鄔迪：這個泄露環(huán)節(jié)很多，比如像系統(tǒng)漏洞導(dǎo)致的泄露就是很直接的，也是網(wǎng)絡(luò)上的攻擊者經(jīng)常用的一種，就是外部的人通過一些漏洞進(jìn)去把數(shù)據(jù)庫“脫褲”，這也是烏云網(wǎng)上看到的最多的。另外，也有可能是內(nèi)部原因比如管理不當(dāng)?shù)?。我們現(xiàn)在只是猜測，正在調(diào)查中，還沒辦法確定到底是什么原因。

作為立足計算機(jī)廠商和安全研究者之間的安全問題反饋及發(fā)布平臺，用戶可以通過烏云網(wǎng)在線提交發(fā)現(xiàn)的網(wǎng)站安全漏洞，企業(yè)用戶也可通過平臺獲知自己網(wǎng)站的漏報。鄔迪坦言，現(xiàn)在發(fā)現(xiàn)的漏洞越來越多，每年都以成倍的速度在增長。

鄔迪：現(xiàn)在每天后臺都能看到有幾百個漏洞在提交，一般200個以上。目前的趨勢看，漏洞的數(shù)量是迅速遞增的。去年一年，我們大概收到4萬多個漏洞，前年是2萬多個，再往前是1萬多。我們最初收集到的更多的是互聯(lián)網(wǎng)公司的漏洞，現(xiàn)在這塊也比較多。過去沒有在互聯(lián)網(wǎng)上的一些系統(tǒng)，比如政府、金融的一些系統(tǒng)都是在局域網(wǎng)或者要去柜臺辦理的，但近年來，這些系統(tǒng)也逐漸搬到互聯(lián)網(wǎng)上，出了很多問題，漏洞在增加。

鄔迪說，要防范并及時彌補(bǔ)漏洞，并不容易。

鄔迪：一些大型的金融機(jī)構(gòu)、互聯(lián)網(wǎng)企業(yè)等，一般有專職的安全團(tuán)隊去做，但是對于普通企業(yè)，特別是互聯(lián)網(wǎng)金融、O2O等很多創(chuàng)業(yè)型公司，早期可能就是程序員、開發(fā)人員做一些業(yè)務(wù)，但現(xiàn)在能力上、經(jīng)濟(jì)實力上或者關(guān)注點上還沒到安全這一塊，所以問題比較多，短期內(nèi)也比較難解決，可能會原來越多。

不能讓考研信息泄露“年年有今日”

考研臨近，又有諸多網(wǎng)友爆料：廣告短信橫行，推銷電話如云。事實上，幾乎每年這個時候，考研者類似的抱怨，都會準(zhǔn)時上演，一出“年年有今日”的繁榮景象。而更加悲催的是，不僅考研如此，高考、國考、省考，甚至前些年考英語四六級，都是如此，都有“先知諸葛們”知道你要參加什么考試，然后“點對點”地給你提供推銷服務(wù)。對于這樣的景象，顯然不能用“見怪不怪”來形容，而必須提高警惕，因為這事關(guān)信息保護(hù)的大事。

一個顯而易見的問題是：考生的信息，到底是誰泄密的？目前仍不得而知。但仔細(xì)分析不難得出真相：要么是網(wǎng)站泄露的，因為他們擁有第一手資料；要么是黑客侵襲的，他們賣考生信息牟利。但不管怎樣，沒有買賣就沒有傷害，在信息泄密背后，早已形成了完整的利益鏈條。據(jù)內(nèi)部人士透露，“信息一般按照文件大小來銷售，打包的文件大多是上百兆有上千條信息，一般是幾萬元，有時候可達(dá)上百萬元，有人會利用信息詐騙，有人會給用戶發(fā)廣告或垃圾信息牟利……”

對于這樣的利益鏈條，我們必須著力斬斷，因為這就是對公民權(quán)益的侵害。遺憾的是，我國關(guān)于保護(hù)個人信息的規(guī)定卻散見于多部法律中，如憲法、刑法、侵權(quán)責(zé)任法等，而且多是以保護(hù)個人隱私、通信秘密等形式出現(xiàn)。這一方面可操作性不強(qiáng)，另一方面也不符合互聯(lián)網(wǎng)時代的信息保護(hù)需求。此外，雖然近年來全國人大常委會、各行業(yè)主管部門都先后制定了一些規(guī)范性文件，如《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》、《電信和互聯(lián)網(wǎng)用戶個人信息保護(hù)規(guī)定》等，但其現(xiàn)實的法律效果很有限。

當(dāng)信息保護(hù)遭遇尷尬，當(dāng)考研者甚至是考生信息泄露又“年年有今日”，對相關(guān)問題進(jìn)行求解，無疑迫在眉睫。他山之石可以攻玉的道理，早已為人所知。就眼下而言，不妨學(xué)習(xí)一番外國的經(jīng)驗。如在德國，采用的是立法模式，其出臺了個人資料保護(hù)法；而在英美法等國家，則采取立法與行業(yè)自律并行的模式，如美國通過《隱私法案》等法律和行業(yè)自律來保護(hù)個人數(shù)據(jù)。就我們而言，這些國家的經(jīng)驗，無疑是值得借鑒的。

但無論學(xué)習(xí)何種模式，一部專門的《個人信息保護(hù)法》，理應(yīng)不再是鏡中月水中花。顯然，多數(shù)考試時，都會有“集體性信息泄密”的傳聞，這必然屬于“情節(jié)嚴(yán)重”的侵犯個人隱私的行為，對這樣的行為，必須在民事與刑事兩個方面求解。一方面，給予被泄密者的民事補(bǔ)償應(yīng)該涉及；另一方面，對于泄密者的刑事責(zé)任也不能忽略。而這，不僅要有法可依，更要有法必依。不能讓信息泄密“年年有今日”，相關(guān)部門的行動，的確應(yīng)快馬一鞭了。