3月25日，工信部官網(wǎng)消息，工信部網(wǎng)絡(luò)安全管理局就新浪微博用戶查詢接口被惡意調(diào)用導(dǎo)致App數(shù)據(jù)泄露問題對新浪微博相關(guān)負責(zé)人進行了問詢約談。

　　要求其按照《網(wǎng)絡(luò)安全法》《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》等法律法規(guī)要求，對照工信部等四部門制定的《App違法違規(guī)收集使用個人信息行為認定方法》，進一步采取有效措施，消除數(shù)據(jù)安全隱患。

　　網(wǎng)絡(luò)安全管理局提出了四點要求：

　　盡快完善隱私政策，規(guī)范用戶個人信息收集使用行為；

　　加強用戶信息分類分級保護，強化用戶查詢接口風(fēng)險控制等安全保護策略；

　　加強企業(yè)內(nèi)部數(shù)據(jù)安全管理，定期及新業(yè)務(wù)上線前要開展數(shù)據(jù)安全合規(guī)性自評估，及時防范數(shù)據(jù)安全風(fēng)險；

　　在發(fā)生重大數(shù)據(jù)安全事件時，及時告知用戶并向主管部門報告。

　　事情發(fā)展始末

　　3月19日，微博網(wǎng)友安全_云舒轉(zhuǎn)發(fā)了一條微博，掀起了一場關(guān)于“微博數(shù)據(jù)泄露”的討論。云舒稱很多人手機號碼泄露了，根據(jù)微博賬號可以查到手機號。

該微博已被刪除

　　新浪微博迅速做出了回應(yīng)。新浪微博表示，或許產(chǎn)生了數(shù)據(jù)泄露，但是泄露的數(shù)據(jù)僅限于用戶昵稱，不涉及身份證、密碼，這些信息可能是黑客通過其他手段從其他平臺得到，對微博服務(wù)沒有影響，目前已及時強化安全策略。

新浪微博回應(yīng)

　　此事引起了社會各界的關(guān)注，媒體爭相報道。有用戶向媒體表示，在暗網(wǎng)上可以買到包括姓名、郵箱、地址、手機號、微博賬號、密碼等8項信息，還有人可以買到自己的微博賬號老密碼、身份證號、車牌號、貼吧綁定的賬號、綁定的QQ號等信息。

　　泄露的數(shù)據(jù)究竟來自于哪里無法準確考證，新浪微博是不是真的非常安全也無法直接測試。目前主流輿論認為新浪微博被黑客大規(guī)模入侵的可能性不大，此次事件發(fā)生的原因可能“撞庫”或者“漏水”。

　　撞庫是黑客通過收集互聯(lián)網(wǎng)已泄露的用戶和密碼信息，生成對應(yīng)的字典表，嘗試批量登陸其他網(wǎng)站后，得到一系列可以登錄的用戶。很多用戶在不同網(wǎng)站使用的是相同的帳號密碼，因此黑客可以通過獲取用戶在A網(wǎng)站的賬戶從而嘗試登錄B網(wǎng)址，這就可以理解為撞庫攻擊。

　　漏水則是指企業(yè)某些非核心業(yè)務(wù)團隊規(guī)模小，沒有按照統(tǒng)一規(guī)范流程搭建業(yè)務(wù)，因此出現(xiàn)風(fēng)險，比如沒有做好關(guān)鍵數(shù)據(jù)隔離、沒有做好權(quán)限分層管控、沒有做好數(shù)據(jù)加密存儲等。

　　隨后，新浪微博因為此事件被工信部網(wǎng)絡(luò)安全管理局問詢約談，也就有了文章開頭的四個要求。

　　互聯(lián)網(wǎng)巨頭該緊張起來了

　　據(jù)了解，2019年新浪微博凈營收17.7億美元，月活躍用戶達到5.16億，日活躍用戶達2.22億。雖然和騰訊、阿里相比用戶數(shù)量多有不如，但是在國內(nèi)還是不折不扣的互聯(lián)網(wǎng)巨頭。

