相比Uber的5700萬，趣店100萬學生數據泄露影響面可能更大

最近美國股市的中概股，都下跌的厲害。最厲害的，當屬紅黃藍了，因為虐童事件，11月23日市值下跌了38%，股價降到16.45美元。更嚴重的是，多家美國律所正準備對其發起訴訟，「吃官司」怕是在所難免。

同樣等著「吃官司」的，還有美國的Uber。該公司在2016年泄露了5700萬名客戶和司機個人信息，卻將此事隱瞞，也沒有向監管部門報案，更是向黑客支付10萬美元讓其刪除竊取的數據，隱瞞時間長達1年，直到被媒體曝光。目前多國政府都已介入調查，Uber面臨多國起訴以及巨額罰款。

因為股價暴跌而被美國律所關注的，在美上市的中國企業還有一家，正是趣店。至11月25日，趣店股價博暴跌24%至12.27美元，市值蒸發超70億。除了美國律所，中國監管部門也已開始調查趣店，主要是因為其百萬學生數據的泄露。據傳，半年前黑市上就已有人售賣趣店學生數據，但趣店是否早先就知曉此事有待查明。若明知此事而坐視不理，則很有可能有意隱瞞，直至近期媒體曝光亦無明確說法。

對於數據泄露一事，不管是因為「內鬼」泄密，還是由於黑客攻擊，企業都難推其責。目前尚不知這100萬學生數據造成多大安全及財產損失，但趣店很可能會面臨嚴重處罰，甚至會被要求依法停業整頓，更嚴重的或會被吊銷營銷執照。無疑，這會造成趣店市值的進一步動蕩。

趣店百萬學生數據疑被泄露，多維度分地區叫價最高售價10萬

據媒體報道，近期黑市上出現一份疑似「趣店學生用戶數據」。該數據維度極細，學生借款金額、滯納金、家長電話、男女朋友電話、學信網賬號密碼等隱私信息，一應俱全。整份數據按照省份拆分為單獨文件，每份文件包含數萬條數據，以江蘇省的數據為例，共錄入信息51289條。

據悉，百萬學生信息的叫賣價格近10萬，其中，北京、上海、江蘇三地的數據報價為8000元。有記者向部分網貸中介、多位趣店離職員工和趣店學生用戶調查了解，部分證實趣店疑似存在重大數據外泄。

這些數據的售賣信息出現後，迅速引發了中介的興趣。中介認為，大學生畢業後會從校園貸客戶轉變為網貸用戶，「是新鮮滾燙的網貸白戶，更是非常重要的金礦」。只是，又何止是中介感興趣，任何以大學生等年輕人群體為受眾的企業，都會對這些數據感興趣。當然，那些不法分子對這些數據就更感興趣，這麼精準的數據絕對都是其理想的詐騙對象。

數據到底是怎麼泄露的?「內鬼」所為還是自身安全問題?

數據泄露的消息爆出後，疑似趣分期前員工的網友紛紛發表看法：「作為趣分期之前的員工，對這種事情沒有任何懷疑」「感覺像趣分期的風格"……這兩種說法，意味著很早之前就存在著內部員工將用戶數據泄露的可能。

事實上，也有媒體曾在報道中指出，早在今年上半年，網貸中介群里就有人叫賣趣店的學生數據，並可以分地區、分省份拆分購買，這與當前暴露出來的數據售賣情況是一樣的。

趣店市場人士稱，去年9月趣分期退出校園貸後大量裁員，許多員工離開後都對CEO羅敏表示不滿，離職員工對數據進行外泄的可能性很大。有趣店內部員工乾脆直接稱此為「內鬼所為」，因為「很多內部員工都可導出用戶數據表格，數據一覽無餘，沒有任何脫敏，級別越高，可導出的數據越多」。

而一份多達百萬用戶數的數據，則很有可能是其離職高管泄露的，趣店上市前就已經有多個高管離職。對於內部員工泄露數據一說，目前趣店尚未給予回復。

如若不是「內鬼」所為，又會是什麼原因導致數據泄露呢?360安全專家裴智勇認為，個人信息泄露有三個主要源頭：一是網站漏洞，這是在黑市上流通的個人信息主要來源;二是針對個人用戶的木馬病毒、釣魚網站和偽基站,以點對點的方式盜取個人信息;三是無良商家的「內鬼」和技術黑客。

如果排除趣店員工泄露數據的可能，則該事件或許會與網站漏洞及木馬病毒等有關，那趣店的安全及風控到底如何，同樣也會受到質疑。從數據泄露的嚴重程度以及時間來看，很可能趣店一直就存在著安全隱患。這實則考驗的是趣店的商業模式，一個互聯網金融企業無法對用戶隱私安全做到基本保證，又如何進行進一步的商業運作?更不用談核心競爭力。

數據泄露的危害，遠比你想像的要嚴重的多

單說數據泄露，大家可能沒有太多感知。其實數據泄露的危害，遠比大家想像的要嚴重的多。在去年的報道中，一個曾通過裸持借貸的女孩，在其將借貸全部還清後，竟還有人以裸照及視頻對其進行威脅，此類事情並不在少數。

而在去年9月份，兩周內有三個大學生因為電信詐騙而死，如果沒有數據泄露，不法分子又如何知道受害者的大學生身份而對其行騙呢?

