商业监控资本主义在毫无约束下开展的数据采集和鲁莽的处理已经发展成为一个涉及国家安全和个人隐私的重要问题。Equifax公司遭到网络黑客攻击 ，导致1.43亿美国人的信用记录泄露，这是不可原谅的悲剧。这是高级管理人员的疏忽和不负责任造成的。44%的美国群众在即便没有授权Equifax对他们进行信息收集、保存或修改的前提下被泄露了个人隐私，而需要为此改变他们日常生活的种种细节来应对潜在威胁，Equifax不能将这次数据泄露造成的问题转嫁给消费者，它必须对未获得授权情况下收集数据损害公众和国家安全和营私负责，决不能仅仅通过保险赔偿或罚没高管退休金就一带而过。

简介

在新兴的网络信息安全战中，很少有事情是绝对的；但一件事例外，那就是资本主义的商业监控，已经由隐私问题转化为国家安全疫情。

作为最大的数据经营商之一，Equifax的违约导致了1.43亿美国人信贷记录泄露，占到总人口的44%。该公司反复修补程序漏洞，而不是专注于减轻对消费者和企业的潜在危害。它的高管用近六周时间，通过提供一年的免费的信用监测和信用冻结服务，来说服受害者放弃对其采取法律行动。 Equifax及其高管未能承担起保障消费者数据安全的责任。

鉴于人工智能强大的学习能力，黑客能够利用被盗的Equifax信用记录和从其他来源获取的数据，对有关的基础设施人员和普通消费者进行长达几十年的潜在风险。比如盗用身份，信用档案操纵，税务欺诈和医保欺诈。但是更有可能的是，复杂的对手可以利用这些信息锁定脆弱的重要基础架构管理人员和国会中那些拥有特权的员工，也可以将恶意软件或勒索软件传递到敏感系统，导致知识产权和机要情报的泄露。

Equifax的这次数据泄露案，相比近期的其他同类案件，如美国大选选票系统篡改（2016年10月）、俄罗斯暗中美国民主体制（2017年3月）、OPM（美国联邦人事管理局）数据泄露（2015年7月）、Authem（美国第二大医疗保险公司）数据泄露（2015年2月），ICIT接到了更多的来自国会、联邦机构以及国内外执法机构的简报要求。大约44%的美国人民将因此案泄露个人信用记录，只能时刻担心可能随之而来给自己“定制”的诈骗和心理攻击。数据服务商应该深刻认识到消费者数据不仅仅是商品，每一条泄露的数据都将直接影响人们的生活。

Equifax应该直接被列作失信企业的典型代表。Equifax系统也随着数据泄露而不能再被信任，数据的真实性可能在Equifax不知情的情况下被黑客随意篡改、移除、添加数据将被质疑。实际上无论是哪个数据服务商，如果采用的是基于物联网系统微缩的建筑迷宫型系统，而这个系统又是由不合格的信息安全团队来管理，就肯定是一个典型的易受攻击的系统架构。

Equifax数据泄露案是一场不可原谅的闹剧

这次数据泄露案对比先前的Target（塔吉特，2013年12月）和HomeDepot（家得宝，2014年9月），雅虎（2016年12月）或者其他公司的数据泄露危害更加深远。因为此前主要是信用卡信息，消费者大不了把相关信用卡注销就好了，而Equifax本身就是一个数据服务商，它提供的产品就是通过收集第三方组织和商业监控机构提供信息所整理的消费者集成数据。

泄露的数据包括消费者的社会保障号码、出生日期、全名、驾驶执照信息、购买习惯、经常光顾的企业以及其他极为私人的信息。Equifax公司和第三方机构通过集成分析与人口大数据算法来预测个体消费者和整个群体的信用的价值，提供对消费者授信、借钱、获贷的基于信用价值的决策建议。

现在，黑客也可以通过消费者生活轨迹甚至银行账户进行分析，进而出售身份信息。1.43亿美国人将长期生活在未知的恶意威胁之中。黑客随时可能会卖掉或公开披露这些数据，造成严重的短期和长期伤害。

