李铁的个人信息透露了。
李铁从事数据安全保护事情近10年,尤为看重自己的个人信息保护。近日,他见告央广网,今年6月的一天,他接到一个陌生电话,对方直接说出他在某电商平台的订单信息,并称货品质量有问题,须要***号,以便赔偿。
李铁说,出于职业敏感,他的第一反应是个人信息被透露了。此前他确实在这家电商平台购买过上述物品,当他试图讯问更多信息时,对方立即挂断了电话。
近期调查创造,除这家电商平台外,多家有名电商平台均有数据在网上公开叫卖,这些信息包括消费者的姓名、电话、地址、商品名称和快递单号等。有卖家自称每条个人信息0.35元,2000条起卖,如果购买量大,最低可打五折。从卖家处购买了数千条数据,随机对近200条个人数据进行了电话求证,证明被售卖的个人信息中名字、电话、住址等准确无误。
互联网数据信息透露不仅带来不厌其烦的营销电话,还牵扯到商业平台之间的利益竞争,乃至导致电信诱骗等犯罪征象,诸如2016年震荡全国的“徐玉玉电信诱骗案”。该案入选最高公民法院“2017年推动法治进程十大案件”。
2022年6月1日,《中华公民共和国网络安全法》(简称《网络安全法》)正式履行五周年。《网络安全法》明确规定,网络运营者对其网络的个人信息所负有的法定义务包括:不得透露、修改、毁损其网络的个人信息;未经被网络者赞许,不得向他人供应个人信息;采纳技能方法和其他必要方法,确保其网络的个人信息安全,防止信息透露、毁损、丢失。
今年***印发的《“十四五”数字经济发展方案》提出,严厉打击数据黑市交易,营造安全有序的市场环境。国家发展改革委等部门联合印发的《关于推动平台经济规范康健持续发展的多少见地》中也提到,从严管控非必要采集数据行为,依法依规打击黑市数据交易、大数据杀熟等数据滥用行为。
严厉打击之下,还是有人铤而走险。几千元可买到上万条数据,一条玄色家当链正潜伏在社会的隐秘角落中。
一条数据0.35元
某电商平台个人信息遭透露,包括姓名、手机号码、家庭地址等信息(央广网发)
隔三岔五,卖家许飞就会在***群发布一条“出料”信息。
“出料”是这个地下交易的“黑话”,它代表“数据”。发出不久,群内一些成员就来讯问是什么类别的数据,他回答“私聊”后,这群人便消逝在谈天群中。申请好友通过验证后,一旦有人买数据时犹豫未定,他就很快把人拉黑。
以买家身份加上了卖家许飞的***。“你要多少条?这些数据你先打电话核实。”许飞发来一个文档,称这是截取短信的信息,短信显示“某人、某时购买的物品已经发货”。
他自称还***多家有名电商平台的个人信息,“一条数据0.35元,2000条信息起卖。”购买者不仅可以指定平台,还可指定日期,但最新数据也是两天前的数据,而非实时数据。
向许飞购买多家电商平台的个人数据,发来的每份数据文档中的信息条数从几十个到上千个不等,订单的商品有母婴用品、衣服、酒水、生活用品等多种种别。
个中,两份名为某电商平台“纸尿裤”和“母婴”的文件,共有数百条网购订单数据信息。信息包括所购买的商品品名、数量、价格、交易韶光、订单号,以及收货人电话、姓名、地址,快递公司和快递单号等,个中地址详至门牌号。乃至,部分订单显示“未发货”“已发货”“孕妇不能走太远路”等备注信息。
某电商平台个人信息遭透露,含大量母婴类订单信息(央广网发)
为验证上述数据信息的真实性,随机拨打近200名用户电话求证,证明被售卖者的名字、电话、住址等信息无误。
“假的数据,我敢卖给你?”许飞再三敦促尽快核实,“你放心,这些数据都可以对上号。”
许飞先容,他和其他人合资开了一家事情室,每天产量3万条旁边,而他自己也偷偷生产数据,但量少,每月不到1万条。如果客户多,数据又不足,他只能从事情室拿,而自己只能拿一点提成,“挣得并不多”。
见犹豫未定,他不断奉劝:“数据效果好的话,趁月尾你多弄点数据,可以打五折,1万条数据只要2300元。你假如想倒手卖,再把价格加上去。”
许飞还发来一份名为“银行交易短信挟制样本”的文档。该文档包含海内各大银行名称、姓名、手机号码、属地、韶光、储户实时到账的短信提示等信息。“这是银行内部流出的数据,我们渠道很多,你信了吧?”他说。
另一售卖者也表示,自己售卖的数据以母婴类为主,还有专门的宝妈平台和电视购物个人信息,这些信息都是从平台一手渠道“拿货”,担保精准,并称如果价格能够接管,“***都能给你洗出来”。
许飞从不用支付宝、微信转账的办法交易。
他称,支付宝口令红包更安全。在购买数据时,他再三叮嘱转账必须通过“支付宝口令”红包,输入口令后,将截图发给他即可。“我们都是通过这种办法支付。”“这样有点麻烦,但稳妥最主要。”在谈天中,他从不提钱、数据、红包等敏感词汇,“你要有安全意识”。
数据溯源不明
交易神秘是由于这些数据来源“见不得光”。
“数据保真就行,渠道不能说得‘太白’。不然我们还咋挣钱!
