最近，數據泄露事件再次引起公眾關注。瑞典遭遇史上最嚴重的數據泄露事件，印度電信運營商Jio一億多用戶信息“裸奔”。在英國新數據法案下，掌握大量數據和用戶信息的谷歌(微博)、臉譜等公司已接到重罰警告。全球保衛數據隱私之戰進一步升級。

數據泄露無處不在

近期發生多起數據泄露事件，涉及多個國家的各類數據，表明全球數據泄露風險并未受到充分重視。

上個月，瑞典遭遇史上最大規模數據泄露事件。瑞典首相勒文宣布免去內政大臣安德斯·于耶曼和基礎設施大臣安娜·約翰松的職務，理由是二人對一起交通數據泄露事件處理不當。瑞典媒體援引勒文的話說，這簡直是場災難。

7月24日，瑞典政府承認，在互聯網工程服務外包中發生了大規模資料外泄。據瑞典電視臺報道，為簡化流程節省成本，瑞典交通管理局2015年將IT系統管理和維護工程進行外包，但外包過程中違規操作，將未經加密處理的交通資料庫上傳至外包公司位于他國的數據庫。

其中一家外包公司為IBM瑞典分公司，該公司服務器實際放置在捷克，意味著受雇于該公司的捷克電腦工程師可以輕而易舉地接觸到敏感數據。另一外包公司是一家塞爾維亞的通訊公司，負責維護瑞典交通管理局網絡防火墻和通訊系統，也擁有查看相關數據的權限。

這些可能已遭泄露的信息包括瑞典全國的機動車駕駛人信息，橋梁、地鐵、道路和港口等敏感信息，甚至還有瑞典警方和軍方的車輛信息和防御計劃等。

另有消息披露，瑞典交通管理局在上傳數據過程中也存在重大安全風險，比如，工作人員先將所有數據上傳到未受保護的云端服務器，然后再通過電子郵件將鏈接發給外包公司。

瑞典交通管理局前局長瑪麗亞·阿格倫已于今年1月被解職，并被處以7萬瑞典克朗(約合5.8萬元人民幣)的罰款，但政府并未在第一時間公開原因。瑞典交通管理局最近才承認，阿格倫在外包工程過程中，繞過了多項保護敏感信息的法律法規和內部章程。

黑客入侵也使用戶信息出現泄露。美國《財富》網站報道，美國特朗普國際酒店管理公司7月11日表示，由于一家服務提供商的系統遭到黑客入侵，旗下14 處酒店的客戶信用卡支付細節遭到外泄。

這家酒店網站上的一份通知顯示，黑客攻擊了酒店服務提供商——Sabre的中央預訂處理系統，從而造成部分連鎖酒店的客戶預訂信息泄露，這些被泄露的信息包括支付卡號以及卡安全密碼。此次攻擊，是今年 5月份所披露Sabre預訂系統遭到網絡攻擊的一部分。全球范圍內，Sabre公司的預訂系統被近3.2萬家酒店使用。Sabre公司在6月5日告知特朗普酒店，拉斯維加斯、芝加哥等多個城市的特朗普連鎖酒店的客戶信息遭到外泄。Sabre公司稱，泄密僅僅發生在酒店所使用的預訂服務系統Sabre Hospitality Solutions，酒店電腦系統本身并未受到影響。

值得一提的是，去年特朗普酒店就曾出現7萬多張信用卡號碼和300多個社安號碼外泄事件，因未立即通知客人，特朗普酒店被紐約州罰款5萬美元。作為達成和解協議的一部分，當時酒店表示同意支付罰金，也同意更新安全技術。顯然，系統再度受到攻擊意味著酒店未能很好完成其保護系統安全的承諾。

另據英國的科技新聞網站The Register報道稱，今年7月，data.gov.uk網站使用者的姓名、郵箱和密碼等信息被發現能在第三方網站上接入獲取。2015年6月20日前注冊這家網站的用戶都受到了影響。英國政府數字服務機構表示，立刻將這些數據從公共區域移除并向相關機構進行了匯報。英國政府則建議，被泄露信息的使用者需要重置密碼。

