■楊光

小米800萬(wàn)用戶信息泄露互聯(lián)網(wǎng)信息安全再鳴警鐘

■楊光

事件背景：

5月13日晚間，安全平臺(tái)烏云發(fā)布了一個(gè)重大的安全漏洞信息，小米論壇被脫褲，約有800萬(wàn)小米社區(qū)用戶數(shù)據(jù)泄漏，或?qū)⒂绊懶∶滓苿?dòng)云等敏感信息。隨后有用戶收到了詐騙電話，電話源頭能提供用戶的準(zhǔn)確信息，姓名、地址、電話、商品購(gòu)買(mǎi)記錄、密碼、郵箱、注冊(cè)I P等信息等等，以貨到付款的方式進(jìn)行產(chǎn)品推銷(xiāo)及其他詐騙行為。

對(duì)此，小米在公開(kāi)回應(yīng)中表示：確有部分2012年8月前注冊(cè)的論壇賬號(hào)信息被非法竊取。經(jīng)確認(rèn)，只有2012年8月前注冊(cè)、且2012年8月后未修改密碼的小米賬號(hào)，有少部分可能存在風(fēng)險(xiǎn)，所謂的800萬(wàn)用戶信息被泄密，是被夸大的。出于安全考慮，將通過(guò)短信、郵件等方式提示盡快修改密碼。

然而，小米的回應(yīng)被質(zhì)疑將責(zé)任推給第三方開(kāi)源程序，有業(yè)內(nèi)人士認(rèn)為小米“泄密門(mén)”和當(dāng)時(shí)CSDN信息泄露之后引出的一大票互聯(lián)網(wǎng)公司信息泄露是同樣的道理。作為一家以“饑餓營(yíng)銷(xiāo)”備受關(guān)注的新興互聯(lián)網(wǎng)公司，該事件備受關(guān)注。

此外，除了小米論壇被脫褲導(dǎo)致用戶信息泄露外，另一大隱性的信息泄露危機(jī)也潛伏在手機(jī)用戶的身邊。微信朋友圈里流行測(cè)前世或者來(lái)世的趣味測(cè)試輪盤(pán)，填寫(xiě)真實(shí)姓名、性別等信息就能看到結(jié)果等小游戲也有可能導(dǎo)致個(gè)人信息泄露，并且一些微信公眾號(hào)被盜后被利用非法營(yíng)銷(xiāo)等。

據(jù)中國(guó)電子商務(wù)研究中心調(diào)查表明，手機(jī)端出現(xiàn)安全問(wèn)題通常來(lái)自幾個(gè)方面：

一是用戶購(gòu)買(mǎi)手機(jī)時(shí)，可能就被預(yù)裝各種APP應(yīng)用，包括刷機(jī)的過(guò)程中，也存在風(fēng)險(xiǎn)因素。

二是用戶的主動(dòng)行為，也可能不經(jīng)意間卷入風(fēng)險(xiǎn)漩渦，比如到論壇下載各種安裝包，這些應(yīng)用可能不是來(lái)自官方，并不可靠。這些動(dòng)作少做，以官方披露的應(yīng)用下載渠道為主。

二相關(guān)數(shù)據(jù)

據(jù)中國(guó)電子商務(wù)研究中心(100 EC.CN)對(duì)1000位用戶在線調(diào)查顯示，21.7%的用戶曾因網(wǎng)購(gòu)、論壇、微信等遭遇過(guò)信息泄露，并且11.2%的用戶接到過(guò)疑似的詐騙電話；56.8%的用戶表示對(duì)互聯(lián)網(wǎng)信息安全擔(dān)憂，并會(huì)對(duì)需要填寫(xiě)個(gè)人信息的互聯(lián)網(wǎng)游戲，注冊(cè)等保留一定的戒心，而仍有43.2%的用戶認(rèn)為互聯(lián)網(wǎng)信息泄露與個(gè)人無(wú)關(guān)，不太關(guān)注。

