第34期：《趣店數據疑似外泄，信息安全再敲警鐘》

此文首發於2017年11月22日《新京報》「快評」。

近期黑市上出現一份數據，據稱是「趣店學生用戶數據」。該數據維度極細，除學生借款金額、滯納金等金融數據外，甚至還包括學生父母電話、男女朋友電話、學信網賬號密碼等隱私信息。有媒體記者經過向部分網貸中介、多位趣店離職員工和趣店學生用戶調查了解，部分證實趣店疑似存在重大數據外泄。

面對媒體報道和用戶追問，趣店並未給出正面回應。趣店公關負責人僅稱：「趣店一直高度重視用戶個人信息安全，不斷提高數據安全能力與信息加密強度」。不過，就在趣店給出官方答覆的同時，相關數據依然在黑市上被公開兜售。有業者介紹稱，包括百萬學生信息的數據，叫賣價格近10萬。

如果網上流傳的「趣店學生用戶數據」屬實，那麼受到波及和侵害的人數將是巨量的，所造成的後果也將是災難性的。趣店公司絕不應該僅止於擺出一副不冷不熱的高姿態，而應該儘快查實情況，採取切實的補救措施。因為這不僅事關商業倫理，更事關千千萬萬趣店用戶的人身、財產安全，同時還事關趣店自身的法律責任。

2016年年底通過的《網路安全法》明文規定：「網路運營者不得泄露、篡改、毀損其收集的個人信息；未經被收集者同意，不得向他人提供個人信息。網路運營者應當採取技術措施和其他必要措施，確保其收集的個人信息安全，防止信息泄露、毀損、丟失」。目前尚不知道，疑似來自趣店的信息究竟是怎樣泄露的。但不論何種原因，趣店作為網路運營者都其收集的用戶信息都負有法定的保密義務，如果數據外泄都負有不可推卸的責任。如果確認信息已經外泄，那麼趣店除了應當自行查找監管漏洞和數據外泄原因外，還應當及時向主管部門報告，請求主管部門介入調查，阻止相關數據進一步傳播。

就當下看，網路上公開兜售和購買這些數據的人，都涉嫌嚴重的刑事犯罪。根據最高法、最高檢《關於辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》的規定，無論是發布還是獲取公民個人信息，只要違反國家有關規定，都有可能觸犯刑法。具體的說，非法提供或者非法獲取公民個人信息五千條以上，或者違法所得五千元以上，均應以侵犯公民個人信息罪追究相關人員的刑事責任。也即，只要達到入罪門檻，無論是泄露信息的公司責任人員，還是非法獲取這些數據的人員，亦或是在網路上公開兜售、購買這些數據的人員都可能面臨相應的刑事責任追究。

對於廣大用戶來說，最擔心或者最憂慮的就是如何阻止相關數據進一步傳播。理論上講，數據一旦電子化並且已經外泄，那麼其存儲和傳播都將變得難以控制。因為數據的源頭已經分散，既可以存儲在物理介質上，又可以存儲在網路空間。因此，單靠涉事公司自己已經無法阻止事態升級和惡化，相關政府職能部門應當立即介入。當務之急是，警方應當儘快介入調查，對相關涉嫌犯罪的人員實施抓捕，形成有力震懾。同時，儘快查找相關數據源頭，採取技術措施對相關數據進行傳播阻斷。

互聯網時代，個人信息既是重要的個人隱私，又是重要的經濟資源。對於大規模收集、存儲、保管、使用個人信息的互聯網企業，信息安全這根弦任何時候都不能松。特別是趣店這類現金貸企業，業務操作嚴重依賴個人信息徵集與信用評估，在公民個人信息保護上更是應該築起縝密「防火牆」，擔負起相應的責任。