最近美国股市的中概股,都下跌的厉害。最厉害的,当属红黄蓝了,因为虐童事件,11月23日市值下跌了38%,股价降到16.45美元。更严重的是,多家美国律所正准备对其发起诉讼,“吃官司”怕是在所难免。
同样等着“吃官司”的,还有美国的Uber。该公司在2016年泄露了5700万名客户和司机个人信息,却将此事隐瞒,也没有向监管部门报案,更是向黑客支付10万美元让其删除窃取的数据,隐瞒时间长达1年,直到被媒体曝光。目前多国政府都已介入调查,Uber面临多国起诉以及巨额罚款。
因为股价暴跌而被美国律所关注的,在美上市的中国企业还有一家,正是趣店。至11月25日,趣店股价博暴跌24%至12.27美元,市值蒸发超70亿。除了美国律所,中国监管部门也已开始调查趣店,主要是因为其百万学生数据的泄露。据传,半年前黑市上就已有人售卖趣店学生数据,但趣店是否早先就知晓此事有待查明。若明知此事而坐视不理,则很有可能有意隐瞒,直至近期媒体曝光亦无明确说法。
对于数据泄露一事,不管是因为“内鬼”泄密,还是由于黑客攻击,企业都难推其责。目前尚不知这100万学生数据造成多大安全及财产损失,但趣店很可能会面临严重处罚,甚至会被要求依法停业整顿,更严重的或会被吊销营销执照。无疑,这会造成趣店市值的进一步动荡。
趣店百万学生数据疑被泄露,多维度分地区叫价最高售价10万
据媒体报道,近期黑市上出现一份疑似“趣店学生用户数据”。该数据维度极细,学生借款金额、滞纳金、家长电话、男女朋友电话、学信网账号密码等隐私信息,一应俱全。整份数据按照省份拆分为单独文件,每份文件包含数万条数据,以江苏省的数据为例,共录入信息51289条。
据悉,百万学生信息的叫卖价格近10万,其中,北京、上海、江苏三地的数据报价为8000元。有记者向部分网贷中介、多位趣店离职员工和趣店学生用户调查了解,部分证实趣店疑似存在重大数据外泄。
这些数据的售卖信息出现后,迅速引发了中介的兴趣。中介认为,大学生毕业后会从校园贷客户转变为网贷用户,“是新鲜滚烫的网贷白户,更是非常重要的金矿”。只是,又何止是中介感兴趣,任何以大学生等年轻人群体为受众的企业,都会对这些数据感兴趣。当然,那些不法分子对这些数据就更感兴趣,这么精准的数据绝对都是其理想的诈骗对象。
数据到底是怎么泄露的?“内鬼”所为还是自身安全问题?数据泄露的消息爆出后,疑似趣分期前员工的网友纷纷发表看法:“作为趣分期之前的员工,对这种事情没有任何怀疑”“感觉像趣分期的风格"……这两种说法,意味着很早之前就存在着内部员工将用户数据泄露的可能。
事实上,也有媒体曾在报道中指出,早在今年上半年,网贷中介群里就有人叫卖趣店的学生数据,并可以分地区、分省份拆分购买,这与当前暴露出来的数据售卖情况是一样的。
趣店市场人士称,去年9月趣分期退出校园贷后大量裁员,许多员工离开后都对CEO罗敏表示不满,离职员工对数据进行外泄的可能性很大。有趣店内部员工干脆直接称此为“内鬼所为”,因为“很多内部员工都可导出用户数据表格,数据一览无余,没有任何脱敏,级别越高,可导出的数据越多”。
而一份多达百万用户数的数据,则很有可能是其离职高管泄露的,趣店上市前就已经有多个高管离职。对于内部员工泄露数据一说,目前趣店尚未给予回复。
如若不是“内鬼”所为,又会是什么原因导致数据泄露呢?360安全专家裴智勇认为,个人信息泄露有三个主要源头:一是网站漏洞,这是在黑市上流通的个人信息主要来源;二是针对个人用户的木马病毒、钓鱼网站和伪基站,以点对点的方式盗取个人信息;三是无良商家的“内鬼”和技术黑客。
如果排除趣店员工泄露数据的可能,则该事件或许会与网站漏洞及木马病毒等有关,那趣店的安全及风控到底如何,同样也会受到质疑。从数据泄露的严重程度以及时间来看,很可能趣店一直就存在着安全隐患。这实则考验的是趣店的商业模式,一个互联网金融企业无法对用户隐私安全做到基本保证,又如何进行进一步的商业运作?更不用谈核心竞争力。
数据泄露的危害,远比你想象的要严重的多单说数据泄露,大家可能没有太多感知。其实数据泄露的危害,远比大家想象的要严重的多。在去年的报道中,一个曾通过裸持借贷的女孩,在其将借贷全部还清后,竟还有人以裸照及视频对其进行威胁,此类事情并不在少数。
而在去年9月份,两周内有三个大学生因为电信诈骗而死,如果没有数据泄露,不法分子又如何知道受害者的大学生身份而对其行骗呢?