在大數據應用越發重要的今天，個人信息安全泄露事件也是日益增多。據2016年中國網民權益保護調查報告顯示，去年有37%的網民因各類詐騙信息而遭受經濟損失，84%的網民受到個人信息泄露帶來的不良影響。

在今年6月湖北武漢警方偵破一起非法販賣個人信息案中，截獲公民信息有2600萬餘條；近期正在被各國調查的Uber所涉大規模數據泄露事件，全球5700萬用戶和700萬司機資料全部被盜取；今年9月，浙江紹興警方破獲的全國首例利用人工智慧技術竊取公民個人信息的案件，截獲公民個人信息競達10億餘組。

每個案例的數據看上去都是觸目驚心，這些數據如果被不法分子拿去進行網路詐騙，又會導致多少生命及財產的損失?

事實上，今年上半年以來就有很多人被冒名在趣店的現金貸平台來分期借貸。之前受害者不知道自己的身份信息是如何被盜的，在趣店數據泄露事件發生後，也就能解釋了。這些受害者大多是學生，他們都接到了逾期不還的催貸電話，打過客服之後才知道，是被全國各地的人用其身份信息在來分期借了現金，還有的是被在趣店平台分期購物。

因為其身份信息確實進行了借貸，趣店方面又無法甄別是不是其本人借貸，只能勸其還款，以及被持續的暴力催貸。很多受害者為了徵信不受損害，在無法維權的情況下只能吃虧還款。

對於趣店，還有個的比較暴力的騙貸案例。之前曾有讀者在知乎向我透露，他們大學搞活動時拉了趣店做贊助，然後趣店代理以刷單為由要了他們的身份信息，後來沒多久發現憑空多出五千的欠貸，加上之前刷單的一千五，他們總共加起來欠了十幾萬元。

這個做法，要麼是他們的數據泄露了被不法分子利用，要麼則可能是趣店代理直接騙取以刷單為名騙取其身份信息，然後用以借貸，代理是不是真人都知道，反正是因為趣店而發生了這個惡性騙貸事件。

數據泄露企業該不該擔責?又將接受怎樣的懲罰?

目前，包括公安部門在內的監管部門正在調查趣店用戶個人信息泄露事件。有知情人士稱，針對網上有人非法出售聲稱來自趣店的高達百萬學生用戶個人信息，監管部門正在進行調查;調查範圍包括該信息是否來自趣店，趣店是否知情，趣店是否採取了必要措施，以確保其收集的個人信息安全等等。

從已經曝光的事件進展來看，所泄露信息來自趣店的可能性很大，畢竟已經得到了老員工的證實。而根據相關媒體報道，今年上半年就有人在叫賣相關數據，趣店又豈不知情?如果知情而沒有採取必要措施來解決或緩解此事，則其中的責任就大了，知情不做與不知情不做完全是兩種態度。當然，在知曉之後，不採取手段制止與沒有能力控制事情進展也是兩個概念，也需要區別對待。

如果數據泄露一事落實，確實系企業本身責任，則趣店可能會面臨嚴重的處罰。根據最新的《網路安全法》規定，數據外泄，企業難辭其咎——「網路運營者應當對其收集的用戶信息嚴格保密，並建立健全用戶信息保護制度。」未盡保護義務的，將根據相關規定罰款警告，情節嚴重的則被責令暫停相關業務，停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營銷執照。

至於罰款額度，這裡有一份參考。預計在2018年5月正式生效的歐盟《一般數據保護條例》規定，發現未報告個人數據泄露事件的公司，將面臨相當於其全年收入2%或約8300萬人民幣的罰款;如果未經同意而處理個人數據，則面臨相當於其全年收入4%或約一億七千萬元人民幣的處罰，均以較高處罰為準。

目前尚不知中國未來出台數據泄露專項政策之後，會對企業進行多重的罰款，不過根據造成經濟損失情況進行處罰，會是一個選擇。

也就是說，一但此次數據泄露事件定性為趣店自身責任，趣店將面臨巨額罰款、彌補用戶損失、乃至停業整頓及吊銷營銷執照的風險。這意味著，在繼嚴監管、利率被迫降低等因素之後，重處罰與停業整頓的風險，也很有可能成為趣店市值再跌的又一個重要因素。

對於數據泄露事件，有行業律師稱，如果導致用戶經濟損失，企業應給予補償。如果趣店能夠照做，是否意味著那些曾在趣店被不法分子惡意貸款的學生，都能夠獲得合理的賠償呢?

只是，現在的趣店，是否已經可以辨別哪些用戶是受害者了呢?

【王吉偉，商業模式評論人，專欄作者，關注TMT與IOT，專註互聯網+及企業轉型研究。微信公號：王吉偉（jiwei1122）】