”许飞透露,这些数据紧张通过程序从平台上“爬取”,或者从“企业内鬼”处买到。随机向许飞发来的数据所涉平台商家进行验证,这些商家的事情职员均表示,不***任何个人数据。
许飞称,有些数据来源于物流。但多家快递公司的快递员均表示,在网购快递收发中,他们可以看到备注的收货人名字、电话、地址或快递物品种别,但商品型号、颜色、价格等订单详细信息,他们无从得知。有些有名家电品牌的快递面单备注较为详细,但也并非所有信息都会显示。
“这种货源渠道五花八门,咋跟你说?”许飞表示他不是黑客,也不是中间商,不然数据售价不会这么低。
卖家先容信息来源渠道、数据产量(央广网发)
根据事情履历,李铁认为,许飞***的可能是一手资料。他本人曾向某企业内鬼购买数据,对方和许飞一样当心性极高。
李铁先容,这类倒买倒卖的办法每每是把一手信息通过固定渠道向外发卖,购买者成立公司或事情室,对数据进行洗濯,然后通过各种渠道售卖给个人买家。“一手数据售价每每很低,在数据流利出去后,不少人反复倒卖加价,售价自然就高了。”
“这些人胆子很大,一直在各个社交渠道叫卖,而且还反复售卖。”仔细研究了对方售卖的数据,李铁剖析称,部分数据已被洗濯过,然后对方再重新拼凑起来。“这样做紧张是安全,无法追溯源头。”
中国打算机行业协会数据安全专业委员会委员杨蔚表示,从近几年国内外网络攻击事宜和数据透露事宜来看,不管是网购还是其他路子的信息透露,来源紧张是黑客攻击、内鬼透露、供应链透露三个方面。
杨蔚说,以电商平台举例,它是范例的供应链生态体系,既有“上游”,也有“下贱”,全体流程协同分工。从消费者角度来看,各个环节都会存在数据被获取的可能性,由于各数据都在流转,大电商和小电商差异就在于组织和流程上涉及多少的问题。“这也是为什么某些电商平台一旦数据透露,任何一个环节都说不是自己透露的,这些平台没有相应的技能手段来担保各环节,解释管理存在问题。”他说。
据理解,最高公民审查院近期印发了《关于加强刑事审查与***诉讼审查衔接协作严厉打击电信网络犯罪加强个人信息法律保护的关照》,哀求严厉打击行业“内鬼”透露公民个人信息违法犯罪。
多用于营销推广和电信诱骗
许飞从不过问买方购买数据的用场,“我管那么多干嘛,问了别人也不说。”
但实际上,这些包含大量个人信息的数据已经成为电信网络诱骗犯罪的“基本物料”。犯罪分子通过造孽手段获取公民注册手机卡、***,以此作为诱骗犯罪的根本工具,或是利用这些信息对诱骗工具进行“画像”,履行精准诱骗。
在电话求证过程中,近半数消费者表示曾接到诱骗电话,乃至部分人多次接到境外诱骗电话,这些诱骗职员能够详细说出他们的姓名、住址、网购订单等信息。个中,有些是哀求他们通过银行转账,有的因此返还商品优惠为由哀求***。
李铁表示,购买这些数据的人,紧张是出于商业目的和诱骗。出于商业目的,例如推广营销、获取新用户、提高发卖额、获取竞争对手客群等,而诱骗则尤为常见,乃至还有人借此来进行打单。
杨蔚同样表示,一样平常个人信息数据透露后常被用于营销推广和电信诱骗。而在电信诱骗中,在校学生、留守老年人会成为电信诱骗分子重点关注的工具。
2016年8月21日,刚接到大学录取关照书的山东临沂市高三毕业生徐玉玉接到诱骗电话。陈文辉等人以发放助学金的名义,骗走了徐玉玉全部学费9900元,徐玉玉在报警回家的路上猝去世。
2017年6月27日,此案在山东省临沂市中级公民法院一审公开开庭审理。陈文辉、郑金锋、黄进春等7名被告人均表示认罪悔罪。
根据法院表露的信息,2015年11月至2016年8月,被告人陈文辉、郑金峰、黄进春等人通过网络购买学生信息和公民购房信息。随后伪装教诲局、财政局、房产局事情职员,以发放穷苦学生助学金、购房补贴为名,以高考学生为紧张诱骗工具,拨打电话骗取他人钱款,金额共计公民币56万余元。
