记者调查：网络平台暗藏隐私数据交易信息安全领域亟待“扫黑”(2)

北京某科技公司技术总监刘刚指出，爬虫能获取的信息其实是有限的，且多数是公开的。但通过撞库、诱导、群发、钓鱼手段获取大数据信息行为，已非单纯的通过爬虫技术获取信息，应归纳到黑客、木马程序窃取的范畴。

行业互换成监管难点

越来越多的数据泄漏发生在企业内部

“上午9：22刚注册好公司，我方办税财务未泄露信息，马上就开始有一堆电话打过来，问我要不要记账报税。”日前，一位来自深圳市华龙区的市民在人民网领导留言板吐槽。

记者调查发现，在房产交易、教育培训、金融保险等重要民生领域，信息泄露情况普遍。多位受访者表示，有时候个人信息数据莫名其妙就被泄露了，一些企业的“精准营销”让人无处可躲。对此，有业内人士表示，数据行业互换是信息泄露的主要途径之一，企业、个人私下数据互换行为成为监管难点。

“行业互换现象非常普遍，比如：房产中介员工私下交换客户联系方式、汽车经销商与保险机构互换资源等等。这些私下行为比较难监管。”刘刚告诉记者，当前一般涉及数据安全的企业都需要通过网络安全等级保护评测，以黑客攻击、木马等技术方式大规模获取数据的难度很大，风险也比较高。目前，大量隐私数据是通过行业互换泄露的，一些小的服务中介、代理机构在客户信息保护方面意识淡薄。

事实上，随着公民对个人信息保护意识的不断增强，以及监管体系的不断完善，一些灰色交易正在浮出水面。

据媒体报道，浙江省通信管理局在7月5日对投诉人的答复函中核实，2019年11月11日，阿里云计算有限公司未经用户同意擅自将用户留存的注册信息泄露给第三方合作公司，该行为违反了《中华人民共和国网络安全法》第四十二条规定。

当前对于大型企业，特别是互联网大厂，数据安全被视为“生命线”，一旦出现数据安全事故，其后果将是难以承受的。《网络安全法》第21条明确规定了“国家实行网络安全等级保护（“等保”）制度，要求网络运营者应当按照网络安全等级保护制度要求，履行安全保护义务。”业内人士表示，一般大中型企业都会通过“等保”全面提升数据安全防护能力。

但是，“防止数据泄漏和数据合规运营是当前大多数企业面临的难点。”360集团大数据协同安全技术国家工程实验室咨询总监童磊坦言，中大型企业在完成数字化转型过程中基本具备网络安全基础防护能力，成熟度较高企业普遍实施传统数据安全方案，但对于隐私数据企业则普遍没有专门实施单独的安全管控，部分出海企业会针对出海业务实施GDPR隐私合规方案。

“越来越多的数据泄漏发生在企业内部。”童磊说，一方面，随着数据价值的提升，数据全生命周期流转往往涉及多个部门和多个系统，而相应的访问控制与权限管理很难兼顾安全与业务两方面诉求，诉求差异以及统一安全运营控制的缺失往往导致数据泄漏事件的发生。

另一方面，在数据成为新型生产要素的背景下，数据载体分布广，海量数据汇聚、流通、分析和共享，导致很多企业都不了解自己的数据，不能够清楚地知道敏感数据的具体分布，数据资产不清晰也为数据安全管控和保护策略的实施带来了困难。

“数据安全是相对的，很难做到绝对安全。”在刘刚看来，在一些面向C端服务的行业，如房产中介、保险金融等，基层网点多，人员流动大，而且能够直接触及到客户信息。这些特点使得数据“行业互换”等违法行为更加分散、隐蔽，一些企业在监管方面的“鞭长莫及”“默不作声”一定程度上助长了这种灰色交易。

刘刚认为，平台方应主动加强自身监管，落实内外风险管控、提升信息保护等级。另一方面，建议加大对个人泄露隐私的处罚力度。