本文由Shairk网安数据合规研究团队推出,贡献人包括Plucky、陈招财、William、陈十佳、许晓生。
Do not go gentle into that good night. Rage, rage against the dying of the light.”
—— Dylan Thomas
大数据、深度学习算法、计算能力,三者被共称为现今人工智能领域的三块基石。三块基石中的大数据更是引发了无数充满哲理思辨的思考与讨论(例如最近反复被火热讨论的“大数据杀熟”一词)。而在大数据行业快速发展并向其他行业渗透反哺的同时,用户数据泄露成为了我们不得不面临的困境,一次又一次地刺激着我们的神经。
数据泄露 触目惊心
(ITRC2017报告中,分行业数据泄露统计截图)
根据Identity Theft Resource Center和CyberScout的报告,近年来每年的数据泄露事件都有上千起,且仍呈现逐年递增趋势,而在历史上更是发生过多起可以用“灾难”来形容、却本不该如此快便被遗忘的数据泄露事件:
2013年8月,雅虎曾发生过一起严重的数据泄露事件,有超过10亿用户的信息遭到外泄。
2017年10月3日,雅虎公司证实其所有30亿个用户账号应该都受到了黑客攻击的影响。
2017年11月,美国五角大楼意外暴露了美国国防部的分类数据库,其中包含美国当局在全球社交媒体平台中收集到的18 亿用户的个人信息。
2016年,借贷宝被拖库,导致10G裸条泄露。
2016年,某国内知名电商巨头12G数据泄露,警方查明犯罪嫌疑人在加入公司之前曾在国内多家知名互联网公司工作,长期与盗卖个人信息的犯罪团队合作。
2016年5月,LinkedIn宣布,一个名为“peace”的黑客组织在黑市上以5比特币(当时约合2200美元)的售价公开销售1.67亿个LinkedIn用户登录信息。
2016年10月,Uber在被黑客窃取了来自5700万名乘客和司机的信息后,向黑客支付了10万美元用于删除数据并对泄露事件保密。
2016年10月19日,乌云漏洞报告平台发布的新漏洞显示,网易用户数据库过亿数据疑似泄露(网易回应称是撞库导致)。
2017年3月,邓白氏大约3370万个独有电子邮件地址和联系信息被泄露。泄漏的数据库包含关于AT&T、波音、戴尔、FedEx、IBM和施乐公司数以万计的员工信息,以及国防部10万多员工的广泛记录。
(Have I Been Pwned网站截图)
在上图Have I Been Pwned网站上,汇集了众多被泄露的数据,用户可以输入自己的邮箱来查询该邮箱所注册的账户是否曾被泄露。
酒店?又是酒店!
11月30日,万豪国际酒店集团宣布,旗下喜达屋酒店(Starwood Hotel)的一个顾客预订数据库被黑客入侵,可能有约5亿顾客的信息泄露。这些可能被泄露的信息包括顾客的姓名、性别、出生日期、地址、电话、邮箱、护照号码、喜达屋VIP客户信息等其他个人信息,部分客户还可能涉及支付卡的号码、有效日期等信息。
实际上,这已经不是第一起酒店顾客数据泄露事件。国内方面,早在2013年,汉庭等酒店被爆出数据泄露;2015年,有媒体报道某地市民的7天连锁酒店账户在不到两个月时间内,出现非自主消费的700多个订房信息;而今年9月,华住酒店则爆出震惊业界的数据泄露事件,涉及到1.3亿人的用户个人信息在暗网以低价出售。国外方面,2016年和2017年,凯悦集团在全球的多家酒店涉及数据外泄;2017年,洲际酒店旗下的美洲酒店客户信用卡信息遭遇泄露。
酒店行业涉及的顾客数据众多,信息泄露不但引起顾客本身信息安全问题,还有可能引发其他行业的连锁反应。万豪数据泄露门事件一出,随后便遭遇了集体诉讼,被索赔125亿美元。
消费者集体诉讼侧影
在大范围消费者权益遭受侵害时,越来越多人选择采取集体诉讼。那么问题来了,数据泄露事件中,消费者为什么选择集体诉讼?集体诉讼又为何物?
一、什么是消费者集体诉讼?
