李鐵的個人信息泄露了。李鐵從事數據安全保護工作近10年,尤為看重自己的個人信息保護。近日,他告訴央廣網記者,今年6月的一天,他接到一個陌生電話,對方直接說出他在某電商平台的訂單信息,並稱貨品質量有問題,需要提供銀行卡號,以便賠償。
李鐵說,出於職業敏感,他的第一反應是個人信息被泄露了。此前他確實在這家電商平台購買過上述物品,當他試圖詢問更多信息時,對方立即掛斷了電話。
記者近期調查發現,除這家電商平台外,多家知名電商平台均有數據在網上公開叫賣,這些信息包括消費者的姓名、電話、地址、商品名稱和快遞單號等。有賣家自稱每條個人信息0.35元,2000條起賣,如果購買量大,最低可打五折。記者從賣家處購買了數千條數據,隨機對近200條個人數據進行了電話求證,證實被售賣的個人信息中名字、電話、住址等準確無誤。
互聯網數據信息泄露不僅帶來不厭其煩的營銷電話,還牽涉到商業平台之間的利益競爭,甚至導致電信詐騙等犯罪現象,諸如2016年震驚全國的“徐玉玉電信詐騙案”。該案入選最高人民法院“2017年推動法治進程十大案件”。
2022年6月1日,《中華人民共和國網絡安全法》(簡稱《網絡安全法》)正式實施五周年。《網絡安全法》明確規定,網絡運營者對其收集的個人信息所負有的法定義務包括:不得泄露、篡改、毀損其收集的個人信息;未經被收集者同意,不得向他人提供個人信息;採取技術措施和其他必要措施,確保其收集的個人信息安全,防止信息泄露、毀損、丟失。
今年國務院印發的《“十四五”數字經濟發展規劃》提出,嚴厲打擊數據黑市交易,營造安全有序的市場環境。國家發展改革委等部門聯合印發的《關於推動平台經濟規範健康持續發展的若干意見》中也提到,從嚴管控非必要採集數據行為,依法依規打擊黑市數據交易、大數據殺熟等數據濫用行為。
嚴厲打擊之下,還是有人鋌而走險。幾千元可買到上萬條數據,一條黑色產業鏈正潛伏在社會的隱秘角落中。
個人信息遭公開叫賣,一條數據0.35元
某電商平台個人信息遭泄露,包括姓名、手機號碼、家庭地址等信息(央廣網發)
隔三岔五,賣家許飛就會在QQ群發布一條“出料”信息。
“出料”是這個地下交易的“黑話”,它代表“數據”。消息發出不久,群內一些成員就來詢問是什麼類別的數據,他回復“私聊”后,這群人便消失在聊天群中。申請好友通過驗證后,一旦有人買數據時猶豫不決,他就很快把人拉黑。
記者以買家身份加上了賣家許飛的QQ。“你要多少條?這些數據你先打電話核實。”許飛發來一個文檔,稱這是截取短信的信息,短信顯示“某人、某時購買的物品已經發貨”。
他自稱還出售多家知名電商平台的個人信息,“一條數據0.35元,2000條信息起賣。”購買者不僅可以指定平台,還可指定日期,但最新數據也是兩天前的數據,而非實時數據。
記者向許飛購買多家電商平台的個人數據,發來的每份數據文檔中的信息條數從幾十個到上千個不等,訂單的商品有母嬰用品、衣服、酒水、生活用品等多種類別。
其中,兩份名為某電商平台“紙尿褲”和“母嬰”的文件,共有數百條網購訂單數據信息。信息包括所購買的商品品名、數量、價格、交易時間、訂單號,以及收貨人電話、姓名、地址,快遞公司和快遞單號等,其中地址詳至門牌號。甚至,部分訂單顯示“未發貨”“已發貨”“孕婦不能走太遠路”等備註信息。
某電商平台個人信息遭泄露,含大量母嬰類訂單信息(央廣網發)
為驗證上述數據信息的真實性,記者隨機撥打近200名用戶電話求證,證實被售賣者的名字、電話、住址等信息無誤。
“假的數據,我敢賣給你?”許飛再三催促記者儘快核實,“你放心,這些數據都可以對上號。”
許飛介紹,他和其他人合夥開了一家工作室,每天產量3萬條左右,而他自己也偷偷生產數據,但量少,每月不到1萬條。假如客戶多,數據又不夠,他只能從工作室拿,而自己只能拿一點提成,“掙得並不多”。
見記者猶豫不決,他不斷勸說:“數據效果好的話,趁月底你多弄點數據,可以打五折,1萬條數據只要2300元。你要是想倒手賣,再把價格加上去。”
許飛還發來一份名為“銀行交易短信劫持樣本”的文檔。該文檔包含國內各大銀行名稱、姓名、手機號碼、屬地、時間、儲戶實時到賬的短信提示等信息。“這是銀行內部流出的數據,我們渠道很多,你信了吧?”他說。
另一售賣者也表示,自己售賣的數據以母嬰類為主,還有專門的寶媽平台和電視購物個人信息,這些信息都是從平台一手渠道“拿貨”,保證精準,並稱如果價格能夠接受,“身份證都能給你洗出來”。
