李鐵的個(gè)人信息泄露了。
李鐵從事數(shù)據(jù)安全保護(hù)工作近10年�,尤為看重自己的個(gè)人信息保護(hù)。近日����,他告訴央廣網(wǎng)記者,今年6月的一天���,他接到一個(gè)陌生電話���,對方直接說出他在某電商平臺的訂單信息,并稱貨品質(zhì)量有問題�,需要提供銀行卡號,以便賠償���。
李鐵說�,出于職業(yè)敏感����,他的第一反應(yīng)是個(gè)人信息被泄露了���。此前他確實(shí)在這家電商平臺購買過上述物品�,當(dāng)他試圖詢問更多信息時(shí)�,對方立即掛斷了電話����。
記者近期調(diào)查發(fā)現(xiàn)�����,除這家電商平臺外���,多家知名電商平臺均有數(shù)據(jù)在網(wǎng)上公開叫賣�����,這些信息包括消費(fèi)者的姓名��、電話�����、地址����、商品名稱和快遞單號等��。有賣家自稱每條個(gè)人信息0.35元,2000條起賣����,如果購買量大,最低可打五折���。記者從賣家處購買了數(shù)千條數(shù)據(jù)���,隨機(jī)對近200條個(gè)人數(shù)據(jù)進(jìn)行了電話求證,證實(shí)被售賣的個(gè)人信息中名字��、電話�����、住址等準(zhǔn)確無誤���。
互聯(lián)網(wǎng)數(shù)據(jù)信息泄露不僅帶來不厭其煩的營銷電話�,還牽涉到商業(yè)平臺之間的利益競爭���,甚至導(dǎo)致電信詐騙等犯罪現(xiàn)象���,諸如2016年震驚全國的“徐玉玉電信詐騙案”。該案入選最高人民法院“2017年推動(dòng)法治進(jìn)程十大案件”�。
2022年6月1日,《中華人民共和國網(wǎng)絡(luò)安全法》(簡稱《網(wǎng)絡(luò)安全法》)正式實(shí)施五周年����。《網(wǎng)絡(luò)安全法》明確規(guī)定�����,網(wǎng)絡(luò)運(yùn)營者對其收集的個(gè)人信息所負(fù)有的法定義務(wù)包括:不得泄露�、篡改、毀損其收集的個(gè)人信息�����;未經(jīng)被收集者同意,不得向他人提供個(gè)人信息���;采取技術(shù)措施和其他必要措施,確保其收集的個(gè)人信息安全����,防止信息泄露、毀損���、丟失�。
今年國務(wù)院印發(fā)的《“十四五”數(shù)字經(jīng)濟(jì)發(fā)展規(guī)劃》提出,嚴(yán)厲打擊數(shù)據(jù)黑市交易����,營造安全有序的市場環(huán)境。國家發(fā)展改革委等部門聯(lián)合印發(fā)的《關(guān)于推動(dòng)平臺經(jīng)濟(jì)規(guī)范健康持續(xù)發(fā)展的若干意見》中也提到�,從嚴(yán)管控非必要采集數(shù)據(jù)行為,依法依規(guī)打擊黑市數(shù)據(jù)交易�����、大數(shù)據(jù)殺熟等數(shù)據(jù)濫用行為����。
嚴(yán)厲打擊之下,還是有人鋌而走險(xiǎn)�����。幾千元可買到上萬條數(shù)據(jù)�����,一條黑色產(chǎn)業(yè)鏈正潛伏在社會(huì)的隱秘角落中�����。
一條數(shù)據(jù)0.35元
隔三岔五,賣家許飛就會(huì)在QQ群發(fā)布一條“出料”信息����。
“出料”是這個(gè)地下交易的“黑話”��,它代表“數(shù)據(jù)”�����。消息發(fā)出不久����,群內(nèi)一些成員就來詢問是什么類別的數(shù)據(jù),他回復(fù)“私聊”后��,這群人便消失在聊天群中����。申請好友通過驗(yàn)證后,一旦有人買數(shù)據(jù)時(shí)猶豫不決�����,他就很快把人拉黑。
記者以買家身份加上了賣家許飛的QQ���!澳阋嗌贄l?這些數(shù)據(jù)你先打電話核實(shí)����!痹S飛發(fā)來一個(gè)文檔��,稱這是截取短信的信息����,短信顯示“某人、某時(shí)購買的物品已經(jīng)發(fā)貨”���。
他自稱還出售多家知名電商平臺的個(gè)人信息����,“一條數(shù)據(jù)0.35元�,2000條信息起賣�����!辟徺I者不僅可以指定平臺,還可指定日期��,但最新數(shù)據(jù)也是兩天前的數(shù)據(jù)����,而非實(shí)時(shí)數(shù)據(jù)。
記者向許飛購買多家電商平臺的個(gè)人數(shù)據(jù)���,發(fā)來的每份數(shù)據(jù)文檔中的信息條數(shù)從幾十個(gè)到上千個(gè)不等,訂單的商品有母嬰用品����、衣服、酒水��、生活用品等多種類別�。
