李鐵的個(gè)人信息泄露了。

　　李鐵從事數(shù)據(jù)安全保護(hù)工作近10年，尤為看重自己的個(gè)人信息保護(hù)。近日，他告訴央廣網(wǎng)記者，今年6月的一天，他接到一個(gè)陌生電話，對(duì)方直接說(shuō)出他在某電商平臺(tái)的訂單信息，并稱貨品質(zhì)量有問(wèn)題，需要提供銀行卡號(hào)，以便賠償。

　　李鐵說(shuō)，出于職業(yè)敏感，他的第一反應(yīng)是個(gè)人信息被泄露了。此前他確實(shí)在這家電商平臺(tái)購(gòu)買過(guò)上述物品，當(dāng)他試圖詢問(wèn)更多信息時(shí)，對(duì)方立即掛斷了電話。

　　記者近期調(diào)查發(fā)現(xiàn)，除這家電商平臺(tái)外，多家知名電商平臺(tái)均有數(shù)據(jù)在網(wǎng)上公開(kāi)叫賣，這些信息包括消費(fèi)者的姓名、電話、地址、商品名稱和快遞單號(hào)等。有賣家自稱每條個(gè)人信息0.35元，2000條起賣，如果購(gòu)買量大，最低可打五折。記者從賣家處購(gòu)買了數(shù)千條數(shù)據(jù)，隨機(jī)對(duì)近200條個(gè)人數(shù)據(jù)進(jìn)行了電話求證，證實(shí)被售賣的個(gè)人信息中名字、電話、住址等準(zhǔn)確無(wú)誤。

　　互聯(lián)網(wǎng)數(shù)據(jù)信息泄露不僅帶來(lái)不厭其煩的營(yíng)銷電話，還牽涉到商業(yè)平臺(tái)之間的利益競(jìng)爭(zhēng)，甚至導(dǎo)致電信詐騙等犯罪現(xiàn)象，諸如2016年震驚全國(guó)的“徐玉玉電信詐騙案”。該案入選最高人民法院“2017年推動(dòng)法治進(jìn)程十大案件”。

　　2022年6月1日，《中華人民共和國(guó)網(wǎng)絡(luò)安全法》（簡(jiǎn)稱《網(wǎng)絡(luò)安全法》）正式實(shí)施五周年�！毒W(wǎng)絡(luò)安全法》明確規(guī)定，網(wǎng)絡(luò)運(yùn)營(yíng)者對(duì)其收集的個(gè)人信息所負(fù)有的法定義務(wù)包括：不得泄露、篡改、毀損其收集的個(gè)人信息；未經(jīng)被收集者同意，不得向他人提供個(gè)人信息；采取技術(shù)措施和其他必要措施，確保其收集的個(gè)人信息安全，防止信息泄露、毀損、丟失。

　　今年國(guó)務(wù)院印發(fā)的《“十四五”數(shù)字經(jīng)濟(jì)發(fā)展規(guī)劃》提出，嚴(yán)厲打擊數(shù)據(jù)黑市交易，營(yíng)造安全有序的市場(chǎng)環(huán)境。國(guó)家發(fā)展改革委等部門聯(lián)合印發(fā)的《關(guān)于推動(dòng)平臺(tái)經(jīng)濟(jì)規(guī)范健康持續(xù)發(fā)展的若干意見(jiàn)》中也提到，從嚴(yán)管控非必要采集數(shù)據(jù)行為，依法依規(guī)打擊黑市數(shù)據(jù)交易、大數(shù)據(jù)殺熟等數(shù)據(jù)濫用行為。

　　嚴(yán)厲打擊之下，還是有人鋌而走險(xiǎn)。幾千元可買到上萬(wàn)條數(shù)據(jù)，一條黑色產(chǎn)業(yè)鏈正潛伏在社會(huì)的隱秘角落中。

