的影响，万豪国际股价接连两次大跌，直接导致其数十亿市值蒸发。

（来源：彭博社）

直接可见的是万豪的股价下跌，看不见的却是那被盗的五亿客人的信息仿佛定时炸弹一样，随时可能造成未知的影响。

虽然事后万豪向顾客发送电邮，反复确认是否对其生活造成了影响，得到的回答大都是不清楚，但以往的大量事件表明，数据泄露的影响远不止如此。

隔空取钱不是梦

2020年10月9日中国青年报报道，在浙江义务，一位男子凌晨翻墙进入一家店铺，对室内的电脑操作一番后就离开了，并未偷窃任何物品。

老板通过监控视频发现，但考虑到并无商品失窃就没有选择报警。

但没过多长时间，这位小商家的交易记录和订单数据就出现在了“网络黑市”里。

警方调查了解到，这位神秘人在这位小商家的电脑上插入了一个经过改造的U盘“Bad USB”，里面装有可以封闭执行的木马病毒，将其拷贝到电脑后，神秘人可以远程控制这台电脑，从而获取商家的交易记录和大量的用户真实信息，甚至影响资金安全。

不仅如此，神秘人也可以将商家数据和个人信息转手售卖给网络诈骗组织，造成更多威胁。

这一案例是典型的网络黑灰产犯罪案，它行为隐秘、分工明确、责任涉及多方。这些都是治理中存在的痛点。

相关专家表示，高发的数据泄露事件中，用户的个人信息是黑灰产的源头。企业和监管都无法完全对这一环节进行有效管控，因而这又无形中给治理网络黑灰产问题增加了难度。

据《2018网络黑灰产治理研究报告》估算，2017年我国网络安全产业规模为450多亿元，而黑灰产已达近千亿元规模；全年因垃圾短信、诈骗信息、个人信息泄露等造成的经济损失估算达915亿元，而且电信诈骗案每年以20%~30%的速度在增长。

由此可见，用户数据泄露的安全威胁深远。

面对“数据透明”时代的全球个人信息泄露，我们该如何应对呢？

立法是关键

据相关报道我们了解到，许多电信诈骗、钓鱼网站诈骗都是通过诱骗用户连接伪装过的免费WIFI，或拦截、嗅探短信来实现的。

因此，电信运营商、社交网络平台也应该在治理黑灰产中承担更大责任。

阿里安全部资深总监张玉东认为，网络基础设施作用的平台级企业应该率先示范，首先行动起来，保护用户数据和个人信息免遭泄露。

除此之外，他希望制度层面可以进一步对企业在这方面的责任和投入作出要求。

知名刑辩律师张晓玲认为，互联网用户数据保护，关键在于立法。从政府层面，必须加快制定有关互联网用户数据保护的法律法规，对企业获取用户信息的数据类型、存储时间、数据用途等作出明确的法律规定，确保企业以合法的、合理的和透明的方式来进行数据处理。

她说，避免个人信息泄露仅靠国家和企业是不够的，用户个人也应提高自身的防范意识、了解一些新近的隐私危机与保护个人在线隐私技巧。

譬如，用户可以定期更换IP地址，避免使用统一的用户ID和密码，谨慎使用定位服务以及切勿将全部的生日数据加载到社交网络数据中等等。