其中,兩份名為某電商平臺“紙尿褲”和“母嬰”的文件�����,共有數(shù)百條網(wǎng)購訂單數(shù)據(jù)信息�。信息包括所購買的商品品名、數(shù)量���、價(jià)格�、交易時(shí)間、訂單號���,以及收貨人電話�����、姓名�、地址����,快遞公司和快遞單號等���,其中地址詳至門牌號���。甚至,部分訂單顯示“未發(fā)貨”“已發(fā)貨”“孕婦不能走太遠(yuǎn)路”等備注信息�。
為驗(yàn)證上述數(shù)據(jù)信息的真實(shí)性,記者隨機(jī)撥打近200名用戶電話求證�����,證實(shí)被售賣者的名字、電話�、住址等信息無誤。
“假的數(shù)據(jù)����,我敢賣給你?”許飛再三催促記者盡快核實(shí)�,“你放心,這些數(shù)據(jù)都可以對上號����!
許飛介紹�,他和其他人合伙開了一家工作室��,每天產(chǎn)量3萬條左右����,而他自己也偷偷生產(chǎn)數(shù)據(jù),但量少��,每月不到1萬條����。假如客戶多����,數(shù)據(jù)又不夠�,他只能從工作室拿,而自己只能拿一點(diǎn)提成���,“掙得并不多”����。
見記者猶豫不決�,他不斷勸說:“數(shù)據(jù)效果好的話,趁月底你多弄點(diǎn)數(shù)據(jù)�����,可以打五折�����,1萬條數(shù)據(jù)只要2300元�。你要是想倒手賣,再把價(jià)格加上去�。”
許飛還發(fā)來一份名為“銀行交易短信劫持樣本”的文檔。該文檔包含國內(nèi)各大銀行名稱��、姓名����、手機(jī)號碼、屬地�、時(shí)間、儲戶實(shí)時(shí)到賬的短信提示等信息�。“這是銀行內(nèi)部流出的數(shù)據(jù)���,我們渠道很多�,你信了吧���?”他說����。
另一售賣者也表示��,自己售賣的數(shù)據(jù)以母嬰類為主����,還有專門的寶媽平臺和電視購物個(gè)人信息,這些信息都是從平臺一手渠道“拿貨”���,保證精準(zhǔn)�����,并稱如果價(jià)格能夠接受��,“身份證都能給你洗出來”�����。
許飛從不用支付寶�、微信轉(zhuǎn)賬的方式交易�����。
他稱����,支付寶口令紅包更安全。記者在購買數(shù)據(jù)時(shí)�����,他再三囑咐轉(zhuǎn)賬必須通過“支付寶口令”紅包,輸入口令后�,將截圖發(fā)給他即可����!拔覀兌际峭ㄟ^這種方式支付��!薄斑@樣有點(diǎn)麻煩���,但穩(wěn)妥最重要���!痹诹奶熘���,他從不提錢����、數(shù)據(jù)��、紅包等敏感詞匯��,“你要有安全意識”�����。
數(shù)據(jù)溯源不明
交易神秘是因?yàn)檫@些數(shù)據(jù)來源“見不得光”����。
“數(shù)據(jù)保真就行,渠道不能說得‘太白’���。不然我們還咋掙錢�!”許飛透露����,這些數(shù)據(jù)主要通過程序從平臺上“爬取”,或者從“企業(yè)內(nèi)鬼”處買到�。記者隨機(jī)向許飛發(fā)來的數(shù)據(jù)所涉平臺商家進(jìn)行驗(yàn)證,這些商家的工作人員均表示�����,不出售任何個(gè)人數(shù)據(jù)�。
許飛稱,有些數(shù)據(jù)來源于物流���。但多家快遞公司的快遞員均表示����,在網(wǎng)購快遞收發(fā)中,他們可以看到備注的收貨人名字����、電話、地址或快遞物品類別���,但商品型號�����、顏色�、價(jià)格等訂單具體信息�,他們無從得知。有些知名家電品牌的快遞面單備注較為詳細(xì)�����,但也并非所有信息都會(huì)顯示���。
“這種貨源渠道五花八門�����,咋跟你說����?”許飛表示他不是黑客����,也不是中間商,不然數(shù)據(jù)售價(jià)不會(huì)這么低��。
根據(jù)工作經(jīng)驗(yàn)���,李鐵認(rèn)為���,許飛出售的可能是一手資料。他本人曾向某企業(yè)內(nèi)鬼購買數(shù)據(jù)�,對方和許飛一樣警惕性極高。
李鐵介紹���,這類倒買倒賣的方式往往是把一手信息通過固定渠道向外銷售�����,購買者成立公司或工作室����,對數(shù)據(jù)進(jìn)行清洗,然后通過各種渠道售賣給個(gè)人買家������!耙皇?jǐn)?shù)據(jù)售價(jià)往往很低,在數(shù)據(jù)流通出去后����,不少人反復(fù)倒賣加價(jià),售價(jià)自然就高了������!
