中国的互联网公司发展到今天,已经早就脱离了早年间野蛮生长的发展模式,但近年来随着商业模式和技术的不断创新,网络虚假信息、违法信息泛滥,数据和个人隐私信息泄露等事件频发,加强对互联网产品和应用合规和监管的呼吁之声不断。
国家互联网应急中心发布的《2019年中国互联网网络安全报告》指出,对境内的mongodb、elasticsearch、mysql、redis等数据库排查发现存在大量数据泄露隐患,共涉及20720个数据表、1330.3tb数据量、1.78万亿余条数据。其中,因未授权访问漏洞存在泄露风险的数据有1.77万亿余条,因弱口令漏洞存在泄露风险的数据有96亿余条。存在未授权访问漏洞的数据库中,数据条目超百亿的有34个,超十亿未过百亿的有208个,超一亿未过十亿的有646个,总计888个。
相对应的,多家公司被曝出发生数据泄露事件。2019年12月,有网络安全研究人员发现超过27亿个电邮地址的数据被泄露,其中有10亿个电邮的密码都是简单的明文,而且这些被盗邮件的域名都来自中国。这次数据泄露波及了国内多家邮件提供商,如腾讯、新浪、搜狐和网易,发现了包括qq.com、139.com、126.com、gfan.com和.sohu.com等在内的域名。此事件泄露数据量极为庞大,这些泄露的部分数据很可能会严重威胁用户的资产安全。根据报道,被泄露的数据来自于elastic-search服务器,属于美国的一个托管服务中心,虽然在发布数据库存储安全报告后于12月9日被关闭,但即使如此,它已经开放了至少一周,并且允许任何人在无密码的情况下进行访问。【1】
电信领域是数据泄露的重灾区。2020年1月中国裁判文书网公布的某侵犯个人信息罪二审刑事裁定书显示,2013年至2016年9月27日,该案被告人陈某从中国电信股份有限公司的全资子公司数据库获取区分不同行业、地区的手机号码信息提供给另一被告人陈某武,陈某武以人民币0.01元/条至0.2元/条不等的价格在网络上出售,获利金额累计达人民币2000余万元,涉及公民个人信息2亿余条。【2】
用户流量极大的新浪微博也未能幸免。2020年3月,有媒体报道,一位用户发现5.38亿条微博用户信息在暗网出售。其中,1.72亿条有账户基本信息。涉及的账号信息包括用户id、账号发布的微博数、粉丝数、关注数、性别、地理位置等。微博安全总监对此则表示,“泄漏的手机号是2019年通过通讯录上传接口被暴力匹配的”。【3】
在金融领域,浙江岱山农商银行因违规泄露客户信息,被罚款30万元。【4】此外,一家境外黑客论坛上有用户发帖出售国内多家银行保险机构的数百万条客户数据,使得不少消费者认为储存在金融机构的客户数据可能被泄露。【5】
在高科技领域,2019年2月,一位荷兰安全研究员victor gevers指称,中国“深网视界”人脸识别公司发生数据泄露事件,超过250万人的核心数据可被获取,680万条记录被泄露,其中包括身份证信息、人脸识别图像及gps位置记录等。gevers认为,“深网视界”在没有安全认证的情况下,直接在公网运行mongodb人脸识别数据库,任何人均可查找并全访问该数据库,这意味着所有人都可以根据实时面部识别来查看这些记录并跟踪一个人的行为。
这些事件的发生,无疑暴露了公司操作不合规、未有效保护用户信息安全的问题,从另一个角度,也反映了公司应重视合规、由专业法律人对产品和应用开展合规的必要性。
除了以上已经被曝光的互联网风险领域外,在高科技与互联网结合的其他领域,一些风险还处于争议阶段,但共识是,一旦此类风险变成现实,必将造成灾难性的后果,如生物基因、人工智能等对人类伦理准则的挑战。在这方面,公司法务人员面临的是,在规则层面全方位重新建构的重大机遇。
【1】《27亿邮箱数据泄露,波及国内多家邮件厂商》,载中国邮箱网2019年12月17日,://www.chinaemail.com.cn/blog/content/10715/。
【2】《中国电信超2亿用户信息被卖 售价低至0.01元/条》,载新浪网2020年1月3日,://finance.sina.com.cn/stock/relnews/hk/2020-01-03/doc-iihnzhha0008229.shtml。
【3】《微博数据疑似大规模泄露5.38亿条用户信息在暗网出售?》,载百度百家号“搜狐科技”2020年3月19日,s://baijiahao.baidu.com/s?id=1661582739704971142&wfr=spider&for=pc。
【4】《岱山农商银行被罚30万:违规泄露客户信息》,载新浪网2020年4月23日,s://finance.sina.com.cn/jryx/2020-04-23/doc-iirczymi7885332.shtml?cre=tianyi&mod=pcpager_fintoutiao&loc=1&r=9&rfunc=8&tj=none&tr=9。
【5】《百万条银行保险机构客户数据被售卖?平安、上海银行等回应》,载凤凰网2020年4月15日,://finance.ifeng.com/c/7vh5yjl87bu。