李鐵的個人信息泄露了�。
李鐵從事數(shù)據安全保護工作近10年����,尤為看重自己的個人信息保護��。近日����,他告訴央廣網記者,今年6月的一天����,他接到一個陌生電話,對方直接說出他在某電商平臺的訂單信息�����,并稱貨品質量有問題�,需要提供銀行卡號,以便賠償�。
李鐵說,出于職業(yè)敏感����,他的第一反應是個人信息被泄露了。此前他確實在這家電商平臺購買過上述物品�,當他試圖詢問更多信息時,對方立即掛斷了電話�����。
記者近期調查發(fā)現(xiàn)����,除這家電商平臺外�,多家知名電商平臺均有數(shù)據在網上公開叫賣�,這些信息包括消費者的姓名���、電話����、地址�、商品名稱和快遞單號等。有賣家自稱每條個人信息0.35元�����,2000條起賣�����,如果購買量大��,最低可打五折�����。記者從賣家處購買了數(shù)千條數(shù)據���,隨機對近200條個人數(shù)據進行了電話求證���,證實被售賣的個人信息中名字���、電話、住址等準確無誤����。
互聯(lián)網數(shù)據信息泄露不僅帶來不厭其煩的營銷電話,還牽涉到商業(yè)平臺之間的利益競爭�����,甚至導致電信詐騙等犯罪現(xiàn)象��,諸如2016年震驚全國的“徐玉玉電信詐騙案”��。該案入選最高人民法院“2017年推動法治進程十大案件”��。
2022年6月1日�����,《中華人民共和國網絡安全法》(簡稱《網絡安全法》)正式實施五周年�����。《網絡安全法》明確規(guī)定��,網絡運營者對其收集的個人信息所負有的法定義務包括:不得泄露�����、篡改�、毀損其收集的個人信息�����;未經被收集者同意���,不得向他人提供個人信息����;采取技術措施和其他必要措施�����,確保其收集的個人信息安全�����,防止信息泄露、毀損���、丟失�����。
今年國務院印發(fā)的《“十四五”數(shù)字經濟發(fā)展規(guī)劃》提出�,嚴厲打擊數(shù)據黑市交易��,營造安全有序的市場環(huán)境��。國家發(fā)展改革委等部門聯(lián)合印發(fā)的《關于推動平臺經濟規(guī)范健康持續(xù)發(fā)展的若干意見》中也提到����,從嚴管控非必要采集數(shù)據行為,依法依規(guī)打擊黑市數(shù)據交易�����、大數(shù)據殺熟等數(shù)據濫用行為����。
嚴厲打擊之下�,還是有人鋌而走險��。幾千元可買到上萬條數(shù)據�����,一條黑色產業(yè)鏈正潛伏在社會的隱秘角落中�����。
一條數(shù)據0.35元
隔三岔五���,賣家許飛就會在QQ群發(fā)布一條“出料”信息。
“出料”是這個地下交易的“黑話”�,它代表“數(shù)據”。消息發(fā)出不久��,群內一些成員就來詢問是什么類別的數(shù)據�����,他回復“私聊”后�����,這群人便消失在聊天群中。申請好友通過驗證后��,一旦有人買數(shù)據時猶豫不決��,他就很快把人拉黑���。
記者以買家身份加上了賣家許飛的QQ�����!澳阋嗌贄l?這些數(shù)據你先打電話核實�。”許飛發(fā)來一個文檔�,稱這是截取短信的信息,短信顯示“某人����、某時購買的物品已經發(fā)貨”。
他自稱還出售多家知名電商平臺的個人信息����,“一條數(shù)據0.35元,2000條信息起賣��!辟徺I者不僅可以指定平臺��,還可指定日期�,但最新數(shù)據也是兩天前的數(shù)據,而非實時數(shù)據��。
記者向許飛購買多家電商平臺的個人數(shù)據����,發(fā)來的每份數(shù)據文檔中的信息條數(shù)從幾十個到上千個不等,訂單的商品有母嬰用品�����、衣服���、酒水、生活用品等多種類別���。
其中�����,兩份名為某電商平臺“紙尿褲”和“母嬰”的文件���,共有數(shù)百條網購訂單數(shù)據信息���。信息包括所購買的商品品名、數(shù)量����、價格、交易時間�����、訂單號�,以及收貨人電話、姓名��、地址��,快遞公司和快遞單號等���,其中地址詳至門牌號����。甚至,部分訂單顯示“未發(fā)貨”“已發(fā)貨”“孕婦不能走太遠路”等備注信息��。
為驗證上述數(shù)據信息的真實性����,記者隨機撥打近200名用戶電話求證,證實被售賣者的名字����、電話、住址等信息無誤�。
“假的數(shù)據,我敢賣給你�����?”許飛再三催促記者盡快核實�,“你放心,這些數(shù)據都可以對上號���。”
許飛介紹���,他和其他人合伙開了一家工作室�,每天產量3萬條左右,而他自己也偷偷生產數(shù)據�����,但量少���,每月不到1萬條�。假如客戶多��,數(shù)據又不夠����,他只能從工作室拿,而自己只能拿一點提成�����,“掙得并不多”�����。
見記者猶豫不決���,他不斷勸說:“數(shù)據效果好的話����,趁月底你多弄點數(shù)據,可以打五折��,1萬條數(shù)據只要2300元���。你要是想倒手賣��,再把價格加上去���������!