“這些人膽子很大,不停在各個(gè)社交渠道叫賣�����,而且還反復(fù)售賣�����!弊屑(xì)研究了對方售賣的數(shù)據(jù)��,李鐵分析稱���,部分?jǐn)?shù)據(jù)已被清洗過,然后對方再重新拼湊起來����。“這樣做主要是安全�,無法追溯源頭�����!
中國計(jì)算機(jī)行業(yè)協(xié)會(huì)數(shù)據(jù)安全專業(yè)委員會(huì)委員楊蔚表示��,從近幾年國內(nèi)外網(wǎng)絡(luò)攻擊事件和數(shù)據(jù)泄露事件來看�,不管是網(wǎng)購還是其他途徑的信息泄露,來源主要是黑客攻擊����、內(nèi)鬼泄露、供應(yīng)鏈泄露三個(gè)方面。
楊蔚說���,以電商平臺舉例����,它是典型的供應(yīng)鏈生態(tài)體系�,既有“上游”,也有“下游”��,整個(gè)流程協(xié)同分工����。從消費(fèi)者角度來看,各個(gè)環(huán)節(jié)都會(huì)存在數(shù)據(jù)被獲取的可能性��,因?yàn)楦鲾?shù)據(jù)都在流轉(zhuǎn)�����,大電商和小電商區(qū)別就在于組織和流程上涉及多少的問題����。“這也是為什么某些電商平臺一旦數(shù)據(jù)泄露����,任何一個(gè)環(huán)節(jié)都說不是自己泄露的����,這些平臺沒有相應(yīng)的技術(shù)手段來保證各環(huán)節(jié)�����,說明管理存在問題������!彼f����。
據(jù)記者了解,最高人民檢察院近期印發(fā)了《關(guān)于加強(qiáng)刑事檢察與公益訴訟檢察銜接協(xié)作嚴(yán)厲打擊電信網(wǎng)絡(luò)犯罪加強(qiáng)個(gè)人信息司法保護(hù)的通知》���,要求嚴(yán)厲打擊行業(yè)“內(nèi)鬼”泄露公民個(gè)人信息違法犯罪�。
多用于營銷推廣和電信詐騙
許飛從不過問買方購買數(shù)據(jù)的用途�,“我管那么多干嘛,問了別人也不說������!