背景

2017年7月29日，Equifax发现至少在两个月中，黑客已经利用了一个未修补的漏洞（CVE-2017-5638）窃取了1.43亿美国人的信贷记录信息，209,000名消费者的信用卡信息被泄露。但有些人认为，Equifax的系统管理员未及时修补漏洞补丁，黑客利用这一疏忽攻击了脆弱的Equifax服务器。

直到2017年9月7日，泄露事件才向公众披露。Equifax公司声称公司其间已经解聘了网络安全顾问，然而quifax公司竟然同时修改了服务条款来规避法律责任，并说服受害者撤回对Equifax的控诉。在公众的舆论压力下，Equifax终于同意回复受害者的仲裁权，提供一年的免费的信用监测和信用冻结服务。然后，基于受害者的信用被盗风险可能持续数年，Equifax也因此可以基于受害者需求而从中获利。

Equifax另外专门开发了一个查询个人数据泄露情况的网站。然而消费者发现该网站根本不能有效识别受害者信息。网站还可能基于提交同样的虚假数据来提供不同的查询结果。

消费者信息不等同于商品

当你作为消费者想着究竟是在Target或者HomeDepot购物的时候，实际上你是很大的自主选择空间的。因为当其中一家因为落后的网络安全保护系统而发生数据泄露事故，消费者马上就选择另一家竞争对手作为替代。大部分市民都没用过Equifax的产品，他们实际上也从来没有享受过基于他们数据价值换回的任何经济利益，甚至还无法限制Equifax要怎么使用属于他们的数据。从这个角度看，人们根本不是Equifax的客户，而是附属于Equifax的产品。基于全网式的商业监控，以及基于心理与人口统计学的大数据分析，类似艾可飞这样的数据分析服务机构已经基本可以对每个个体的每个方面进行变现。

据统计，Equifax连同益博睿和环联每个月可收集45亿条消费者数据。随着消费者年龄的增长，相关的录入信息也会渐增：地址、个人身份信息（PII ，Personal Identifiable Informaition）、账户信息、手机订阅、犯罪记录、医疗、住所记录等等。在一定程度上，像艾可飞这样的盈利性组织比申请人本身更能决定消费者的获信资格。无论是市民还是金融机构都不能跳出个人信用局构建的作为金融领域基础设施的信用报告制度。

他们料想到他们将可以从网络安全保险中获得赔偿来覆盖消费者的赔偿诉求，而又深知他们就算遭遇严重危机对于美国依然是如此必要。因此和其他数据服务商一样，这家公司在短期利益面前回避了网络安全保护的重要问题。据他们预测，数据泄露只会对公司产生短期影响。目前来看，他们的判断基本正确。数据服务商看起来不像其他行业企业要承担那么大的义务。试想一下，如果一家医院让1.43亿位病人的信息在未来10年都要受到潜在威胁，这家医院肯定不可能维持运营，对应高管还很可能被判刑。Equifax高管们对于最基本的网络安全保护的玩忽职守，就算不面临刑事诉讼，最起码也要接受调查和国会质询。

无论什么原因，黑客都将利用这些数据

目前，针对Equifax数据库的攻击途径还未得到最终确认。无数的黑客和网络犯罪团伙已经在通过暗网提供信用数据来争名夺利。即使数据交换没有发生在Equifax的服务器中，随着被盗数据逐渐被开发利用将产生更多的身份盗用问题。随着媒体对Equifax数据泄露案的持续关注以及对于被盗数据潜藏的巨大价值的考虑，可能会有越来越多的黑客将攻击矛头瞄准数据服务运营商。

数据被盗的消费者可能会在他们的信用卡或者银行账户上先发现一些小额的消费，因为黑客在作大型开销前会测试消费者的警觉性。黑客也可能会新开几个信用账户，又或者调高一些现有账户的信用额度。然而，基于本次数据泄露案牵涉广泛，黑客只要在每个单一账户上做一次简单的盗刷就获得巨额财富。健忘的受害者们可能过了10年才发现有好几个黑客曾经用过他们的信息来申请成千上万的信用贷款。长期来看，身份盗用就是主要问题，尤其是对于在信用评分在700分附近的中等信用消费者。这部分群众最容易被黑客盯上并通过盗刷获取可观收益。通常EHR（电子医疗档案）都会和PII、驾驶证进行绑定，而后面两者都在这次案件中被泄露了，因此消费者还需要格外留意医疗保险诈骗风险。

