近日，一名中國人民大學(xué)學(xué)生馬某某在其讀碩士研究生期間，利用專業(yè)技術(shù)盜取全校學(xué)生個人信息的事件被網(wǎng)友曝光，隨即該學(xué)生被海淀公安分局依法刑事拘留，目前該案件正在進(jìn)一步調(diào)查中。

20年前，類似的行為成就了一代互聯(lián)網(wǎng)社交界的巨頭扎克伯格，但如今的網(wǎng)絡(luò)時代，人們更關(guān)注個人隱私數(shù)據(jù)安全保護(hù)。這也是為何昔日的創(chuàng)業(yè)明星如今數(shù)次要站在聽證會上接受詢問和監(jiān)管。在數(shù)字化與數(shù)字經(jīng)濟(jì)相關(guān)因素中，大數(shù)據(jù)占據(jù)中心地位，數(shù)據(jù)的安全成為全球關(guān)心的議題。在侵犯和泄露他人隱私的基礎(chǔ)上做任何商業(yè)化或者非商業(yè)化的探索都會被追究責(zé)任。

在我國，數(shù)據(jù)被定義為繼土地、勞動力、資本、技術(shù)之后第生產(chǎn)要素。360公司創(chuàng)始人、董事長兼CEO周鴻祎認(rèn)為，在大數(shù)據(jù)驅(qū)動業(yè)務(wù)中，數(shù)據(jù)成為新的攻擊對象，而數(shù)字安全，是一切數(shù)字文明的基座。

被盯上的校園數(shù)據(jù)

7月1日，有網(wǎng)友在微博上爆料稱，中國人民大學(xué)一男生在讀碩士研究生期間，利用專業(yè)技術(shù)盜取全校學(xué)生個人信息，包括照片、姓名、學(xué)號、籍貫、生日等，并搭建了給全校學(xué)生顏值打分的網(wǎng)站。

7月2日，中國人民大學(xué)官方微博發(fā)布情況通報：學(xué)校已關(guān)注到我校部分學(xué)生信息被非法獲取的情況，對此高度重視，第一時間聯(lián)系警方，目前正積極配合警方等相關(guān)部門開展調(diào)查。學(xué)校強(qiáng)烈譴責(zé)侵犯個人隱私、危害信息安全的行為。感謝社會各界對學(xué)校的關(guān)心。

7月3日，平安北京海淀微博公號發(fā)布情況通報稱，針對“中國人民大學(xué)部分學(xué)生信息被非法獲取”的情況，海淀警方接到報警后，立即開展調(diào)查。經(jīng)查，嫌疑人馬某某（男，25歲，該校畢業(yè)生）涉嫌非法獲取該校部分學(xué)生個人信息等違法犯罪行為。目前，馬某某已被海淀公安分局依法刑事拘留，案件正在進(jìn)一步調(diào)查中。警方高度重視公民個人信息保護(hù)，對于相關(guān)違法犯罪，將依法予以嚴(yán)厲打擊。

從進(jìn)展來看，馬某某大概率不會如20年前的扎克伯格一樣有機(jī)會從同學(xué)的數(shù)據(jù)中找到自己的商業(yè)模式了。

2003年，美國臉書公司創(chuàng)始人扎克伯格也對哈佛大學(xué)系統(tǒng)曾做過類似的事情。當(dāng)年，扎克伯格侵入哈佛大學(xué)學(xué)生名錄系統(tǒng)，下載了同學(xué)照片并將其發(fā)布于一個名為Facemash的網(wǎng)站，來評定誰更受歡迎。該網(wǎng)站首日便有超過450人注冊，頁面瀏覽量超過22000次。但扎克伯格本人也因受到學(xué)校的指控而被處以留校察看。

扎克伯格的故事如果放在中國，會有怎樣的結(jié)局？

上海大邦律師事務(wù)所高級合伙人、知識產(chǎn)權(quán)律師游云庭表示，2003年，中國法律尚未將類似行為作為刑法規(guī)制的對象：非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪是2009年《刑法修正案七》增設(shè)，侵犯公民個人信息罪是在2015年的《刑法修正案九》增設(shè)的。

游云庭表示，如果新聞報道屬實，人大學(xué)生馬某某獲取并發(fā)布了中國人民大學(xué)14-20級的全校學(xué)生的“照片、姓名、學(xué)號、籍貫、生日”，這些信息法律上屬于個人信息，由于獲取手段不合法，涉嫌非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪。這些個人信息數(shù)量巨大，如果被發(fā)布上網(wǎng)，觸發(fā)了侵犯公民個人信息罪。

《刑法》與司法解釋規(guī)定：非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪系違反國家規(guī)定，侵入國家事務(wù)、國防建設(shè)、尖端科學(xué)技術(shù)領(lǐng)域以外的計算機(jī)信息系統(tǒng)或者采用其他技術(shù)手段，獲取該計算機(jī)信息系統(tǒng)中存儲、處理或者傳輸?shù)臄?shù)據(jù)，情節(jié)嚴(yán)重的，處三年以下或者拘役，并處或者單處罰金。

