华住集团数据库泄漏,波及人数过亿。在网上流传的截图中可以看到,出售华住集团数据信息的黑客 28 号在暗网中文论坛发帖,称拥有华住集团约 5 亿条数据信息,包含在华住官网注册的约 1.23 亿条资料,在华住旗下酒店入住登记信息约 1.3 亿条,以及华住集团旗下酒店开房记录约 2.4 亿条。这些信息中包含姓名、身份证号码、手机号,甚至有家庭住址。
 
华住集团在 28 日当天已经报警,目前警方已经介入调查。部分已泄漏信息经多方验证,很高比例属实。
 
数据库被泄漏的事故屡屡发生,只是华住集团数据库这次被泄漏波及范围太大,泄漏信息太多,而数据库被泄漏的原因据说也很业余:华住集团的工作人员将公司代码上传到 GitHub 上时,数据库配置信息也被同时传上,黑客可能利用此信息实施攻击并成功拖库。
 
当然,华住集团这次数据被盗波及的范围并没有创纪录。2016 年雅虎两次宣布发现用户信息被盗,数据被盗均是在两年以后才发现,在 2014 年发生的一起数据被盗事故中,雅虎约有 5 亿用户信息被泄漏,而在 2013 年发生的一起数据被盗事故中,波及用户则达到 10 亿。
 
在数据时代,信息泄漏的风险无处不在。据澎湃新闻报道,中消协近日完成的一项调查结果显示,当前个人信息泄露总体情况比较严重,遇到过个人信息泄露情况的人数占比为 85.2%,没有遇到过个人信息泄露情况的人数占比为 14.8%。调查结果还显示,当消费者个人信息泄露后,约 86.5%的受访者曾收到推销电话或短信的骚扰,约 75.0%的受访者接到诈骗电话,约 63.4%的受访者收到垃圾邮件,排名位居前三位。此外,部分受访者曾收到违法信息如非法链接等,更有甚者出现个人账户密码被盗的问题。
 
黑客通过攻击防范不严密的网站获取用户信息只是个人信息被泄漏的途径之一,更多个人信息被泄漏则是拥有用户数据的厂商为了商业利益主动兜售。2018 年上半年闹得沸沸扬扬的 Facebook 泄漏隐私案就是一个案例,剑桥分析(Cambridge Analytica)从 Facebook 收集了约 5000 万用户的个人数据,为特朗普竞选进行数据支撑。该事件被曝光后, Facebook 被广泛批评,股价大跌,其创始人兼首席执行官扎克伯格也被英国议员与美国国会传唤,要求对用户数据泄漏情况做出解释。
 
 
虽然有 Facebook 的前车之鉴,但商业公司并不想停下挖掘用户信息商业潜力的努力。据《华尔街日报》29 日报道,雅虎仍在扫描用户电子邮件,收集有价值的客户数据卖给广告客户。消息人士称,雅虎的所有者 Oath 正计划为广告商提供一项服务,该服务将分析超过 2 亿个雅虎邮箱的消费者数据。无论是黑客,还是互联网厂商,个人数据只有金矿属性,没有隐私性。
 
中消协的调查结果显示,厂商应该为数据泄漏负更多责任:个人信息泄露的主要途径一是经营者未经本人同意收集个人信息,约占调查总样本的 62.2%;二是经营者或不法分子故意泄露、出售或者非法向他人提供个人信息,约占调查总样本的 60.6%,网络服务系统存有漏洞造成个人信息泄露 57.4%。还有不法分子通过木马病毒、钓鱼网站等手段盗取、骗取个人信息和经营者收集不必要的个人信息分别占 34.4%和 26.2%。
 
大数据的商业模式中,其实从来没有考虑过用户隐私的问题,无论是精准医疗还是智能家电,所有个性化定制,都是以提取你的个人数据为基础,所以凯文凯利说,完全的个性化,就意味着完全的透明。
 
在大数据时代普通用户的悲哀在于既不可能切断连接做一个数据社会的原始人,又无力选择哪些数据被收集。绝大多数 APP 都有隐私协议,但较少公司提供用户自己决定上传数据的选择,要么接受协议,要么拒绝服务。
 
政府加强监管会有利于个人数据隐私保护吗?大概是不能,号称史上最严个人数据保护法《通用数据保护条例》(GDBR)在 2018 年 5 月正式生效后,截至 2018 年 8 月,有超过 1000 家美国网站拒绝向欧洲提供服务,美国前一百大媒体中,其网站约有三分之一在欧洲无法访问。
 
《通用数据保护条例》规定,个人数据的处理权完全归用户所有,厂商要使用个人数据之前必须明确告知用户,用户对自己的个人数据拥有知情权、访问权、反对权、转移权和被遗忘权,用户有权要求网站删除所有与其相关的个人数据,并有权要求与网站相关的已知第三方删除根据个人数据信息的所有复制与链接。如果违反该法规,欧盟的处罚措施也极其严厉,最高 2000 万欧元或公司全球前一年总收入的 4%(针对巨头)。
 
如果用户数据主导权落到用户手中,以“日活用户”为货币基础的互联网公司还怎么维持当前的估值?在广告商和用户之间,当然选择广告商,欧盟只不过 5 亿人口,全球还有 60 多亿不适用《通用数据保护条例》。
 
所以,用户选择题变成了,要么透明化,要么被打回原始人。