但實(shí)際上���,這些包含大量個(gè)人信息的數(shù)據(jù)已經(jīng)成為電信網(wǎng)絡(luò)詐騙犯罪的“基本物料”。犯罪分子通過非法手段獲取公民注冊手機(jī)卡��、銀行卡�����,以此作為詐騙犯罪的基礎(chǔ)工具�����,或是利用這些信息對詐騙對象進(jìn)行“畫像”���,實(shí)施精準(zhǔn)詐騙����。
在記者電話求證過程中�,近半數(shù)消費(fèi)者表示曾接到詐騙電話,甚至部分人多次接到境外詐騙電話�,這些詐騙人員能夠詳細(xì)說出他們的姓名�、住址���、網(wǎng)購訂單等信息���。其中,有些是要求他們通過銀行轉(zhuǎn)賬��,有的是以返還商品優(yōu)惠為由要求提供銀行卡��。
李鐵表示�,購買這些數(shù)據(jù)的人,主要是出于商業(yè)目的和詐騙����。出于商業(yè)目的����,例如推廣營銷、獲取新用戶���、提高銷售額����、獲取競爭對手客群等,而詐騙則尤為常見�,甚至還有人借此來進(jìn)行勒索。
楊蔚同樣表示�����,一般個(gè)人信息數(shù)據(jù)泄露后常被用于營銷推廣和電信詐騙���。而在電信詐騙中����,在校學(xué)生����、留守老年人會(huì)成為電信詐騙分子重點(diǎn)關(guān)注的對象。
2016年8月21日���,剛接到大學(xué)錄取通知書的山東臨沂市高三畢業(yè)生徐玉玉接到詐騙電話��。陳文輝等人以發(fā)放助學(xué)金的名義�,騙走了徐玉玉全部學(xué)費(fèi)9900元���,徐玉玉在報(bào)警回家的路上猝死�����。
2017年6月27日����,此案在山東省臨沂市中級人民法院一審公開開庭審理。陳文輝��、鄭金鋒���、黃進(jìn)春等7名被告人均表示認(rèn)罪悔罪��。
根據(jù)法院披露的信息�����,2015年11月至2016年8月����,被告人陳文輝�、鄭金峰��、黃進(jìn)春等人通過網(wǎng)絡(luò)購買學(xué)生信息和公民購房信息��。隨后冒充教育局、財(cái)政局�、房產(chǎn)局工作人員,以發(fā)放貧困學(xué)生助學(xué)金���、購房補(bǔ)貼為名����,以高考學(xué)生為主要詐騙對象�����,撥打電話騙取他人錢款�,金額共計(jì)人民幣56萬余元。
李鐵表示�����,電信詐騙犯罪產(chǎn)業(yè)鏈的背后�,盤踞著以公司化體系運(yùn)營的網(wǎng)絡(luò)犯罪集團(tuán)。詐騙的大部分話術(shù)圍繞高額回報(bào)�、高收益展開,后續(xù)再以賬戶異常��、流水不足���、銀行卡異常無法提現(xiàn)等理由實(shí)施詐騙�����,常見的騙局類型有刷單����、假冒金融App、電商購物退款等���。在他看來�,電信網(wǎng)絡(luò)詐騙背后折射的是各類信息的數(shù)據(jù)安全��。網(wǎng)絡(luò)黑產(chǎn)分子攫取個(gè)人數(shù)據(jù)信息�����,經(jīng)過處理加工后批量標(biāo)價(jià)賣給電信詐騙團(tuán)伙����,后者再利用這些信息獲取受害者信任,以實(shí)施詐騙�����。
公安部公布的最新統(tǒng)計(jì)數(shù)據(jù)顯示�,2021年,公安機(jī)關(guān)偵辦侵犯公民個(gè)人信息�、黑客等重點(diǎn)案件1.8萬余起,打掉為賭博�、詐騙等犯罪提供資金結(jié)算、技術(shù)支撐���、引流推廣等服務(wù)的團(tuán)伙6000余個(gè)�,查處非法侵入計(jì)算機(jī)信息系統(tǒng)�����、非法獲取系統(tǒng)數(shù)據(jù)人員3000余名����,抓獲行業(yè)內(nèi)部人員680余名。
立案難��、維權(quán)難
楊蔚也曾遭遇個(gè)人信息泄露�����,而其后的維權(quán)之路讓這位網(wǎng)絡(luò)安全領(lǐng)域的專家都感到無比艱難。
就在今年“3·15”當(dāng)天�,楊蔚接到某房產(chǎn)中介的電話,對方精準(zhǔn)地說出了他所居住的小區(qū)和樓層號�������!膀}擾電話的精準(zhǔn)程度����,真是令人發(fā)指�!睏钗祰L試舉報(bào),但過程并不理想���。
楊蔚說��,這類案件舉證大部分容易因擴(kuò)散渠道不具有單一性和唯一性�,導(dǎo)致無法確認(rèn)泄露主體而敗訴����。網(wǎng)民在日常生活中使用一些App時(shí),如果不授權(quán)就用不了任何功能���,但授權(quán)同意后就表示用戶讓渡了自己的個(gè)人信息����,給予App運(yùn)營主體獲取權(quán)限�����。這也是為什么近年來手機(jī)App過度收集用戶信息現(xiàn)象多次遭受質(zhì)疑的原因����。因?yàn)槿菀鬃躺鷶?shù)據(jù)黑產(chǎn),引發(fā)違法犯罪�。
