今天上午 (2016 年 12 月 12 日),包括新华网在内的多家国内主要媒体均报道了“京东用户隐私数据泄漏”事件,随后京东在官方微信公众号“京东黑板报”发布了题为《关于有媒体报道京东数据安全问题的声明》,在官方层面确认了这起事件的真实性。
京东试图在官方回应中表示,已经“完成了系统修复”,并表示“联合警方进行坚决的打击”,但是丝毫没有提及京东在此次事件中的重大责任,以及弥补每一个京东用户所造成损失的解决办法。显然,京东并没有意识到这次“京东用户隐私数据泄漏”事件的严重性——至少从官方回应来看是如此。
京东官方回应:逻辑混乱,避实就轻
京东在官方回应中说:
强烈建议用户高度重视信息安全和隐私保护,在涉及到财产的电商、支付类系统中使用独特的用户名和登录密码,开启手机验证和支付密码,并将登录密码和支付密码设为高强度的复杂密码,提高账户安全等级。
此次“京东用户隐私数据泄漏”事件,并非用户密码强度不够导致,而是京东方面系统漏洞维护技术水平不够导致。用户的密码安全登记、是否定期修改密码,并不能解决京东方面安全技术水平的问题。作为此次事件最明显受害者的京东用户,怎么可能给事故责任方之一的京东背这口“大黑锅”?简直天大的笑话,京东官方回应的之中,此为“硬伤”之一。
上月初,第十二届全国人民代表大会常务委员会第二十四次会议通过了《中华人民共和国网络安全法》,该法案明确规定:
第四十条 网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。
第四十二条 网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
京东官方声明丝毫未提及该公司的用户信息保护制度,对于针对用户损失的具体补救措施,也是默不吭声。此次“京东用户隐私数据泄漏”事件,涉及规模高达 12G 的用户隐私数据,试问:京东在搜集用户数据之前,到底有没有信息保护制度?对于被泄漏隐私数据的用户,京东方面除了让用户改密码之外,到底有哪些真正的补救措施?要知道,大量京东用户的身份证信息也在此次数据泄漏的范围之内,这是比密码信息重要得多的实名制信息。此为“硬伤”之二。
京东在官方回应中说:
针对出现在地下黑色产业链中采用黑客攻击用户账户、盗取用户账号资产和贩卖用户信息等不法行为,京东已与警方建立了长效的合作机制,并将联合警方进行坚决的打击。
和大多数互联网公司一样,京东虽然在人们的印象里是一家做电商的公司,但其实也是一家隐私数据公司。此次“京东用户数据隐私泄漏”事件发生后,京东在回应中急着把自己和警方做绑定,虽然读起来好听,但是并没有任何用处。因为京东方面的管理失职才是这起事件的“罪魁祸首”,无论如何,京东方面都不能掩盖自己在这起事故中的责任。此为“硬伤”之三。
京东必须为用户行使“删除权”
如果京东真的如其所说,关心用户的隐私安全,那么这些隐私数据根本不应该在京东的数据库中存在,只有把数据彻底清除,才是最安全的办法。如今京东“东窗事发”,按《网络安全法》的规定:
第四十三条 个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。
京东已经违反了和用户“收集、使用个人信息”的约定,用户显然有权力要求京东方面删除一切关于自己的隐私信息。笔者作为一个京东用户,在此明确表态,要求京东方面删除其搜集的关于本人的一切信息。
我国政府始终高度重视对公民隐私信息的保护,对于目前互联网行业的“黑色产业”始终持坚决打击的态度。京东此次的用户隐私数据大规模泄露事件,已经在普通用户中间引发了严重的不满情绪,政府方面未来会采取怎样的行动,将可能从一个侧面说明我国对互联网监管和公民隐私保护的依法治理能力。