学习通数据泄露事件背后多数企业存在数据“裸奔”

“免费wifi大量收集用户个人信息”、“浏览网站后被营销电话骚扰”、“儿童智能手表成偷窥眼”。很多消费者可能在网上看一件商品，或者输入一个关键词，很快就会收到手机App推送的相关广告或信息。

个人信息安全问题无时无刻不在，不经意间就可能被“窃取”。

最近，e-learning用户信息泄露事件再次引发了对电子邮件安全性的讨论。

今年6月21日，一个名为M78Sec的安全团队率先披露了超星学习通讯的信息泄露，数据库信息被公开出售。消息一出，话题立刻成为热搜焦点。

超星学习链接是很多大学生常用的学习软件。被曝光的数据库信息被公开出售，包括姓名、手机号、性别、学校、学号、邮箱等信息17273万条。

学习微博上的回复声明。

超星学习通官微对此事回应称，目前未发现用户信息泄露的明确证据，已报案，公安机关已介入调查。

网友在微博上晒出了使用次数

得知这一回应并没有让学生安心，反而激发了更强烈的疑虑。因为很多同学的截图证明，学习软件显示的使用数据频率过高，从几万次到几百万次不等，与实际情况严重不符。甚至有人嘲讽“我没那么爱学习了”。

多位同学还表示，自己的个人账号登录IP地址在国内外不断切换，有的同学在网上考试时已经异地登录账号，所以“几乎连试都不敢试”。

　图源：国家信息安全漏洞共享平台

值得注意的是，国家信息安全漏洞共享平台在2020年至2021年三次披露超星学习链的安全漏洞，包括XSS漏洞、信息泄露漏洞和逻辑缺陷漏洞。

此外，2021年1月，薛彤APP因违规收集个人信息被工信部通报，要求整改。同年7月，工信部发现仍涉及非法使用个人信息，且整改未完成，再次通报。

6月26日晚，多名在校或刚毕业的大学生在社交平台上称自己的QQ号被盗，疑似与之前在读学生信息泄露有关。

　　qq官方微博解释

关于薛彤泄密事件，记者也联系了北师大互联网研究院院长助理、中国互联网协会研究中心副主任吴沈括。

吴沈阔认为，目前还不能对薛彤的数据泄露做出一个确定的结论，因为数据的追溯恢复本身其实是非常复杂的，短时间内很难有一个确定的结论。数据泄露是数据治理中非常重要的命题，也是各大企业需要持续关注和增强防护的红线区域。这一事件敲响了数据泄露可能给我们带来严重危害的警钟。

无论是从它带来的危害性，对个体公众和企业本身的危害性，还是数据泄露事件的长远影响，都具有非常突出的意义。因此，从目前来看，这类案件很可能会长期持续存在，需要更加全面完善的生态数据治理。

安全公司Surfshark的一项研究显示，自2004年以来，美国一直是数据泄露最严重的国家，第二和第三位分别是俄罗斯和中国。换句话说，美国、俄罗斯和中国是地球上数据泄露问题最严重的三个国家。

中国互联网络信息中心《第49次中国互联网络发展状况统计报告》显示，截至2021年12月，22.1%的网民遭受过个人信息泄露。

近年来，在媒体多次曝光的信息泄露事件中，很多企业都有数据裸奔。企业应该如何加强个人信息的保护？

对此，吴沈阔提到，要加强数据资产的整理，因为很多企业对自己的数据资产并不了解，更谈不上有一个安全措施的全面覆盖。这与技术的持续实时更新，应用可靠性更高的新型数据安全保护技术，提高自身数据安全保护水平的技术含量有关。

在组织管理层面，需要建立有效、全面的数据保护流程和责任体系，实现人员、事项、权限的全面衔接和相互支持。在这个过程中，尤其需要把握数据流通和利用的可靠性和可控性，通过协议等多种方式对上下游生态伙伴以及内外生态伙伴进行有效的监督和约束。

况且，在个人信息保护的过程中，应该有一种伦理意识，因为在目前的数据治理理念中，安全性、合法性和伦理性是中国独有的。三维数据治理理念数据保护理念，所以除了技术安全和法律合规之外，还要特别关注个人信息流通和利用的伦理问题和伦理属性，通过这种方式构建全方位、立体化的个人信息保护生态。

近年来，各地发生了多起学生信息泄露事件。

2020年4月，河南郑州、Xi安、重庆、湖北武汉、山东青岛、安徽滁州等地的数千名学生发现，自己的个人信息被企业冒用逃税。

2021年7月，盐城警方侦破一起公民信息贩卖案，涉及学生家长个人信息7万条。外流的源头是政府机构内部工作人员利用职务之便，将敏感数据发送给教育培训机构进行营销牟利。

个人信息保护任重道远，不仅关系到人民群众的利益，也关系到整个社会的信息安全。

2021年11月，《中华人民共和国个人信息保护法》正式实施，明确国家网信部门负责统筹协调个人信息保护及相关监督管理工作。

今年，工信部也在加快出台《工业和信息化领域数据安全管理办法》和《移动互联网应用程序个人信息保护管理规定》，研究制定个人信息收集和使用、车联网、人工智能等重要领域的数据安全标准，加强个人信息保护和数据安全监管。

最高人民检察院发布《关于加强刑事检察与公益诉讼检察衔接配合，严厉打击电信网络犯罪，加强个人信息司法保护的通知》。要深入开展打击行业“知情人”泄露公民个人信息违法犯罪工作，围绕重点行业、重点领域、重点群体开展督办办案。

不久前，北京市市场监管局发布《废弃电器电子产品回收规范》征求意见稿，要求回收废旧手机等涉及个人隐私的电子产品时，回收经营者应当清理用户个人信息，不得向第三方泄露客户相关信息。深圳发布实施《深圳经济特区数据条例》，对APP“未经充分授权不得使用”、“扼杀”大数据、过度收集个人信息等行为进行重罚。

相信这些尝试和努力对于解决新形势下的数据泄露难题是有益的，值得参考。