消费者集体诉讼是发生群体性或类群体性纠纷时,由具有相关利益的一人或数人代表其他具有共同利益(诉讼需求)的原告,对侵害者提起诉讼请求。这类诉讼多发于食品行业、化妆品行业、科技公司等与消费者利益密切相关的场景,原告提起诉讼的原因往往与被诉者采取的某些涉嫌有失公平的商业行为有关,比如收费项目没有明确告知消费者、广告承诺的内容与实际情况不一、产品中含有某些未披露或有害的成分等。而最近一波的消费者集体诉讼,则与信息安全、客户身份信息使用处理、黑客窃取客户数据有关,典型的即为此次万豪数据泄露门事件。
集体诉讼起源于英国,在美国发展并完善。在美国,集体诉讼原告要具备以下几个条件:
1. 涉众性。通常情况下,一方涉及的人数众多(通常是消费者一方),且人数无法确定,出于处理的便利和经济合理性考虑,部分人作为原告代表出庭参加诉讼,以此提高效率。
2. 共同性。众多当事人之间需要存在共同的或同种类的权利或义务,这种权利或义务是由相同的事实或法律问题引起的。例如此次的万豪数据泄露门,原告在起诉书称:“在过去的四年中,万豪收集并存储了原告的大量个人信息……万豪承担了保管卡号码和属于原告和潜在的诉讼集体成员的其他个人信息的义务,但由于万豪未能拥有足够的技术能力而违反了其法定责任,其低于安全行业标准的保障能力直接造成了可预见的经济损失,包括未经授权的信贷和债务活动、欺诈性收费、身份盗用、垃圾邮件增加、独立第三方信用修复和监控费用、卡信息的实际丢失以及其他黑客利用个人信息实施的欺诈行为。”
3. 典型性。代表人的请求或答辩在集体中具备典型性,避免代表人以集体诉讼的名义提出实为个人利益的诉讼,损害其他被代表人的利益,浪费司法资源。
4. 代表人合格。代表人代表着众多原告的利益,需要充分体现被代表人的利益,因此代表人除要具备诉讼行为能力外,还需排除利益冲突,要求代表人能够积极且善意地行使代表人的权利,维护其他被代表人利益。
此次万豪数据泄露门事件中,提起诉讼的两名原告为大卫·约翰逊(David Johnson)和克里斯·哈里斯(Chris Harris),他们代表自己和其他用户(约5亿客户),委托律师对万豪国际酒店提起集体诉讼,索赔125亿美元。
二、我国的共同诉讼制度
相较于美国的集体诉讼,我国消费者在受到权益侵害时,似乎更习惯于单打独斗,独自提起主张。然而,集体诉讼制度在我国并非完全空白,《民事诉讼法》进行了相关规定,我们称之为“共同诉讼”。
根据《民事诉讼法》的规定,当事人一方或双方为两人以上,具备共同或同一种类的诉讼标的,法院认为可以合并审理并经当事人同意的(在部分特殊案件如涉证券民事赔偿案件,法院也可以依职权合并诉讼),为共同诉讼。当事人一方(一般为消费者)在起诉时人数众多的,也可以自行推选代表人进行诉讼。
在遭受共同侵权时,众多平时毫无关联的消费者怎么通过共同诉讼来维护权益呢?