印度出現了類似的情況，但規模更大，危害更嚴重。7月初，有媒體報道說，印度電信運營商Jio超過1億用戶的信息遭到泄露，用戶發現，在magicapk.com網站上輸入一個Jio網絡下的手機號碼進行查詢，會出現包括這個號碼使用者的姓名、電子郵箱、號碼激活日期和入網地點、個人身份證號碼等多項個人信息。這被視為印度電信行業史上最大規模數據外泄事件。隨后，這個涉嫌泄露信息的網站已無法打開。

網絡安全分析師斯里尼瓦斯·科達伊說，這些用戶信息早在今年6月就出現在一個網絡論壇上，在“暗網”(互聯網上數量龐大的“隱身”網站)中，還出現了用戶信息的截屏圖片。Jio隸屬印度信實工業公司，是印度移動通信市場上的后起之秀。信實董事長穆凱什·安巴尼被《福布斯》雜志評為印度最富有的人。

數據安全監管亟待完善

數據泄露事件頻發，暴露出互聯網時代的治理漏洞，也暴露出互聯網時代中數據隱私的保護與監管、保護與共享等諸多矛盾，對各國相關法律法規的制定和實施提出了更高要求。

在瑞典交通管理局信息泄露事件曝光后，盡管尚未有證據顯示這些資料落入不法分子之手，但已引發瑞典政壇震蕩，反對黨主席在新聞發布會上嚴厲指責現政府在保護瑞典國家安全方面存在嚴重失責。反對黨聯盟計劃對國防大臣等官員發起不信任投票，要求他們下臺為泄密事件負責。

瑞典首相勒文承認，泄密事件是瑞典網絡安全的一場失敗。他透露，瑞典政府正在擬定一項新的安全法案，對涉及國家安全的外包業務提出更加嚴格的規定。該法案將于2019年1月生效。

事實上，在歐盟，對于數據安全的保護條例在不斷完善之中。

2015年12月，歐盟通過了《一般數據保護條例》，以歐盟法規的形式確定了對個人數據的保護原則和監管方式，避免個人數據陷入“裸奔”的尷尬。對于困擾歐盟與美國之間的信息自由流動問題，歐洲法院也做出了否決歐盟與美國《信息安全港》協議的裁決。

“棱鏡門”事件后，美國掀起了個人信息保護的高潮，除了《隱私保護法》，還陸續出臺了《兒童在線隱私保護法》、《電子郵件隱私法案》、寬帶用戶隱私保護新規等法律法規。此外，美國還和歐盟聯手打造《歐美隱私盾牌》協定，取代此前的《信息安全港》協議，以保護跨國個人數據安全。

英國一些大機構今年以來遭到不同程度的黑客襲擊。例如英國國民保健制度服務系統5月遭勒索軟件病毒入侵后，多家醫院電腦癱瘓，不得不停止接收患者，救護車等醫療服務也受到影響，這使得不少專家呼吁政府加強數據保護。

英國本身也早就有數據保護法案。但多年前，英國曾有一個“時代”計劃，并和美國國家安全局在嫌疑目標的確定、對民眾通訊記錄的獲取等方面互通有無，如讀取通話記錄、電子郵件內容、社交網站的登錄方式等信息。一些電信企業被迫選擇將“部分或全部”通信服務轉移到海外，企業及海外通信服務商不得不與英國當局私下達成協議，允許情報機構在“適當法律授權”下接觸到英國境外的通信數據。

隨著數據隱私及安全問題越來越突出，英國政府宣布將修改相關法律條文，加強對個人數據隱私的保護。

英國的情況多少反映出監管和隱私保護逐步從不和諧走向完善。事實上，這種情況在其他國家也存在。

例如，為了防止有組織的恐怖主義行為，澳大利亞《強制保留通訊數據法案》于2015年3月生效。通過立法，澳大利亞政府要求其國內的通信運營商Telstra和Optus保存用戶的通信數據，例如電話記錄、IP地址、短信的詳細信息、數據的地址等，保存期限是2年。

對此，澳大利亞人各持己見。大部分人對此表示支持，同意用納稅人的錢來分攤網絡公司儲存數據需要的每年約為1.31億澳元的高昂成本。也有公民自由倡導者認為，這反而可能泄露個人隱私。這部新數據法在爭議中開始實施。

