個(gè)人信息泄露嚴(yán)峻性不斷升級(jí),販賣(mài)“黑市”日益猖獗。記者近日調(diào)查發(fā)現(xiàn),網(wǎng)絡(luò)中存在大量公開(kāi)售賣(mài)包括酒店開(kāi)房信息等僅在少數(shù)渠道可以獲取的公民個(gè)人隱私信息,準(zhǔn)確度之高令人觸目驚心。業(yè)內(nèi)人士分析認(rèn)為,數(shù)據(jù)大量來(lái)自“內(nèi)鬼”和“黑客”渠道,建議有關(guān)部門(mén)及時(shí)從銷(xiāo)售渠道端追查非法交易,遏制“黑產(chǎn)”泛濫。
銀行流水、開(kāi)房記錄付款可查
原本保管?chē)?yán)密的居民個(gè)人信息,卻可以被任何人在網(wǎng)上以幾百元至上千元的價(jià)格買(mǎi)到。記者近日調(diào)查發(fā)現(xiàn),只要知道姓名或身份證號(hào),就可以購(gòu)買(mǎi)到任何人近十年的酒店開(kāi)房記錄。
記者通過(guò)搜索引擎查找并聯(lián)系到一個(gè)名為“客服中心”的QQ聯(lián)系人,稱(chēng)可查最新開(kāi)房記錄、出入境記錄和銀行流水,記者征得一位同事同意后,支付了對(duì)方要求的1500元且提供了其身份證號(hào)碼。
該QQ聯(lián)系人在兩日后提供了該同事2008年以來(lái)多達(dá)52條酒店開(kāi)房信息,包括開(kāi)房日期、酒店地址、入住時(shí)間、退房時(shí)間、房間號(hào)等極為具體的信息。經(jīng)該同事確認(rèn),這些信息基本準(zhǔn)確無(wú)誤。
經(jīng)過(guò)反復(fù)試驗(yàn)調(diào)查,記者發(fā)現(xiàn)此類(lèi)個(gè)人信息買(mǎi)賣(mài)的地下黑市十分猖獗,并存在三大特點(diǎn)。首要特點(diǎn)是交易十分活躍,廣告遍布網(wǎng)絡(luò)。在百度輸入“個(gè)人信息 查詢(xún) 私家偵探”等關(guān)鍵字后,顯示出諸多網(wǎng)站,號(hào)稱(chēng)能查到所有個(gè)人信息。在QQ搜索“個(gè)人信息查詢(xún)”等關(guān)鍵字也能找到大量提供相關(guān)服務(wù)的QQ群,每個(gè)QQ群中都包含很多活躍聯(lián)系人。
令人吃驚的是,一些網(wǎng)站甚至免費(fèi)提供隱私信息查詢(xún)。在百度搜索“開(kāi)房信息查詢(xún)”并在結(jié)果首頁(yè)進(jìn)入一家網(wǎng)站后,在搜索框輸入任意姓名,就可查詢(xún)到該人身份證號(hào)碼、年齡、生日、地址、電郵和曾經(jīng)的一條開(kāi)房信息。
其次是信息并不全面。記者今年出差入住的部分賓館信息未被包括在內(nèi),且當(dāng)日測(cè)試的酒店開(kāi)房信息亦未被囊括在內(nèi)。該QQ聯(lián)系人自稱(chēng),最近警方嚴(yán)查,因此要求與記者在凌晨溝通。他還表示,如果花費(fèi)5600元還可查詢(xún)銀行流水記錄,花1600元可查詢(xún)個(gè)人所有航班信息和出入境記錄。
第三個(gè)特點(diǎn)是衍生諸多詐騙產(chǎn)業(yè)。很多網(wǎng)上個(gè)人信息售賣(mài)者聲稱(chēng)可以查詢(xún)微信等即時(shí)通訊聊天記錄,但記者經(jīng)兩次嘗試后發(fā)現(xiàn)這主要為詐騙行為,在支付數(shù)百元定金后對(duì)方均無(wú)法提供并消失,從事此類(lèi)交易的QQ群也大量存在于網(wǎng)絡(luò)中。
除去個(gè)人信息外,一些百度貼吧還存在大量的非法數(shù)據(jù)交易廣告。如在百度“數(shù)據(jù)買(mǎi)賣(mài)”貼吧中,叫賣(mài)“三大電信運(yùn)營(yíng)商內(nèi)部數(shù)據(jù)”、“各行業(yè)客戶(hù)數(shù)據(jù)”、“網(wǎng)購(gòu)買(mǎi)家數(shù)據(jù)”的內(nèi)容隨處可見(jiàn)。
內(nèi)鬼、黑客導(dǎo)致數(shù)據(jù)安全基本失控
