百万快递信息被盗：个人隐私不应该只由个人来保护

近期，#男子翻进物流仓库植木马程序#词条登上了热搜。在该案件中，犯罪分子利用企业的管理不严密，趁着夜色在打印快递面单的电脑上植入了木马，轻松获取到了数以千万计的个人信息。

当下，电信网络诈骗形势严峻，已成为发案最多、上升最快、涉及面最广、人民群众反映最强烈的犯罪类型。据调查显示，2022年全国网络电信诈骗金额达到了2万亿元人民币，数额之大让人瞠目结舌。电信诈骗的源头来自数据泄露事件中的个人信息泄露，个人信息的泄露让诈骗团伙轻易的锁定了受害人，并将其信息与与谎言相结合，造就了当下电诈的泛滥和猖獗。

当前，随着《个人信息保护法》的完善，公众对个人信息的保护意识越来越强，但在实际落地层面，很多人对个人隐私泄露表现出了无可奈何。

知乎答主黑山老妖表示：谁都在乎个人隐私，但现在是无奈，是没有办法。举个五月初的亲身经历，和媳妇坐高铁，包里有一瓶防晒喷雾，那两检查人员死活看不懂是什么东西，解释也不信，我让她直接没收得了，她又说没依据，最后让我媳妇把身份证拿出来，她把身份证和防晒喷雾放一起用自己的手机拍了个照。我当时非常不爽这种行为，我怎么知道她拿着这照片去做什么用途。但我没吭声，因为我知道如果维权，大概率我们是走不了了。类似的例子很多，所谓的个人隐私毫无意义，所以别纠结，习惯就好！

这种无可奈何的心态的产生，是我国大众长期对个人隐私泄露的无奈，也是社会各界长期对个人隐私的忽视。而造成这一切的起因，是大数据时代的快速发展。

大数据时代与个人隐私保护之间的矛盾

在大数据时代，“数据化”已经成为普罗大众日常生活中不可分割的一部分。人们当前的生产劳动和数据拥有着非常紧密的联系，每一个动作的背后都会产生大量的数据信息。在互联网的链接下，这些数据可以精准识别每个人的基本信息、兴趣爱好或是潜在的生活需求，各大平台可以以此来给用户提供便利，提高存在感和体验感。

然而，大数据也存在一定的风险，首当其冲就是个人信息的泄露，从而引发例如电信诈骗等损害人民财产的安全事件。即便政府的法律法规不断出台，媒体也持续告诫公众要保障个人隐私安全，但大数据的快速发展和个人隐私之间的矛盾依然存在，并在持续扩大。造成这一切的原因是什么？

当前，国际上的个人隐私治理模式可以分为两种，欧洲模式和美国模式。在欧洲，个人隐私是基本人权，这点可以从《通用数据保护条例》（GDPR）可以看出。该条例的诞生让全世界的企业在收集欧洲公民时，都需要征得用户的同意，并解释其用途；欧盟公民有权随时查阅、修改、删除这些个人资料。如果出现涉及个人数据泄露的安全漏洞，公司须在72小时内向有关部门报告。如果不遵守这些规定，公司将面临2000万欧元或全年营业额4%的处罚，企业法人还会面临牢狱之灾。

从GDPR的诞生可以看出，欧洲公权力介入个人隐私保护方面的力量极大，欧洲政府将公民的隐私保护置于非常重要的地位，人与人之间不仅平等，在面对强于个人力量的组织或企业时也能够有法律来依托和保障。而相对于欧洲模式的美国模式，则与我国的现状有些相似。美国模式下的个人隐私极易被侵犯，一方面是美国包容开放的经济环境导致其的公权力相对较低，另一方面是该经济模式下的企业，对个人信息的需求更加密切。因此，美国个人隐私保护的主要力量来源于个人，企业和政府在某种情况上甚至会达成一致。

我国的个人隐私保护参考了欧洲和美国，但似乎未能走出一条新的路线。一方面，我国的公权力要高于欧盟，但对个人隐私的保护力度却不如欧盟，另一方面，我国的经济模式并非完全的开放自由，但企业对个人信息的需求却更高。诚然，法律法规的不健全是造成这一切的原因，此前我国的经济技术水平较低，但发展速度极快，而法律法规的制定通常跟不上技术的发展，也就导致了此前遗留的问题一直持续到现在。但即便法律出台了，现状也未能得到改善。自《个人信息保护法》发布后，企业对个人信息的索取虽然有了一定的约束，但总体并未减少太多。此外，我国封建社会的儒家文化潜移默化的影响了一代又一代人。舍小家，为大家的思想让我国公民对个人隐私被侵犯的容忍程度非常高，整体社会环境往往又会忽视这类问题，也就让那些想要解决隐私信息泄露的个人无能为力。

个人信息虽然是数据，但对于个人来说，这些数据更像是躯体的一部分，它能反映出个人的一系列特征。或许有人想要通过这些数据来获得便利，但相信没人愿意在自己不知情的情况下，任由这些“躯体”在一个个不同的、别有用心的个人或组织之间传递。大数据是大势所趋，信息时代可能不会顾及到个人得失，但无法否认的是，隐私和大数据，两者的权重都非同一般。无论是保护隐私约束大数据，还是允许大数据囊括隐私，都是不正确的。个人虽然有责任和义务保障个人信息，但组成大数据时代的各个部分，也就是收集和使用的组织和企业们是否应该承担更多的责任呢？