許飛從不用支付寶、微信轉賬的方式交易。
他稱,支付寶口令紅包更安全。記者在購買數據時,他再三囑咐轉賬必須通過“支付寶口令”紅包,輸入口令后,將截圖發給他即可。“我們都是通過這種方式支付。”“這樣有點麻煩,但穩妥最重要。”在聊天中,他從不提錢、數據、紅包等敏感詞彙,“你要有安全意識”。
數據被反覆流轉、清洗,溯源不明
交易神秘是因為這些數據來源“見不得光”。
“數據保真就行,渠道不能說得‘太白’。不然我們還咋掙錢!”許飛透露,這些數據主要通過程序從平台上“爬取”,或者從“企業內鬼”處買到。記者隨機向許飛發來的數據所涉平台商家進行驗證,這些商家的工作人員均表示,不出售任何個人數據。
許飛稱,有些數據來源於物流。但多家快遞公司的快遞員均表示,在網購快遞收發中,他們可以看到備註的收貨人名字、電話、地址或快遞物品類別,但商品型號、顏色、價格等訂單具體信息,他們無從得知。有些知名家電品牌的快遞面單備註較為詳細,但也並非所有信息都會顯示。
“這種貨源渠道五花八門,咋跟你說?”許飛表示他不是黑客,也不是中間商,不然數據售價不會這麼低。
賣家介紹信息來源渠道、數據產量(央廣網發)
根據工作經驗,李鐵認為,許飛出售的可能是一手資料。他本人曾向某企業內鬼購買數據,對方和許飛一樣警惕性極高。
李鐵介紹,這類倒買倒賣的方式往往是把一手信息通過固定渠道向外銷售,購買者成立公司或工作室,對數據進行清洗,然後通過各種渠道售賣給個人買家。“一手數據售價往往很低,在數據流通出去后,不少人反覆倒賣加價,售價自然就高了。”
“這些人膽子很大,不停在各個社交渠道叫賣,而且還反覆售賣。”仔細研究了對方售賣的數據,李鐵分析稱,部分數據已被清洗過,然後對方再重新拼湊起來。“這樣做主要是安全,無法追溯源頭。”
中國計算機行業協會數據安全專業委員會委員楊蔚表示,從近幾年國內外網絡攻擊事件和數據泄露事件來看,不管是網購還是其他途徑的信息泄露,來源主要是黑客攻擊、內鬼泄露、供應鏈泄露三個方面。
楊蔚說,以電商平台舉例,它是典型的供應鏈生態體系,既有“上游”,也有“下游”,整個流程協同分工。從消費者角度來看,各個環節都會存在數據被獲取的可能性,因為各數據都在流轉,大電商和小電商區別就在於組織和流程上涉及多少的問題。“這也是為什麼某些電商平台一旦數據泄露,任何一個環節都說不是自己泄露的,這些平台沒有相應的技術手段來保證各環節,說明管理存在問題。”他說。
據記者了解,最高人民檢察院近期印發了《關於加強刑事檢察與公益訴訟檢察銜接協作嚴厲打擊電信網絡犯罪加強個人信息司法保護的通知》,要求嚴厲打擊行業“內鬼”泄露公民個人信息違法犯罪。
數據遭泄露后,多用於營銷推廣和電信詐騙
許飛從不過問買方購買數據的用途,“我管那麼多幹嘛,問了別人也不說。”
但實際上,這些包含大量個人信息的數據已經成為電信網絡詐騙犯罪的“基本物料”。犯罪分子通過非法手段獲取公民註冊手機卡、銀行卡,以此作為詐騙犯罪的基礎工具,或是利用這些信息對詐騙對象進行“畫像”,實施精準詐騙。
賣家出售的消費者網購訂單信息,包含姓名、手機號碼、家庭住址等信息(央廣網發)
在記者電話求證過程中,近半數消費者表示曾接到詐騙電話,甚至部分人多次接到境外詐騙電話,這些詐騙人員能夠詳細說出他們的姓名、住址、網購訂單等信息。其中,有些是要求他們通過銀行轉賬,有的是以返還商品優惠為由要求提供銀行卡。
李鐵表示,購買這些數據的人,主要是出於商業目的和詐騙。出於商業目的,例如推廣營銷、獲取新用戶、提高銷售額、獲取競爭對手客群等,而詐騙則尤為常見,甚至還有人藉此來進行勒索。
楊蔚同樣表示,一般個人信息數據泄露后常被用於營銷推廣和電信詐騙。而在電信詐騙中,在校學生、留守老年人會成為電信詐騙分子重點關注的對象。
2016年8月21日,剛接到大學錄取通知書的山東臨沂市高三畢業生徐玉玉接到詐騙電話。陳文輝等人以發放助學金的名義,騙走了徐玉玉全部學費9900元,徐玉玉在報警回家的路上猝死。
2017年6月27日,此案在山東省臨沂市中級人民法院一審公開開庭審理。陳文輝、鄭金鋒、黃進春等7名被告人均表示認罪悔罪。
