数据泄露一直都是互联网企业难以言说的痛，在“3·15”国际消费者权益保护日脚步的临近之际，葫芦娃与大家一起回顾这些用户信息泄漏的典型案件。

近日，公安部破获了一起盗卖公民信息的特大案件，被窃取和盗卖的公民信息多达50亿条。经公安部调查，京东网络安全部前试用期员工郑某鹏，长期监守自盗，与黑客相互勾结，为黑客攻入网站提供重要信息——包括在京东、QQ上的物流信息，交易信息、个人身份等数据信息，为犯罪团伙实施违法犯罪活动提供了有力的技术保障。

从雅虎2亿用户数据泄露，再到前段时间，借贷宝10G裸贷照片和视频压缩包在网上的广泛流传，再到京东的12G数据泄露。一桩桩一件件，无不都显示着在当前大数据时代下每个人都在裸奔的普遍常态。

据国内知名电商用户投诉维权第三方平台，近年来接到的用户投诉以及对监测发现：不少大型互联网公司平台公司存在重大内部管理漏洞，其内部人员故意泄露、贩卖网站用户个人信息资料，侵犯网络交易用户的信息隐私权。下面盘点近年来行业内出现的11起典型用户信息安全事件如下：

事件一：5173中国网络服务网数次被“盗钱”。

2010年1月20日，涉嫌盗窃罪的李豪被兰溪市检察院批准逮捕。经查，李豪前后一共盗取了100多个5173网站的账号，共获得赃款12万余元人民币。不法分子先在网上找寻有出售游戏币和游戏装备信息的5173网络账号，通过简单交易获知信息，再推算出网络账号密码，从而实施网上盗窃。

事件二：当当网账户遭盗刷。

2012年3月，当当网账户集体被盗，余额被用于购买电子产品、金银首饰等大额商品。当年6月13日，网名为“我是那个向日葵”的微博用户发布微博称，其购进的10张面值500元"当当网礼品卡"，被盗充。2014年3月，当当网113位用户账户余额被盗用，损失金额超过6万元。而当当网对于用户账户被盗第一时间均是撇清关系，在舆论压力下才给以补偿。

事件三：“1号店”员工内外勾结泄露客户信息。

2012年5月底，微博用户挨踢客爆料1号店员工内外勾结泄露客户信息，90万的用户信息竟被以500元的价格叫卖。部分消费者不久后就遇到了账户余额被盗、电话诈骗等问题。之后1号店冻结用户账户。1号店副总裁刘彤回应：1号店在案发后已进行了内部检查，对系统、流程、权限进行了清理、升级，以杜绝日后类似事件的发生。被消费者质疑“很没有诚意”。直至2013年3月，仍有很多消费者称1号店对那次信息泄露事件的处理很不到位，至今仍没有得到应有的补偿。

事件四：支付宝漏洞信息泄露。

2013年3月27日晚，网友曝支付宝出现重大漏洞，称使用谷歌、360搜索则可以搜索出大量的支付宝交易记录，包括付款账户、收款账户、姓名、日期，甚至邮箱和手机号等，并附带上了Google搜索的截图和多个详情页的截图。该消息27日被大量转发后，支付宝官方于27日晚23时53分在微博中做了回应，称已做处理，这次有付款结果页面被收录可能是因为有极少量用户主动将自己付款结果页面分享到公共区域。该回应遭广大网友质疑。对此，支付宝在回应中称，支付宝生活助手转账付款结果页面一般用于支付双方展示支付结果，不含真实姓名、密码等重要信息，支付宝对这一页面链接加具了安全保护，正常情况下任何搜索引擎都无法抓取。目前已将用户付款结果页面做部分信息隐藏，进一步帮助用户保护个人隐私信息。

事件五：如家、七天开房信息泄密。

2013年10月，如家、七天等连锁酒店被网曝有多达2000万条客户开房信息遭泄露，只需输入姓名或身份证号，即可查询到包括身份证号、生日、地址、手机号、邮箱、公司、登记日期等真实信息。事发一周前，国内安全漏洞监测平台乌云发布报告，称多家酒店开房记录被某无线上网认证管理系统供应商存储，并因系统有漏洞而存在泄露隐患。

