從扎克伯格到人大學生，二十年中國網絡攻守變遷_世界報道

近日，一名中國人民大學學生馬某某在其讀碩士研究生期間，利用專業技術盜取全校學生個人信息的事件被網友曝光，隨即該學生被海淀公安分局依法刑事拘留，目前該案件正在進一步調查中。

20年前，類似的行為成就了一代互聯網社交界的巨頭扎克伯格，但如今的網絡時代，人們更關注個人隱私數據安全保護。這也是為何昔日的創業明星如今數次要站在聽證會上接受詢問和監管。在數字化與數字經濟相關因素中，大數據占據中心地位，數據的安全成為全球關心的議題。在侵犯和泄露他人隱私的基礎上做任何商業化或者非商業化的探索都會被追究責任。

在我國，數據被定義為繼土地、勞動力、資本、技術之后第五大生產要素。360公司創始人、董事長兼CEO周鴻祎認為，在大數據驅動業務中，數據成為新的攻擊對象，而數字安全，是一切數字文明的基座。

(資料圖片僅供參考)

被盯上的校園數據

7月1日，有網友在微博上爆料稱，中國人民大學一男生在讀碩士研究生期間，利用專業技術盜取全校學生個人信息，包括照片、姓名、學號、籍貫、生日等，并搭建了給全校學生顏值打分的網站。

7月2日，中國人民大學官方微博發布情況通報：學校已關注到我校部分學生信息被非法獲取的情況，對此高度重視，第一時間聯系警方，目前正積極配合警方等相關部門開展調查。學校強烈譴責侵犯個人隱私、危害信息安全的行為。感謝社會各界對學校的關心。

7月3日，平安北京海淀微博公號發布情況通報稱，針對“中國人民大學部分學生信息被非法獲取”的情況，海淀警方接到報警后，立即開展調查。經查，嫌疑人馬某某（男，25歲，該校畢業生）涉嫌非法獲取該校部分學生個人信息等違法犯罪行為。目前，馬某某已被海淀公安分局依法刑事拘留，案件正在進一步調查中。警方高度重視公民個人信息保護，對于相關違法犯罪，將依法予以嚴厲打擊。

從進展來看，馬某某大概率不會如20年前的扎克伯格一樣有機會從同學的數據中找到自己的商業模式了。

2003年，美國臉書公司創始人扎克伯格也對哈佛大學系統曾做過類似的事情。當年，扎克伯格侵入哈佛大學學生名錄系統，下載了同學照片并將其發布于一個名為Facemash的網站，來評定誰更受歡迎。該網站首日便有超過450人注冊，頁面瀏覽量超過22000次。但扎克伯格本人也因受到學校的指控而被處以留校察看。

扎克伯格的故事如果放在中國，會有怎樣的結局？

上海大邦律師事務所高級合伙人、知識產權律師游云庭表示，2003年，中國法律尚未將類似行為作為刑法規制的對象：非法獲取計算機信息系統數據罪是2009年《刑法修正案七》增設，侵犯公民個人信息罪是在2015年的《刑法修正案九》增設的。

游云庭表示，如果新聞報道屬實，人大學生馬某某獲取并發布了中國人民大學14-20級的全校學生的“照片、姓名、學號、籍貫、生日”，這些信息法律上屬于個人信息，由于獲取手段不合法，涉嫌非法獲取計算機信息系統數據罪。這些個人信息數量巨大，如果被發布上網，觸發了侵犯公民個人信息罪。

《刑法》與司法解釋規定：非法獲取計算機信息系統數據罪系違反國家規定，侵入國家事務、國防建設、尖端科學技術領域以外的計算機信息系統或者采用其他技術手段，獲取該計算機信息系統中存儲、處理或者傳輸的數據，情節嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金。

另外，侵犯公民個人信息罪系違反國家規定，向他人出售或者提供公民個人信息，情節嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金。根據司法解釋，非法獲取、出售或者提供行蹤軌跡信息、通信內容、征信信息、財產信息五十條以上的；住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財產安全的公民個人信息五百條以上的；前述信息以外的公民個人信息五千條以上的，都應當認定為情節嚴重。

值得注意的是，學校的信息安全問題在全球范圍內頻發。2022年3月，美國爆發了史上規模最大的學生個人數據失竊事件，黑客入侵了lluminateEducation公司的IT系統，竊取了學生信息的數據。有大約82萬名學生的信息被泄露。根據美國教育部公布的信息顯示，這些數據包括學生的姓名、出生日期、學生證號碼等基礎信息以及一些和教育相關的數據。

lluminateEducation開發的在線評分和考勤系統，在美國有很大的市場占有率，這也是本次事件之所以會有如此大范圍影響的最主要原因之一。在檢測到相關的入侵行為后，IlluminateEducation曾關閉了系統的相關功能。但直到兩個月后，這家公司才公布了系統中數據被竊取的消息。

在周鴻祎看來，數字化是繼工業革命之后最重要的生產力革命，其中互聯網上半場的主線是消費互聯網，下半場的主線是產業互聯網。上半場中，誕生了諸如阿里、騰訊、字節跳動等一批互聯網巨頭，通過各種應用、平臺、產品，基本完成了用戶數據的初步積累，隨著數字化的推進，互聯網領域更多迎來的應該是應用層面的更新。