許飛還發(fā)來一份名為“銀行交易短信劫持樣本”的文檔�。該文檔包含國內各大銀行名稱、姓名�、手機號碼、屬地����、時間、儲戶實時到賬的短信提示等信息����。“這是銀行內部流出的數(shù)據�����,我們渠道很多����,你信了吧?”他說��。
另一售賣者也表示��,自己售賣的數(shù)據以母嬰類為主�����,還有專門的寶媽平臺和電視購物個人信息��,這些信息都是從平臺一手渠道“拿貨”��,保證精準����,并稱如果價格能夠接受����,“身份證都能給你洗出來”�。
許飛從不用支付寶、微信轉賬的方式交易�����。
他稱��,支付寶口令紅包更安全����。記者在購買數(shù)據時,他再三囑咐轉賬必須通過“支付寶口令”紅包����,輸入口令后,將截圖發(fā)給他即可�。“我們都是通過這種方式支付�������!薄斑@樣有點麻煩,但穩(wěn)妥最重要�����!痹诹奶熘校麖牟惶徨X��、數(shù)據���、紅包等敏感詞匯�����,“你要有安全意識”��。
數(shù)據溯源不明
交易神秘是因為這些數(shù)據來源“見不得光”�。
“數(shù)據保真就行�����,渠道不能說得‘太白’�。不然我們還咋掙錢!”許飛透露,這些數(shù)據主要通過程序從平臺上“爬取”�����,或者從“企業(yè)內鬼”處買到���。記者隨機向許飛發(fā)來的數(shù)據所涉平臺商家進行驗證�����,這些商家的工作人員均表示�,不出售任何個人數(shù)據����。
許飛稱,有些數(shù)據來源于物流�。但多家快遞公司的快遞員均表示,在網購快遞收發(fā)中�����,他們可以看到備注的收貨人名字��、電話����、地址或快遞物品類別�,但商品型號��、顏色���、價格等訂單具體信息���,他們無從得知�。有些知名家電品牌的快遞面單備注較為詳細,但也并非所有信息都會顯示�。
“這種貨源渠道五花八門,咋跟你說�?”許飛表示他不是黑客,也不是中間商�,不然數(shù)據售價不會這么低。
根據工作經驗���,李鐵認為���,許飛出售的可能是一手資料。他本人曾向某企業(yè)內鬼購買數(shù)據���,對方和許飛一樣警惕性極高����。
李鐵介紹,這類倒買倒賣的方式往往是把一手信息通過固定渠道向外銷售��,購買者成立公司或工作室�����,對數(shù)據進行清洗����,然后通過各種渠道售賣給個人買家��!耙皇謹(shù)據售價往往很低�,在數(shù)據流通出去后,不少人反復倒賣加價�����,售價自然就高了�������!
“這些人膽子很大,不停在各個社交渠道叫賣��,而且還反復售賣�。”仔細研究了對方售賣的數(shù)據�����,李鐵分析稱���,部分數(shù)據已被清洗過,然后對方再重新拼湊起來�������!斑@樣做主要是安全����,無法追溯源頭��!
