从扎克伯格到人大学生，二十年中国网络攻守变迁

近日，一名中国人民大学学生马某某在其读硕士研究生期间，利用专业技术盗取全校学生个人信息的事件被网友曝光，随即该学生被海淀公安分局依法刑事拘留，目前该案件正在进一步调查中。

20年前，类似的行为成就了一代互联网社交界的巨头扎克伯格，但如今的网络时代，人们更关注个人隐私数据安全保护。这也是为何昔日的创业明星如今数次要站在听证会上接受询问和监管。在数字化与数字经济相关因素中，大数据占据中心地位，数据的安全成为全球关心的议题。在侵犯和泄露他人隐私的基础上做任何商业化或者非商业化的探索都会被追究责任。

在我国，数据被定义为继土地、劳动力、资本、技术之后第五大生产要素。360公司创始人、董事长兼CEO周鸿祎认为，在大数据驱动业务中，数据成为新的攻击对象，而数字安全，是一切数字文明的基座。

被盯上的校园数据

7月1日，有网友在微博上爆料称，中国人民大学一男生在读硕士研究生期间，利用专业技术盗取全校学生个人信息，包括照片、姓名、学号、籍贯、生日等，并搭建了给全校学生颜值打分的网站。

7月2日，中国人民大学官方微博发布情况通报：学校已关注到我校部分学生信息被非法获取的情况，对此高度重视，第一时间联系警方，目前正积极配合警方等相关部门开展调查。学校强烈谴责侵犯个人隐私、危害信息安全的行为。感谢社会各界对学校的关心。

7月3日，平安北京海淀微博公号发布情况通报称，针对“中国人民大学部分学生信息被非法获取”的情况，海淀警方接到报警后，立即开展调查。经查，嫌疑人马某某（男，25岁，该校毕业生）涉嫌非法获取该校部分学生个人信息等违法犯罪行为。目前，马某某已被海淀公安分局依法刑事拘留，案件正在进一步调查中。警方高度重视公民个人信息保护，对于相关违法犯罪，将依法予以严厉打击。

从进展来看，马某某大概率不会如20年前的扎克伯格一样有机会从同学的数据中找到自己的商业模式了。

2003年，美国脸书公司创始人扎克伯格也对哈佛大学系统曾做过类似的事情。当年，扎克伯格侵入哈佛大学学生名录系统，下载了同学照片并将其发布于一个名为Facemash的网站，来评定谁更受欢迎。该网站首日便有超过450人注册，页面浏览量超过22000次。但扎克伯格本人也因受到学校的指控而被处以留校察看。

扎克伯格的故事如果放在中国，会有怎样的结局？

上海大邦律师事务所高级合伙人、知识产权律师游云庭表示，2003年，中国法律尚未将类似行为作为刑法规制的对象：非法获取计算机信息系统数据罪是2009年《刑法修正案七》增设，侵犯公民个人信息罪是在2015年的《刑法修正案九》增设的。

游云庭表示，如果新闻报道属实，人大学生马某某获取并发布了中国人民大学14-20级的全校学生的“照片、姓名、学号、籍贯、生日”，这些信息法律上属于个人信息，由于获取手段不合法，涉嫌非法获取计算机信息系统数据罪。这些个人信息数量巨大，如果被发布上网，触发了侵犯公民个人信息罪。

《刑法》与司法解释规定：非法获取计算机信息系统数据罪系违反国家规定，侵入国家事务、国防建设、尖端科学技术领域以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。

另外，侵犯公民个人信息罪系违反国家规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。根据司法解释，非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的；住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的；前述信息以外的公民个人信息五千条以上的，都应当认定为情节严重。

值得注意的是，学校的信息安全问题在全球范围内频发。2022年3月，美国爆发了史上规模最大的学生个人数据失窃事件，黑客入侵了lluminateEducation公司的IT系统，窃取了学生信息的数据。有大约82万名学生的信息被泄露。根据美国教育部公布的信息显示，这些数据包括学生的姓名、出生日期、学生证号码等基础信息以及一些和教育相关的数据。

lluminateEducation开发的在线评分和考勤系统，在美国有很大的市场占有率，这也是本次事件之所以会有如此大范围影响的最主要原因之一。在检测到相关的入侵行为后，IlluminateEducation曾关闭了系统的相关功能。但直到两个月后，这家公司才公布了系统中数据被窃取的消息。

在周鸿祎看来，数字化是继工业革命之后最重要的生产力革命，其中互联网上半场的主线是消费互联网，下半场的主线是产业互联网。上半场中，诞生了诸如阿里、腾讯、字节跳动等一批互联网巨头，通过各种应用、平台、产品，基本完成了用户数据的初步积累，随着数字化的推进，互联网领域更多迎来的应该是应用层面的更新。

