前言

隨著我國信息化建設的不斷加深，互聯網已經深入到了人民日常生活的每個角落，特別是移動互聯網的快速發展，大大方便了人們的衣食住行，但是，在享受便利的同時，也給我們帶了很多煩惱，比如剛生完孩子就有人打電話推銷母嬰用品，剛咨詢了貸款就有無數的金融平臺打電話要提供資金，注冊了股票賬戶就有無數的所謂牛股推薦……

這樣的例子比比皆是，剛我們的生活帶來了很多困擾，我們不禁要問，這些敏感數據是怎么泄露的？特別是近些年，個人信息在被各類主體挖掘和利用的同時，因個人敏感信息泄露所引發的侵權、欺詐等信息犯罪行為日益嚴重，已為全社會造成了巨大損失，嚴重影響了社會安定。

在IBM 和 Ponemon Institute發布的《2015 年數據泄露成本調查：全球分析》中指出“參加研究的 350 家公司的數據泄露平均總成本從 352 增至 379 萬美元，每條丟失或被竊記錄（包含敏感和機密信息）的平均支付成本從 2014 年的 145 美元增至2015年調查的 154 美元”。

我們收集了2002年至2017年3月之間公開報道的敏感信息泄露案例，涉及到的行業包括互聯網、金融、醫療、政府機構等，本文將對這些案例進行匯總分析，試圖研究敏感信息泄露的趨勢。

關鍵發現：

√ 泄露的信息類型包括個人敏感信息、商業秘密、國家秘密，其中以個人敏感信息和商業秘密為主，超過95%。

√ 敏感信息泄露呈現上升趨勢，泄露手段從以黑客入侵等技術手段為主向技術手段與收買內部員工、內部管理不善等非技術手段結合并用發展，特別是對非技術手段的運用，近幾年呈現出較快速的增長。

√ 敏感信息泄露涉及行業廣泛，但重點集中在互聯網、制造業、政府機構及金融行業。

√ 互聯網行業信息泄露事件呈現高速增長趨勢，需要引起警惕；制造業信息泄露事件逐年下降，但隨著工控技術及信息技術在制造行業的應用，應持續關注信息安全，降低敏感信息泄露的可能性。

一、敏感信息的定義及分類

敏感信息（或敏感數據），是指不當使用或未經授權被人接觸或修改后，會產生不利于國家和組織的負面影響和利益損失，或不利于個人依法享有的個人隱私的所有信息。

敏感信息根據其信息種類的不同，可以分為個人敏感信息、商業敏感信息、國家秘密。由于國家秘密有專門的機構進行管理，本報告中將直接引用《中華人民共和國保守國家秘密法》中國家秘密的定義，將在下文中不進行詳細介紹和定義。

1. 個人敏感信息

中華人民共和國最高人民法院、最高人民檢察院對“公民個人信息”進行了解釋，即：是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息，包括姓名、身份證件號碼、通信通訊聯系方式、住址、賬號密碼、財產狀況、行蹤軌跡等。

最高法的司法解釋，指明了個人敏感信息的種類，包括：

1) 基本信息，如姓名、性別、年齡、身份證號碼、電話號碼、Email地址及家庭住址等，有時甚至會包括婚姻、信仰、職業、工作單位、收入、病歷、生育等內容。

2) 設備信息，是指個人信息主體使用各種計算機終端設備（包括移動和固定終端）的基本信息，如位置信息、Wifi列表信息、Mac地址、CPU信息、內存信息、SD卡信息等。

3) 賬戶信息，主要包括銀行帳號（特別是網銀賬號）、第三方支付帳號，社交帳號和重要郵箱帳號等。

4) 隱私信息，主要包括通訊錄信息、通話記錄、短信記錄、IM應用軟件聊天記錄、個人視頻、照片等，甚至包括個人健康記錄、生物特征等。

5) 社會關系信息，主要包括好友關系、家庭成員信息、工作單位信息等。

6) 網絡行為信息，主要是指上網行為記錄和活動行為，如上網時間、上網地點、輸入記錄、聊天交友、網站訪問行為、網絡游戲行為等信息。

當前，個人敏感信息的泄露主要通過人為倒賣、手機泄露、電腦病毒感染和網站漏洞等途徑實現。特別是現階段在互聯網應用普及和對互聯網依賴背景之下，由于信息安全漏洞造成的個人敏感信息泄露事件頻發。因此，為防范個人敏感信息泄露，保護個人隱私，除了個人要提高自我信息保護意識以外，國家也正在積極推進保護個人信息安全的立法進程。《中華人民共和國網絡安全法》2017年6月1日起實施，具有里程碑式的意義，可以起到積極的作用，有利于我國對個人敏感信息的保護。

2. 商業敏感信息