中國計算機行業(yè)協(xié)會數(shù)據安全專業(yè)委員會委員楊蔚表示,從近幾年國內外網絡攻擊事件和數(shù)據泄露事件來看��,不管是網購還是其他途徑的信息泄露����,來源主要是黑客攻擊、內鬼泄露����、供應鏈泄露三個方面。
楊蔚說���,以電商平臺舉例�,它是典型的供應鏈生態(tài)體系�,既有“上游”,也有“下游”�,整個流程協(xié)同分工。從消費者角度來看��,各個環(huán)節(jié)都會存在數(shù)據被獲取的可能性�,因為各數(shù)據都在流轉,大電商和小電商區(qū)別就在于組織和流程上涉及多少的問題����!斑@也是為什么某些電商平臺一旦數(shù)據泄露,任何一個環(huán)節(jié)都說不是自己泄露的�,這些平臺沒有相應的技術手段來保證各環(huán)節(jié),說明管理存在問題����。”他說��。
據記者了解���,最高人民檢察院近期印發(fā)了《關于加強刑事檢察與公益訴訟檢察銜接協(xié)作嚴厲打擊電信網絡犯罪加強個人信息司法保護的通知》���,要求嚴厲打擊行業(yè)“內鬼”泄露公民個人信息違法犯罪。
多用于營銷推廣和電信詐騙
許飛從不過問買方購買數(shù)據的用途��,“我管那么多干嘛�����,問了別人也不說���!
但實際上�����,這些包含大量個人信息的數(shù)據已經成為電信網絡詐騙犯罪的“基本物料”。犯罪分子通過非法手段獲取公民注冊手機卡��、銀行卡�����,以此作為詐騙犯罪的基礎工具��,或是利用這些信息對詐騙對象進行“畫像”��,實施精準詐騙�。
在記者電話求證過程中,近半數(shù)消費者表示曾接到詐騙電話��,甚至部分人多次接到境外詐騙電話���,這些詐騙人員能夠詳細說出他們的姓名�、住址��、網購訂單等信息�����。其中,有些是要求他們通過銀行轉賬���,有的是以返還商品優(yōu)惠為由要求提供銀行卡�。
李鐵表示�����,購買這些數(shù)據的人����,主要是出于商業(yè)目的和詐騙。出于商業(yè)目的��,例如推廣營銷���、獲取新用戶�����、提高銷售額、獲取競爭對手客群等�,而詐騙則尤為常見,甚至還有人借此來進行勒索��。
楊蔚同樣表示,一般個人信息數(shù)據泄露后常被用于營銷推廣和電信詐騙��。而在電信詐騙中��,在校學生�����、留守老年人會成為電信詐騙分子重點關注的對象�����。
2016年8月21日����,剛接到大學錄取通知書的山東臨沂市高三畢業(yè)生徐玉玉接到詐騙電話。陳文輝等人以發(fā)放助學金的名義���,騙走了徐玉玉全部學費9900元���,徐玉玉在報警回家的路上猝死。
2017年6月27日�����,此案在山東省臨沂市中級人民法院一審公開開庭審理。陳文輝��、鄭金鋒�、黃進春等7名被告人均表示認罪悔罪。
根據法院披露的信息���,2015年11月至2016年8月��,被告人陳文輝��、鄭金峰�、黃進春等人通過網絡購買學生信息和公民購房信息��。隨后冒充教育局���、財政局�、房產局工作人員�����,以發(fā)放貧困學生助學金�、購房補貼為名����,以高考學生為主要詐騙對象���,撥打電話騙取他人錢款,金額共計人民幣56萬余元�����。
李鐵表示���,電信詐騙犯罪產業(yè)鏈的背后���,盤踞著以公司化體系運營的網絡犯罪集團。詐騙的大部分話術圍繞高額回報��、高收益展開����,后續(xù)再以賬戶異常、流水不足�����、銀行卡異常無法提現(xiàn)等理由實施詐騙,常見的騙局類型有刷單��、假冒金融App��、電商購物退款等�����。在他看來�����,電信網絡詐騙背后折射的是各類信息的數(shù)據安全�。網絡黑產分子攫取個人數(shù)據信息,經過處理加工后批量標價賣給電信詐騙團伙�,后者再利用這些信息獲取受害者信任,以實施詐騙�����。
公安部公布的最新統(tǒng)計數(shù)據顯示����,2021年,公安機關偵辦侵犯公民個人信息���、黑客等重點案件1.8萬余起�����,打掉為賭博�����、詐騙等犯罪提供資金結算����、技術支撐���、引流推廣等服務的團伙6000余個�����,查處非法侵入計算機信息系統(tǒng)����、非法獲取系統(tǒng)數(shù)據人員3000余名���,抓獲行業(yè)內部人員680余名�。
立案難、維權難