從事信息安全工作多年的獵豹移動(dòng)安全專(zhuān)家李鐵軍分析認(rèn)為,個(gè)人隱私信息“黑產(chǎn)”龐大,形勢(shì)嚴(yán)峻,亟須加強(qiáng)監(jiān)管。從信息來(lái)源看,個(gè)人隱私信息主要來(lái)自“黑客技術(shù)截獲”和“內(nèi)部人員違規(guī)泄露”兩條路徑。
就在記者調(diào)查同期,公安部門(mén)破獲了一起侵犯公民個(gè)人信息犯罪的案件,正是來(lái)自相關(guān)單位內(nèi)部人員與社會(huì)人員相互勾結(jié)所為。公安部表示,2016年以來(lái)共偵破此類(lèi)案件1800余起,抓獲犯罪嫌疑人4200余人,查獲各類(lèi)公民個(gè)人信息300余億條,其中,抓獲涉及40余個(gè)行業(yè)和部門(mén)的內(nèi)部人員390余人、黑客近百人。
李鐵軍認(rèn)為,對(duì)于網(wǎng)絡(luò)數(shù)據(jù)和信息安全管理基本處于失控狀態(tài),特別是個(gè)別管理掌握公民個(gè)人信息的機(jī)構(gòu)可能存在大量管理漏洞,能批量獲取居民酒店開(kāi)房信息、網(wǎng)吧登記信息和銀行卡余額的只有少數(shù)內(nèi)部網(wǎng)絡(luò)可以做到。這些都不是黑客可能輕易入侵的。
他認(rèn)為,數(shù)據(jù)保護(hù)形勢(shì)異常嚴(yán)峻,不少業(yè)內(nèi)人士都認(rèn)為,由于數(shù)據(jù)管理和監(jiān)管的缺失,在互聯(lián)網(wǎng)上幾乎可以查到任何人的信息,從唯一身份信息到交通、位置、航班等日常信息無(wú)所不有,泄露數(shù)據(jù)量之大已幾乎覆蓋到每個(gè)網(wǎng)民。
一線(xiàn)民警告訴記者,在此前查處的這類(lèi)案件中發(fā)現(xiàn),互聯(lián)網(wǎng)上每天進(jìn)行著規(guī)模巨大、覆蓋全國(guó)、買(mǎi)賣(mài)便捷的公民個(gè)人信息交易。在眾多社交媒體群組中,信息販子不停地通過(guò)互聯(lián)網(wǎng)發(fā)布需求、互通有無(wú)。除了被反復(fù)買(mǎi)賣(mài)的“二手”數(shù)據(jù),“一手”信息來(lái)源有很多途徑,例如有黑客侵入一些數(shù)據(jù)庫(kù),非法獲取各種個(gè)人信息并銷(xiāo)售牟利,還有一些能夠接觸公民個(gè)人信息的從業(yè)人員,利用職務(wù)之便將數(shù)據(jù)在網(wǎng)上出售。
除去內(nèi)鬼外,黑客也是數(shù)據(jù)泄露的重要途徑,這一鏈條相對(duì)分散。根據(jù)李鐵軍的研究,這一人群分為三個(gè)層次。最頂端的黑客具備發(fā)現(xiàn)漏洞和攻破系統(tǒng)的能力,在全國(guó)有數(shù)百人。其次是買(mǎi)賣(mài)和利用這些漏洞的人,懂得如何利用漏洞獲取數(shù)據(jù)和倒賣(mài)信息,可能有上萬(wàn)人。最底層是大量希望利用數(shù)據(jù)牟利的群體,以廣告營(yíng)銷(xiāo)為目標(biāo)的公司和用個(gè)人信息詐騙的團(tuán)伙最多。
不僅如此,除了明目張膽的“黑產(chǎn)”,“灰色”的數(shù)據(jù)交易行為也普遍存在。如一些數(shù)據(jù)交易所交易的數(shù)據(jù)包括居民保險(xiǎn)、企業(yè)貿(mào)易通關(guān)、專(zhuān)利、征信、工商、司法、行業(yè)生產(chǎn)銷(xiāo)售、城市交通服務(wù)數(shù)據(jù)等,但由于我國(guó)對(duì)數(shù)據(jù)權(quán)屬、個(gè)人信息的定義等法律法規(guī)尚未完善,企業(yè)之間在平臺(tái)上交易個(gè)人數(shù)據(jù),還屬于“無(wú)章可循”階段,同樣存在大量隱患。
專(zhuān)家建議從渠道端嚴(yán)打數(shù)據(jù)“黑產(chǎn)”
獵豹移動(dòng)發(fā)布的一份全球隱私安全報(bào)告顯示,中國(guó)、印度等新興國(guó)家由于第三方市場(chǎng)缺乏管理,導(dǎo)致惡意應(yīng)用在這些地區(qū)泛濫。2014年,獵豹移動(dòng)全年截獲手機(jī)病毒及惡意應(yīng)用APP共約280萬(wàn)個(gè),是2013年數(shù)據(jù)的3.29倍,其中60%以上屬于移動(dòng)支付和竊取個(gè)人隱私類(lèi)。
