全民信息遭泄露震动巴西

姚虹聿

受害者几乎包括全体巴西公民

据巴西《圣保罗州报》报道，圣保罗州警方透露，巴西近日发生了一起严重的互联网数据泄露事件，警方正在全力进行调查。

包括卫生部和最高法院在内的巴西政府部门和机构，成为网络攻击的目标。总统博索纳罗、最高法院的11名法官、众议院前议长罗德里格·马亚、参议院前议长达维·阿尔科伦布雷等人的个人信息都遭到泄露。窃取信息的犯罪分子在暗网上以“打包”的形式出售政要、明星、商界人士的个人信息，报价415欧元。

遭到泄露的信息主要包括3个方面：首先是公民的个人数据，包括姓名、出生日期、CPF（个人税号）、居住地址和收入等;其次是车辆信息，包括底盘号、牌照、所在城市、颜色、品牌、型号、生产年份、发动机排量乃至使用的燃料等;最后是企业信息，包括企业名称、成立日期、经营范围、CNPJ（企业税号）等。

办理此案的警方技术专家指出，黑客窃取的是最深层的互联网数据，即那些通过普通搜索引擎无法找到的内容。黑客将出售大量巴西人的电子邮件、电话号码、购买力数据等。警方最担心的是，这些数据会被用于实施互联网“钓鱼”式诈骗，诱使人们支付费用，参与所谓“投资”，或者提供更多的个人信息。另外，遭泄露的信息对于南美的犯罪集团来说是“宝贵的数据库”，他们在暗网上购买相关信息后，可用于实施诈骗、敲诈勒索和绑架等犯罪。

据西班牙埃菲社报道，这是巴西迄今为止规模最大的一起互联网信息泄露案件。根据巴西警方公布的數据，此次信息遭到泄露的巴西公民和企业主，总数达到2.23亿，另有1.04亿车辆的信息遭到泄露。

需要指出的是，有的受害者既是巴西公民，也是企业主，所以他们被统计了两次。还有一些受害者是居住在海外的巴西籍人士。即便如此，根据2020年的最新统计数据，巴西的人口为2.1亿——也就是说，此次信息泄露事件的受害者几乎包括了全体巴西公民！

重大信息泄露事件不了了之

埃菲社指出，这不是巴西首次发生大批公民信息遭泄露事件。作为南美地区的经济和人口大国，巴西的互联网信息安全一直堪忧。

2019年11月，一家名为CheckMeu-Carro的巴西交通牌照信息公司的数据库遭黑客攻陷，约1.9亿个CPF和3500万个CNPJ被窃取。该数据库记录的个人信息包括客户的姓名、居住地址、联系方式、收入情况、出生日期、受教育程度以及其父母的姓名。一位匿名的安全信息专家在博客上曝光了此事：在特定的服务器上可以查到CheckMeuCarro公司记录的所有数据。人们无从获知这些数据是什么时候被传到互联网上的。

互联网数据保护是巴西面临的严峻问题

事发后，CheckMeuCarro公司表示，泄露数据的服务器是公司内部用来测试的平台，公司对它进行了实时流量监控和访问限制，访问服务器的人无法下载详细的数据，也无法将这些数据商用。然而，那位曝光此事的专家指出，他对该服务器进行了数十次访问，均成功进入系统，可以在线查阅所有数据——这与直接下载数据没有本质上的区别。

专攻数据保护法的巴西法律专家马塞洛·克雷斯波表示，人们可以找到泄露数据的公司，并针对因数据泄露遭受的损失提出索赔。但是，受害者必须证实自己受到的损失的具体数额，才能提出索赔——这非常困难，几乎不可能实现。

CheckMeuCarro公司表示，“受害者的损失没有他们想象得那么大”。该公司甚至“甩锅”给巴西政府，声称“很多数据来自巴西政府公布的信息，比如教育机构和司法机构公布的信息。既然这些信息之前已经由政府公开过了，就不应视之为公民的隐私”。

