5亿新浪微博用户数据遭泄露？个人信息安全该如何守护

中国商报/中国商网（记者 祖爽）因泄漏用户信息，新浪微博又一次站在了舆论的风口浪尖。近日，工业和信息化部网络安全管理局就此事对新浪微博相关负责人进行了问询约谈，要求其进一步采取有效措施，消除数据安全隐患。实际上，近年来，信息泄露事件屡屡发生，App过度索要授权是个人信息泄露的导火索之一，用户的信息安全存在严重的安全隐患。

5亿微博用户数据或遭泄露

新浪微博用户数据被泄露早有苗头。早在今年3月4日，就有暗网用户发布了一则名为“5.38亿微博用户绑定手机号数据，其中1.72亿有账号基本信息”的交易信息，售价1388美元。

该用户表示，这些信息均为去年年中左右抓取，并给出400条绑定手机号的测试数据，以及1500条账号基本信息的测试数据。其中，绑定手机数据包括用户的ID（身份标志号码）和手机号，账号信息则包括用户昵称、头像、粉丝数、所在地等。

3月19日，默安科技创始人魏兴国也在微博爆料，自己的手机号码通过微博数据库被泄漏。他通过查询发现，不少微博认证的手机号也被泄漏，甚至包括微博CEO王高飞，有的号码甚至被标价叫卖。

该事件引发了广泛的关注，新浪微博对此回应为，自2011年以来，微博一直提供查询通讯录好友微博昵称的服务，用户授权后可以使用该服务。但用户仅能查询到相关账号昵称，也可以随时取消授权。

新浪微博表示，此前黑客通过手机号比对服务获得多个平台的用户信息，例如通讯录好友微博昵称、QQ号、邮箱等，并抓取微博用户个人主页上的公开数据，以“5.38亿微博用户绑定手机号数据，其中1.72亿有账号基本信息”的名义进行售卖。对此，微博已加强安全策略，并将详细情况上报给司法机关。同时，新浪微博呼吁用户加强防范意识，保护好个人账号。

针对此事，工信部网络安全管理局对新浪微博相关负责人进行了问询约谈，要求其进一步采取有效措施，消除数据安全隐患。一是要尽快完善隐私政策，规范用户个人信息收集使用行为；二是要加强用户信息分类分级保护，强化用户查询接口风险控制等安全保护策略；三是要加强企业内部数据安全管理，定期及新业务上线前要开展数据安全合规性自评估，及时防范数据安全风险；四是要在发生重大数据安全事件时，及时告知用户并向主管部门报告。

新浪微博表示，公司高度重视数据安全和个人信息保护，针对此次事件已采取了升级接口安全策略等措施，后续将按照工信部要求，落实企业数据安全主体责任，切实做好用户个人信息保护工作。

App信息泄露为何成顽疾

近年来，手机App引发的信息泄露事件屡屡发生，成为行业顽疾。中国消费者协会发布的《2018年App个人信息泄露情况调查报告》显示，在使用App过程中，遇到过个人信息泄露情况的受访者占比达85.2%。目前，我国用户个人信息泄露情况相当严重，信息泄露途径和表现形式多样。

“App漏洞几乎是无法避免的。无论是系统软件还是应用软件，都存在已知或未知的漏洞。黑产从业者利用漏洞获取用户资料的可能性是存在的，特别是业务相关的漏洞，更加难以察觉。比如说像微博这种大型网站，黑产从业者利用业务漏洞获取用户资料的可能性更大一些。”深圳职业技术学院信息安全与管理专业负责人韦凯在接受中国商报记者采访时表示。

“暗流涌动”的黑市交易正侵蚀着用户隐私安全。除了到暗网等黑产平台贩卖隐私数据直接变现以外，黑产从业者往往还会利用购买得到的数据进行精准诈骗、敲诈勒索等犯罪行为，以此进一步从事网络犯罪行动。

颇高的利润也让黑产从业者甚至是企业内部员工铤而走险。去年12月，江苏省镇江润州区人民法院开庭审理一起特大公民个人信息案，被告人李某成与童某利用安徽省合肥市移动公司员工系统账号多次非法收集公民个人手机号码信息共计4万余条，后以每条4元的价格出售给他人违法所得达260余万元，涉个人相关信息近40万余条。

韦凯表示，黑产从业者经常会通过破解用户账户密码来盗取个人信息，通常的破解办法就是弱口令碰撞、撞库，App或平台无法防范，这需要用户提高安全意识，不同系统使用不同密码口令，必要时候定期更换。

App过度索要授权也是个人信息泄露的导火索之一。中央电视台”3·15”晚会曾曝光多家科技企业存在私自采集个人信息的情况，其中包括萨摩耶金服利用探针盒子私自采集用户信息以及“社保掌上通”App通过隐藏的用户条款窃取用户社保信息。

《中华人民共和国网络安全法》明确规定，网络运营者不得收集 与其提供的服务无关的个人信息。未经被收集者同意，不得向他人提供个人信息。

网经社电子商务研究中心法律权益部助理分析师蒙慧欣表示，App收集并使用用户的个人信息，要建立在用户授权同意的前提下，用户有权知道App收集了用户的哪些信息、收集的目的以及使用的方式和范围。

然而现实生活中，部分App却存在霸王条款，如果不同意这些隐私条款或是不开通相关权限，用户将无法使用这些App。韦凯表示，对于普通用户而言，要谨慎提供自己的个人资料，安装App时谨慎提供权限。

信息安全如何守护

面对大量个人信息泄露事件，有关部门也开始频频“亮剑”。去年1月，中央网信办、工信部、公安部、市场监管总局四部门组织开展了App违法违规收集使用个人信息专项治理。通过对百余款用户投诉量大、社会关注度高的App进行检查评估，发现存在强制授权、过度索权、未经同意收集个人信息和对外提供个人信息等典型问题，并督促企业及时整改。

同年，工信部印发了《电信和互联网行业提升网络数据安全保护能力专项行动方案》，明确提出“基本建立行业网络数据安全保障体系”的目标，要求10月底前完成全部基础电信企业(含专业公司)、50家重点互联网企业以及200款主流App的数据安全检查。同时，还明确了五个方面的重点任务，包括加快完善网络数据安全制度标准、开展合规性评估和专项治理、强化行业网络数据安全管理、创新推动网络数据安全技术防护能力建设、强化社会监督和宣传交流等。

目前，《最高人民法院、最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》（以下简称解释）已开始施行。据悉，这一解释对于拒不履行信息网络安全管理义务罪的前提要件和入罪标准等多种情形作出了明确规定。其中，网络平台泄露行踪轨迹信息、通信内容、征信信息、财产信息500条以上的可入罪。

今年新冠肺炎疫情暴发以来，大数据成为疫情有效防控和助力复产复工的技术手段之一，同时成为舆论关注焦点的还有个人信息数据的安全保护问题。对此，国务院联防联控机制也在新闻发布会上表示，作为监管部门，在数据分析使用的过程中，政府会依据个人信息保护的有关法律法规，严格落实数据安全和个人信