像此类酒店数据泄露导致顾客个人信息遭受损害(如被非法买卖、利用以及因此产生的诈骗、骚扰等),如果起诉时人数确定的,受此影响的消费者可以共同委托诉讼代表人提起共同诉讼。如果起诉时人数尚未确定的,法院在受理案件后可以发出公告,说明案件情况和诉讼请求,通知权利人在一定期间内向法院登记。在这两种情况下,这些登记的权利人并不一定要全部参加诉讼,而是推选出代表人,由代表人进行诉讼,诉讼的结果对全体登记权利人产生效力。对于不想参加“大部队”而单独提起诉讼的消费者,如果起诉的被告和基本事实相同,法院也可能会直接裁定将案件并入正在进行的“大部队”共同诉讼。而对于那些没有在规定时间内登记的权利人,如果在此后的诉讼时效期间内起诉的,适用已经生效的判决或裁定。法院可以直接裁定此类诉讼,直接适用此前已经生效的某个判决结果。
也就是说,因为同样的侵权行为导致的利益受损,如果其中有当事人起诉了,其他人可以加入并共同委托代表人进行诉讼,也可以在法院发布公告后用登记的方式加入,并非必须亲力亲为;如果部分人来不及加入,那么在诉讼期间内(一般诉讼时效是3年,最长诉讼时效是20年)起诉的,直接适用原来的裁判结果。用这样的方式,一是提高效率,二是节省司法资源。
此外,在侵害权益涉及众多消费者的事件中,如果当事人无人提起诉讼,法律规定的机关和有关组织(比如消费者协会)还可以代为提起诉讼,以此来维护消费者的合法权益。例如,某地消费者权益保护委员会就曾针对某通信公司手机预装软件的行为提起侵权诉讼。但此类诉讼的目的往往指向于要求经营者停止或纠正侵害消费者权益的行为,而不直接面向单个消费者进行经济赔偿。
因此,如果酒店数据泄露事件发生在我国,消费者可以通过适用共同诉讼来进行维权并提出赔偿请求。
天灾?人祸?
我们审视灾难级的数据泄漏事件,既有天灾,更有人祸。所谓天灾,软件漏洞在所难免;别有用心内外勾结,是为人祸。笔者无法核实以上数据泄露事件的真实与否,但显而易见的是,随着被泄漏数据库的增多,用户在互联网上的个人画像将变得越来越清晰。
以邮箱地址为引,通过比对购物网站、社交网站的注册信息,获取常用地址、联系电话、真实姓名,再采用拖库、撞库、社工等黑客手段,侵入其它网站,滚雪球式的增加数据库内容(网易邮箱数据泄露后曾出现一波利用网易邮箱数据盗取iCloud账号的事件)。更让人感到惊恐的是,这一切,都可以由程序自动进行。
根据金雅拓(Gemalto)在2017年发布的一份报告“2017 Poor International Security Practices Take a Toll”显示,尽管很多数据泄露来自于外部黑客攻击所致,但所造成的记录被盗或遗失,仅占13%;相比之下,内部恶意泄露、员工疏忽无意泄露等造成的却占19亿被盗数据中的86%。
因此,网络安全与数据合规,不仅是指从技术层面使用密码加密存储、数据传输加密、防火墙隔离等手段减少外患,更是需要从管理角度建立内部网安合规体制,通过优化内部权限分配隔离、访问记录留痕、定期清查账号等手段排除内忧。
万豪数据门述思
被泄露的信息,现在依然静静地躺在互联网上,在暗网待价而沽进而被反复出售,用户丝毫没有被遗忘的权利。难道,我们能努力的,真的那么少?
一、面对数据泄露,消费者该怎么办?
事件的直接受害者,是广大的无法选择的消费者。在数据保护上,似乎没有一个酒店展现出让人十分信赖的能力,但作为刚需的消费者,又不得不选择将自己的信息向其披露、提供,以承担可能引发的长久风险来换取暂时的交易、出行便利。显现的不平等,让消费者承担了不该承担的风险。此时,消费者合法权益怎么维护?