在大数据应用越发重要的今天,个人信息安全泄露事件也是日益增多。据2016年中国网民权益保护调查报告显示,去年有37%的网民因各类诈骗信息而遭受经济损失,84%的网民受到个人信息泄露带来的不良影响。
在今年6月湖北武汉警方侦破一起非法贩卖个人信息案中,截获公民信息有2600万余条;近期正在被各国调查的Uber所涉大规模数据泄露事件,全球5700万用户和700万司机资料全部被盗取;今年9月,浙江绍兴警方破获的全国首例利用人工智能技术窃取公民个人信息的案件,截获公民个人信息竞达10亿余组。
每个案例的数据看上去都是触目惊心,这些数据如果被不法分子拿去进行网络诈骗,又会导致多少生命及财产的损失?
事实上,今年上半年以来就有很多人被冒名在趣店的现金贷平台来分期借贷。之前受害者不知道自己的身份信息是如何被盗的,在趣店数据泄露事件发生后,也就能解释了。这些受害者大多是学生,他们都接到了逾期不还的催贷电话,打过客服之后才知道,是被全国各地的人用其身份信息在来分期借了现金,还有的是被在趣店平台分期购物。
因为其身份信息确实进行了借贷,趣店方面又无法甄别是不是其本人借贷,只能劝其还款,以及被持续的暴力催贷。很多受害者为了征信不受损害,在无法维权的情况下只能吃亏还款。
对于趣店,还有个的比较暴力的骗贷案例。之前曾有读者在知乎向我透露,他们大学搞活动时拉了趣店做赞助,然后趣店代理以刷单为由要了他们的身份信息,后来没多久发现凭空多出五千的欠贷,加上之前刷单的一千五,他们总共加起来欠了十几万元。
这个做法,要么是他们的数据泄露了被不法分子利用,要么则可能是趣店代理直接骗取以刷单为名骗取其身份信息,然后用以借贷,代理是不是真人都知道,反正是因为趣店而发生了这个恶性骗贷事件。
数据泄露企业该不该担责?又将接受怎样的惩罚?目前,包括公安部门在内的监管部门正在调查趣店用户个人信息泄露事件。有知情人士称,针对网上有人非法出售声称来自趣店的高达百万学生用户个人信息,监管部门正在进行调查;调查范围包括该信息是否来自趣店,趣店是否知情,趣店是否采取了必要措施,以确保其收集的个人信息安全等等。
从已经曝光的事件进展来看,所泄露信息来自趣店的可能性很大,毕竟已经得到了老员工的证实。而根据相关媒体报道,今年上半年就有人在叫卖相关数据,趣店又岂不知情?如果知情而没有采取必要措施来解决或缓解此事,则其中的责任就大了,知情不做与不知情不做完全是两种态度。当然,在知晓之后,不采取手段制止与没有能力控制事情进展也是两个概念,也需要区别对待。
如果数据泄露一事落实,确实系企业本身责任,则趣店可能会面临严重的处罚。根据最新的《网络安全法》规定,数据外泄,企业难辞其咎——“网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。”未尽保护义务的,将根据相关规定罚款警告,情节严重的则被责令暂停相关业务,停业整顿、关闭网站、吊销相关业务许可证或者吊销营销执照。
至于罚款额度,这里有一份参考。预计在2018年5月正式生效的欧盟《一般数据保护条例》规定,发现未报告个人数据泄露事件的公司,将面临相当于其全年收入2%或约8300万人民币的罚款;如果未经同意而处理个人数据,则面临相当于其全年收入4%或约一亿七千万元人民币的处罚,均以较高处罚为准。
目前尚不知中国未来出台数据泄露专项政策之后,会对企业进行多重的罚款,不过根据造成经济损失情况进行处罚,会是一个选择。
也就是说,一但此次数据泄露事件定性为趣店自身责任,趣店将面临巨额罚款、弥补用户损失、乃至停业整顿及吊销营销执照的风险。这意味着,在继严监管、利率被迫降低等因素之后,重处罚与停业整顿的风险,也很有可能成为趣店市值再跌的又一个重要因素。
对于数据泄露事件,有行业律师称,如果导致用户经济损失,企业应给予补偿。如果趣店能够照做,是否意味着那些曾在趣店被不法分子恶意贷款的学生,都能够获得合理的赔偿呢?
只是,现在的趣店,是否已经可以辨别哪些用户是受害者了呢?
【王吉伟,商业模式评论人,专栏作者,关注TMT与IOT,专注互联网+及企业转型研究。】