史上最大规模数据泄露事件，知名互联网企业再次翻车

首发：东哥安全观（公众号）

近日，爱尔兰公民自由委员会（Irish Council for CivilLiberties，ICCL）公布了一份报告，对其认定的一起“史上最大规模数据泄露事件”进行了披露。本次报告再次证明，互联网企业拥有客户数据以后天生具有商业化的企图，如果不加以限制必将造成更大的数据泄露。

报告显示，全球知名互联网企业如Google、微软等公司牵涉其中。他们利用自己掌握的实时竞价系统中掌握的用户的网络浏览记录和地理位置信息，将信息提供给广告商来谋取商业利润。调查表明，美国用户每天被分享747次，欧洲用户376次。

针对该报告，Google发言人作出了回应，称其在使用实时竞价系统中采取了领先的措施予以保护，并对共享给广告商的数据进行了严格限制，“我们不会分享个人身份信息，也不会展示基于健康、种族或宗教等敏感信息而投放的广告，多年来我们一直要求广告商在展示任何个性化广告之前取得用户的同意。”另外，微软方面则拒绝对此置评。

据悉，在欧美国家，制定了严格而全面的数据保护框架《通用数据保护条例》（GDPR）的“保驾护航”下，欧洲监管机构多年来一直针对滥用的广告技术采取措施。就Google的RTB系统隐私泄露问题，爱尔兰数据保护委员会（DPC）也开展了相关的法定调查。但一直没有调查结果。

2022年3月，ICCL的资深研究员约翰尼·瑞安（Johnny Ryan）将DPC告上了法庭，理由是对谷歌的大规模数据泄露的不作为。同时，ICCL始终认为RTB本质上是不安全的——通过在互联网上与成千上万的广告商进行大规模的用户个人数据交易来实现广告的精准投放，这种做法风险很大，个人信息无法得到充分保护。因此，ICCL将此定义为“史上最大规模的数据泄露”。

安全专家认为，互联网行业自诞生以来，就无法改变对用户数据的商业化开发和利用。一些互联网企业的广告收入长期占着主要收入的地位。在中国，一些互联网企业利用APP过度收集用户数据的行为屡禁不止，这里包含了知名即时通讯软件某信在内的几百家知名互联网企业都收到过工信部的整改通知。

在《个人信息保护法》落地实施的第二年，我们从新闻里、朋友圈了解到个人数据泄露的危害。如何保护个人隐私、保护个人数据安全呢？

安全专家认为有如下建议:

守好安全入口。手机等互联网终端是我们每天使用最多的互联网产品之一，也是我们的个人信息数据最集中的地点之一，保护好手机等这类安全入口并不仅仅是免于丢失，而是首先要从正规渠道购买。其次是购买的产品是正规厂商生产的且经过相关部门检测认证的产品。再次是避免被陌生人随意使用，在交换、维修等场景下，记得提前将手机数据备份，并删除原有数据。最后，不妨为自己的手机等终端设置一个密码，可以有效避免个人隐私数据被泄露的风险。

守好门户，坚决不下载未经认证的APP。一些APP打着各种幌子企图吸引用户下载安装，安装后肆无忌惮地收集通讯录内的联系电话等信息，对用户个人隐私造成极大伤害。

关闭敏感数据收集权限。这些权限包括：使用手机上配备的麦克风、摄像头、陀螺仪或者手机上的其他应用程序，如日历、联系人等等。对于APP不合理的访问请求坚决予以关闭。

办公与社交软件分开。某信、某钉，这些互联网软件，都是社交软件，但随着他们的业务发展，很多人都将其应用于办公，组建了形形色色的办公群。对用户的生活造成干扰之外，企业使用微信用于办公也存在诸多问题。一个是某信用户办公与生活混在一起，每天叮叮当当，效率不高。其次，微信群数据泄露已成为主要的泄密方式，国家保密局连续发文予以禁止。改用安全即时通讯工具可以有效将生活和工作分开来。

提高防诈意识。最近几年，电信网络诈骗的新闻在社交媒体上随处可见，一些不法分子总是打着各种旗号进行诈骗。此前，国家反诈中心提醒，其实防范电信网络诈骗只要牢记一条：凡是让出钱的事情一律免谈；但能让不少人上当受骗的原因其实也就是一条：有所图。而提高防诈意识的首要条件是：相信天上不会掉馅饼，同时不泄露个人隐私数据给陌生人。