事件六：腾讯7000多万QQ群遭泄露，隐患危及微信支付。

2013年11月20日，国内安全漏洞监测平台乌云公布报告称，腾讯QQ群关系数据被泄露，在迅雷快传很轻易就能找到数据下载链接。根据QQ号，可以查询到备注姓名、年龄、社交关系网甚至从业经历等大量个人隐私。腾讯方面亦承认7000多万QQ群遭泄露。对此，业界均担忧泄露事件将直接牵连微信安全问题。“黑客一旦掌握了QQ号码和银行卡号，就能注册微信并使用微信支付，盗取用户资金几乎是轻而易举的事情。”

事件七：携程技术漏洞导致用户个人信息、银行卡信息等泄露。

早在2009年之前，携程信息安全漏洞就已经多次被用户质疑，但均未引起公司足够重视。2014年 1 月携程再次被媒体指出储存信用卡敏感信息存在泄露风险，携程网回应采用的信用卡支付方式符合国际惯例，对自身的信息安全问题再次选择忽视。2014年3月22日下午18:18分，乌云漏洞平台发布消息称，携程系统存技术漏洞，可导致用户个人信息、银行卡信息等泄露。漏洞泄露的信息包括用户的姓名、身份证号码、银行卡类别、银行卡卡号、银行卡CVV码(即卡号、有效期和服务约束代码生成的3位或4位数字)以及银行卡6位Bin(用于支付的6位数字)，上述信息有可能被黑客所读取。

事件八、快递单贩卖成“灰色产业链”。

快递单成为又一信息泄露途径，“淘单114”、“淘单网”、“淘单8”、“单号网”等网站明码标价出售快递单号，0.5元就可买到一份快递信息，快递单号贩卖俨然已经成为一条灰色产业链。而数量庞大的淘宝卖家成为快递单号的重要来源之一，目前有近90%的淘宝卖家都在刷单，用真实的快递单号“炮制”出逼真的虚假交。

事件九：小米“泄密门”800万用户信息泄露。

2014年5月13日晚间，安全平台乌云发布了一个重大的安全漏洞信息，小米论坛被脱裤，约有800万小米社区用户数据泄漏，或将影响小米移动云等敏感信息。随后有用户收到了诈骗电话，电话源头能提供用户的准确信息，姓名、地址、电话、商品购买记录、密码、邮箱、注册IP等信息等等，以货到付款的方式进行产品推销及其他诈骗行为。

事件十：13万12306用户信息外泄事件。

2014年12月25日上午，漏洞报告平台乌云网出现了一则关于中国铁路购票网站12306的漏洞报告，危害等级显示为“高”，漏洞类型则是“用户资料大量泄漏”。这意味着，这个漏洞将有可能导致所有注册了12306用户的账号、明文密码、身份证、邮箱等敏感信息泄露。后犯罪嫌疑人蒋某某、施某某被抓获。经过警方初步审查，两人交代是通过收集互联网某游戏网站以及其他多个网站泄露的用户名加密码信息，尝试登录其他网站进行“撞库”，非法获取用户的其他信息，并牟取非法利益。

事件十一：携程“瘫痪门”。

2015年5月28日11时许，携程网瘫痪，网页版和手机APP均不能正常使用，携程网回复称是服务器遭到不明攻击所致，正在紧急恢复。5月28日下午，携程官网在首页顶部挂出“携程网站暂时无法提供服务，正在紧急修复中，您可以访问：艺龙旅行网”的通知。5月28日17点开始，艺龙旅行首页网也无法正常访问，半小时后才恢复正常。对于事故原因，网上在携程瘫痪事件发生不久之后，出现了内部员工离职报复、数据库被物理删除等传言。5月28日22时45分，携程官方表示，经技术人员抢修，除个别业务外，携程官方网站及APP恢复正常，经过排查，数据没有丢失，预订数据也保存完整。5月29日1时30分，携程官方表示，经技术排查，确认此次事件是由于员工错误操作导致，由于涉及的业务、应用及服务繁多，验证应用与服务之间的功能是否正常运营，花了较长事件，携程官网及APP已与28日23时29分全面恢复正常。

