【编者按】在数字时代，数据安全已成为悬在每个人头顶的达摩克利斯之剑。近日，夏威夷大学癌症中心一项研究项目遭遇黑客攻击，参与者社保号码等敏感信息遭窃。令人震惊的是，校方在事发四个月后才向立法机构报告，且至今未直接通知受影响者。更耐人寻味的是，校方拒绝透露是否向黑客支付赎金、如何确保被盗数据被销毁等关键细节。这起事件不仅暴露了科研机构数据保护的脆弱性，更折射出公共机构在应对网络犯罪时的决策困境——当法律建议与实务需求冲突时，究竟该如何权衡？我们编译此文，并非仅为呈现个案，更希望引发对数字时代个人信息守护机制的深层思考。

　　夏威夷大学癌症中心一项研究参与者的社会保障号码和其他个人信息在8月遭到电脑黑客窃取，但四个月后，夏威夷大学仍未通知受影响者他们的数据已被盗。

　　夏威夷大学在12月向立法机构提交的报告中概述了这起勒索软件攻击事件，但报告时间似乎晚于州法律要求，且缺乏法定必须包含的信息。

　　夏威夷大学官员拒绝了采访请求，并拒绝提供关键信息，包括具体哪个癌症研究项目受影响、多少参与者的社保号码遭泄露，以及夏威夷大学是否向黑客支付赎金以重新获取癌症中心的研究文件——如果支付了，金额是多少。

　　目前也不清楚夏威夷大学如何确保黑客销毁了他们窃取的数据副本。

　　报告指出，黑客入侵了癌症中心的服务器，加密了与一项癌症研究相关的文件，并要求付款以提供解密文件的程序。

　　夏威夷大学报告称：“为了保护敏感信息可能已遭泄露的个人，夏威夷大学做出了与威胁行为者接触的艰难决定。”

　　大学补充说：“为了让外部利益相关者知情，夏威夷大学与外部网络安全专家团队合作，获取了解密工具，并确保威胁行为者非法获取的信息被安全销毁。”

　　报告称，大学目前正在努力汇编姓名和地址，以通知可能受影响的研究参与者。夏威夷大学计划为个人信息遭泄露者提供信用监控和身份盗窃防护服务。

　　与此同时，癌症中心已重置密码，安装了带有持续监控功能的保护软件，重建了受损系统，并对新的安全控制措施进行了第三方评估。

　　针对采访请求，夏威夷大学发言人丹·迈森扎尔提供了一份声明，内容未超出向立法机构报告的范围。

　　一个未解答的问题涉及夏威夷大学向立法机构报告信息所花费的时间——除了表示调查正在进行中之外，没有其他说明。

　　州法律通常要求政府机构在发现安全漏洞后的20天内向立法机构提交报告，内容包括“受漏洞影响的个人数量、已发布的安全漏洞通知副本、通知发送的个人数量、通知是否因执法考虑而延迟”。

　　在此案例中，夏威夷大学于8月发现漏洞，却于12月才向立法机构提交报告。

　　法律规定，当“执法机构告知政府机构，通知可能会妨碍刑事调查或危及国家安全”时，可豁免20天的报告期限。但报告并未提及执法部门提出过任何此类要求。

　　目前也不清楚夏威夷大学是如何决定与黑客接触的。联邦调查局不鼓励向黑客支付赎金。

　　该局网络部门在一个勒索软件网页上表示：“支付赎金会助长对手以营利为目标攻击其他组织，并为其他犯罪分子参与其中提供了有利可图的环境。”

　　但檀香山IT和网络安全公司HITech Hui的首席体验官兼网络安全负责人查克·勒奇表示，这 hardly 是一个实用的解决方案。

　　“是的，联邦调查局总是说‘不要付钱’，”勒奇说。“但你知道，企业主想要恢复运营，他们想要保护客户，他们还是会付钱。我的意思是，说到底，联邦调查局没有解密密钥。他们帮不了你。”

　　此外还存在风险：即使支付了赎金，黑客也可能不会信守提供加密密钥和销毁被盗数据的承诺。尽管存在风险，勒奇表示，许多黑客通常会遵循一定的道德准则，这是他称之为“世界历史上最赚钱的生意”所必需的。

　　“在某种程度上，这是一种信誉问题，”他说，“但你永远无法确定。”

　　勒奇最后表示，最具成本效益的做法是提前建立系统来防范黑客。

　　“通常，一盎司的预防绝对值得一磅的重建，”他说。“所以这就是‘你现在付钱，还是以后付钱’的问题。”