李铁表示,电信诱骗犯罪家当链的背后,盘踞着以公司化体系运营的网络犯罪集团。诱骗的大部分话术环绕高额回报、高收益展开,后续再以账户非常、流水不敷、***非常无法提现等情由履行诱骗,常见的骗局类型有刷单、假冒金融App、电商购物退款等。在他看来,电信网络诱骗背后折射的是各种信息的数据安全。网络黑产分子攫取个人数据信息,经由处理加工后批量标价卖给电信诱骗团伙,后者再利用这些信息获取受害者信赖,以履行诱骗。
公安部公布的最新统计数据显示,2021年,公安机关侦办陵犯公民个人信息、黑客等重点案件1.8万余起,打掉为赌钱、诱骗等犯罪供应资金结算、技能支撑、引流推广等做事的团伙6000余个,查处造孽侵入打算机信息系统、造孽获取系统数据职员3000余名,抓获行业内部职员680余名。
备案难、维权难
杨蔚也曾遭遇个人信息透露,而其后的维权之路让这位网络安全领域的专家都感到无比困难。
就在今年“3·15”当天,杨蔚接到某房产中介的电话,对方精准地说出了他所居住的小区和楼层号。“骚扰电话的精准程度,真是令人发指。”杨蔚考试测验举报,但过程并不理想。
杨蔚说,这类案件举证大部分随意马虎因扩散渠道不具有单一性和唯一性,导致无法确认透露主体而败诉。网民在日常生活中利用一些App时,如果不授权就用不了任何功能,但授权赞许后就表示用户转让了自己的个人信息,给予App运营主体获取权限。这也是为什么近年来手机App过度网络用户信息征象多次遭受质疑的缘故原由。由于随意马虎滋长数据黑产,引发违法犯罪。
此外,依赖暗网交易软件获取的数据来源更加私密,形成监管盲区,给司法部门带来很大困难。杨蔚认为,要从上游如支付环节或数据源头办理问题。
为加强对数据安全、个人信息的保护力度,近几年海内颁布多部法律法规及行业标准,包括网络安全法、数据安全法、个人信息保护法、电子商务法以及消费者权柄保护法等。
北京市中治状师事务所状师郭聪认为,根据刑法第二百五十三条之一:陵犯公民个人信息罪,违反国家有关规定,向他人***或者供应公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单惩罚金;情节特殊严重的,处三年以上七年以下有期徒刑,并惩罚金。
郭聪表示,据不完备统计,目前根据法律实践中的案例数据,2020年至2021年的陵犯公民个人信息犯罪结案案例约4613件,2022年1月至6月约为307件。绝大多数案件处于判处三年以下有期徒刑的量刑层级。
在国外,欧盟履行了严厉的数据保护条例GDPR。GDRP是《通用数据保护条例》的简称,是欧盟立法机关针对欧洲发生的诸多信息和隐私数据透露案件而制订的法案。该条例明确规定,公司内部须要设立数据保护官DPO(类似于CEO和COO高管职位),卖力个人隐私数据保护。比拟国内外法律,欧盟对数据透露的惩罚力度更大,法条更明确。杨蔚认为,比较欧盟,我国关于数据安全的立法起步较晚,在数据安全管理实践上还存在一定差距。
复兴通讯数据保护合规部与数据法盟联合体例的《GDPR司法案例精选白皮书》数据显示,截至2019年9月24日,22家欧洲数据监管机构对共87件案件作出了总计3.7亿欧元的行政惩罚决定。
杨蔚表示,数据作为生产要素,安全保护仍旧是须要大家共同办理的问题,须监管部门、企业、安全机构、民间安全力量等各方的努力。他认为,有关部门要不断明确各方权责,将举证门槛降落,并且加大惩罚力度;企业及卖力人应做到知法遵法,承包管障个人信息安全的责任,对员工进行安全教诲和培训,企业内培植网络安全防御体系、加强数据备份和信息保密等事情;个人要提高安全防护意识,具备一定的敏感性,谨慎点击链接及网站、创建安全性较高的密码等。
北京大学法学院副院长薛军认为,要从根本上办理信息透露问题,还要依赖前辈的技能。在可能涌现个人隐私和信息透露的环节,要用技能将信息匿名化,这些匿名信息只有系统能识别,而行为人不能识别、获取。
他表示,干系部门还要进一步加强对这类违法行为的侦查,加大对不法分子的惩办力度。“这个最有震慑力,当他们知道违规、违法一定受到处罚时,可能就放弃了。”
(文中李铁、许飞均为化名)
来源:央广网