根據法院披露的信息,2015年11月至2016年8月,被告人陳文輝、鄭金峰、黃進春等人通過網絡購買學生信息和公民購房信息。隨後冒充教育局、財政局、房產局工作人員,以發放貧困學生助學金、購房補貼為名,以高考學生為主要詐騙對象,撥打電話騙取他人錢款,金額共計人民幣56萬餘元。
李鐵表示,電信詐騙犯罪產業鏈的背後,盤踞着以公司化體系運營的網絡犯罪集團。詐騙的大部分話術圍繞高額回報、高收益展開,後續再以賬戶異常、流水不足、銀行卡異常無法提現等理由實施詐騙,常見的騙局類型有刷單、假冒金融App、電商購物退款等。在他看來,電信網絡詐騙背後折射的是各類信息的數據安全。網絡黑產分子攫取個人數據信息,經過處理加工后批量標價賣給電信詐騙團伙,後者再利用這些信息獲取受害者信任,以實施詐騙。
公安部公布的最新統計數據顯示,2021年,公安機關偵辦侵犯公民個人信息、黑客等重點案件1.8萬餘起,打掉為賭博、詐騙等犯罪提供資金結算、技術支撐、引流推廣等服務的團伙6000餘個,查處非法侵入計算機信息系統、非法獲取系統數據人員3000餘名,抓獲行業內部人員680餘名。
個人信息泄露后,立案難、維權難
楊蔚也曾遭遇個人信息泄露,而其後的維權之路讓這位網絡安全領域的專家都感到無比艱難。
就在今年“3·15”當天,楊蔚接到某房產中介的電話,對方精準地說出了他所居住的小區和樓層號。“騷擾電話的精準程度,真是令人髮指。”楊蔚嘗試舉報,但過程並不理想。
楊蔚說,這類案件舉證大部分容易因擴散渠道不具有單一性和唯一性,導致無法確認泄露主體而敗訴。網民在日常生活中使用一些App時,如果不授權就用不了任何功能,但授權同意后就表示用戶讓渡了自己的個人信息,給予App運營主體獲取權限。這也是為什麼近年來手機App過度收集用戶信息現象多次遭受質疑的原因。因為容易滋生數據黑產,引發違法犯罪。
此外,依靠暗網交易軟件獲取的數據來源更加私密,形成監管盲區,給執法部門帶來很大困難。楊蔚認為,要從上游如支付環節或數據源頭解決問題。
被泄露的個人信息當作商品販賣(央廣網發)
為加強對數據安全、個人信息的保護力度,近幾年國內頒布多部法律法規及行業標準,包括網絡安全法、數據安全法、個人信息保護法、電子商務法以及消費者權益保護法等。
北京市中治律師事務所律師郭聰認為,根據刑法第二百五十三條之一:侵犯公民個人信息罪,違反國家有關規定,向他人出售或者提供公民個人信息,情節嚴重的,處三年以下有期徒刑或者拘役,並處或者單處罰金;情節特別嚴重的,處三年以上七年以下有期徒刑,並處罰金。
郭聰表示,據不完全統計,目前根據司法實踐中的案例數據,2020年至2021年的侵犯公民個人信息犯罪結案案例約4613件,2022年1月至6月約為307件。絕大多數案件處於判處三年以下有期徒刑的量刑層級。
在國外,歐盟實施了嚴厲的數據保護條例GDPR。GDRP是《通用數據保護條例》的簡稱,是歐盟立法機關針對歐洲發生的諸多信息和隱私數據泄露案件而制定的法案。該條例明確規定,公司內部需要設立數據保護官DPO(類似於CEO和COO高管職位),負責個人隱私數據保護。對比國內外法律,歐盟對數據泄露的處罰力度更大,法條更明確。楊蔚認為,相比歐盟,我國關於數據安全的立法起步較晚,在數據安全治理實踐上還存在一定差距。
中興通訊數據保護合規部與數據法盟聯合編製的《GDPR執法案例精選白皮書》數據顯示,截至2019年9月24日,22家歐洲數據監管機構對共87件案件作出了總計3.7億歐元的行政處罰決定。
楊蔚表示,數據作為生產要素,安全保護仍然是需要大家共同解決的問題,須監管部門、企業、安全機構、民間安全力量等各方的努力。他認為,有關部門要不斷明確各方權責,將舉證門檻降低,並且加大處罰力度;企業及負責人應做到知法守法,承擔保障個人信息安全的義務,對員工進行安全教育和培訓,企業內建設網絡安全防禦體系、加強數據備份和信息保密等工作;個人要提高安全防護意識,具備一定的敏感性,謹慎點擊鏈接及網站、創建安全性較高的密碼等。
北京大學法學院副院長薛軍認為,要從根本上解決信息泄露問題,還要依靠先進的技術。在可能出現個人隱私和信息泄露的環節,要用技術將信息匿名化,這些匿名信息只有系統能識別,而行為人不能識別、獲取。
他表示,相關部門還要進一步加強對這類違法行為的偵查,加大對不法分子的懲處力度。“這個最有震懾力,當他們知道違規、違法必然受到處罰時,可能就放棄了。”
(文中李鐵、許飛均為化名)