360安全中心在今年2月份发出的《2018年国内外信息泄露案例汇编》显示，包括国内机构重大数据泄露案例和国外各行业信息泄露案例共约100多起，涵盖IT信息企业、政府机构、电信运营商、互联网、交通物流、教育、金融、生活服务、物联网、医疗卫生、制造业等12个行业的信息泄露概况，读来令人触目惊心。

《中华人民共和国网络安全法》明确规定，网络运营者不得收集与其提供的服务无关的个人信息。未经被收集者同意，不得向他人提供个人信息。显然，从法律角度来说，收集哪些信息，信息怎么用，应该由网民自己做主。

然而，现实中实现“用户做主”却非常困难。一方面，用户在使用互联网软件时，通常需要阅读一份冗长的“隐私条款”，用户很难识别这些条款中的“坑”；另一方面，如果不同意这些“隐私条款”或是不开通相关权限，用户将无法使用这些应用。这就近乎在用一种霸王捆绑的方式强制用户同意对自己信息的使用。

在众多信息泄露事件中，公民最关心的是自己的个人数据信息特别是隐私信息被泄露，更担心自己的网上行为行动被误导，个人隐私数据被滥用，现实生活被骚扰，甚至可能稀里糊涂充当了邪恶的打手。

眼前的情况

——众多信息泄露事件让人后怕

自从Facebook爆出信息泄露丑闻后，各种数据被盗事件相继出现在人们的眼前，成为热点新闻。例如：

据报道，2018年8月21日，奥古斯塔大学医疗中心在去年曾遭遇了一次网络钓鱼攻击。最新调查显示这次攻击导致约41.7万份记录遭泄露。遭泄露的数据包含了患者个人信息，以及他们的医疗和健康记录。对于其中一些受害者来说，遭泄露的数据还可能包含财务记录和社会保障码。

2018年11月30日，万豪国际集团官方微博发布声明称，喜达屋旗下酒店的客房预订数据库被黑客入侵，在2018年9月10日或之前曾在该酒店预定的最多约5亿名客人的信息或被泄露。这5亿人次中，有大约3.27亿人次的包括姓名、邮寄地址、电话号码、电子邮件地址、护照号码、账户信息、出生日期、性别以及到达和离开酒店的信息已被泄露。

如今，中国正孕育着一个全球最大的用户数据市场。根据中国互联网络信息中心(CNNIC)发布的数据显示，截至2018年底，中国网民数达到8.29亿，手机网民8.17亿，互联网普及率为59.6%。Facebook等信息泄露事件，已经证明网络客户信息泄露事件已经演变成重大的政治事件、经济事件、金融事件、科技事件、大数据事件、客户信息保护事件等多重重大的、深层次问题，因此保护个人数据信息已经迫在眉睫、刻不容缓。

即便面对违法

信息泄露案件为何仍是屡禁不止？

2018年11月27日，优步（Uber）被英国媒体曝光：旗下约270万英国用户个人信息在2016年被黑客盗取，而最夸张的是优步为了“息事宁人”居然支付了10万美元给黑客，因此被英国监管机构重罚38.5万英镑。

据华尔街日报19年7月12日报道，美国联邦贸易委员会（FTC）对Facebook的不当隐私实践进行了长期调查之后，双方最终达成和解，和解金约50亿美元。多位知情人士透露，美国联邦贸易委员会（FTC）委员会委员在过去的一周里，以3比2投票通过了这项和解协议，大部分的共和党委员支持该协议，民主党委员则表示反对。

本周早些时候，美国信贷报告机构 Equifax 与联邦贸易委员会（FTC）达成了针对 2017 年发生的大规模数据泄露事件的赔偿方案。本次事件导致数亿美国人的社保号码与其它敏感数据被泄露。据悉，Equifax 达成了 7 亿美元的和解协议，其中包含了 3.805 亿的客户赔偿金。

一方面，大数据时代，数据就意味着行业资源和商业财富。根据大数据公司依靠大数据获利营运的商业模式（通过收集数据并将其出售给应用程序开发人员和广告客户来赚钱），可知防止这些买家将这些数据传递给别有用心的第三方，基本是很难做到的。也就是说，虽然法律和政府的压制给这些公司提出了巨大挑战！但是由于公司自身盈利模式的限制，类似的数据泄露事件是迟早会发生的。

另一方面，从企业经营理念层面来看，大多数企业还没有将用户数据开发、维护与管理纳入企业整体发展战略和公关战略，对用户隐私和数据安全问题不够重视，缺少专业负责数据安全的部门，也缺乏对企业内部员工的用户数据安全素养教育，这些都会给企业带来巨大的公关危机风险。一旦数据信息泄露，不仅用户隐私权益受到侵犯，而且企业声誉也可能会一落千丈。

思考：

用户信息滥用VS个人数据保护,

魔高一尺，还是道高一丈？

除去《中华人民共和国网络安全法》，被称为史上最严个人数据保护条例GDPR（英文“General Data Protection Regulation”通常翻译为“通用数据保护条例”），推出的目的亦在于遏制个人信息被滥用，保护个人隐私。这些规定出台的直接原因应该是此前的Facebook等众多互联网公司的隐私泄露事件。

很显然，鉴于GDPR的条款非常细致和严苛，很少有企业敢保证自己完全不会触犯这部法律。

除了明确用户在个人信息上的安全，GDPR对企业在处理个人数据方面也做出了非常细致的规定。其次，GDPR对企业违法行为的惩处力度非常大，行为轻微的要罚款1000万欧元或全年营收的2%（两者取最高值），行为严重的则要罚款2000万欧元或全年营收的4%（两者取最高值）。此外，按照GDPR的规定，出现个人数据泄露后，企业要在72小时内向监管部门报告，企业还要配备熟悉GDPR条款的数据保护专员，和监管部门保持沟通。总体而言，GDPR是欧盟给企业打造的一顶严厉的紧箍咒，在保护个人信息安全方面，使它们将会面对空前的压力。

对部分企业而言，面对GDPR的严厉条款，直接退出欧洲市场可能是最简单的办法。例如，GDPR生效后，部分企业的网站和服务直接屏蔽了欧盟地区。但是，众多社会责任心强大的企业都选择遵循GDPR条例，在欧洲以外地区同样遵循GDPR。不少跨国企业为进入欧洲市场也在创造条件熟悉GDPR保护法案，寻找第三方机构为自己的企业做有关GDPR的相关培训。在2018年GDPR法案刚刚颁布不久，信息安全行业专业咨询机构SCA安全通信联盟就举办了首次针对GDPR法律法规的解读培训，引起了业内人士的广泛关注，参与的人员不仅可以逻辑清晰的了解到GDPR的相关要点，还可以现场进行测试自己是否学习掌握了GDPR的要点知识，如果成绩合格，还能拿到由机构颁发的能力合格证书。

用户信息泄露VS个人数据保护，两者各有各的诉求，不可调和相，因此在过去的几年时间里facebook 等众多互联网公司从一个高科技研发、方便人们生活、让世界变的更美好的公司，突然间因为个人数据泄露、滥用事件，变成了一个不考虑用户感受，滥用消费者个人隐私数据的奸商。这让众多互联网公司在经历此番风波后，为了合法合规的使用技术手段采集、使用数据，开始不同程度的学习如何遵循GDPR、《中华人民共和国网络安全法》等各国相关法律。同时，众多网络泄漏事件也让每个网民的个人数据保护意识增强，正可谓是魔高一尺，道高一丈。