文/熊志

　　（作者熊志，荔枝新闻特约评论员，资深评论人；本文系荔枝新闻客户端、荔枝网独家约稿，转载请注明出处。）

　　3月21日，针对新浪微博因用户查询接口被恶意调用导致App数据泄露问题，工业和信息化部网络安全管理局，对新浪微博相关负责人进行了问询约谈，要求新浪微博进一步采取有效措施，消除数据安全隐患。

　　本次数据泄露风波的起源是，3月初，有暗网用户发布了一则名为“5.38亿微博用户绑定手机号数据，其中1.72亿有账号基本信息”的交易信息，中间包括微博用户ID、手机号以及头像、粉丝数、所在地等信息。

　　“5.38亿”的天文数字如果属实，它几乎覆盖了全部的微博用户，自然会引发广泛的隐私担忧。根据媒体报道，暗网上的交易已被限制，目前无人下单，但这改变不了大量用户信息被暴露的事实，无疑再次敲响了隐私安全的警钟。

　　微博方面回应称，一直提供查询通讯录好友微博昵称的服务。也就是说，用手机号注册微博后，授权微博读取通讯录，可以知道手机通讯录中联系人的微博基本信息。所以，泄露源头未必是微博，不排除黑产从业者通过收集手机号，来反向收集微博信息，关联捆绑后售卖。

　　但有两点需要注意。首先，新浪微博表示，“并非微博泄露数据”，不过不少用户的测试结果显示，可以利用微博ID反查出手机号码。另一方面，这次风波涉及的数据量达数亿条，如此大规模的信息泄露情况，难道微博没有基本的风险预警？

　　即便微博同样是受害者，上亿条关联了微博ID、手机号以及粉丝、地理信息的数据，在暗网公开叫卖，说明地下黑产已经运作了很久。事实上，微博方面也承认，此次数据泄露可以追溯到2018年底，有用户在微博接口通过批量手机批量上传通讯录，匹配出几百万个账号昵称。用户数据被大规模收集匹配，微博隐私安全保护机制的漏洞难辞其咎。

　　因此，这次工信部门约谈微博时强调，尽快完善隐私政策，“强化用户查询接口风险控制等安全保护策略”。不管泄露源头在哪里，作为存储了海量用户数据的互联网平台，微博都有责任和义务堵住数据泄露的漏洞，防止黑产窃取并倒卖用户信息。

　　现在几乎每一个APP，在登录之前，都会读取我们的手机号。为了提升用户粘性，它们会想方设法获取更多的信息，以便精准地进行用户画像。但在用户交出隐私数据的时候，互联网平台未必都具备了足够完善的安全保护策略。尽管泄露不是有意为之，但数据存储、使用和管理的漏洞存在，为黑产变相提供了生存土壤。

　　而且，像手机号以及微博ID、粉丝、地理信息等，虽然多数是半公开的，不是绝对敏感的隐私信息，但在地下黑市中，它可以成为窥探用户全貌的一块拼图。从身份信息到社交账户信息，数据泄露的渠道越来越多，我们便越可能处在透明的“裸奔”状态。

　　2018年，英国政治咨询公司剑桥分析被爆不正当使用脸书公司8700万用户的隐私数据，帮助特朗普赢得2016年美国总统大选；同年，中国华住集团发生大规模信息泄露事件，1.23亿条官网注册资料、1.3亿条入住登记身份信息以及2.4亿条详细开房记录被泄露……当下，数据泄露的话题似乎已经司空见惯，然而我们要看到，数据泄露的规模和数量级不断上升，动不动就涉及上亿条，不仅在中国，整个国际范围内都如此。隐私保护的形势越来越严峻，要引起极大重视，决不能以“老生常谈”为由而无所作为。

　　保护用户隐私是大数据时代亟待解决的重要问题。工信部要求微博“落实企业数据安全主体责任”，这样的提醒适用于每个平台——守卫隐私安全，不仅要在收集信息时适可而止，更要在数据的管理上消除一切隐患。当然，最重要的是，怎么落实？我们期待看到平台拿出整改的决心和实际行动，期待漏洞早日被修补。

欢迎关注荔枝锐评（lizhirp）微信公众号：