聪明的黑客可以利用机器学习、大数据分析法来对泄露的Equifax数据进行开发利用：购物历史可以解释雇员的工作满意度、婚姻状况甚至是更深层的内在需求。鉴于Equifax或者类似关键基础设施领域的员工数据肯定也遭到了泄露，黑客还可能基于他国利益，对这些员工进行恐吓和威胁，进而开展不可告人的机密行动。

上梁不正下梁歪

这些粗心的、不合格的高管正是关键基础设施网络安全保护的症结所在。此前，OPM数据泄露就像是一场“网络珍珠港”事件震动了整个国家。但同时也引起了政府和公众对于提高对敏感数据进行网络安全保护的呼声。OPM事件主要是因为资源的匮乏和相应技术岗位的缺失来开展系统保护工作。然而Equifax是一个年均收入超过3亿美元的公司，它可以轻易承担起多个信息安全团队的工资，在消费者数据遭到攻击之前落实数据保障措施、又或者起码在数据泄露后及时采取手段减轻消费者潜在损失。然而，Equifax的高管和技术负责人面对这次数据泄密却一直束手无策。

群众需求的呼声将扭转这一不合理的个人数据安全保护体制。Equifax数据泄露案实际上成为了历史上危机公关处理的反面教材的最佳体现。网络安全研究员Brian Krebs提到，“我完全无法想象当一家公司发生数据泄露之后可以在公关上做得如此草率和让人难以信服。”在五位高管离职和长达数周的公众质疑之后，Equifax的股票市值已经下跌了26%。监管机构、国会议员、州立监察机构都已发起调查，受害者们也自发组织了游行队伍和集体行动小组对Equifax进行起诉。

公众应该从这样的不负责任的数据服务商中要求获取除了免费的信用冻结和一年信用监测以外的更多服务。比如，当前的信用报告制度使得数据服务商竟然能够在没有提供足够数据安全和隐私保障的前提下通过提供消费者数据进行获利。实际上，数据服务商已经充分体现他们在这样的环境下不可能有足够的自觉性来开展数据保护工作。讽刺的是，消费者作为数据主体反而要给数据服务商付费。

因此，消费者急需法律权利来维护自身数据所有权的合法性。数据服务商在没有获得消费者个人同意的情况下公开或授权第三方查询信息都将被罚款甚至是提起司法诉讼。通过立法提高网络安全保护标准，并研发“据申请进行信用解冻”技术，这样黑客就算通过攻击进入了数据库，也要根据每个个体进行密钥解读，从而避免大规模的数据泄露。

立法将有效约束忽视信息安全的数据服务商

CFPB（消费者金融保护局）局长Richard Cordray就Equifax数据泄露案说到，“如果他们想在信用服务市场重塑公众信任、开展必要的改革，他们必须清楚认识到过去随心所欲、随时应付起诉的日子已经结束了。而政府将制定一系列预防性的监管措施，而他们得必须接受、欢迎并且积极应对监察”。如果监管措施能够顺利实施，金融全网式商业监管将不能仅仅满足于在面对非授权查询下提供‘力所能及’的手段来保障消费者数据。信用监控将从数据泄露的事后响应变为事前预防手段。

此外，筹划中的Equifax信用数据利用免责法案将禁止信用服务机构向消费者就信用冻结或解冻收费。CFPB也会在信用服务机构中起到更强的监管作用。将来，议会将评估制定数据保护政策，抑制数据服务商集中存储消费者数据的行为。

殷鉴不远 ，行动迫在眉睫

数据经济的快速发展，已经把有效保护消费者的措施甩得老远。立法者应该做的，是阐明那些故意忽视责任的高管和数据服务商，将如何对美国普通民众利益受损担起责任，而不是放纵行业说客一再拖延议会立法约束那些没有履行基本社会责任的数据服务商。仅仅让那些无情的高管们简单辞职已经不够了：Equifax的高管们单方面损害国家安全和消费者安全，转而只关注公司短期利润，使得受害者们将长期遭受数据恐吓和非法利益剥削，这些玩忽职守的高管理应受到刑事立案制裁。