二零二一年七月,一家总部位于杭州的跨境电商运营企业发现了一个令人震惊的情况。公司的数据安全系统在例行审计中检测到,一名运营部门的高级主管在非工作时间段内,连续多日批量导出了平台过去三年的客户交易数据,包括客户的姓名、电话号码、收货地址、购买记录和支付账户的部分信息。数据总量超过五十万条,时间跨度贯穿了企业开业以来的全部交易记录。
这名高级主管姓林,在公司工作将近四年,负责平台的商品运营和用户分析工作。按照公司的数据权限管理制度,运营主管级别的员工确实拥有导出客户交易数据的权限,以便进行销售数据分析。但批量导出数据的操作需要经过部门负责人和数据安全官的双重审批,系统应当在每次导出操作时自动记录操作人员和导出内容,并在导出完成后向数据安全中心发送预警通知。
但问题恰恰出在审批和预警机制上。林主管选择的下班时间——凌晨一点到三点之间——正好是数据安全系统的自动日志归档时间。系统在进行归档操作时会产生大量正常的文件读写记录,审计人员的关注度在这个时段会相对降低。林主管利用这个时间差,分批分次地将客户数据导入了自己的移动硬盘,每次导出的数据量控制在看起来比较合理的范围内,没有触发系统的阈值报警。在一周的时间里,他分八次完成了全部数据的导出操作。
林主管的动机在调查过程中逐渐清晰。他在业余时间经营着一家小型跨境电商店铺,但生意一直不理想。一名自称跨境电商咨询顾问的外籍人士通过LinkedIn联系到他,表示愿意以每条客户信息零点五元的价格购买中国跨境电商平台的客户交易数据,用于境外市场分析。林主管在和对方反复沟通后,最终按每人次零点三元的价格,将整批五十多万条客户数据打包出售,获利超过十五万元。
按照我国个人信息保护法的规定,处理个人信息应当遵循合法、正当、必要和诚信原则,不得以欺诈、诱导或者恶意的方式处理个人信息。个人信息处理者应当对其工作人员以个人名义处理个人信息的行为负责,并采取必要措施保障个人信息的安全。林主管的行为不仅严重违反了公司的内部管理制度,也触犯了刑法的相关规定,构成了侵犯公民个人信息罪。杭州警方在接到企业报案后迅速立案侦查,林主管在三天后被抓获归案。
但这起事件给企业带来的麻烦远不止一个员工被追责那么简单。按照个人信息保护法的规定,因个人信息泄露给个人造成损害的,个人信息处理者如果不能证明自己没有过错,就需要承担损害赔偿等侵权责任。企业在事件发生后,向所有可能受到影响的客户发出了通知,并配合监管部门完成了整改。但品牌声誉的损失和客户的信任危机需要很长时间才能修复。
跨境电商平台的数据安全防护面临着与其他类型互联网企业不同的挑战。平台掌握的客户数据往往是高度结构化的完整交易信息,包括姓名、地址、电话和支付信息,这些数据在黑产市场上具有很高的商业价值。同时,跨境电商业务的国际化特征也使得数据跨境传输的需求与信息安全之间存在天然的张力。
北京企密安在为跨境电商客户提供数据安全咨询服务时,会重点帮助企业建立几个关键的数据保护机制。批量导出客户数据的权限应当实行双重控制和多人审批,核心数据的导出操作最好需要数据安全官和业务负责人同时确认。系统应当对所有数据导出操作进行全量审计,而非依赖阈值触发式的报警。客户个人信息的分级分类管理是有效控制数据泄露影响范围的基础性工作,不同类型的客户数据应当在存储和访问上采用不同的保护措施。数据安全防控不能只依赖技术手段,制度建设和人员管理才是真正的根基。
