过亿数据泄露：企业该担何责

在个人信息泄露事件当中，很多时候我们只强调了事后的追惩，而忽视了事前的监督，特别是企业责任这个源头性的关键环节。

视觉中国文 |蔡斐一波未平，一波又起。

继华住集团5亿条公民个人信息被泄露后，顺丰3亿条快递物流数据又被人卖到了暗网上。

尽管顺丰回应，暗网所售非顺丰数据。

不过，有机构实测发现，网上兜售的数据真实性较高。

在随机拨打的20条信息中，有17人姓名、电话、地址与文件内容一致，且也曾用过顺丰收发快递。

目前，涉事的两家企业，均已选择报警。

是什么原因导致信息泄露的，有待公安机关侦破案件后才能清楚。

事情至此，不少学者建议进一步加强个人信息权立法工作。

的确，个人信息权作为基本人权，理应得到法律的足够重视。

然而，我国现行有关个人信息保护的法律法规并不少。

有数据表明，关系到个人信息的法律有52部，行政法规42部，司法解释50部，部门规章870部，团体规定43部，行业规定171部。

那么，为什么还会接二连三地出现信息泄露事件呢?一个重要的原因是，很多时候我们只强调了事后的追惩，把所有的问题都寄希望于国家解决，或者末端的治理，而忽视了事前的监督，特别是企业责任这个源头性的关键环节。

有多位网络安全行业人士向媒体透露说，华住集团信息泄露可能并非黑客技术手段有多高明，而是因为有“内鬼”主动泄露相关信息。

事实上，翻看华住的记录，泄露客户信息不止一次了。

2013年，汉庭酒店(华住前身)客户开房记录因被第三方存储和系统漏洞而泄露。

2015年，桔子酒店(后被华住收购)存在严重安全漏洞，房客姓名、电话等开房信息一览无余。

巧合的是，在今年5月湖北荆州中院的一起侵犯公民个人信息判决中，11名顺丰员工监守自盗，被判处侵犯公民个人信息罪，分别被处以有期徒刑10个月至3年不等，涉案人员有快递员、仓管员、市场专员、安保部副经理、片区负责人等。

顺丰的回应强调企业责任，并不是局限于上述的前车之鉴，而是有确实的现实依据。

一方面，企业越大，对用户数据保护的责任就越大。

在个人与企业的“结构性不平等”中，企业不能以简单的个人信息协议作为用户信息保护合法合规的基础，而是应当深切认识到随着自己经营能力的扩张，自己的法律责任或是社会责任都将随之出现扩张，必须采取有效的技术措施和其他必要手段，确保企业收集的个人信息安全，防止信息泄露、损毁、丢失。

另一方面，企业也具有用户信息保护的有利条件。

作为用户信息最直接的收集者，企业拥有设备、技术、人员和资金的优势，对信息的存储、处理、流通、运行、筛选等流程，以及内部安全机制的优势、缺陷、漏洞等都最为熟稔，这让企业具备了对用户信息保护的可行性。

特别是在用户信息遭受紧急状况时，迅速进行修复、维护或保全，降低风险发生的能力。徒法不足自行。

直白来说，很多事情单纯依靠法治是无法解决的。

大数据时代，个体面对企业，尤其是市场占有率较高的机构平台时，基本上没有信息拒绝的空间。

相应地，只有通过登记注册各类信息才能享受服务，更不要说信息保护、信息自决等讨价还价的余地了。

在这种情况下，强调企业在个人信息保护中的关键责任，就是从源头倒逼企业给安全设防，给用户的个人信息数据装上“安全锁”。