究竟谁该为用户数据安全负责？

《消费者权益保护法》的规定，经营者及其工作人员对收集的消费者个人信息必须严格保密，不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施，确保信息安全，防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时，应当立即采取补救措施。另外，《网络交易管理办法》也有相同的规定。如果由于经营者的过失，导致消费者经济损失的，理应承担相应的赔偿责任。

按照现行法律，如果用户信息泄露，企业是需要承担一定的赔偿责任的，因为公司与用户之间具备合同关系，有保障用户信息安全的义务。如果本次事故是内部人员所为，说明公司内部存在管理问题，没有尽到安全管理责任，应承担相应的民事责任，赔偿用户损失。如果本次事故是外部攻击造成，需要具体分析公司方面是否有采取基本的技术措施保障信息的安全，再来判定公司是否存在过错。

用户信息泄露不仅存在于个别计价平台，几乎是当下各行业的一大“通病”，而信息泄露中受害最大的是处于被动的消费者。要在购物过程中避免信息泄露，需要消费者、电商平台和相关部门的共同努力。全国首部《电子商务法(草案)》中，加大对信息安全的保护力度，明确包括第三方电商平台、平台内经营者、支付服务提供者、快递物流服务提供者等在内的信息安全保护责任主体。提出对未履行保护义务的，最高处50万元罚款并吊销执照；构成犯罪的，追究刑事责任。此外，根据刑法第二百五十三条：“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。

那么，如何防止个人信息被泄露呢？

第一，网站用户信息泄露有多种可能性途径。现在许多APP、网站、公众号、小程序都需要用户注册账号后才能正常使用。因此，每个网民拥有多个账号是很平常的事情。在注册时，网站一般都需要填写一些个人信息，如常见的账号、密码、邮箱等，像一些电子商务、婚恋、交友网站等还需要实名认证，要求填写的信息更加详细。平台上的用户数据泄露主要有以下几种方式：黑客利用平台存在的安全漏洞入侵网站，盗取用户数据库；网站内部工作人员倒卖用户信息；通过撞库攻击，窃取用户数据；利用钓鱼攻击窃取用户信息；通过木马、病毒窃取用户隐私信息。

第二，法律条文需细化，相关部门应适时介入。我国关于网络信息安全方面的法律条文不够明确，适用范围尚且不够精准，相关条文必须得到进一步细化、规范，以此更加公平公正地惩治网络信息安全事故的造成者，保护公民切身利益。此类信息泄露事件不适用“不告不处理的”的原则，相反，执法部门应主动积极介入案件调查，并对实施者进行追责处理。

第三，信息安全无小事，用户必须增强信息保护意识。警惕要求重新输入账号信息，否则将停掉信用卡账号之类的邮件，不要回复或者点击邮件的链接，以免落入圈套。同时，避免开启来路不明的电子邮件及文件，安装杀毒软件并及时升级病毒知识库和操作系统补丁，将敏感信息输入隐私保护，打开个人防火墙。网络银行时，选择使用网络凭证及约定账户方式进行转账交易，不要在网吧、公用计算机上和不明的地下网站做在线交易或转账。不要在多个网站使用相同的注册账户名以及登录密码，防止网络黑客有意盗取，造成多个网站个人信息的连环失窃。

第四，要求网站平台收集和使用用户信息应当遵循“合法、正当、必要”三原则。对收集到的用户信息应当采取安全保护措施，一旦发生泄密，必须及时采取补救措施，否则都可能面临行政处罚或者用户的诉讼。

重中之重部署—SSL加密证书

防止信息泄露，要提前准备，防患于未然，网站上安装SSL证书，对浏览器传输到网站服务器的数据进行加密，确保数据不会被窃听者拦截，认证网站服务器的真实身份，让用户确信敏感信息（支付卡信息或其他数据等）正发送到正确的服务器，而不是欺诈者或数据窃取者的服务器。详情请查看：//www.huluwa.cc/zt/renzheng/