在印度，2013年，其政府啟動了覆蓋面廣闊的監控系統，這一系統允許政府竊聽錄音電話中的對話，閱讀私人電子郵件和短信，監控臉譜和推特等社交網絡平臺上的發帖，并追蹤個人在谷歌上的搜索目標和痕跡。安全部門不需要法院的監控命令，也無須告訴運營商，就可以獲取通訊材料。直到目前，印度并沒有正式的隱私法。

德國擁有世界上最嚴格的隱私保護法。1977年，德國聯邦政府出臺了適用于整個德國的《聯邦數據保護法》，約束范圍包括電子通信、互聯網等領域，防止因個人信息泄露導致的侵犯隱私行為。政府內部還設立了聯邦數據保護與信息自由專員，來監督政府機構在保護個人數據方面的行為；德國各州也有數據保護專員，以類似的方式監督各州政府機構的行為。

即便如此，關于個人信息保護也存在爭議。著名的“德國之翼”墜機事件發生后，這一爭議在德國始終沒有停止過。

商機與禁區并存

保護數據隱私，越來越受重視，這對用戶而言無疑是個福音。對不同企業來說，數據隱私的保護工作，既意味著商機，也意味著可能受到更多限制。

數據隱私保護帶來了商機。英特爾公司最近在紐約舉行的“英特爾Xeon可擴展處理器發布會”上宣布，正與金融創新公司R3合作，加強其Corda區塊鏈平臺的數據隱私和安全性。

作為解決Corda數據隱私和安全的一部分，該平臺只向“需要知道”的人發送數據，這與大多數區塊鏈應用程序不同。這一特點源自金融機構的要求，需要確保貿易和協議的保密性。Corda解決了全球80多個成員識別的多個問題。對英特爾和R3來說，數據隱私保護的需求無疑催生了新商機。

新興企業也在涉足數據隱私保護行業。

英國金融科技初創企業Privitar最近宣布，公司已獲得1600萬美元A輪融資，將用于擴大其技術平臺和拓展美國市場的業務。這家公司的聯合創始人兼首席執行官簡森·布雷茨將其定性為“隱私工程”公司，表示其目標是在確保客戶隱私信息得到嚴格保密的前提下，通過大數據分析預測客戶行為，將手中的數據增值變現。

與此同時，由于數據隱私問題，一些企業遭到警告或者被判違法。

英國媒體8月份報道稱，英國政府將推出一項新法律，旨在監督和強制社交媒體公司和在線交易商刪除民眾的個人資料，保護他們的權益。英國數字國務部長馬特·漢考克表示，這是這些公司們“被遺忘的權利”，從此以后，他們再也無法通過默認的線上“勾選框”無限制地利用民眾的個人信息。

依據該法案，英國信息專員辦公室有權對違反該項數據法的公司施以高達1700萬英鎊(約合人民幣1.49億元)的罰款，或者收繳該公司4%的全球營業額。但該法案的主要目的之一是取代數據保護法，確保英國的法律符合歐盟的《一般數據保護法》，以便在英國“脫歐”后，數據可以繼續自由流通。“個人數據”的定義范圍也將擴大，包括IP地址，互聯網Cookie和DNA，同時，也定義新的刑事犯罪行為，阻止部分公司故意或罔顧后果地識別匿名人士信息。

盡管數據新法案還有待公布更多細節，但外界認為，英國此舉無疑是向谷歌、臉譜等科技公司利用用戶數據推送廣告、銷售產品等行為發出了最強警告。臉譜時不時彈出的廣告信息將會在英國地區頁面上消失，用戶有望從被迫標記不接受商業廣告郵件變換到如有需要在明確同意的前提下獲取這些信息的模式。

今年7月初，英國最高隱私保護監管部門還裁定， DeepMind一項重要的醫學實驗違反了英國的數據保護法。

谷歌旗下的DeepMind與英國國家醫療服務系統NHS信托機構達成協議，允許訪問NHS旗下三家醫院約160萬病人的醫療記錄。然而，英國最高隱私保護監管部門表示，這項實驗并沒有告訴患者醫療記錄數據的使用方式。

該部門認為，在DeepMind展開實驗時，主要目的是想看看移動應用APP是否正常工作，以及醫務人員是否喜歡其界面，而不是嘗試改善治療效果。英國信息專員伊麗莎白·登海姆表示：“患者并不希望他們的信息以這種方式被使用。”之后，DeepMind和NHS根據要求簽署了改變數據處理方式的承諾。