另?yè)?jù)中國(guó)電子商務(wù)研究中心（100 EC.CN）監(jiān)測(cè)數(shù)據(jù)顯示，5億手機(jī)網(wǎng)民對(duì)軟件商搜集個(gè)人信息的風(fēng)險(xiǎn)渾然不知，65.5%的網(wǎng)站存在安全漏洞，2013年中國(guó)網(wǎng)民在網(wǎng)上損失近1500億元。

《網(wǎng)絡(luò)交易管理辦法》第十八條規(guī)定：網(wǎng)絡(luò)商品經(jīng)營(yíng)者、有關(guān)服務(wù)經(jīng)營(yíng)者在經(jīng)營(yíng)活動(dòng)中收集、使用消費(fèi)者或者經(jīng)營(yíng)者信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意。網(wǎng)絡(luò)商品經(jīng)營(yíng)者應(yīng)當(dāng)公開(kāi)其收集、使用規(guī)則，不得違反法律、法規(guī)的規(guī)定和雙方的約定收集、使用信息。

《快遞市場(chǎng)管理辦法》規(guī)定：快遞企業(yè)、快遞從業(yè)人員不得違法泄露在從事快遞服務(wù)過(guò)程中知悉的用戶信息。違反該條款的，按《郵政法》相關(guān)條文予以處罰，即郵政企業(yè)、快遞企業(yè)違法提供用戶使用郵政服務(wù)或者快遞服務(wù)的信息，尚不構(gòu)成犯罪的，由郵政管理部門(mén)責(zé)令改正，沒(méi)收違法所得，并處1萬(wàn)元以上5萬(wàn)元以下的罰款；對(duì)郵政企業(yè)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員給予處分；對(duì)快遞企業(yè)，郵政管理部門(mén)還可以責(zé)令停業(yè)整頓直至吊銷(xiāo)其快遞業(yè)務(wù)經(jīng)營(yíng)許可證。

專(zhuān)家觀點(diǎn)

另?yè)?jù)中國(guó)電子商務(wù)投訴與維權(quán)公共服務(wù)平臺(tái)近年來(lái)接到的類(lèi)似用戶投訴案例表明，近年來(lái)互聯(lián)網(wǎng)/電商行業(yè)“泄密”事件頻頻出現(xiàn)，其重大典型的包括：5173中國(guó)網(wǎng)絡(luò)服務(wù)網(wǎng)數(shù)次被“盜錢(qián)”、當(dāng)當(dāng)網(wǎng)多次用戶賬戶遭盜刷、“1號(hào)店”員工內(nèi)外勾結(jié)泄露客戶信息、支付寶漏洞致用戶信息泄露、如家、七天開(kāi)房信息泄密、騰訊7000多萬(wàn)QQ群遭泄露、攜程技術(shù)漏洞導(dǎo)致用戶個(gè)人信息、銀行卡信息等泄露、微信朋友圈小游戲竊取用戶信息等。

針對(duì)頻繁出現(xiàn)的“泄密”事件，中國(guó)電子商務(wù)研究中心分析師攜特約研究員、知名電商律師發(fā)表如下觀點(diǎn)：

對(duì)此，中國(guó)電子商務(wù)研究中心特約研究員、廣州金鵬律師事務(wù)所合伙人詹朝霞律師認(rèn)為：

違法成本低，法律監(jiān)管缺失是“泄密”事件再三出現(xiàn)的根源

從法律層面來(lái)看，各類(lèi)服務(wù)提供商，基于提供服務(wù)所采集的用戶信息數(shù)據(jù)，具有嚴(yán)格保密的法律義務(wù)，類(lèi)似的規(guī)定散見(jiàn)于國(guó)家工商總局發(fā)布的《網(wǎng)絡(luò)交易管理辦法》、《全國(guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》等相關(guān)法律法規(guī)規(guī)章中，雖然規(guī)定不少，但相關(guān)規(guī)定中卻沒(méi)有設(shè)置任何對(duì)應(yīng)的處罰措施，違法成本極低。