　　一條數(shù)據(jù)0.35元

　　隔三岔五，賣家許飛就會(huì)在QQ群發(fā)布一條“出料”信息。

　　“出料”是這個(gè)地下交易的“黑話”，它代表“數(shù)據(jù)”。消息發(fā)出不久，群內(nèi)一些成員就來(lái)詢問(wèn)是什么類別的數(shù)據(jù)，他回復(fù)“私聊”后，這群人便消失在聊天群中。申請(qǐng)好友通過(guò)驗(yàn)證后，一旦有人買數(shù)據(jù)時(shí)猶豫不決，他就很快把人拉黑。

　　記者以買家身份加上了賣家許飛的QQ�！澳阋�多少條？這些數(shù)據(jù)你先打電話核實(shí)�！痹S飛發(fā)來(lái)一個(gè)文檔，稱這是截取短信的信息，短信顯示“某人、某時(shí)購(gòu)買的物品已經(jīng)發(fā)貨”。

　　他自稱還出售多家知名電商平臺(tái)的個(gè)人信息，“一條數(shù)據(jù)0.35元，2000條信息起賣。”購(gòu)買者不僅可以指定平臺(tái)，還可指定日期，但最新數(shù)據(jù)也是兩天前的數(shù)據(jù)，而非實(shí)時(shí)數(shù)據(jù)。

　　記者向許飛購(gòu)買多家電商平臺(tái)的個(gè)人數(shù)據(jù)，發(fā)來(lái)的每份數(shù)據(jù)文檔中的信息條數(shù)從幾十個(gè)到上千個(gè)不等，訂單的商品有母嬰用品、衣服、酒水、生活用品等多種類別。

　　其中，兩份名為某電商平臺(tái)“紙尿褲”和“母嬰”的文件，共有數(shù)百條網(wǎng)購(gòu)訂單數(shù)據(jù)信息。信息包括所購(gòu)買的商品品名、數(shù)量、價(jià)格、交易時(shí)間、訂單號(hào)，以及收貨人電話、姓名、地址，快遞公司和快遞單號(hào)等，其中地址詳至門牌號(hào)。甚至，部分訂單顯示“未發(fā)貨”“已發(fā)貨”“孕婦不能走太遠(yuǎn)路”等備注信息。

　　為驗(yàn)證上述數(shù)據(jù)信息的真實(shí)性，記者隨機(jī)撥打近200名用戶電話求證，證實(shí)被售賣者的名字、電話、住址等信息無(wú)誤。

　　“假的數(shù)據(jù)，我敢賣給你？”許飛再三催促記者盡快核實(shí)，“你放心，這些數(shù)據(jù)都可以對(duì)上號(hào)。”

　　許飛介紹，他和其他人合伙開(kāi)了一家工作室，每天產(chǎn)量3萬(wàn)條左右，而他自己也偷偷生產(chǎn)數(shù)據(jù)，但量少，每月不到1萬(wàn)條。假如客戶多，數(shù)據(jù)又不夠，他只能從工作室拿，而自己只能拿一點(diǎn)提成，“掙得并不多”。

　　見(jiàn)記者猶豫不決，他不斷勸說(shuō)：“數(shù)據(jù)效果好的話，趁月底你多弄點(diǎn)數(shù)據(jù)，可以打五折，1萬(wàn)條數(shù)據(jù)只要2300元。你要是想倒手賣，再把價(jià)格加上去�！�

　　許飛還發(fā)來(lái)一份名為“銀行交易短信劫持樣本”的文檔。該文檔包含國(guó)內(nèi)各大銀行名稱、姓名、手機(jī)號(hào)碼、屬地、時(shí)間、儲(chǔ)戶實(shí)時(shí)到賬的短信提示等信息。“這是銀行內(nèi)部流出的數(shù)據(jù)，我們渠道很多，你信了吧？”他說(shuō)。

　　另一售賣者也表示，自己售賣的數(shù)據(jù)以母嬰類為主，還有專門的寶媽平臺(tái)和電視購(gòu)物個(gè)人信息，這些信息都是從平臺(tái)一手渠道“拿貨”，保證精準(zhǔn)，并稱如果價(jià)格能夠接受，“身份證都能給你洗出來(lái)”。

