数据可以“打补丁” “人的漏洞”如何调补个人信息泄漏时有发生 突显企业数据安全短板近日，国内仅次于的多品牌酒店企业之一华住集团被爆料大量用户数据遭到泄漏。中国青年报·中青在线记者从华住方面得知，目前警方还在调查此事，最新进展以警方消息不尽相同。

8月28日，网上曝出，网络黑客通过“暗网”(存储在网络数据库里、但无法通过超链接采访的资源子集)中文论坛以8比特币的价格出售大约5亿条华住旗下酒店的用户数据，牵涉到1.3亿人。当日，华住集团通过官方微博屡屡公布2份声明，回应早已报警并且聘用专业技术公司核查此事。

9月4日，在2018年互联网安全大会上，360公司董事长周鸿祎敦促，对个人信息安全的注目和辩论不应暂停。“最近层出不穷的安全事件，让我们很多人都没安全感。”“现在每次一再次发生(此类)事件，样子企业是受害者，只不过应当(对其)问责。

”从“永恒之蓝”勒索病毒全球愈演愈烈，到Facebook用户数据泄漏，再行到趣店被爆料数百万学生数据疑泄漏......牵涉到隐私的用户数据总是被不法分子识破，有的企业回应束手无策，有的企业未作好打算。包括个人信息的用户数据是许多企业发展新兴业务的最重要基础，而大大经常出现的个人信息泄漏事件又在警告：企业该如何确实将维护用户个人信息的责任遵守好?制度层面可以作出怎样的决定?一旁是个人信息屡屡泄漏，一旁是个人数据过度搜集这并不是华住或其他酒店企业第一次经常出现用户个人信息被泄漏的事件。早在2013年，华住集团旗下汉庭酒店就被曝出数据泄漏，后来的调查找到，这是因为酒店所用于的WiFi管理和证书管理系统不存在网络安全漏洞，数据传输加密过热。

2017年，另一家酒店连锁企业凯悦集团遭遇黑客攻击，造成11个国家的41家凯悦酒店面对数据泄漏。同年，由于遭黑客侵略，洲际酒店集团旗下多达1000家酒店再次发生用户支付卡信息泄漏的现象。

据《2018年中国大住宿业发展报告》，截至2017年年底，全国酒店类住宿业设施31万家，每位住客住进酒店后，还包括其身份证件、电话号码、房间号等在内的所有个人信息将不会实时上载至公安信息系统以及酒店内部的管理系统。按照公安部的拒绝，涉及的开房记录将被保有一定年限，以随时备查。虽然酒店行业所搜集、存储的数据规模极大，而且其中有很多都是用户的脆弱隐私信息，但当前我国制度层面对此类事件的惩处还缺乏明确标准，而欧盟的《通用数据维护条例》(GDPR)则明确规定，对外泄用户数据的互联网公司最低惩处其全球营业额的4%。

观韬中茂(上海)律师事务所合伙人王渝伟回应，华住事件也体现了许多企业在维护用户个人信息方面还有很多欠账。如果此次事件确实是由华住的程序员将数据库相连方式上载于GitHub用作交流而造成，那么解释其内部安全性管理制度和操作规程不存在纰漏，对于其程序员上载数据库相连方式的不道德并未做到防治。根据目前未知的各种信息，他指出，华住对包括大量个人信息的数据并未做到加密、脱敏等必要措施在内的安全性处置，在数据泄漏过程中，华住很有可能也并未采行合理的补救措施来增加数据的泄漏。在大量用户隐私信息被泄漏、企业回应投放严重不足的同时，还有许多企业在通过互联网大大搜集个人数据，甚至违规也在所不惜。

中国消费者协会于今年7月17日~8月13日积极开展 的“App个人信息泄漏情况”问卷调查结果显示，经营者予以本人表示同意、私自搜集成个人信息泄漏的主要途径，大约占到调查总样本的62.2%;网络服务系统存在漏洞导致个人信息泄漏57.4%。而手机App在自身功能不必要的情况下，提供用户隐私权限的情况也比较严重，有67.2%的受访者遇上这种情况，其中加载方位信息权限、采访联系人权限是经常出现最少的情况，加载通话记录、加载短信记录、关上摄像头、关上话筒录音等权限也被过度拒绝许可。

技术可以“打补丁”，可怎么木栅上“人的漏洞”中消协的上述调查结果显示，个人信息泄漏后，受访者不会采行多种措施确保自身权益，但最后有约三分之一的受访者自由选择“自认倒霉”。这一方面有可能是基于无力应付作出的自由选择，另一方面也有可能是应付违宪后被迫拒绝接受现状。“能力越大，责任越大。