在日益繁雜多變的網(wǎng)絡(luò)交易中，服務(wù)商們忙于應(yīng)付各種生意，對(duì)于用戶信息保密僅僅是基于商業(yè)道德或品牌榮譽(yù)的角度，其實(shí)施力度可想而知?？梢院敛豢鋸埖卣f(shuō)，法律監(jiān)管的缺失是類(lèi)似事件一而再再而三爆發(fā)的根本。行政主管部門(mén)，比如工商局、銀監(jiān)會(huì)、證監(jiān)會(huì)、通管局等相關(guān)部門(mén)應(yīng)該形成聯(lián)動(dòng)機(jī)制，對(duì)泄露用戶信息的行為甚至是“出賣(mài)”用戶信息的行為進(jìn)行狠狠打擊，還消費(fèi)者以安全，還消費(fèi)者以放心。

對(duì)此，中國(guó)電子商務(wù)研究中心特約研究員、浙江天冊(cè)律師事務(wù)所合伙人姚小娟律師認(rèn)為：

網(wǎng)絡(luò)運(yùn)營(yíng)商應(yīng)做好合理安全措施防范新媒體網(wǎng)絡(luò)詐騙

小米用戶信息泄露，以及通過(guò)微信測(cè)試泄露個(gè)人隱私，因而引起的詐騙問(wèn)題，是網(wǎng)絡(luò)詐騙搭載新網(wǎng)絡(luò)媒體的表現(xiàn)形式。微信技術(shù)，本身無(wú)罪，有罪的是利用微信等網(wǎng)絡(luò)平臺(tái)詐騙的人和機(jī)構(gòu)。但是，作為網(wǎng)絡(luò)服務(wù)商，如果做好合理的安全措施，則不應(yīng)當(dāng)承擔(dān)信息泄露的法律責(zé)任；但是應(yīng)該做好技術(shù)安全措施，才能保證網(wǎng)民的信息安全。

對(duì)此，中國(guó)電子商務(wù)研究中心特約研究員、浙江六和律師事務(wù)所合伙人王紅燕律師認(rèn)為：

小米有不可推卸責(zé)任，需承擔(dān)用戶損失

保護(hù)用戶信息安全，小米有不可推卸的義務(wù)和責(zé)任，應(yīng)詳細(xì)公布漏洞產(chǎn)生的原因、時(shí)間，并提示用戶可能的風(fēng)險(xiǎn)，同時(shí)詳細(xì)說(shuō)明為什么會(huì)出現(xiàn)這樣的問(wèn)題。經(jīng)過(guò)這些分析后，確定了用戶可能有的風(fēng)險(xiǎn)后，還應(yīng)建議用戶如何規(guī)避或者降低風(fēng)險(xiǎn)以及風(fēng)險(xiǎn)發(fā)生后能夠?yàn)檫@些用戶做些什么，對(duì)已經(jīng)有損失的用戶承擔(dān)賠償責(zé)任。

對(duì)此，中國(guó)電子商務(wù)研究中心特約研究員、浙江澤大律師事務(wù)所付勇勇律師認(rèn)為：

因商家過(guò)失導(dǎo)致消費(fèi)者經(jīng)濟(jì)損失的理應(yīng)賠償

根據(jù)《消費(fèi)者權(quán)益保護(hù)法》的規(guī)定，經(jīng)營(yíng)者及其工作人員對(duì)收集的消費(fèi)者個(gè)人信息必須嚴(yán)格保密，不得泄露、出售或者非法向他人提供。經(jīng)營(yíng)者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保信息安全，防止消費(fèi)者個(gè)人信息泄露、丟失。