　　許飛從不用支付寶、微信轉(zhuǎn)賬的方式交易。

　　他稱，支付寶口令紅包更安全。記者在購(gòu)買數(shù)據(jù)時(shí)，他再三囑咐轉(zhuǎn)賬必須通過(guò)“支付寶口令”紅包，輸入口令后，將截圖發(fā)給他即可。“我們都是通過(guò)這種方式支付。”“這樣有點(diǎn)麻煩，但穩(wěn)妥最重要�！痹诹奶熘�，他從不提錢、數(shù)據(jù)、紅包等敏感詞匯，“你要有安全意識(shí)”。

　　數(shù)據(jù)溯源不明

　　交易神秘是因?yàn)檫@些數(shù)據(jù)來(lái)源“見(jiàn)不得光”。

　　“數(shù)據(jù)保真就行，渠道不能說(shuō)得‘太白’。不然我們還咋掙錢！”許飛透露，這些數(shù)據(jù)主要通過(guò)程序從平臺(tái)上“爬取”，或者從“企業(yè)內(nèi)鬼”處買到。記者隨機(jī)向許飛發(fā)來(lái)的數(shù)據(jù)所涉平臺(tái)商家進(jìn)行驗(yàn)證，這些商家的工作人員均表示，不出售任何個(gè)人數(shù)據(jù)。

　　許飛稱，有些數(shù)據(jù)來(lái)源于物流。但多家快遞公司的快遞員均表示，在網(wǎng)購(gòu)快遞收發(fā)中，他們可以看到備注的收貨人名字、電話、地址或快遞物品類別，但商品型號(hào)、顏色、價(jià)格等訂單具體信息，他們無(wú)從得知。有些知名家電品牌的快遞面單備注較為詳細(xì)，但也并非所有信息都會(huì)顯示。

　　“這種貨源渠道五花八門，咋跟你說(shuō)？”許飛表示他不是黑客，也不是中間商，不然數(shù)據(jù)售價(jià)不會(huì)這么低。

　　根據(jù)工作經(jīng)驗(yàn)，李鐵認(rèn)為，許飛出售的可能是一手資料。他本人曾向某企業(yè)內(nèi)鬼購(gòu)買數(shù)據(jù)，對(duì)方和許飛一樣警惕性極高。

　　李鐵介紹，這類倒買倒賣的方式往往是把一手信息通過(guò)固定渠道向外銷售，購(gòu)買者成立公司或工作室，對(duì)數(shù)據(jù)進(jìn)行清洗，然后通過(guò)各種渠道售賣給個(gè)人買家�！耙皇�?jǐn)?shù)據(jù)售價(jià)往往很低，在數(shù)據(jù)流通出去后，不少人反復(fù)倒賣加價(jià)，售價(jià)自然就高了�！�

　　“這些人膽子很大，不停在各個(gè)社交渠道叫賣，而且還反復(fù)售賣�！弊屑�(xì)研究了對(duì)方售賣的數(shù)據(jù)，李鐵分析稱，部分?jǐn)?shù)據(jù)已被清洗過(guò)，然后對(duì)方再重新拼湊起來(lái)�！斑@樣做主要是安全，無(wú)法追溯源頭�！�

　　中國(guó)計(jì)算機(jī)行業(yè)協(xié)會(huì)數(shù)據(jù)安全專業(yè)委員會(huì)委員楊蔚表示，從近幾年國(guó)內(nèi)外網(wǎng)絡(luò)攻擊事件和數(shù)據(jù)泄露事件來(lái)看，不管是網(wǎng)購(gòu)還是其他途徑的信息泄露，來(lái)源主要是黑客攻擊、內(nèi)鬼泄露、供應(yīng)鏈泄露三個(gè)方面。