”这是许多互联网企业经常标榜自我的一句话。作为用户个人信息最必要的利用者和保护者，企业应当怎么填补过去在这方面的欠账?360网络安全号召中心负责人蔡玉光回应，数据泄漏事件再次发生时，涉案企业要第一时间积极开展事件应急处理，还包括事件追溯和负责任的影响面评估等，也要及时对外透露各种进展。而在安全事件再次发生前，应当积极开展渗入测试, 及时对有漏洞的网络服务“打补丁”(修复网络安全漏洞)。

作为服务众多企业信息安全的一线技术专家，蔡玉光建议，其他企业可以从华住事件中吸取教训，作好原始可信的数据安全措施, 杜绝明文密码存储, “这样即便被白也能减少损失”;对用户数据交互点展开防卫, 如登记指定点特验证码等二步检验方式, 减少不法分子“撞到库”(通过搜集互联网已泄漏的用户和密码信息，尝试批量登岸其他网站)反击的成本。不过，不同于技术问题，企业在个人信息管理方面“人的漏洞”，并不是通过“打补丁”就可以解决问题的。

“我们研究过所有安全事件，最后归根到底天大的事件都就是指反击一个较小的终端开始。”周鸿祎回应，在很多网络安全事件中，“人的漏洞”是相当大的问题，即使病毒被检测到，很多企业和机构仍然不修复漏洞。周鸿祎指出，企事业机构应当建立健全其内部网络安全制度，特别是在推崇牵涉到个人信息安全的人员管理。

他举例称之为，前段时间某省不动产注册中心遭 “WannaCry勒索病毒”反击，而此前许多安全性厂商早就公布涉及的漏洞补丁，但还包括该中心在内的许多单位，仍然没及时修复自身的网络安全漏洞。“他不采取行动，显然我们也没办法。”周鸿祎特别强调，比起病毒、黑客等反击，“人的漏洞”必须花费很多精力去修复，特别是在是要建立健全企业自身的网络安全制度。

个人信息维护还须要更加多细则，提高“用户体验”事实上，在个人信息维护方面还不存在欠账不只是企业，还有制度层面。在王渝伟显然，个人信息泄漏事件屡屡再次发生，一方面表明出有很多企业在技术、管理层面依然无法超过法律法规的拒绝，对数据泄漏不存在回避责任的侥幸心理;另一方面也解释当前对这类个人信息泄漏事件责任主体的监管力度和惩罚力度不做到，纵容了企业的这种逃过一劫。

目前，我国早已实施一些规范性文件和推荐性标准，对App搜集个人信息不道德展开规范和引领，但消费者广泛关心的惩戒手段、赔偿金等问题依然必须完备和细化。针对个人信息维护的明确问题，中消协在上述报告中建议，更进一步具体网络信息服务中交易双方的权利和义务，严苛管理制度门槛和注册备案，如对开发商资质的审查、App的注册备案、App服务功能和内容的审查、违规惩罚机制各个环节等都不应构成同步;严苛处罚各类违法违规行为，严厉打击个人信息售卖的黑色产业链;森严注目市场App发展态势，如牵头创建App抽验制度和黑名单制度，及时审批黑榜软件，警告消费者慎重iTunes。

公安部第三研究所信息网络安全法律研究中心主任黄道丽指出，当前的制度决定下，对泄漏个人信息的惩戒力度依然更为脆弱，未知的司法案例也无以有对用户反对的。虽然关于这一问题的法律法规有很多，但继续执行力差，“用户体验劣”，执法人员的效力没监督评价，尤其是没和最后的用户建立联系。中国裁判文书网的数据表明，截至9月初，全国侵害公民信息的刑事犯罪案例有3100多起，而牵涉到隐私权纠纷的公民个人信息泄漏的民事判例只有大约20条。在她显然，由于上述问题的不存在，个人、企业和监管各方都维系着一种薄弱的均衡，一旦经常出现信息安全事件，这种均衡就不会超越，大家才不会找到，原本网络安全法等法律针对许多问题早于有规定。

“如果从权宜之计上，有可能迫切需要一些典型的司法案例，竖立标杆和提示，让一线执法人员部门认识到，显然可以按照网络安全法的规定香港基本法和裁判。”她建议。

本文来源：js金沙-www.eroticvegasmassage.com