这一事件很快不了了之。CheckMeu-Carro公司关闭了服务器，停止了用户的访问，仅此而已。

2020年1月，巴西Orsegups公司的服务器配置出现错误，泄露了大量税务文件，其中包括公司与客户之间签订的合同的金额，以及公司员工的个人信息。泄露数据的总量超过25GB。

颇具讽刺意味的是，Orsegups公司是巴西安全防护领域的巨头，专门为私营公司、公共机构和家庭提供安全服务，拥有40多年的行业经验。该公司的业务范围包括闭路电视监控系统、警报系统、车辆行程安保和远程礼宾服务等。遭到泄露的文件中包含成千上万的客户在接受住宅和车辆保护服务后收到的发票，其姓名、社会保险号码、CPF、居住地址和电话号码，均一目了然。此次信息泄露事件无异于一枚重磅炸弹，令大批巴西政要、富商和明星如临大敌——他们都是Orsegups公司的客户。

Orsegups公司最终关闭了易受攻击的服务器，并表示“专门成立了安全团队来监控公司的相关平台，针对数据安全实施更好的策略”。没有受害者向Orsegups公司提出索赔，因为他们知道，按照巴西法律，难以打赢索赔官司。

网络信息保护立法姗姗来迟

《圣保罗州报》指出，数据泄露案的涉事公司未受到应有的惩处，导致这类案件频发，使全体巴西公民都成了信息泄露的受害者。出现这种情况的根源在于法律监管的缺失。窃取信息的黑客一经查实，必然受到刑事惩处。而对于泄露信息的涉事企业来说，几乎不会因防控不力而承担法律责任，甚至不必向受害者提供民事赔偿。

巴西的互联网信息保护立法可谓姗姗来迟。2020年9月，巴西政府才正式颁布了该国第一部通用数据保护法（LGPD）。LGPD以欧盟的通用数据保护法为蓝本，与其有很多相似之处。另外，LGPD引入了一些新概念，例如“域外效力”，即一家公司无须设在巴西境内，即可适用该法律，只要该公司从事以下任何一项业务：在巴西境内处理个人数据;处理在巴西境内收集到的个人数据;在巴西境内提供商品或服务。

LGPD要求任何公司或机构在获取个人信息前，都必须征得个人的明确同意，并将数据请求和使用目的分开表述;公司必须制定有约束力的相关规则，以及标准的合同工具;公司必须任命一名数据保护官。

这一次个人信息遭到泄露的巴西公民和企业主，总数达到2.23亿。出现这种情况的根源在于法律监管的缺失。

巴西政府要求企业和机构自行审查其信息保护制度，明确与LGPD条款之间的差距，并进行整改。

虽然完成了相关立法，但LGPD的解释和执行存在一些有待解决的问题。首先，LGPD在行政制裁方面的规定要到今年8月1日才开始生效，在此之前，受害者只能对涉事公司提出经济方面的索赔;其次，受害者要根据自己能够证实的受损程度来提出赔偿额度——这实际上非常困难;最后，LGPD的主要执行机构——巴西国家数据保护局（ANPD）刚刚成立，到今年8月还不一定能够正式履行职责。

巴西网民“心慌慌”

据埃菲社报道，此次震动巴西的“全民信息遭泄露”事件，有可能是黑客组织抓住LGPD正式实施之前的这个时间段，给巴西政府来一个下马威。这也说明巴西的互联网信息保护工作任重而道远。

全球知名调查机构益普索（Ipsos）以及国际管理创新中心（CIGI）共同进行的一项调查显示，在全球互联网发展程度较高的24个国家中，巴西网民对于互联网安全及隐私保护的担忧最严重。

调查显示，2020年上述国家中有57%的网民表示，比2019年更担心互联网的安全问题。其中，巴西网民对互联网安全表示忧虑的比例最高，达到63%。

在接受调查的巴西网民中，82%的人认为目前互联网犯罪猖獗;74%的人不信任互联网公司;67%的人表示，相关企业防控不力是互联网信息泄露的主要隐患;65%的人不相信巴西政府能够解决这个问题。

编辑：姚志刚 winter-yao@163.com