　　楊蔚說(shuō)，以電商平臺(tái)舉例，它是典型的供應(yīng)鏈生態(tài)體系，既有“上游”，也有“下游”，整個(gè)流程協(xié)同分工。從消費(fèi)者角度來(lái)看，各個(gè)環(huán)節(jié)都會(huì)存在數(shù)據(jù)被獲取的可能性，因?yàn)楦鲾?shù)據(jù)都在流轉(zhuǎn)，大電商和小電商區(qū)別就在于組織和流程上涉及多少的問(wèn)題�！斑@也是為什么某些電商平臺(tái)一旦數(shù)據(jù)泄露，任何一個(gè)環(huán)節(jié)都說(shuō)不是自己泄露的，這些平臺(tái)沒(méi)有相應(yīng)的技術(shù)手段來(lái)保證各環(huán)節(jié)，說(shuō)明管理存在問(wèn)題。”他說(shuō)。

　　據(jù)記者了解，最高人民檢察院近期印發(fā)了《關(guān)于加強(qiáng)刑事檢察與公益訴訟檢察銜接協(xié)作嚴(yán)厲打擊電信網(wǎng)絡(luò)犯罪加強(qiáng)個(gè)人信息司法保護(hù)的通知》，要求嚴(yán)厲打擊行業(yè)“內(nèi)鬼”泄露公民個(gè)人信息違法犯罪。

　　多用于營(yíng)銷推廣和電信詐騙

　　許飛從不過(guò)問(wèn)買方購(gòu)買數(shù)據(jù)的用途，“我管那么多干嘛，問(wèn)了別人也不說(shuō)�！�

　　但實(shí)際上，這些包含大量個(gè)人信息的數(shù)據(jù)已經(jīng)成為電信網(wǎng)絡(luò)詐騙犯罪的“基本物料”。犯罪分子通過(guò)非法手段獲取公民注冊(cè)手機(jī)卡、銀行卡，以此作為詐騙犯罪的基礎(chǔ)工具，或是利用這些信息對(duì)詐騙對(duì)象進(jìn)行“畫像”，實(shí)施精準(zhǔn)詐騙。

　　在記者電話求證過(guò)程中，近半數(shù)消費(fèi)者表示曾接到詐騙電話，甚至部分人多次接到境外詐騙電話，這些詐騙人員能夠詳細(xì)說(shuō)出他們的姓名、住址、網(wǎng)購(gòu)訂單等信息。其中，有些是要求他們通過(guò)銀行轉(zhuǎn)賬，有的是以返還商品優(yōu)惠為由要求提供銀行卡。

　　李鐵表示，購(gòu)買這些數(shù)據(jù)的人，主要是出于商業(yè)目的和詐騙。出于商業(yè)目的，例如推廣營(yíng)銷、獲取新用戶、提高銷售額、獲取競(jìng)爭(zhēng)對(duì)手客群等，而詐騙則尤為常見(jiàn)，甚至還有人借此來(lái)進(jìn)行勒索。

　　楊蔚同樣表示，一般個(gè)人信息數(shù)據(jù)泄露后常被用于營(yíng)銷推廣和電信詐騙。而在電信詐騙中，在校學(xué)生、留守老年人會(huì)成為電信詐騙分子重點(diǎn)關(guān)注的對(duì)象。

　　2016年8月21日，剛接到大學(xué)錄取通知書的山東臨沂市高三畢業(yè)生徐玉玉接到詐騙電話。陳文輝等人以發(fā)放助學(xué)金的名義，騙走了徐玉玉全部學(xué)費(fèi)9900元，徐玉玉在報(bào)警回家的路上猝死。

　　2017年6月27日，此案在山東省臨沂市中級(jí)人民法院一審公開(kāi)開(kāi)庭審理。陳文輝、鄭金鋒、黃進(jìn)春等7名被告人均表示認(rèn)罪悔罪。

　　根據(jù)法院披露的信息，2015年11月至2016年8月，被告人陳文輝、鄭金峰、黃進(jìn)春等人通過(guò)網(wǎng)絡(luò)購(gòu)買學(xué)生信息和公民購(gòu)房信息。隨后冒充教育局、財(cái)政局、房產(chǎn)局工作人員，以發(fā)放貧困學(xué)生助學(xué)金、購(gòu)房補(bǔ)貼為名，以高考學(xué)生為主要詐騙對(duì)象，撥打電話騙取他人錢款，金額共計(jì)人民幣56萬(wàn)余元。