个人隐私保护：企业责任>个人责任

实际上，在保护个人隐私信息方面，企业比个人的责任要更加重大。笔者前段时间有幸在某安全厂商的论坛上听到了知名经济学者薛兆丰对安全的看法。在论坛上，薛兆丰提到了一个汉德公式，可以在安全事件发生后，将相关各方的责任划分清楚。这个公式有一个前提：“规避危险的成本”（B）<“发生事件的概率”（P）*“危害一旦发生所造成的损失”（L），当这个前提成立时，谁规避危险的成本越低，谁对发生事件的责任就越大。

目前，大部分企业都会以不提供服务来迫使用户交出他们的个人信息，因此，对于用户而言，他们想从个人层面避免泄露个人信息，就无法使用相关的服务。以物流行业为例，不付出个人信息就意味着快递无法送达，在电商成为主流消费市场的当下，无法使用快递的后果可想而知。而对于企业来说，无论从监管层面上还是从道德层面上，收集和使用个人信息的企业都有责任将数据保护完善，而企业层面只需要完善管理流程，增加安全预算就可以在很大程度上规避大量的数据泄露风险。换言之，从企业层面上规避风险的成本要远远低于个人规避危险的成本，因此，企业才是承担和避免个人数据泄露的主体。

如今，个人隐私泄露是与我们每个人息息相关的数字化安全课题，数字化技术深刻的改变了我们的工作和生活方式，只要使用数字化服务，就不可避免的要让渡一部分数据，这是不可逆转的，但对于我们这些普通百姓来说，我们只需要享受数字化技术的便利，而保护用户隐私的责任就应该由收集用户数据的公司承担。

然而，因企业的管理疏忽造成数据泄露的事件层出不穷。近期，就有数起相关事件的发生，导致数据泄露的根源甚至不是传统意义上的网络攻击，而是企业的管理失效。

翻墙植入病毒成常态？

今年，几乎每一个安全从业者都在讨论安全环境的恶劣，无论是新技术、新攻击模式还是新的黑客团队都在向企业说明保障网络安全充满挑战。但这并不是企业发生安全事件的理由，哪怕没有黑客攻击，依然有企业遭遇数据泄露，而这样的事件竟然越来越多。

今年3月，上海某女士遭遇“冒充快递客服”诈骗，诈骗金额达到2万元，上海警方接警后立刻展开调查。在调查取证中上海警方发现，境外不法人员精准掌握受害人的身份、网购订单等个人信息是诈骗成功的关键。从这个角度出发，上海警方进行了深入的调查，最终将目标锁定在上海市青浦区汇金路的一家物流公司。在检查了这家企业的40余台计算机后，警察发现了有部分设备被认为植入了特定的木马程序，该程序可以攻击物流公司的派单系统，并将用户信息转移到境外。

在进一步调查中，警方锁定了去年9月离职的一位前员工彭某，并将其捉拿归案。据彭某供述，他使用境外社交软件时认识了境外购买个人信息的不法分子，在利益的诱惑下，彭某入职了该物流公司，并将不法分子提供的木马程序植入到了公司的电脑中。在交代如何植入时，彭某表示，他在作案前藏匿在公司仓库的厕所中，待公司内所有人离开后，他才悄悄植入木马病毒。

实际上，通过藏匿的手段植入病毒的不仅这一起事件。去年，浙江义务某电商云仓企业在收到客户反馈中发现，自己所管理的部分快递信息遗失，致使多起诈骗事件发生。该企业在进一步自检中发现数据被泄露，而泄露方式则同样是木马植入。在警方介入后，警察通过仓库内的公共视频发现，某天深夜，一名神秘男子翻墙进入仓库，并对专门打印快递面单的电脑植入了病毒。

同年6月，温州市永嘉县一家知名鞋企也同样发生了数据泄露事件，公司经排查发现快递面单上的打印数据流被人为截取，其仓储部的两台打印快递面单的电脑同样被植入木马程序。在经过一系列的排查，该公司发现在有两名陌生男子在凌晨2点撬开公司的铁皮门进入其1楼的仓储部，在对电脑植入病毒后翻墙离开。

以往，我们对于数据安全的治理主要围绕在网端，讨论的对象主要是社工钓鱼、勒索软件攻击等等，但上述的例子告诉我们，一家企业如果连最基础的安全都保障不了，也无法指望其能够承担起其他的安全责任。从安全驱动力来看，以往我们会以合规、事件、发展等方式来驱动安全建设，但似乎从没有一家企业以社会责任来驱动建设安全。收集信息时用户是“衣食父母”，保障安全时又忘记了对用户的责任，这类企业的存在是导致当前个人隐私频繁泄露的根本原因。

因此，促进企业建设和保障数据安全需要从各个方面来努力。在政府层面，应该进一步完善立法，并加强监管力度，督促企业完善安全架构，保障用户隐私。在个人层面，虽然个人的力量很小，但群众的力量是庞大的，对于这类无法保障数据安全的企业，用脚投票是对他们最大的惩治，只有直接的经济利益受损，这类企业才会真正重视安全。

结语

幸运的是，目前我国有很大一部分的组织和企业已经关注到了保障个人隐私的社会责任。去年，由中国网络安全产业联盟发布的《数据安全与个人信息保护社会责任指南》已于今年2月正式实施。联合起草单位包括中国电子技术标准化研究院、中国科学院信息工程研究所、中国网络安全审查与技术中心等政府机关；百度、快手、腾讯等互联网头部企业以及数安科技、启明星辰等安全行业头部企业。这些企业的发声让社会各界看到了我国在保障个人隐私方面的努力，也让更多处于C端的消费群体得到了保障。

个人信息保护在我国任重而道远，但每一个个体的发声都是在促进相关利益者的重视。在人权日益提升的当下，相信在不远的未来我们能够看到比肩GDPR的法律的诞生，也能够看到更多的企业将个人隐私安全成为企业发展的重中之重。