企业信息泄露：防护待加强 法律空白须填补

    近日，小米手机800万用户泄露引发广泛关注。近期发生的多起企业大规模信息泄露事故，不仅给公民个人和国家安全带来严重威胁，还将对企业发展造成重大打击。有关专家表示，大规模信息泄露事故高发期已经到来，而我国企业却普遍片面追求发展速度，安全防护水平“瘸腿”十分严重。，法律法规的缺失让涉事企业免于处罚，也无法倒逼企业加强安全防护。

    --企业大规模信息泄露事故频发

    近日，国内手机厂商小米的用户数据库在网上公开传播、下载。其中涉及800万用户的短信、通讯录、精确位置等私密信息，并能被用来访问小米云服务并获取更多信息，引发用户普遍恐慌。

    事实上，此类事故并非上演。今年3月，携程网大量用户信用卡帐号、姓名、身份证号等敏感信息遭到泄露；2013年10月，多家酒店的开房信息因系统漏洞而发生泄露，2000万条开房信息在网上“裸奔”。

    国际关系学院信息科技系副主任王标说，随着云计算、大数据技术的广泛应用，企业保存的用户数据量越来越大，大规模数据泄露的风险也越来越大，大规模信息泄露事故高发期已经到来。

    世界知名信息安全厂商赛门铁克近日发布报告称，2013年全球超过5.52亿条个人身份信息被泄露，是2012年的4倍；全球大规模信息泄露事故从2012年的1起增加到8起，每一起事故泄露的信息都超过千万。

    王标说，频发的大规模信息泄露事故不仅将为公民个人带来巨大危险，为账户盗刷、诈骗等犯罪活动打开方便之门，国家安全也很可能受到威胁。大规模个人信息泄露后，敌对势力可通过大数据分析，获取与国家安全有关人员的信息，摸清我国经济社会脉络。

    --企业防护“瘸腿” 法律法规缺失

    受访专家表示，国内互联网企业片面追求发展速度，不愿加大安全投入，在黑客面前不堪一击；，法律法规的缺失让涉事企业免于处罚，也无法倒逼企业加强安全防护。

    “实践证明，多年前用来入侵企业网站的老技术，现在还继续好用。”国内著名“白帽”(黑客中起正面作用的)、上海碁震云计算科技有限公司CEO王琦告诉记者，并不是黑客的技术有多高，而是多年来我国企业的安全防护水平没太大进步，不少企业连一个低级入侵都防不住。

    王标说，企业往往将安全当做成本，而且是无法产生直接效益的成本。企业都在追求发展速度，而不愿意加大安全方面的投入。这次小米信息泄露就是一个典型事件。如果不是发生泄露事故，恐怕小米也没有动力加强安全防护。

    信息安全专家、南京翰海源信息科技有限公司CEO方兴长期为互联网企业做安全防护服务。他讲了一个真实的故事:国内某著名互联网企业被黑客窃取了大量用户信息，企业就去找黑客谈判:“你如果在网上公布，那是毁我们名誉，我们跟你'死磕’。如果你只拿去卖钱，那我们不管。”方兴说，这是目前国内企业的真实状态，只要与自身利益无关，企业就不会重视安全问题。

    相关法律的缺失也是信息泄露事故频发的原因之一。上海理工大学电子商务与计算机法研究所所长杨坚争说，目前我国还没有一部关于个人信息安全的法律，仅靠企业的自觉性来保障信息安全是不可能实现的。

    杨坚争说，前几年，美国零售企业TARGET发生用户信用卡信息泄露，该企业被依法处以巨额罚款，负责人也被迫引咎辞职。近两年我国多家企业曾发生大规模数据泄露事件，却从未见哪家企业被处罚。如此一来，企业更不会在安全方面加大投入。

    --行业自律必不可少 急需完善法律法规

    受访专家建议，我国宜参照发达国家经验，采取立法与行业自律相结合的方式应对企业信息泄露问题。

    ，及时出台专门针对个人信息安全的法律，对企业搜集、存储用户信息的规范和责任做出明确细致的规定。在打击黑客的，也要严厉处罚发生信息泄露事故的企业，倒逼企业重视安全管理。

    实际上，不少国家都已出台关于个人信息保护的“严刑峻法”。今年3月，韩国专门出台防止金融领域个人信息泄露的综合法案。根据该法案，一旦发生用户信息泄露，金融机构和电商需要缴纳的罚金是以往的3倍，且没有上限，相关刑事处罚也加重至10年以下有期徒刑。

    ，在完善法律法规的前提下，企业应加强对安全的重视程度，并推动建立行业自律机制。王标说，不重视安全的企业是短视的。例如携程网发生信息泄露事件后，其流量排名已从全球1000名左右狂跌至4000名开外。企业要有清醒认识，加大在安全方面的投入，并定期进行安全测评、认证。

    复旦大学国际政治系副教授沈逸建议，应改变整个行业在面对安全威胁时的“一盘散沙”状态。可以采取“产业联盟”、“安全联盟”的方式形成企业间的合作机制，出台安全标准，推动企业自律，提升行业安全防护水平。