　　李鐵表示，電信詐騙犯罪產(chǎn)業(yè)鏈的背后，盤踞著以公司化體系運(yùn)營(yíng)的網(wǎng)絡(luò)犯罪集團(tuán)。詐騙的大部分話術(shù)圍繞高額回報(bào)、高收益展開(kāi)，后續(xù)再以賬戶異常、流水不足、銀行卡異常無(wú)法提現(xiàn)等理由實(shí)施詐騙，常見(jiàn)的騙局類型有刷單、假冒金融App、電商購(gòu)物退款等。在他看來(lái)，電信網(wǎng)絡(luò)詐騙背后折射的是各類信息的數(shù)據(jù)安全。網(wǎng)絡(luò)黑產(chǎn)分子攫取個(gè)人數(shù)據(jù)信息，經(jīng)過(guò)處理加工后批量標(biāo)價(jià)賣給電信詐騙團(tuán)伙，后者再利用這些信息獲取受害者信任，以實(shí)施詐騙。

　　公安部公布的最新統(tǒng)計(jì)數(shù)據(jù)顯示，2021年，公安機(jī)關(guān)偵辦侵犯公民個(gè)人信息、黑客等重點(diǎn)案件1.8萬(wàn)余起，打掉為賭博、詐騙等犯罪提供資金結(jié)算、技術(shù)支撐、引流推廣等服務(wù)的團(tuán)伙6000余個(gè)，查處非法侵入計(jì)算機(jī)信息系統(tǒng)、非法獲取系統(tǒng)數(shù)據(jù)人員3000余名，抓獲行業(yè)內(nèi)部人員680余名。

　　立案難、維權(quán)難

　　楊蔚也曾遭遇個(gè)人信息泄露，而其后的維權(quán)之路讓這位網(wǎng)絡(luò)安全領(lǐng)域的專家都感到無(wú)比艱難。

　　就在今年“3·15”當(dāng)天，楊蔚接到某房產(chǎn)中介的電話，對(duì)方精準(zhǔn)地說(shuō)出了他所居住的小區(qū)和樓層號(hào)�！膀}擾電話的精準(zhǔn)程度，真是令人發(fā)指�！睏钗祰L試舉報(bào)，但過(guò)程并不理想。

　　楊蔚說(shuō)，這類案件舉證大部分容易因擴(kuò)散渠道不具有單一性和唯一性，導(dǎo)致無(wú)法確認(rèn)泄露主體而敗訴。網(wǎng)民在日常生活中使用一些App時(shí)，如果不授權(quán)就用不了任何功能，但授權(quán)同意后就表示用戶讓渡了自己的個(gè)人信息，給予App運(yùn)營(yíng)主體獲取權(quán)限。這也是為什么近年來(lái)手機(jī)App過(guò)度收集用戶信息現(xiàn)象多次遭受質(zhì)疑的原因。因?yàn)槿菀鬃躺鷶?shù)據(jù)黑產(chǎn)，引發(fā)違法犯罪。

　　此外，依靠暗網(wǎng)交易軟件獲取的數(shù)據(jù)來(lái)源更加私密，形成監(jiān)管盲區(qū)，給執(zhí)法部門帶來(lái)很大困難。楊蔚認(rèn)為，要從上游如支付環(huán)節(jié)或數(shù)據(jù)源頭解決問(wèn)題。

　　為加強(qiáng)對(duì)數(shù)據(jù)安全、個(gè)人信息的保護(hù)力度，近幾年國(guó)內(nèi)頒布多部法律法規(guī)及行業(yè)標(biāo)準(zhǔn)，包括網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法、個(gè)人信息保護(hù)法、電子商務(wù)法以及消費(fèi)者權(quán)益保護(hù)法等。