网络安全环境日趋险峻

网络安全的法律法规的逐渐完善，其后是技术发展与网络安全形势的严峻。在普通民众眼中，大学生个人信息泄露尚未造成严重后果，但在更广泛的范围内，数据安全环境并不乐观。

游云庭称，2003年时，PC互联网时代的互联网产业还是“少年”，公众对于新生事物比较宽容，但随着2007年苹果公司发布iPhone，世界进入移动互联网时代，互联网产业有了新一波突飞猛进的发展，产业如日中天，数据和个人信息泄露和被滥用的弊端也不断显现。

奇安信《中国政企机构数据安全风险分析报告》显示，2022年，数据泄露事件已超过数据破坏事件，成为全球数据安全风险的首要问题。从全球公开新闻报道来看，51.7%的数据安全事件为数据泄露事件。而针对机构数据的外部威胁，57.4%是为了窃取数据。仅2022年1~10月，就有超过950亿条，至少46.4TB的中国境内机构数据在海外被非法交易。数据泄露问题形势严峻。

其中，个人信息是数据泄露最主要的类型。从全球公开新闻报道来看，60.2%的数据泄露事件，泄露的是个人信息数据，其中，实名制信息占比个人信息数据泄露总量的64.3%，其次是账号密码和用户行为等数据。在海外非法交易的境内机构数据中，55.6%的交易事件涉及个人信息，81.0%的交易数据为个人信息数据。

对政企机构而言，商业机密数据的泄露是安全经营的重大挑战。在海外非法交易的境内机构数据中，19.3%的交易，买卖的是商业机密数据。商业机密数据泄露的主要形式是各类文档，包括内部制度、员工手册、财务报表、战略分析、产品文档、项目策划等等，占比高达73.2%。特别值得警惕的是，文档类商业机密数据泄露的最大源头，并不是外部威胁，而是合作伙伴和内部员工。而百度文库、道客巴巴、豆丁网、360文库等文档分享平台，则是文档类商业机密数据泄露的主要渠道。

奇安信数据显示，从2022年1月至2022年10月，政企机构重大数据安全事件发生的原因来看，超过五成安全事件是由于外部攻击（指没有获得认证的、未经授权的非法用户对内网进行的访问请求或攻击行为）导致的，但也有5.0%的事件是由于内部人员违规操作。3.9%的重大数据安全事件是由于存在漏洞。

“内鬼作案”是数据安全事件发生的重要途径，奇安信方面建议，不仅要防外也要防内，做好数据操作的审计，防止非授权信息读取，防止越权的敏感信息读取，包括一些过度的数据读取其实也是一种泄露，如在办一些业务的时候本来只用知道该用户的姓名、性别及年龄，但是在相关资料上还能看到其联系方式、工作单位等信息，这样的过度读取或者暴露个人信息的行为也不合适。

从南非所有公民征信数据泄露，到香格里拉酒店被黑，再到热搜不断的学习通事件，无不说明个人信息泄露不分国界，信息保护形势严峻。

需要技术和法律的“双保险”

目前，世界各地将近有150个国家都对个人信息保护做了相关规定，我国也高度关注个人信息泄露问题，不断完善规制个人信息泄露相关制度规则。

在亚信安全首席研发官吴湘宁看来，作为安全防护平台，三十年前亚信守护PC，二十年前守护网络，十年前守护云，今天守护5G、IoT、大数据，未来将要守护大模型、人工智能，安全伴随技术发展一直在进化迭代。

着眼于当下正热的AIGC与大模型，英普华亚太及日本区技术副总裁周达伟表示，大模型在人工智能方面造成了安全领域上有着不同着重，过去很注重远程安全、应用安全，但在大模型的产业互联网的时代，企业将更加注重数据安全的保障。

周达伟提到，从流量方面来看，现在最新的数据有83%的网页应用与API有直接关系，其中27%的相关攻击是针对相关的API做出的攻击。具体到产业链损失，数据显示，2022年一整年造成相关API的损失高达5300亿人民币，这是非常巨大的体量。

近年来，《网络安全法》《数据安全法》《个人信息保护法》等系列法律法规、网络安全审查制度相继出台。2021年，国家出台《关键信息基础设施安全保护条例》，在关键信息基础设施认定、运营者责任义务、保障和促进、法律责任等方面进行了明确、具体的规范。

中央网信办网络安全协调局副局长罗锋盈表示，加快出台网络数据安全管理法律法规，应建立健全数据分类分级保护，个人信息保护合规审计，数据促进安全制度等，从违法违规搜集使用个人信息等行为不断强化能力建设，坚持底线思维，强化风险意识、责任意识，加强重点行业、重点数据安全监管，切实保障数据安全。

在技术、法律“双保险”的加持下，网络安全的攻守故事还将持续