趣店學生數據泄露事件，對我們有什麼啟示？

據新聞報道，近期黑市上出現一份數據，稱是「趣店學生用戶數據」，包含了百萬的學生信息。該數據維度極細，除學生借款金額、滯納金等金融數據外，甚至還包括學生父母電話、男女朋友電話、學信網賬號密碼等隱私信息。

這個事，再次對所有的互聯網金融從業者、對個人投資者，敲響了警鐘。

數據安全與客戶隱私的保護，是新金融企業的立身之本，馬虎不得。

沒有出現安全問題的，不代表自己的制度、流程和技術措施就已經很到位了，只是沒有碰到而已。

縱觀以往見諸於報道的各種數據泄露事件，其原因無法以下四種：

1、內部人竊取數據

這種是比較常見的，也是性質最惡劣的。內部的人員，最有機會接觸企業的重要業務數據，而且層級越高、接觸的機密越多。一旦有人為利益或者怨恨所驅，就很容易在數據上做文章。

例如這次的趣店的泄密事件，按照多位趣店離職員工的說法，「很多員工都可導出數據，這極可能是內鬼外泄」。

竊取的方式也多種多樣，能夠批量導出當然最好；不能導出或者怕留下痕迹，可以拍照；也可以內外勾結，植入病毒。

最近熱播的胡歌主演的電視劇《獵場》，其中一幕就是胡歌作為第三方的卧底入職到一家外資銀行，然後藉機打開主管的電腦，調出理財客戶的名單，準備用手機拍照，盜取數據。

內部有人要作惡，是防不勝防的。

2、網站存在安全漏洞，被外部人侵入

老祝認識的一家電商網站，就曾經因為SQL注入（通過把SQL命令插入到Web表單提交或輸入域名或頁面請求的查詢字元串，最終達到欺騙伺服器執行惡意的SQL命令），被人從資料庫盜取了大量數據。

尤其初創的互聯網企業，各方面都是剛起步，在安全防護的軟硬體設施、代碼規範上，都還比較粗糙的，此類問題更為嚴重，一旦被人盯上，很容易出現數據安全事件。

3、管理疏忽，暴露於外

其實所有的安全問題，最終都可以歸結為管理的問題。

管理的問題，又包括意識的問題、制度和流程設計的問題、執行的問題等等。安全意識淡漠、對客戶隱私保護的覺悟不高，又是管理問題的根源。

例如，對互聯網金融企業來說，如果操作後台，隨便一個人都能查看客戶列表，客戶列表可以直接顯示手機號，那說明根本沒有任何的安全管理。

4、被第三方機構截取

曾經有公司號稱可以獲得各大P2P平台的精準用戶手機號，並進行定向推送，例如某金所的用戶定向簡訊推送。深入了解，實際上也並不算太精準，大致是知道某個手機號訪問過哪些網站或者App。要做到這點，必須基於電信或移動的網路，進行用戶行為的跟蹤。這種不是一般人能夠搞得的定的。

現在很多金融科技企業也都會使用第三方提供的反欺詐服務，在使用時，比如會需要向服務商提供用戶的手機號信息，這裡也涉及數據安全的問題。如果選擇了一個技術實力不強、管理不嚴格的服務商，同樣也存在數據泄露的風險。

要有效地對企業數據尤其是客戶信息，進行有效的保護，必須從理念、人員、制度、流程、技術、績效等多個方面入手，形成嚴密的體系，否則，任何一個環節的疏忽，都會導致全局的潰敗。

第一，觀念先行，必須將數據安全提高到關係企業生死的高度。

企業中的每個部門、每個崗位、每個員工，都要有安全意識，都要重視對客戶的信息安全的保護。貫徹安全意識，不能光靠口號，而要通過具體的事例來傳達。可以是圍繞某個排查出來的安全隱患，進行獎懲，對補救措施進行大範圍討論等等。具體生動的實例，在企業內部流傳、激發最大程度的參與，最能有效地將一種觀念植入人心。

