文/远山

　　（作者远山，荔枝新闻特约评论员，资深评论员；本文系荔枝网及旗下“荔枝新闻”手机客户端独家约稿，转载请注明出处。）

　　“微博莫名其妙帮我关注了‘全球娱乐趣事’，这已经不是第一次给我乱关注了！”在新浪微博，类似的用户“被加粉”事件层出不穷，浙江绍兴警方近日公布的一起“史上最大数据窃取案”，在阻止30亿条公民信息泄露的同时，也揭开了“被加粉”的秘密。

　　根据公安局通报，该案件是以北京瑞智华胜科技股份有限公司为核心的多家公司在操控。该公司通过与网络运营商签订营销广告系统服务合同，非法从运营商流量池中获取用户数据，进而操控用户账号进行微博、微信、QQ、抖音等社交平台的加粉、加群、非法获利。

　　30亿条公民信息如果连接起来，不知道可以绕地球几圈。而对于普通人来说，如果此类案件没有被发现并查处，可能永远也不知道自己在网络上处于“裸奔”状态。不仅你的言行可能已经被某个第三方企业所监控，对方甚至可以主宰你的网络信息流向，并用于巨额牟利。目前，这样的企业还只是拿着用户信息，通过加粉、加群非法获利，接下来是否还可以用到其他更危及用户切身权益的地方，最终形成对用户的全面侵害？

　　根据警方通报，该犯罪团伙涉及96家互联网公司的用户数据。几乎国内所有的核心互联网企业无一幸免，也就是说，用户在网上搜索了什么、去了哪儿、何时何地开房、买了什么东西等信息，几乎均被该犯罪团伙掌握。可以说，史上最大数据窃取案虽然告破，但也充分暴露出，当下用户网络信息保护生态是多么脆弱和无力。无论多么“高大上”的互联网企业，号称掌握了多么高级的用户信息加密等技术，在位于北京市海淀区西三环北路一栋写字楼的瑞智华胜眼中，都是可以自由进出的后花园。

　　究竟是国内核心互联网企业技术太滞后，还是宣传与行动严重不相符，都在忙着用户流量变现，根本没有足够投入到用户信息安全保障中、甚至自身也可能在做类似“生意”? 这是留给用户的第一个疑问。除了企业的自查外，有关部门也应对此予以更多重视，督促所有互联网企业进行用户信息保障状况的全面清查，并持续升级用户信息加密系统。

　　此案告破带来的第二个疑问是，除了直接作恶者瑞智华胜，其他相关责任人要承担什么样的法律责任？根据警方披露的信息，该犯罪团伙与覆盖十余省市的20多家运营商，签订营销广告合作协议，以恶意采集程序的方式，非法获取用户流量信息，操纵窃取来的用户账号，强制让用户关注的刷粉、刷量等服务。换言之，这些运营商，在涉及到如此大规模的用户信息非法套利案件时，恐怕不能说一句简单的“事先不知情”就没事了。毕竟，对于用户来源途径，以及不正常的粉丝突然暴增等现象，运营商应该做好尽职调查。因此，对于此类运营商的责任追究，也是公众关注的焦点。

　　由此案引发的第三个疑问，则是当下所谓流行的精准营销、用户画像等行为，在用户数据采集过程中，如何厘清用户隐私和企业采集权限的边界，如果企业越界是否将承担足够的违法成本。这仅仅依靠企业自律是不够的。目前法律对于用户信息安全保障已经提出了要求，如《中华人民共和国网络安全法》第四十一条规定：网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。第五十一条指出，负责关键信息基础设施安全保护工作的部门，应当建立健全本行业、本领域的网络安全监测预警和信息通报制度。但这些都是原则性条款，在具体实施上还有更多待完善之处。比如，对于各个网络运营商、平台在搜集、使用用户信息等方面的定期和不定期抽查，企业用户信息泄漏的及时上报和追溯机制等，都有待于有关部门与相关行业协会、企业共同商讨，根据现实发展来推动法律f法规的进一步细化。

　　“史上最大数据窃取案”告破，但留下的疑问还很多。对于这些疑问的回应，需要从立法、执法到行业规范各个环节参与方的努力，才能最大限度保障公民隐私，不至于让网络异变为用户信息随意泄漏的“法外之地”。

欢迎关注荔枝锐评（lizhirp）微信公众号：