網絡安全環境日趨險峻

網絡安全的法律法規的逐漸完善，其后是技術發展與網絡安全形勢的嚴峻。在普通民眾眼中，大學生個人信息泄露尚未造成嚴重后果，但在更廣泛的范圍內，數據安全環境并不樂觀。

游云庭稱，2003年時，PC互聯網時代的互聯網產業還是“少年”，公眾對于新生事物比較寬容，但隨著2007年蘋果公司發布iPhone，世界進入移動互聯網時代，互聯網產業有了新一波突飛猛進的發展，產業如日中天，數據和個人信息泄露和被濫用的弊端也不斷顯現。

奇安信《中國政企機構數據安全風險分析報告》顯示，2022年，數據泄露事件已超過數據破壞事件，成為全球數據安全風險的首要問題。從全球公開新聞報道來看，51.7%的數據安全事件為數據泄露事件。而針對機構數據的外部威脅，57.4%是為了竊取數據。僅2022年1~10月，就有超過950億條，至少46.4TB的中國境內機構數據在海外被非法交易。數據泄露問題形勢嚴峻。

其中，個人信息是數據泄露最主要的類型。從全球公開新聞報道來看，60.2%的數據泄露事件，泄露的是個人信息數據，其中，實名制信息占比個人信息數據泄露總量的64.3%，其次是賬號密碼和用戶行為等數據。在海外非法交易的境內機構數據中，55.6%的交易事件涉及個人信息，81.0%的交易數據為個人信息數據。

對政企機構而言，商業機密數據的泄露是安全經營的重大挑戰。在海外非法交易的境內機構數據中，19.3%的交易，買賣的是商業機密數據。商業機密數據泄露的主要形式是各類文檔，包括內部制度、員工手冊、財務報表、戰略分析、產品文檔、項目策劃等等，占比高達73.2%。特別值得警惕的是，文檔類商業機密數據泄露的最大源頭，并不是外部威脅，而是合作伙伴和內部員工。而百度文庫、道客巴巴、豆丁網、360文庫等文檔分享平臺，則是文檔類商業機密數據泄露的主要渠道。

奇安信數據顯示，從2022年1月至2022年10月，政企機構重大數據安全事件發生的原因來看，超過五成安全事件是由于外部攻擊（指沒有獲得認證的、未經授權的非法用戶對內網進行的訪問請求或攻擊行為）導致的，但也有5.0%的事件是由于內部人員違規操作。3.9%的重大數據安全事件是由于存在漏洞。

“內鬼作案”是數據安全事件發生的重要途徑，奇安信方面建議，不僅要防外也要防內，做好數據操作的審計，防止非授權信息讀取，防止越權的敏感信息讀取，包括一些過度的數據讀取其實也是一種泄露，如在辦一些業務的時候本來只用知道該用戶的姓名、性別及年齡，但是在相關資料上還能看到其聯系方式、工作單位等信息，這樣的過度讀取或者暴露個人信息的行為也不合適。

從南非所有公民征信數據泄露，到香格里拉酒店被黑，再到熱搜不斷的學習通事件，無不說明個人信息泄露不分國界，信息保護形勢嚴峻。

需要技術和法律的“雙保險”

目前，世界各地將近有150個國家都對個人信息保護做了相關規定，我國也高度關注個人信息泄露問題，不斷完善規制個人信息泄露相關制度規則。

在亞信安全首席研發官吳湘寧看來，作為安全防護平臺，三十年前亞信守護PC，二十年前守護網絡，十年前守護云，今天守護5G、IoT、大數據，未來將要守護大模型、人工智能，安全伴隨技術發展一直在進化迭代。

著眼于當下正熱的AIGC與大模型，英普華亞太及日本區技術副總裁周達偉表示，大模型在人工智能方面造成了安全領域上有著不同著重，過去很注重遠程安全、應用安全，但在大模型的產業互聯網的時代，企業將更加注重數據安全的保障。

周達偉提到，從流量方面來看，現在最新的數據有83%的網頁應用與API有直接關系，其中27%的相關攻擊是針對相關的API做出的攻擊。具體到產業鏈損失，數據顯示，2022年一整年造成相關API的損失高達5300億人民幣，這是非常巨大的體量。

近年來，《網絡安全法》《數據安全法》《個人信息保護法》等系列法律法規、網絡安全審查制度相繼出臺。2021年，國家出臺《關鍵信息基礎設施安全保護條例》，在關鍵信息基礎設施認定、運營者責任義務、保障和促進、法律責任等方面進行了明確、具體的規范。

中央網信辦網絡安全協調局副局長羅鋒盈表示，加快出臺網絡數據安全管理法律法規，應建立健全數據分類分級保護，個人信息保護合規審計，數據促進安全制度等，從違法違規搜集使用個人信息等行為不斷強化能力建設，堅持底線思維，強化風險意識、責任意識，加強重點行業、重點數據安全監管，切實保障數據安全。

在技術、法律“雙保險”的加持下，網絡安全的攻守故事還將持續

標簽：