在發(fā)生或者可能發(fā)生信息泄露、丟失的情況時(shí)，應(yīng)當(dāng)立即采取補(bǔ)救措施。另外，《網(wǎng)絡(luò)交易管理辦法》也有相同的規(guī)定。如果由于小米的過(guò)失，導(dǎo)致消費(fèi)者經(jīng)濟(jì)損失的，理應(yīng)承擔(dān)相應(yīng)的賠償責(zé)任。

對(duì)此，中國(guó)電子商務(wù)研究中心特約研究員、遼寧亞太律師事務(wù)所董毅智律師認(rèn)為：

小米事件，劍指泄密法律空白

按照《消法》的規(guī)定，消費(fèi)者在消費(fèi)中享有安全權(quán)。由于技術(shù)等方面的原因置用戶的安全與危險(xiǎn)之地，用戶的損失與小米脫不了干系。

小米泄密事件，在法律層面，帶給我們更多的是反思和警醒。關(guān)于用戶信息安全，相關(guān)法律是否完善？網(wǎng)絡(luò)安全中的刑事、行政、民事等各類(lèi)法律關(guān)系能否界定？執(zhí)法主體本身是否明確？用戶信息泄露的歸責(zé)怎樣？被泄密的用戶損失如何界定？相關(guān)主體是否提供了公平、安全的行為準(zhǔn)則？相關(guān)行業(yè)是否形成了相應(yīng)的行業(yè)標(biāo)準(zhǔn)？司法機(jī)關(guān)對(duì)于相關(guān)類(lèi)型的新型犯罪和糾紛，是否有了最起碼的司法準(zhǔn)繩？誰(shuí)有責(zé)任向用戶普及最基本的網(wǎng)絡(luò)安全常識(shí)？諸如此類(lèi)的疑問(wèn)，已經(jīng)成為現(xiàn)時(shí)亟待回答的問(wèn)題，已經(jīng)足夠給各個(gè)部門(mén)敲響維護(hù)用戶信息安全的警鐘。

對(duì)此，國(guó)內(nèi)知名網(wǎng)購(gòu)維權(quán)專(zhuān)家、中國(guó)電子商務(wù)研究中心法律與權(quán)益部姚建芳助理分析師認(rèn)為：

信息安全無(wú)小事，忽視必然付出慘重代價(jià)

互聯(lián)網(wǎng)信息泄露隱性風(fēng)險(xiǎn)重重，除了我們熟悉的購(gòu)物網(wǎng)站賬戶被盜、CDSN信息泄露外，在日常的手機(jī)軟件下載、WIFI蹭網(wǎng)、手機(jī)支付等又存在一定的風(fēng)險(xiǎn)。然而，所有的信息泄露無(wú)外乎3種原因：

（1）擁有個(gè)人信息資料的商業(yè)機(jī)構(gòu)被外部竊取或內(nèi)部泄露：諸如航空公司旅客行程資料被泄漏出現(xiàn)針對(duì)性的詐騙，某快遞公司百萬(wàn)客戶信息遭泄露等；

（2）技術(shù)漏洞所致：諸如一些快捷酒店因開(kāi)房記錄由第三方存儲(chǔ)導(dǎo)致客戶信息泄漏，造成用戶大量隱私內(nèi)容泄露等；

（3）用戶個(gè)人由于信息保管不當(dāng)，被不法分子獲得，尤其是在互聯(lián)網(wǎng)應(yīng)用中使用簡(jiǎn)單密碼或者相同的密碼等。

對(duì)此，建議廣大互聯(lián)網(wǎng)/電商企業(yè)加強(qiáng)技術(shù)監(jiān)管，保障用戶信息安全；互聯(lián)網(wǎng)用戶加強(qiáng)個(gè)人信息保護(hù)意，保護(hù)個(gè)人信息不受侵犯；監(jiān)管部門(mén)加快相關(guān)法律法規(guī)建設(shè)，嚴(yán)格執(zhí)法。