2015年獵豹移動(dòng)安全實(shí)驗(yàn)室從釣魚(yú)網(wǎng)站收集系統(tǒng)中回溯過(guò)往攔截歷史,發(fā)現(xiàn)自2014年7月以來(lái)就有6300多個(gè)專(zhuān)門(mén)收集銀行卡信息的釣魚(yú)網(wǎng)站,研究人員僅從30余個(gè)釣魚(yú)網(wǎng)站中就獲得了超過(guò)3.5萬(wàn)條銀行卡記錄。據(jù)推測(cè),遭遇此類(lèi)釣魚(yú)網(wǎng)站攻擊,泄露銀行卡信息的受害者保守估計(jì)在700至3500人/天。
公民隱私被嚴(yán)重侵犯以及多行業(yè)個(gè)人信息數(shù)據(jù)非法暴露在互聯(lián)網(wǎng)當(dāng)中,反映了我國(guó)數(shù)據(jù)安全管理仍存在大量薄弱環(huán)節(jié)。對(duì)此專(zhuān)家及業(yè)內(nèi)人士認(rèn)為,應(yīng)從渠道銷(xiāo)售端嚴(yán)格追溯非法數(shù)據(jù)倒賣(mài),并從長(zhǎng)遠(yuǎn)規(guī)劃數(shù)據(jù)的安全存放和流通規(guī)則,保護(hù)公民信息隱私,妥善處理數(shù)據(jù)安全。
首先應(yīng)從銷(xiāo)售渠道追溯嚴(yán)打。雖然數(shù)據(jù)泄露源頭端監(jiān)管難度大,但因?yàn)榇罅拷灰浊谰鶠榛ヂ?lián)網(wǎng)搜索引擎、QQ群等公開(kāi)渠道,并關(guān)聯(lián)到個(gè)人甚至企業(yè)實(shí)名的支付寶賬戶(hù),因此非常容易追查。中國(guó)工程院院士鄔賀銓表示,安全是我國(guó)大數(shù)據(jù)產(chǎn)業(yè)的短板,存在技術(shù)與管理的雙重風(fēng)險(xiǎn)。居民個(gè)人隱私被公開(kāi)販賣(mài),正反映了這兩大風(fēng)險(xiǎn),應(yīng)從源頭上追溯非法數(shù)據(jù)倒賣(mài)案例,打擊“黑產(chǎn)”。
其次要加強(qiáng)源頭端數(shù)據(jù)權(quán)限管理。對(duì)各行業(yè)涉及數(shù)據(jù)信息的領(lǐng)域加強(qiáng)管理要求,針對(duì)“內(nèi)鬼”大量存在的學(xué)校、政府機(jī)關(guān)、快遞公司、電商等泄露案例頻發(fā)的領(lǐng)域,可要求建立數(shù)據(jù)管理機(jī)制,將系統(tǒng)權(quán)限和數(shù)據(jù)獲取記錄集中管理,并增加預(yù)警機(jī)制。
再次應(yīng)夯實(shí)數(shù)據(jù)管理的法律基礎(chǔ)。有專(zhuān)家表示,對(duì)個(gè)人數(shù)據(jù)的保護(hù)大多依照2012年通過(guò)的《全國(guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》,這已遠(yuǎn)遠(yuǎn)不能覆蓋目前行業(yè)的發(fā)展現(xiàn)狀。為此應(yīng)加快大數(shù)據(jù)管理的法律法規(guī)依據(jù),完善隱私保護(hù)的法律基礎(chǔ)。
此外還應(yīng)確定大數(shù)據(jù)管理的權(quán)責(zé)部門(mén)。在我國(guó)逐步建立國(guó)家大數(shù)據(jù)中心的過(guò)程中,應(yīng)不斷提升技術(shù)手段,并將個(gè)人隱私保護(hù)作為建設(shè)過(guò)程的重要內(nèi)容,針對(duì)大數(shù)據(jù)產(chǎn)業(yè)迅速發(fā)展的形式,以及數(shù)據(jù)權(quán)屬、個(gè)人數(shù)據(jù)隱私保護(hù)、政府?dāng)?shù)據(jù)公開(kāi)等難題,明確專(zhuān)門(mén)的監(jiān)管部門(mén),充分管理和利用好數(shù)據(jù)戰(zhàn)略資源。