1. 消费者民事诉讼索赔
《民法总则》明确规定了对自然人的个人信息保护,明确了个人信息的权利本位。消费者的个人信息被非法买卖、提供或公开的,有权要求侵权者赔偿。而《消费者权益保护法》规定,经营者需要合法收集消费者个人信息,应对此严格保密,采取相应技术措施和其他必要措施,确保信息安全,防止消费者个人信息泄露、流失。保密义务是经营者的义务,也是经营者的责任。《网络安全法》同样对网络运营者提出了个人信息保护的要求。
因此,当消费者的个人信息遭到泄露,基于自我维权,可以提起民事诉讼要求侵权者或违约者赔偿。
2. 消费者协会提起公益诉讼
对于这类关乎社会公共利益、侵害范围涉及众多消费者合法权益的行为,消费者协会可以代表消费者提起公益诉讼。
应当承认的是,我国的公益诉讼制度尚有长足的完善发展之路要走,以往消协公益诉讼的目的在于预防、督促、制止,属于制止型诉讼,但对于消费者最关心的赔偿问题则较少涉及。此种尴尬的局面在今年广东消协提起的三宗生产销售假盐公益诉讼判决获胜后得到了破解,这是全国首次被法院支持的赔偿性公益诉讼,向非特定消费者赔偿。根据判决,三案共八名被告需支付赔偿金167480元;判决后,赔偿金暂由法院托管,等待受损消费者提出诉讼再行分配。
我们希望也相信,由消协代替消费者提起诉讼,要求涉事方进行赔偿的司法解决路径将会逐渐清晰。
二、数据泄露门给企业敲响警钟
数据泄露门的曝光,给企业带来了两方面的损失:
一是直接损失,消费者提起诉讼,要求万豪国际酒店集体赔偿125亿美元作为公平补偿,无论对于哪个企业,这样金额的赔偿款都是一笔巨款;同时,万豪还可能因为未能妥善保护客户个人信息、违反消费者保护法令、数据违反通知标准和数据安全义务被处以数以百万美元计的高昂罚款。
二是间接损失,相对于直接损失而言,间接损失对企业的杀伤力更大,数据信息的流失和泄露,让公众对这家企业的保密能力及系统安全性产生极大的质疑,从而直接影响企业的信誉,导致品牌受损,并且演变成企业经营数字下降的运营问题,在数据泄露门事件公布后,万豪国际酒店的股价一度下跌逾5%。
此类大型信息泄露事件,辐射范围之大,涉及领域之宽,其造成的损害远超出事件本身。大数据时代,单纯的信息泄露可能引发蝴蝶效应,造成多领域的海啸。在信息价值越来越高、人们维权意识不断崛起的今天,频发的此类事件应当给企业敲响警钟:数据安全真的很重要!
从已经发生的几起酒店数据泄露事件来看,数据泄露有三大主因:
第一,未经授权的第三方组织(比如黑客或其他别有用心的组织)利用酒店数据系统本身的漏洞,获取数据库访问权限,从而盗取数据。
第二,包含数据库账户和密码的代码被公开上传,黑客登陆后进行拖库,甚至进一步进行撞库,这一类原因已经成为数据泄露的主因之一,2015年网易邮箱数据泄露事件、2017年Uber用户信息泄露事件都源于此。
第三,POS机被植入恶意程序,导致支付卡信息被窃取,比如希尔顿和洲际酒店信息泄露事件。
信息泄露事件之所以频发,有几方面的原因:企业信息安全意识不强、系统存在漏洞、管控能力缺失。前车之鉴就在眼前,在面对数据安全保护的挑战上,企业需要付出更大的心力。
1. 提高信息保护意识
采用技术措施和其他措施,对企业采集的客户个人信息予以严格的保密,防止泄露,是企业不可推卸的安保义务。在个人信息价值越来越高的今天,企业管理者一定要提高信息保护意识,时刻拴紧这根弦。
2. 加强信息保护系统
客户个人信息泄露,直接原因之一是酒店的数据库系统存在漏洞,导致未经授权的第三方可以轻易突破防线,获取客户个人信息。对此,企业应从防丢失、防滥用、防篡改、防泄露四个方向出发,严控代码,不允许将任何开发代码公开上传到第三方平台,对已经上传的及时删除;权限梳理,对于敏感数据、访问人员和权限进行整理,以提高内鬼操作的门槛和难度;数据加密,对敏感数据进行分类分级,并且利用加密系统进行管理;审计分析,对数据访问和使用的异常行为进行分析,降低可能造成的损失。
后记
大数据时代已然到来,我们被裹挟着走进那个看似温和的良夜。在移动互联网与大数据给我们带来莫大便利、创造令人艳羡的“数据商业价值”的同时,频发的数据泄露已然让众多消费者产生极大的不安全感,对此企业负有不可推卸的责任。在面对巨额索赔、罚款和公众信任危机时,企业应当认识到信息保护对运营的重要性,极尽所能加强信息保护。
从社会事件角度而言,需要广大民众、行业组织、政府一起正视、关注网络安全与数据合规保护问题,希望数据问题不仅是每次出现泄漏事件后,才引来片刻关注,毕竟话题过去了,数据却还在那里。
- END -
扫码关注,更多精彩!