　　或許新浪微博真的沒有發(fā)生數(shù)據(jù)泄露，但這并不意味著新浪微博一點錯都沒有。

　　網(wǎng)絡(luò)安全管理局的四個要求就指出了新浪微博的錯誤：隱私政策不完善、用戶個人信息收集使用不規(guī)范、用戶信息分類分級保護不全面、用戶查詢接口風(fēng)險控制不到位、沒有定期開展數(shù)據(jù)安全合規(guī)性自評估、發(fā)生重大數(shù)據(jù)安全事件時，未及時告知用戶并向主管部門報告。

　　在互聯(lián)網(wǎng)草莽時代，監(jiān)管可能會對巨頭束手無策，這樣的情況可能約談結(jié)束就結(jié)束了。但隨著《網(wǎng)絡(luò)安全法》、《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》、《信息安全技術(shù)個人信息安全規(guī)范》等法律規(guī)范的出臺，互聯(lián)網(wǎng)行業(yè)規(guī)則已經(jīng)改寫。

　　中國互聯(lián)網(wǎng)巨頭們該警醒了！

　　今天會因為隱私政策不完善、用戶信息分類分級保護不全面被約談，以后也有可能因為同樣的問題被行政處罰，甚至有可能因為同樣的問題鋃鐺入獄。等到《個人信息保護法》、《數(shù)據(jù)安全法》、《數(shù)據(jù)安全管理條例》等法律規(guī)范全面出臺，監(jiān)管只會越來越嚴格。

　　巨頭的體量或許能讓監(jiān)管有所顧忌，但絕對不會受到優(yōu)待，甚至?xí)恢攸c監(jiān)管，因為巨頭擁有最多的數(shù)據(jù)，而且擁有的數(shù)據(jù)最有價值，可能造成的危害會更大。

　　除了監(jiān)管之外，來自外部的攻擊更需要被重視。對于互聯(lián)網(wǎng)巨頭來說，由于資金充實、技術(shù)能力強大，還有多年的積累，來自外部的攻擊往往顯得不痛不癢，但這不是可以不重視的理由。

　　由這起事件來說，無論是“撞庫”還是“漏水”，很明顯都沒有得到應(yīng)有的重視，沒有用戶得到風(fēng)險提示，企業(yè)也沒有做出改變，直至事情爆發(fā)。最后的結(jié)果就是現(xiàn)在這樣，新浪微博雖然沒有蒙受重大財務(wù)損失，但是名譽絕對是遭受了巨大損失，在監(jiān)管層還掛了名，欲哭無淚。

　　合規(guī)是為了更好地發(fā)展

　　如前文所說，我國個人信息安全監(jiān)管越來越嚴格，而且將來還會更加嚴格。在嚴監(jiān)管的趨勢下，很多機構(gòu)、企業(yè)覺得不舒服、覺得被拘束了，覺得自己受到了傷害。這些機構(gòu)、企業(yè)都沒有認識到監(jiān)管的價值。

　　互聯(lián)網(wǎng)企業(yè)是服務(wù)行業(yè)，用戶是最重要的一部分，甚至可以說用戶是互聯(lián)網(wǎng)企業(yè)存在的根基，沒有任何用戶會喜歡欺騙他、偷他東西的服務(wù)者。監(jiān)管存在得價值就是幫助互聯(lián)網(wǎng)企業(yè)不要走歪路，不要走岔路。

　　時代已經(jīng)變了，企業(yè)需要轉(zhuǎn)變思想，合規(guī)不是為了不被處罰，不是為了迎合監(jiān)管，而是為了不被用戶唾棄，是為了更好的發(fā)展。

　　本文為作者授權(quán)發(fā)布，不代表移動支付網(wǎng)立場，轉(zhuǎn)載請注明作者及來源，未按照規(guī)范轉(zhuǎn)載者，移動支付網(wǎng)保留追究相應(yīng)責(zé)任的權(quán)利。