国内外敏感信息泄露案例分析 你的数据是如何泄露的？

前言

随着我国信息化建设的不断加深，互联网已经深入到了人民日常生活的每个角落，特别是移动互联网的快速发展，大大方便了人们的衣食住行，但是，在享受便利的同时，也给我们带了很多烦恼，比如刚生完孩子就有人打电话推销母婴用品，刚咨询了贷款就有无数的金融平台打电话要提供资金，注册了股票账户就有无数的所谓牛股推荐……

这样的例子比比皆是，刚我们的生活带来了很多困扰，我们不禁要问，这些敏感数据是怎么泄露的？特别是近些年，个人信息在被各类主体挖掘和利用的同时，因个人敏感信息泄露所引发的侵权、欺诈等信息犯罪行为日益严重，已为全社会造成了巨大损失，严重影响了社会安定。

在IBM 和 Ponemon Institute发布的《2015 年数据泄露成本调查：全球分析》中指出“参加研究的 350 家公司的数据泄露平均总成本从 352 增至 379 万美元，每条丢失或被窃记录（包含敏感和机密信息）的平均支付成本从 2014 年的 145 美元增至2015年调查的 154 美元”。

我们收集了2002年至2017年3月之间公开报道的敏感信息泄露案例，涉及到的行业包括互联网、金融、医疗、政府机构等，本文将对这些案例进行汇总分析，试图研究敏感信息泄露的趋势。

关键发现：

√ 泄露的信息类型包括个人敏感信息、商业秘密、国家秘密，其中以个人敏感信息和商业秘密为主，超过95%。

√ 敏感信息泄露呈现上升趋势，泄露手段从以黑客入侵等技术手段为主向技术手段与收买内部员工、内部管理不善等非技术手段结合并用发展，特别是对非技术手段的运用，近几年呈现出较快速的增长。

√ 敏感信息泄露涉及行业广泛，但重点集中在互联网、制造业、政府机构及金融行业。

√ 互联网行业信息泄露事件呈现高速增长趋势，需要引起警惕；制造业信息泄露事件逐年下降，但随着工控技术及信息技术在制造行业的应用，应持续关注信息安全，降低敏感信息泄露的可能性。

一、敏感信息的定义及分类

敏感信息（或敏感数据），是指不当使用或未经授权被人接触或修改后，会产生不利于国家和组织的负面影响和利益损失，或不利于个人依法享有的个人隐私的所有信息。

敏感信息根据其信息种类的不同，可以分为个人敏感信息、商业敏感信息、国家秘密。由于国家秘密有专门的机构进行管理，本报告中将直接引用《中华人民共和国保守国家秘密法》中国家秘密的定义，将在下文中不进行详细介绍和定义。

1. 个人敏感信息

中华人民共和国最高人民法院、最高人民检察院对“公民个人信息”进行了解释，即：是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。

最高法的司法解释，指明了个人敏感信息的种类，包括：

1) 基本信息，如姓名、性别、年龄、身份证号码、电话号码、Email地址及家庭住址等，有时甚至会包括婚姻、信仰、职业、工作单位、收入、病历、生育等内容。

2) 设备信息，是指个人信息主体使用各种计算机终端设备（包括移动和固定终端）的基本信息，如位置信息、Wifi列表信息、Mac地址、CPU信息、内存信息、SD卡信息等。

3) 账户信息，主要包括银行帐号（特别是网银账号）、第三方支付帐号，社交帐号和重要邮箱帐号等。

4) 隐私信息，主要包括通讯录信息、通话记录、短信记录、IM应用软件聊天记录、个人视频、照片等，甚至包括个人健康记录、生物特征等。

5) 社会关系信息，主要包括好友关系、家庭成员信息、工作单位信息等。

6) 网络行为信息，主要是指上网行为记录和活动行为，如上网时间、上网地点、输入记录、聊天交友、网站访问行为、网络游戏行为等信息。

当前，个人敏感信息的泄露主要通过人为倒卖、手机泄露、电脑病毒感染和网站漏洞等途径实现。特别是现阶段在互联网应用普及和对互联网依赖背景之下，由于信息安全漏洞造成的个人敏感信息泄露事件频发。因此，为防范个人敏感信息泄露，保护个人隐私，除了个人要提高自我信息保护意识以外，国家也正在积极推进保护个人信息安全的立法进程。《中华人民共和国网络安全法》2017年6月1日起实施，具有里程碑式的意义，可以起到积极的作用，有利于我国对个人敏感信息的保护。

2. 商业敏感信息

1993年12月1日实施的《中华人民共和国反不正当竞争法》将“商业敏感信息”定义为“不为公众所知悉、能为权利人带来经济利益、具有实用性并经权利采取保密措施的技术信息和经营信息”。

技术信息主要是指权利人采取了保密措施保护不为公众所知晓（未取得工业产权保护）的，具有经济价值的技术知识，如：设计、程序、产品配方、制作工艺等。

经营信息是指权利人采取了保密措施不为公众所知晓的具有经济价值的有关商业、管理等方面的方法、经验或其他信息，如：企业的战略规划、管理方法、商业模式等。

3. 说明

本次分析将对已收集的敏感信息泄露案例进行汇总分析，不会对具体的案例做详细分析，通过不同的角度和维度展开，力图使用统计学的方法和大数据分析的理论，在数据泄露类型、涉及的行业、泄露途径等不同方面展开汇总分析，通过对这些案例的汇总分析，查找事件发生的根本原因，以便能够帮助组织有针对性的对敏感信息进行保护。

本报告中所搜集的案例均来自于公开渠道，由于案例类别、数量的限制，本报告具有内在的局限性，所有分析结果并不能完全代表现状或趋势，所有结论仅为作者个人观点，本报告仅用于研究使用。

目前，Verizon、IBM、Trustwave等机构每年会发布数据泄露报告，分布年度报告、行业报告、泄露成本报告等不同维度发布，本报告中涉及的部分案例与这些机构报告中使用的案例有所重叠，特此说明。

二、主要分析结果

对收集的案例进行汇总分析，可以发现，从2002年到2017年一季度，敏感信息泄露的整体趋势呈现上升态势，在2011年敏感信息泄露事件出现爆发式增长，在2016年达到了峰值，近年，虽然企业对敏感信息的保护程度有所提升，但是敏感信息泄露事件仍然呈现上升趋势，其主要原因在于一方面黑客获取信息的途径变得越来越多，另一方面存储敏感信息的企业越来越多，但是很多企业对敏感信息保护的重视程度不足，导致越来越多的信息泄露事件的发生，整体形势不容乐观。

（编辑：ASP站长网）