其次，選對人，安全的問題就解決了一大半。

對會接觸重要數據的崗位，其人員招募、選拔，非常關鍵。只有具有良好品行、專業自律的團隊成員，才能查詢或者操作有關數據。

第三，數據安全的管理制度和內部控制體系需要建立和健全。

許可權管理制度、保密制度、數據備份制度、安全審計制度等基本的制度體系，必須建立起來。

企業應設立數據安全與保護的專崗，定期對整個安全體系進行審視，排查隱患，建立控制節點，持續地改進。

CEO，就應該是最大的安全管理員，審視內部的數據安全管理規程、推動各項措施的落地。例如，關於數據導出，一個非常基本的原則，就是無特殊情況，各個列表均不應設置導出按鈕；必須要用到導出的，許可權只給特定的管理員，要進行脫敏處理，且導出的數據不得拷貝。

又比如，金融科技企業，很多用戶會涉及到更換銀行卡，一般都要提交很多個人資料，例如身份證正反面照片、手持身份證的照片，這些都是敏感數據。除了許可權控制，也需要建立定期的銷毀機制，對已經過了時效，及時清除，這也是對用戶隱私的一種保護。

第四，做好定期的安全測評。

公安部的「等保三級」測評和工信部的安全防護測評，各有側重，是非常有效的安全保護和改進機制。按照監管的要求，實際上對網貸平台來說，要備案、要申請ICP，這些都是必須經歷的程序。

這樣從一個側面說明，監管落地後的網路借貸企業，確實在各個方面都更加規範和可信賴了。

第五，規範與第三方的合作機制。

在與外部機構合作時，首先要選擇專業的、具有公信力的品牌機構，不能因為價格原因，而降低供應商的選擇標準，因小失大。

合作過程中，對數據提供的範圍要進行嚴格的限定，不能把非必要的數據都提供給對方；

同時，進行有效的監控，一旦發生數據泄露事件，可以快速地定位到泄露的源頭。

對在互聯網上理財投資的個人而言，也要非常注意個人信息的保護。

與其寄託於別人，不然先把自己的工作做到位。

1、不要輕易「出售」自己的個人信息。

現在各種商家，都會在營業網點、微信朋友圈、今日頭條廣告等各個地方，以紅包、抵扣券等等方式，誘導個人關注微信公眾號、留下個人手機號，甚至身份信息。

實際上，這就是一種交易。

你領到一個紅包5元，掂量了一下，決定輸入手機號領取，說明你願意「出售」自己手機號的價格，就是5元。

如果這5元要提現，還需綁定銀行卡，你可能會放棄；

但如果是20元，你可能就願意綁卡了。

這說明，你願意交出自己身份信息和銀行信息的價格，是20元。

當然，這裡的交易是有前提的，你是假設商家會嚴格保護你的隱私，否則給200元你也不一定願意。

這就要求，在面對各種羊毛時，我們要謹慎地評估對方是否是可信賴的，是否會遵守基本的商業道德，只選擇靠譜的參加，或者乾脆不參加。

2、保持必要的安全敏感度。

在手機上進行某個操作前，要仔細想想，這裡面是不是有什麼坑？會不會被App運營方獲得隱私數據？是不是一定要給？

例如，前段時間瀏覽新聞時，會經常出來廣告，說提供「公積金查詢」工具，然後你去查詢了，公積金賬號、數據實際上都給了某個放貸公司。

還有你的通訊錄許可權，也不要輕易點擊同意，一旦同意對方就可以獲得通訊錄中的所有手機號和姓名。

有了安全意識，隱私暴露的風險也會減小很多。

這個年代，對個人信息的保護，整體上是非常槽糕的。

立足長遠發展的企業，必須從起步階段，就要重視數據安全，高度自律，並建立配套的制度、流程和技術措施，讓客戶可信賴。

而對這些互聯網產品的用戶而言，除了提高安全意識外，關鍵還是在於選擇，不短視、不輕信，把信息託付給可以託付的企業。

作者微信公眾號：老祝說