新浪微博被工信部约谈 数据泄露几时休？

数据是否涉及隐私？

公开信息显示，3月4日，有暗网用户发布了一则名为“5.38亿微博用户绑定手机号数据，其中1.72亿有账号基本信息”的交易信息，售价1388美元。

该用户称，这些信息“均为2019年年中左右抓取”，并给出400条绑定手机号的测试数据，以及1500条账号基本信息的测试数据。其中绑定手机数据包括用户的ID和手机号，账号信息则包括用户昵称、头像、粉丝数、所在地等。

微博用户“@安全_云舒”关于微博数据泄露的微博

该事件被媒体曝光后，微博方很快回复：微博一直有提供根据通讯录手机号查询微博好友昵称的服务，用户授权后可以使用该服务。但微博不提供用户性别和身份证号等信息，也没有“根据用户昵称查手机号”的服务。因此这起数据泄露不涉及身份证、密码，对微博服务没有影响。

但经过《新京报》记者实测发现，不仅有暗网上的数据打包售卖，在Telegram平台上也有灰产人士提供微博、QQ、贴吧等社交账户关联手机号码及其他信息的定向查询服务。

据测试，Telegram平台上售卖的微博用户信息，其中不少信息包括用户身份证号、手机号、密码、生日等私密信息。

 数据泄露是匹配通讯录导致

就此次事件，微博承认数据泄露属实。但关于起因，微博解释称，此次数据泄露应追溯到2018年底，当时，有用户通过微博相关接口批量上传通讯录，匹配出几百万个账号昵称，再加上通过其他渠道获取的信息一起对外出售。

按照这个解释，这次数据泄漏主要原因是通讯录好友匹配攻击导致的。有业内人士解释称，攻击者可以伪造本地通讯录来获得手机号到微博用户账号的关联。比如通过伪造的手机号匹配好友，并不断列举，就能关联出所有用户帐号到微博ID到手机号的关系。 

当然，这也说明前期微博接口安全防护没有做到位，在关键数据隔离、权限分层管控、数据加密存储等方面没有按照统一规范流程搭建业务，导致数据被他人通过撞库的方式获取到。

网络大数据集中后，给非法势力攻击、窃取大量信息提供了便利，由此导致的信息泄露，也给公众带来了不少困扰。

中消协此前发布的报告显示，在使用APP过程中，遇到过个人信息泄露情况的受访者占比达85.2%。信息泄露后，约86.5%的受访者曾收到推销电话或短信的骚扰，约75.0%的受访者接到诈骗电话，约63.4%的受访者收到垃圾邮件，排名位居前三位。我国网民因垃圾信息、诈骗信息、个人信息泄露等遭受的经济损失一年高达915亿元。

 工信部强调数据分级保护

针对此次数据安全事故，工信部对新浪微博提出了四点要求，其中包括，要尽快完善隐私政策，规范用户个人信息收集使用行为；同时要加强用户信息分类分级保护，强化用户查询接口风险控制等安全保护策略等。

新浪微博被约谈

企业收集公民的个人信息已成为常态，如何保护公民个人信息安全成为重要问题。

《全国人民代表大会常务委员会关于加强网络信息保护的决定》(以下简称《决定》)第一条规定，“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息”。从这一条来看，公民个人信息不仅包括传统意义上的姓名、住址、电话、工作单位、财产状况等物理信息，还包括个人的生物信息。

《决定》规定，“网络服务提供者和其他企业事业单位及其工作人员对在业务活动中收集的公民个人电子信息必须严格保密，不得泄露、篡改、毁损，不得出售或者非法向他人提供”。

中同律师事务所合伙人、专职律师顾新华接受《数据》记者采访时也曾表示，从企业的角度来说，收集了公民的个人信息后，应该承担保护信息的义务。

顾新华提到，根据《中华人民共和国网络安全法》规定，网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。

（图片来源：摄图网） 

文字丨李婷

编辑丨贺陈慧