另外，侵犯公民個人信息罪系違反國家規(guī)定，向他人出售或者提供公民個人信息，情節(jié)嚴(yán)重的，處三年以下或者拘役，并處或者單處罰金。根據(jù)司法解釋，非法獲取、出售或者提供行蹤軌跡信息、通信內(nèi)容、征信信息、財產(chǎn)信息五十條以上的；住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財產(chǎn)安全的公民個人信息五百條以上的；前述信息以外的公民個人信息五千條以上的，都應(yīng)當(dāng)認(rèn)定為情節(jié)嚴(yán)重。

值得注意的是，學(xué)校的信息安全問題在全球范圍內(nèi)頻發(fā)。2022年3月，美國爆發(fā)了史上規(guī)模最大的學(xué)生個人數(shù)據(jù)失竊事件，黑客入侵了lluminateEducation公司的IT系統(tǒng)，竊取了學(xué)生信息的數(shù)據(jù)。有大約82萬名學(xué)生的信息被泄露。根據(jù)美國教育部公布的信息顯示，這些數(shù)據(jù)包括學(xué)生的姓名、出生日期、學(xué)生證號碼等基礎(chǔ)信息以及一些和教育相關(guān)的數(shù)據(jù)。

lluminateEducation開發(fā)的在線評分和考勤系統(tǒng)，在美國有很大的市場占有率，這也是本次事件之所以會有如此大范圍影響的最主要原因之一。在檢測到相關(guān)的入侵行為后，IlluminateEducation曾關(guān)閉了系統(tǒng)的相關(guān)功能。但直到兩個月后，這家公司才公布了系統(tǒng)中數(shù)據(jù)被竊取的消息。

在周鴻祎看來，數(shù)字化是繼工業(yè)革命之后最重要的生產(chǎn)力革命，其中互聯(lián)網(wǎng)上半場的主線是消費互聯(lián)網(wǎng)，下半場的主線是產(chǎn)業(yè)互聯(lián)網(wǎng)。上半場中，誕生了諸如阿里、騰訊、字節(jié)跳動等一批互聯(lián)網(wǎng)巨頭，通過各種應(yīng)用、平臺、產(chǎn)品，基本完成了用戶數(shù)據(jù)的初步積累，隨著數(shù)字化的推進(jìn)，互聯(lián)網(wǎng)領(lǐng)域更多迎來的應(yīng)該是應(yīng)用層面的更新。

網(wǎng)絡(luò)安全環(huán)境日趨險峻

網(wǎng)絡(luò)安全的法律法規(guī)的逐漸完善，其后是技術(shù)發(fā)展與網(wǎng)絡(luò)安全形勢的嚴(yán)峻。在普通民眾眼中，大學(xué)生個人信息泄露尚未造成嚴(yán)重后果，但在更廣泛的范圍內(nèi)，數(shù)據(jù)安全環(huán)境并不樂觀。

游云庭稱，2003年時，PC互聯(lián)網(wǎng)時代的互聯(lián)網(wǎng)產(chǎn)業(yè)還是“少年”，公眾對于新生事物比較寬容，但隨著2007年蘋果公司發(fā)布iPhone，世界進(jìn)入移動互聯(lián)網(wǎng)時代，互聯(lián)網(wǎng)產(chǎn)業(yè)有了新一波突飛猛進(jìn)的發(fā)展，產(chǎn)業(yè)如日中天，數(shù)據(jù)和個人信息泄露和被濫用的弊端也不斷顯現(xiàn)。

奇安信《中國政企機(jī)構(gòu)數(shù)據(jù)安全風(fēng)險分析報告》顯示，2022年，數(shù)據(jù)泄露事件已超過數(shù)據(jù)破壞事件，成為全球數(shù)據(jù)安全風(fēng)險的首要問題。從全球公開新聞報道來看，51.7%的數(shù)據(jù)安全事件為數(shù)據(jù)泄露事件。而針對機(jī)構(gòu)數(shù)據(jù)的外部威脅，57.4%是為了竊取數(shù)據(jù)。僅2022年1~10月，就有超過950億條，至少46.4TB的中國境內(nèi)機(jī)構(gòu)數(shù)據(jù)在海外被非法交易。數(shù)據(jù)泄露問題形勢嚴(yán)峻。

其中，個人信息是數(shù)據(jù)泄露最主要的類型。從全球公開新聞報道來看，60.2%的數(shù)據(jù)泄露事件，泄露的是個人信息數(shù)據(jù)，其中，實名制信息占比個人信息數(shù)據(jù)泄露總量的.3%，其次是賬號密碼和用戶行為等數(shù)據(jù)。在海外非法交易的境內(nèi)機(jī)構(gòu)數(shù)據(jù)中，55.6%的交易事件涉及個人信息，81.0%的交易數(shù)據(jù)為個人信息數(shù)據(jù)。