　　北京市中治律師事務(wù)所律師郭聰認(rèn)為，根據(jù)刑法第二百五十三條之一：侵犯公民個(gè)人信息罪，違反國(guó)家有關(guān)規(guī)定，向他人出售或者提供公民個(gè)人信息，情節(jié)嚴(yán)重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節(jié)特別嚴(yán)重的，處三年以上七年以下有期徒刑，并處罰金。

　　郭聰表示，據(jù)不完全統(tǒng)計(jì)，目前根據(jù)司法實(shí)踐中的案例數(shù)據(jù)，2020年至2021年的侵犯公民個(gè)人信息犯罪結(jié)案案例約4613件，2022年1月至6月約為307件。絕大多數(shù)案件處于判處三年以下有期徒刑的量刑層級(jí)。

　　在國(guó)外，歐盟實(shí)施了嚴(yán)厲的數(shù)據(jù)保護(hù)條例GDPR。GDRP是《通用數(shù)據(jù)保護(hù)條例》的簡(jiǎn)稱，是歐盟立法機(jī)關(guān)針對(duì)歐洲發(fā)生的諸多信息和隱私數(shù)據(jù)泄露案件而制定的法案。該條例明確規(guī)定，公司內(nèi)部需要設(shè)立數(shù)據(jù)保護(hù)官DPO（類似于CEO和COO高管職位），負(fù)責(zé)個(gè)人隱私數(shù)據(jù)保護(hù)。對(duì)比國(guó)內(nèi)外法律，歐盟對(duì)數(shù)據(jù)泄露的處罰力度更大，法條更明確。楊蔚認(rèn)為，相比歐盟，我國(guó)關(guān)于數(shù)據(jù)安全的立法起步較晚，在數(shù)據(jù)安全治理實(shí)踐上還存在一定差距。

　　中興通訊數(shù)據(jù)保護(hù)合規(guī)部與數(shù)據(jù)法盟聯(lián)合編制的《GDPR執(zhí)法案例精選白皮書》數(shù)據(jù)顯示，截至2019年9月24日，22家歐洲數(shù)據(jù)監(jiān)管機(jī)構(gòu)對(duì)共87件案件作出了總計(jì)3.7億歐元的行政處罰決定。

　　楊蔚表示，數(shù)據(jù)作為生產(chǎn)要素，安全保護(hù)仍然是需要大家共同解決的問(wèn)題，須監(jiān)管部門、企業(yè)、安全機(jī)構(gòu)、民間安全力量等各方的努力。他認(rèn)為，有關(guān)部門要不斷明確各方權(quán)責(zé)，將舉證門檻降低，并且加大處罰力度；企業(yè)及負(fù)責(zé)人應(yīng)做到知法守法，承擔(dān)保障個(gè)人信息安全的義務(wù)，對(duì)員工進(jìn)行安全教育和培訓(xùn)，企業(yè)內(nèi)建設(shè)網(wǎng)絡(luò)安全防御體系、加強(qiáng)數(shù)據(jù)備份和信息保密等工作；個(gè)人要提高安全防護(hù)意識(shí)，具備一定的敏感性，謹(jǐn)慎點(diǎn)擊鏈接及網(wǎng)站、創(chuàng)建安全性較高的密碼等。

　　北京大學(xué)法學(xué)院副院長(zhǎng)薛軍認(rèn)為，要從根本上解決信息泄露問(wèn)題，還要依靠先進(jìn)的技術(shù)。在可能出現(xiàn)個(gè)人隱私和信息泄露的環(huán)節(jié)，要用技術(shù)將信息匿名化，這些匿名信息只有系統(tǒng)能識(shí)別，而行為人不能識(shí)別、獲取。

　　他表示，相關(guān)部門還要進(jìn)一步加強(qiáng)對(duì)這類違法行為的偵查，加大對(duì)不法分子的懲處力度�！斑@個(gè)最有震懾力，當(dāng)他們知道違規(guī)、違法必然受到處罰時(shí)，可能就放棄了�！�

　　（文中李鐵、許飛均為化名）