全民信息遭泄露震動巴西

姚虹聿

受害者幾乎包括全體巴西公民

據巴西《圣保羅州報》報道，圣保羅州警方透露，巴西近日發生了一起嚴重的互聯網數據泄露事件，警方正在全力進行調查。

包括衛生部和最高法院在內的巴西政府部門和機構，成為網絡攻擊的目標。總統博索納羅、最高法院的11名法官、眾議院前議長羅德里格·馬亞、參議院前議長達維·阿爾科倫布雷等人的個人信息都遭到泄露。竊取信息的犯罪分子在暗網上以“打包”的形式出售政要、明星、商界人士的個人信息，報價415歐元。

遭到泄露的信息主要包括3個方面：首先是公民的個人數據，包括姓名、出生日期、CPF（個人稅號）、居住地址和收入等;其次是車輛信息，包括底盤號、牌照、所在城市、顏色、品牌、型號、生產年份、發動機排量乃至使用的燃料等;最后是企業信息，包括企業名稱、成立日期、經營范圍、CNPJ（企業稅號）等。

辦理此案的警方技術專家指出，黑客竊取的是最深層的互聯網數據，即那些通過普通搜索引擎無法找到的內容。黑客將出售大量巴西人的電子郵件、電話號碼、購買力數據等。警方最擔心的是，這些數據會被用于實施互聯網“釣魚”式詐騙，誘使人們支付費用，參與所謂“投資”，或者提供更多的個人信息。另外，遭泄露的信息對于南美的犯罪集團來說是“寶貴的數據庫”，他們在暗網上購買相關信息后，可用于實施詐騙、敲詐勒索和綁架等犯罪。

據西班牙埃菲社報道，這是巴西迄今為止規模最大的一起互聯網信息泄露案件。根據巴西警方公布的數據，此次信息遭到泄露的巴西公民和企業主，總數達到2.23億，另有1.04億車輛的信息遭到泄露。

需要指出的是，有的受害者既是巴西公民，也是企業主，所以他們被統計了兩次。還有一些受害者是居住在海外的巴西籍人士。即便如此，根據2020年的最新統計數據，巴西的人口為2.1億——也就是說，此次信息泄露事件的受害者幾乎包括了全體巴西公民！

重大信息泄露事件不了了之

埃菲社指出，這不是巴西首次發生大批公民信息遭泄露事件。作為南美地區的經濟和人口大國，巴西的互聯網信息安全一直堪憂。

2019年11月，一家名為CheckMeu-Carro的巴西交通牌照信息公司的數據庫遭黑客攻陷，約1.9億個CPF和3500萬個CNPJ被竊取。該數據庫記錄的個人信息包括客戶的姓名、居住地址、聯系方式、收入情況、出生日期、受教育程度以及其父母的姓名。一位匿名的安全信息專家在博客上曝光了此事：在特定的服務器上可以查到CheckMeuCarro公司記錄的所有數據。人們無從獲知這些數據是什么時候被傳到互聯網上的。

互聯網數據保護是巴西面臨的嚴峻問題

事發后，CheckMeuCarro公司表示，泄露數據的服務器是公司內部用來測試的平臺，公司對它進行了實時流量監控和訪問限制，訪問服務器的人無法下載詳細的數據，也無法將這些數據商用。然而，那位曝光此事的專家指出，他對該服務器進行了數十次訪問，均成功進入系統，可以在線查閱所有數據——這與直接下載數據沒有本質上的區別。

專攻數據保護法的巴西法律專家馬塞洛·克雷斯波表示，人們可以找到泄露數據的公司，并針對因數據泄露遭受的損失提出索賠。但是，受害者必須證實自己受到的損失的具體數額，才能提出索賠——這非常困難，幾乎不可能實現。

CheckMeuCarro公司表示，“受害者的損失沒有他們想象得那么大”。該公司甚至“甩鍋”給巴西政府，聲稱“很多數據來自巴西政府公布的信息，比如教育機構和司法機構公布的信息。既然這些信息之前已經由政府公開過了，就不應視之為公民的隱私”。

