尽管 GDPR 和 CCPA 等数据隐私法规已经实施,但企业在发生数据泄露后通知用户的延迟问题反而日益严重。许多公司为了规避法律诉讼和监管压力,常常以需要“全面评估影响”为借口拖延甚至不通知受害者。这种做法导致用户的个人信息早已在网上公开流传,而他们自己却毫不知情。因此,像 Have I Been Pwned (HIBP) 这样的独立服务仍然至关重要,它为公众提供了一个在公司保持沉默时,能够主动发现自身数据是否已被泄露的渠道。
通知延迟问题日益严重
在数据隐私法规已经普及的今天,一个简单的问题是:为什么 HIBP 这样的服务仍然是必要的?答案在于一个日益恶化的现象:企业披露数据泄露的延迟越来越长。
- 数据早已公开: 以邮轮运营商 Carnival 为例,黑客组织公开泄露其数据后,这些信息迅速在黑客论坛和 Telegram 等渠道传播。
- 用户毫不知情: 尽管数据已广泛传播,Carnival 公司在得知事件 43 天后 才向公众发布声明。在这一个多月里,受影响的数百万用户对自己的个人信息(包括姓名、出生日期、邮箱等)被泄露一无所知。
- 官方借口: 公司给出的延迟理由通常是需要进行“彻底且耗时的分析”。然而,在进行全面评估之前,提前向用户发送一封预警邮件在技术上并不困难。
在 HIBP 上已经能查到我的信息了,但 Carnival 却告诉我根本没有发生数据泄露!
公司为何拖延:为诉讼而非为用户
这种不合理的延迟背后,一个主要原因可能是公司为了规避泄露事件后立刻涌现的 集体诉讼。公司的行为模式似乎更多地受到律师反应的影响,而不是真正为客户着想。
一位专家在发现自己受到 ZenBusiness 数据泄露影响后指出:
这不是保护客户的姿态,而是应对诉讼的姿态。
这揭示了一个核心问题:公司的首要责任对象是股东,而非客户。虽然公司口头上会说“客户至上”和“我们非常重视安全”,但这些都排在 股东满意度 之后。避免被诉讼是维持股东利益的关键一环。
当用户向 ZenBusiness 询问泄露事件时,得到的答复是:
如果我们确定某事件导致您的受保护个人信息被泄露,我们将 按法律要求 提供通知。
这种说法表明,公司的行动标准是法律的最低要求,而不是对用户负责。
公司利用的法律漏洞
更糟糕的是,这种通知延迟可能是无限的——也就是说,你可能永远不会被告知。现有的隐私法规为此留下了漏洞。
“严重伤害”的门槛: 英国和澳大利亚等地的法规规定,只有当数据泄露“可能导致高风险”或“可能造成严重伤害”时,企业才必须通知个人。公司可以利用这一点,辩称泄露不足以构成“严重伤害”,从而免除通知义务。
“敏感信息”的定义: 法律对“敏感个人信息”有非常狭隘的定义,通常包括社会安全号码、财务账户、健康状况或种族信息等。然而,像姓名、邮箱、出生日期这类信息通常不被归为“敏感”。
以 Charter 公司的泄露事件为例,他们声称“没有敏感个人信息被泄露”。这种说法在法律上可能是正确的,但它是一种典型的 法律姿态,旨在淡化事件影响并避免法律责任。
目标错位:公司利益 vs. 公众期望
虽然这些公司是网络犯罪的受害者,但它们在事后的处理方式显然与公众的期望不符。
- 公司的目标: 规避法律风险,减少诉讼,保护股东利益。
- 公众的期望: 自己的数据被泄露时,能被及时告知。
这种目标上的错位,解释了为什么在第 1000 起数据泄露事件之后,HIBP 这样的服务依然不可或缺。当公司选择沉默时,它为普通人提供了保护自己的最后一道防线。