楊蔚也曾遭遇個人信息泄露���,而其后的維權之路讓這位網絡安全領域的專家都感到無比艱難�。
就在今年“3·15”當天����,楊蔚接到某房產中介的電話,對方精準地說出了他所居住的小區(qū)和樓層號����。“騷擾電話的精準程度���,真是令人發(fā)指��!睏钗祰L試舉報,但過程并不理想����。
楊蔚說,這類案件舉證大部分容易因擴散渠道不具有單一性和唯一性�,導致無法確認泄露主體而敗訴。網民在日常生活中使用一些App時�,如果不授權就用不了任何功能���,但授權同意后就表示用戶讓渡了自己的個人信息,給予App運營主體獲取權限���。這也是為什么近年來手機App過度收集用戶信息現(xiàn)象多次遭受質疑的原因���。因為容易滋生數(shù)據黑產,引發(fā)違法犯罪���。
此外,依靠暗網交易軟件獲取的數(shù)據來源更加私密�,形成監(jiān)管盲區(qū),給執(zhí)法部門帶來很大困難�。楊蔚認為,要從上游如支付環(huán)節(jié)或數(shù)據源頭解決問題����。
為加強對數(shù)據安全、個人信息的保護力度����,近幾年國內頒布多部法律法規(guī)及行業(yè)標準,包括網絡安全法����、數(shù)據安全法����、個人信息保護法����、電子商務法以及消費者權益保護法等。
北京市中治律師事務所律師郭聰認為����,根據刑法第二百五十三條之一:侵犯公民個人信息罪,違反國家有關規(guī)定�,向他人出售或者提供公民個人信息,情節(jié)嚴重的�,處三年以下有期徒刑或者拘役,并處或者單處罰金�;情節(jié)特別嚴重的,處三年以上七年以下有期徒刑���,并處罰金�����。
郭聰表示����,據不完全統(tǒng)計,目前根據司法實踐中的案例數(shù)據���,2020年至2021年的侵犯公民個人信息犯罪結案案例約4613件�,2022年1月至6月約為307件���。絕大多數(shù)案件處于判處三年以下有期徒刑的量刑層級�����。
在國外,歐盟實施了嚴厲的數(shù)據保護條例GDPR�。GDRP是《通用數(shù)據保護條例》的簡稱,是歐盟立法機關針對歐洲發(fā)生的諸多信息和隱私數(shù)據泄露案件而制定的法案����。該條例明確規(guī)定,公司內部需要設立數(shù)據保護官DPO(類似于CEO和COO高管職位)���,負責個人隱私數(shù)據保護���。對比國內外法律�����,歐盟對數(shù)據泄露的處罰力度更大��,法條更明確����。楊蔚認為���,相比歐盟����,我國關于數(shù)據安全的立法起步較晚��,在數(shù)據安全治理實踐上還存在一定差距�。
中興通訊數(shù)據保護合規(guī)部與數(shù)據法盟聯(lián)合編制的《GDPR執(zhí)法案例精選白皮書》數(shù)據顯示,截至2019年9月24日����,22家歐洲數(shù)據監(jiān)管機構對共87件案件作出了總計3.7億歐元的行政處罰決定。
楊蔚表示����,數(shù)據作為生產要素�����,安全保護仍然是需要大家共同解決的問題���,須監(jiān)管部門、企業(yè)��、安全機構��、民間安全力量等各方的努力�����。他認為����,有關部門要不斷明確各方權責�,將舉證門檻降低,并且加大處罰力度�����;企業(yè)及負責人應做到知法守法,承擔保障個人信息安全的義務�,對員工進行安全教育和培訓,企業(yè)內建設網絡安全防御體系�、加強數(shù)據備份和信息保密等工作;個人要提高安全防護意識����,具備一定的敏感性,謹慎點擊鏈接及網站���、創(chuàng)建安全性較高的密碼等�。
北京大學法學院副院長薛軍認為��,要從根本上解決信息泄露問題��,還要依靠先進的技術�。在可能出現(xiàn)個人隱私和信息泄露的環(huán)節(jié),要用技術將信息匿名化���,這些匿名信息只有系統(tǒng)能識別�����,而行為人不能識別�����、獲取��。
他表示�,相關部門還要進一步加強對這類違法行為的偵查,加大對不法分子的懲處力度�����!斑@個最有震懾力�����,當他們知道違規(guī)�����、違法必然受到處罰時����,可能就放棄了��!
��。ㄎ闹欣铊F�����、許飛均為化名)
手機看中經
經濟日報微信
中經網微信
商務地帶