這一事件很快不了了之。CheckMeu-Carro公司關閉了服務器，停止了用戶的訪問，僅此而已。

2020年1月，巴西Orsegups公司的服務器配置出現錯誤，泄露了大量稅務文件，其中包括公司與客戶之間簽訂的合同的金額，以及公司員工的個人信息。泄露數據的總量超過25GB。

頗具諷刺意味的是，Orsegups公司是巴西安全防護領域的巨頭，專門為私營公司、公共機構和家庭提供安全服務，擁有40多年的行業經驗。該公司的業務范圍包括閉路電視監控系統、警報系統、車輛行程安保和遠程禮賓服務等。遭到泄露的文件中包含成千上萬的客戶在接受住宅和車輛保護服務后收到的發票，其姓名、社會保險號碼、CPF、居住地址和電話號碼，均一目了然。此次信息泄露事件無異于一枚重磅炸彈，令大批巴西政要、富商和明星如臨大敵——他們都是Orsegups公司的客戶。

Orsegups公司最終關閉了易受攻擊的服務器，并表示“專門成立了安全團隊來監控公司的相關平臺，針對數據安全實施更好的策略”。沒有受害者向Orsegups公司提出索賠，因為他們知道，按照巴西法律，難以打贏索賠官司。

網絡信息保護立法姍姍來遲

《圣保羅州報》指出，數據泄露案的涉事公司未受到應有的懲處，導致這類案件頻發，使全體巴西公民都成了信息泄露的受害者。出現這種情況的根源在于法律監管的缺失。竊取信息的黑客一經查實，必然受到刑事懲處。而對于泄露信息的涉事企業來說，幾乎不會因防控不力而承擔法律責任，甚至不必向受害者提供民事賠償。

巴西的互聯網信息保護立法可謂姍姍來遲。2020年9月，巴西政府才正式頒布了該國第一部通用數據保護法（LGPD）。LGPD以歐盟的通用數據保護法為藍本，與其有很多相似之處。另外，LGPD引入了一些新概念，例如“域外效力”，即一家公司無須設在巴西境內，即可適用該法律，只要該公司從事以下任何一項業務：在巴西境內處理個人數據;處理在巴西境內收集到的個人數據;在巴西境內提供商品或服務。

LGPD要求任何公司或機構在獲取個人信息前，都必須征得個人的明確同意，并將數據請求和使用目的分開表述;公司必須制定有約束力的相關規則，以及標準的合同工具;公司必須任命一名數據保護官。

這一次個人信息遭到泄露的巴西公民和企業主，總數達到2.23億。出現這種情況的根源在于法律監管的缺失。

巴西政府要求企業和機構自行審查其信息保護制度，明確與LGPD條款之間的差距，并進行整改。

雖然完成了相關立法，但LGPD的解釋和執行存在一些有待解決的問題。首先，LGPD在行政制裁方面的規定要到今年8月1日才開始生效，在此之前，受害者只能對涉事公司提出經濟方面的索賠;其次，受害者要根據自己能夠證實的受損程度來提出賠償額度——這實際上非常困難;最后，LGPD的主要執行機構——巴西國家數據保護局（ANPD）剛剛成立，到今年8月還不一定能夠正式履行職責。

巴西網民“心慌慌”

據埃菲社報道，此次震動巴西的“全民信息遭泄露”事件，有可能是黑客組織抓住LGPD正式實施之前的這個時間段，給巴西政府來一個下馬威。這也說明巴西的互聯網信息保護工作任重而道遠。

全球知名調查機構益普索（Ipsos）以及國際管理創新中心（CIGI）共同進行的一項調查顯示，在全球互聯網發展程度較高的24個國家中，巴西網民對于互聯網安全及隱私保護的擔憂最嚴重。

調查顯示，2020年上述國家中有57%的網民表示，比2019年更擔心互聯網的安全問題。其中，巴西網民對互聯網安全表示憂慮的比例最高，達到63%。

在接受調查的巴西網民中，82%的人認為目前互聯網犯罪猖獗;74%的人不信任互聯網公司;67%的人表示，相關企業防控不力是互聯網信息泄露的主要隱患;65%的人不相信巴西政府能夠解決這個問題。

編輯：姚志剛 winter-yao@163.com