此外,依靠暗網(wǎng)交易軟件獲取的數(shù)據(jù)來源更加私密�����,形成監(jiān)管盲區(qū)����,給執(zhí)法部門帶來很大困難。楊蔚認(rèn)為�����,要從上游如支付環(huán)節(jié)或數(shù)據(jù)源頭解決問題。
為加強(qiáng)對數(shù)據(jù)安全����、個(gè)人信息的保護(hù)力度,近幾年國內(nèi)頒布多部法律法規(guī)及行業(yè)標(biāo)準(zhǔn)�,包括網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法��、個(gè)人信息保護(hù)法��、電子商務(wù)法以及消費(fèi)者權(quán)益保護(hù)法等�����。
北京市中治律師事務(wù)所律師郭聰認(rèn)為��,根據(jù)刑法第二百五十三條之一:侵犯公民個(gè)人信息罪���,違反國家有關(guān)規(guī)定�,向他人出售或者提供公民個(gè)人信息�,情節(jié)嚴(yán)重的,處三年以下有期徒刑或者拘役����,并處或者單處罰金�����;情節(jié)特別嚴(yán)重的�����,處三年以上七年以下有期徒刑,并處罰金�����。
郭聰表示���,據(jù)不完全統(tǒng)計(jì)��,目前根據(jù)司法實(shí)踐中的案例數(shù)據(jù)��,2020年至2021年的侵犯公民個(gè)人信息犯罪結(jié)案案例約4613件����,2022年1月至6月約為307件�����。絕大多數(shù)案件處于判處三年以下有期徒刑的量刑層級。
在國外���,歐盟實(shí)施了嚴(yán)厲的數(shù)據(jù)保護(hù)條例GDPR����。GDRP是《通用數(shù)據(jù)保護(hù)條例》的簡稱�����,是歐盟立法機(jī)關(guān)針對歐洲發(fā)生的諸多信息和隱私數(shù)據(jù)泄露案件而制定的法案���。該條例明確規(guī)定�����,公司內(nèi)部需要設(shè)立數(shù)據(jù)保護(hù)官DPO(類似于CEO和COO高管職位)�,負(fù)責(zé)個(gè)人隱私數(shù)據(jù)保護(hù)���。對比國內(nèi)外法律�����,歐盟對數(shù)據(jù)泄露的處罰力度更大����,法條更明確。楊蔚認(rèn)為�,相比歐盟,我國關(guān)于數(shù)據(jù)安全的立法起步較晚�,在數(shù)據(jù)安全治理實(shí)踐上還存在一定差距。
中興通訊數(shù)據(jù)保護(hù)合規(guī)部與數(shù)據(jù)法盟聯(lián)合編制的《GDPR執(zhí)法案例精選白皮書》數(shù)據(jù)顯示��,截至2019年9月24日�,22家歐洲數(shù)據(jù)監(jiān)管機(jī)構(gòu)對共87件案件作出了總計(jì)3.7億歐元的行政處罰決定。
楊蔚表示��,數(shù)據(jù)作為生產(chǎn)要素�,安全保護(hù)仍然是需要大家共同解決的問題�����,須監(jiān)管部門�����、企業(yè)�����、安全機(jī)構(gòu)、民間安全力量等各方的努力��。他認(rèn)為��,有關(guān)部門要不斷明確各方權(quán)責(zé)��,將舉證門檻降低�����,并且加大處罰力度�;企業(yè)及負(fù)責(zé)人應(yīng)做到知法守法,承擔(dān)保障個(gè)人信息安全的義務(wù)����,對員工進(jìn)行安全教育和培訓(xùn),企業(yè)內(nèi)建設(shè)網(wǎng)絡(luò)安全防御體系�����、加強(qiáng)數(shù)據(jù)備份和信息保密等工作��;個(gè)人要提高安全防護(hù)意識�����,具備一定的敏感性,謹(jǐn)慎點(diǎn)擊鏈接及網(wǎng)站��、創(chuàng)建安全性較高的密碼等�。
北京大學(xué)法學(xué)院副院長薛軍認(rèn)為,要從根本上解決信息泄露問題����,還要依靠先進(jìn)的技術(shù)。在可能出現(xiàn)個(gè)人隱私和信息泄露的環(huán)節(jié)�����,要用技術(shù)將信息匿名化�����,這些匿名信息只有系統(tǒng)能識別��,而行為人不能識別�����、獲取����。
他表示,相關(guān)部門還要進(jìn)一步加強(qiáng)對這類違法行為的偵查����,加大對不法分子的懲處力度�!斑@個(gè)最有震懾力,當(dāng)他們知道違規(guī)����、違法必然受到處罰時(shí),可能就放棄了����!
��。ㄎ闹欣铊F�、許飛均為化名)
手機(jī)看中經(jīng)
經(jīng)濟(jì)日報(bào)微信
中經(jīng)網(wǎng)微信
商務(wù)地帶
