7月30日,一条题为《浙江省1000万学籍数据出售》的帖子在“暗网”某中文论坛中引发关注。发帖者称,其所出售的数据包含学生姓名、身份证号、学籍号、学校名称、学校序号、班级号、户籍信息、监护人姓名、监护人手机号、居住地址和学生照片信息,作价0.02比特币(当时折合人民币约1000元)。

　　为了取信买家,发帖者还放出一张20多条由上述信息构成的“样本截图”,生源地分别为浙江的杭州、嘉兴、温州等地。新华每日电讯记者随机抽选了3条信息进行电话核实,证实信息准确无误。

　　或许是信息过于准确翔实,其中一位家长在通话中“执着”地认定记者就是其孩子的班主任,将要对其进行家访。在反复说明后对方仍存疑的情况下,记者不得已要求对方以信息泄露为由报警。

　　幸运的是,公安机关9月发布通报称,金华市公安局江南分局已于8月10日成功抓获了非法侵入浙江省学籍管理系统的王某禾等犯罪嫌疑人3名,查获公民个人信息1100余万条。

　　今年6月以来,“暗网”上针对我国各政企机构的数据倒卖事件呈多发态势,且多发于敏感事件节点,有专家认为,此类事件背后的问题值得关注。

　　在诸多机构被拖库事件中,泄露数据准确率较高,所涉数据库种类繁多,其中所展现的黑客挖掘能力较强。北京邮电大学网络空间安全学院副教授芦效峰认为,“暗网”集中出现针对我国政企机构的用户数据倒卖事件或有外部势力支持。芦效峰表示,一些西方国家过去曾在国际场合中多次对我国网络安全环境“指指点点”,在当前复杂多变的国际局势下,有必要提防一些外部势力有组织有计划地实施网络攻击行为。

　　部分机构数据库维护权责不清,责任主体思想懈怠情况突出。裴智勇表示,对攻击预警不在乎,对管理规定不遵守,对应急方案不执行,对风险提示不满意,部分机构安全团队在思想上麻痹懈怠,甚至在数据库泄露后仍不执行应急预案,在筑牢防范网络攻击意识关上“上下失守”。

　　行政处罚措施落实不及时,在行业中易形成消极氛围。新华每日电讯记者在查阅公开资料后发现,自今年6月A站(AcFun)用户数据库被拖库以来,尚未发现有行政主管部门对有关机构进行行政处罚的通报。专家认为,如行政处罚措施不及时跟进,类似事件或将反复发生。

　　急需明确的责任主体与亟待建立的应急机制

　　专家建议,针对暗网上日益频繁、规模愈发庞大的用户数据倒卖情况,有关部门应建立响应机制,同时厘清权责关系,让广大群众在享受互联网技术的同时更多收获安全感。

　　“无论是拥有法律强制力的网络安全法,还是对行业起约束作用的《信息安全技术个人信息安全规范》,我们针对用户数据保护的法律法规是有的,但是这却没有阻挡住猖獗的倒卖数据的行为,这背后的原因值得有关方面深思。”中国信息安全研究院副院长左晓栋认为,我国在公民个人信息保护上的立法已相对完善,现在需要看到相应部门来落实法律执行。

　　左晓栋表示,在当前环境下,有多个部门对个人信息保护负有责任,“九龙治水”情况较为突出。他建议,可设立专门机构来应对个人信息泄露问题,对此类专门机构赋予相应的司法和行政权力,对数据保护不力者形成震慑,促使行业内形成“用户数据就是机构生命”的良性氛围。

　　一些第三方网络安全机构在问卷调查中发现,不少机构并没有建立相应的网络安全应急机制,在极端环境下缺乏应对措施。裴智勇建议,有关部门应督促相关涉事机构加快建立针对数据库泄露的网络安全应急机制,加大对一些网络安全防护能力不足的机构的指导,倒逼其“防有所指、防有所用”。

　　此外,部分网络安全专家向记者表示,国内一些机构为压缩成本,未按要求配齐网络安全团队,导致数据库长期处在“放养”甚至“裸奔”状态,危险系数较高。专家建议,有关部门要有针对性地对传统行业的数据库进行排查摸底,对不符合信息安全等级保护规范的机构开出负面清单,并责令其限期整改,切实保护用户数据安全。