對政企機(jī)構(gòu)而言，商業(yè)機(jī)密數(shù)據(jù)的泄露是安全經(jīng)營的重大挑戰(zhàn)。在海外非法交易的境內(nèi)機(jī)構(gòu)數(shù)據(jù)中，19.3%的交易，買賣的是商業(yè)機(jī)密數(shù)據(jù)。商業(yè)機(jī)密數(shù)據(jù)泄露的主要形式是各類文檔，包括內(nèi)部制度、員工手冊、財務(wù)報表、戰(zhàn)略分析、產(chǎn)品文檔、項目策劃等等，占比高達(dá)73.2%。特別值得警惕的是，文檔類商業(yè)機(jī)密數(shù)據(jù)泄露的最大源頭，并不是外部威脅，而是合作伙伴和內(nèi)部員工。而百度文庫、道客巴巴、豆丁網(wǎng)、360文庫等文檔分享平臺，則是文檔類商業(yè)機(jī)密數(shù)據(jù)泄露的主要渠道。

奇安信數(shù)據(jù)顯示，從2022年1月至2022年10月，政企機(jī)構(gòu)重大數(shù)據(jù)安全事件發(fā)生的原因來看，超過五成安全事件是由于外部攻擊（指沒有獲得認(rèn)證的、未經(jīng)授權(quán)的非法用戶對內(nèi)網(wǎng)進(jìn)行的訪問請求或攻擊行為）導(dǎo)致的，但也有5.0%的事件是由于內(nèi)部人員違規(guī)操作。3.9%的重大數(shù)據(jù)安全事件是由于存在漏洞。

“內(nèi)鬼作案”是數(shù)據(jù)安全事件發(fā)生的重要途徑，奇安信方面建議，不僅要防外也要防內(nèi)，做好數(shù)據(jù)操作的審計，防止非授權(quán)信息讀取，防止越權(quán)的敏感信息讀取，包括一些過度的數(shù)據(jù)讀取其實也是一種泄露，如在辦一些業(yè)務(wù)的時候本來只用知道該用戶的姓名、性別及年齡，但是在相關(guān)資料上還能看到其聯(lián)系方式、工作單位等信息，這樣的過度讀取或者暴露個人信息的行為也不合適。

從南非所有公民征信數(shù)據(jù)泄露，到香格里拉酒店被黑，再到熱搜不斷的學(xué)習(xí)通事件，無不說明個人信息泄露不分國界，信息保護(hù)形勢嚴(yán)峻。

需要技術(shù)和法律的“雙保險”

目前，世界各地將近有150個國家都對個人信息保護(hù)做了相關(guān)規(guī)定，我國也高度關(guān)注個人信息泄露問題，不斷完善規(guī)制個人信息泄露相關(guān)制度規(guī)則。

在亞信安全首席研發(fā)官吳湘寧看來，作為安全防護(hù)平臺，三十年前亞信守護(hù)PC，二十年前守護(hù)網(wǎng)絡(luò)，十年前守護(hù)云，今天守護(hù)5G、IoT、大數(shù)據(jù)，未來將要守護(hù)大模型、人工智能，安全伴隨技術(shù)發(fā)展一直在進(jìn)化迭代。

著眼于當(dāng)下正熱的AIGC與大模型，英普華亞太及日本區(qū)技術(shù)副總裁周達(dá)偉表示，大模型在人工智能方面造成了安全領(lǐng)域上有著不同著重，過去很注重遠(yuǎn)程安全、應(yīng)用安全，但在大模型的產(chǎn)業(yè)互聯(lián)網(wǎng)的時代，企業(yè)將更加注重數(shù)據(jù)安全的保障。

周達(dá)偉提到，從流量方面來看，現(xiàn)在最新的數(shù)據(jù)有83%的網(wǎng)頁應(yīng)用與API有直接關(guān)系，其中27%的相關(guān)攻擊是針對相關(guān)的API做出的攻擊。具體到產(chǎn)業(yè)鏈損失，數(shù)據(jù)顯示，2022年一整年造成相關(guān)API的損失高達(dá)5300億人民幣，這是非常巨大的體量。

近年來，《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息?！返认盗蟹煞ㄒ?guī)、網(wǎng)絡(luò)安全審查制度相繼出臺。2021年，國家出臺《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》，在關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定、運營者責(zé)任義務(wù)、保障和促進(jìn)、法律責(zé)任等方面進(jìn)行了明確、具體的規(guī)范。

網(wǎng)絡(luò)安全協(xié)調(diào)局副局長羅鋒盈表示，加快出臺網(wǎng)絡(luò)數(shù)據(jù)安全管理法律法規(guī)，應(yīng)建立健全數(shù)據(jù)分類分級保護(hù)，個人信息保護(hù)合規(guī)審計，數(shù)據(jù)促進(jìn)安全制度等，從違法違規(guī)搜集使用個人信息等行為不斷強(qiáng)化能力建設(shè)，堅持底線思維，強(qiáng)化風(fēng)險意識、責(zé)任意識，加強(qiáng)重點行業(yè)、重點數(shù)據(jù)安全監(jiān)管，切實保障數(shù)據(jù)安全。

在技術(shù)、法律“雙保險”的加持下，網(wǎng)絡(luò)安全的攻守故事還將持續(xù)