个人信息的泄露不断升级,“黑市”暗地信息交易猖獗。
一名记者最近进行的一项调查发现,包括酒店客房信息在内的大量私人信息被公开出售,而这些信息只能从少数几个渠道获得,而且准确性惊人。
业内人士认为,大量数据来自“幽灵”和“黑客”渠道,建议相关部门及时从销售渠道末端追踪非法交易,遏制“黑手”的扩散。
银行对账单,房费记录可以查询
居民的个人信息一旦被严格保管,任何人都可以在网上花上几百到几千元购买。记者近日调查发现,只要知道姓名或身份证号码,就能买到任何人近10年开房记录的酒店。
记者通过搜索引擎搜索找到并联系一个叫“客户服务中心”的联系,说它可以检查最新的房间打开记录、出入境记录和银行记录,记者获得同事的同意后,支付另一方并提供其身份证号码需要1500元。
信息安全概念
两天后,该联系人提供了自2008年以来多达52家酒店的开业信息,包括非常具体的信息,如开业日期、酒店地址、入住时间、退房时间和房号。这位同事证实了消息基本准确。
经过反复摸索,记者发现,地下黑市在这类个人信息交易中十分猖獗,并且有三个特点。第一个特点是非常活跃的交易,广告遍布网络。百度输入“个人信息查询私家侦探”等关键字后,显示了很多网站,声称可以查看所有的个人信息。搜索“个人信息查询”等关键字,还可以找到大量提供相关服务的群组,每个群组都包含许多活跃联系人。
令人惊讶的是,一些网站甚至提供对私人信息的免费访问。在百度中搜索“开房信息查询”,并在首页的结果中进入网站,在搜索框中输入任何姓名,即可查询到该人的身份证号码、年龄、生日、地址、电子邮件以及曾经开房的信息。
二是信息不全面。记者今年因公出差入住的一些酒店信息没有包含在内,考试当天入住的酒店信息也没有包含在内。该联络人表示,近期警方正在调查,所以要求在凌晨与记者进行沟通。他还说,如果你花了5600元,你还可以查看银行记录,如果你花了1600元,你还可以查看你所有的航班信息和移民记录。
黑市交易的定义
第三个特点是欺诈行业的扩散。许多网上个人信息卖家声称能够和其他即时通讯聊天记录,但是后两个试图找到这主要是欺诈,几百元存款支付的另一方无法提供,消失后,从事这种交易组织网络中也存在。
除个人信息外,一些百度贴吧还存在大量非法数据交易广告。例如,在百度的“数据交易”贴吧中,随处可见“三大电信运营商内部数据”、“各行业客户数据”、“网购买家数据”等叫卖内容。
在幽灵内部,黑客主要导致数据安全失控
从事信息安全工作多年的猎豹移动安全专家李铁军分析,个人隐私信息“黑产”巨大,情况严重,迫切需要加强监管。从信息来源来看,个人隐私信息主要来自“黑客技术拦截”和“内幕非法披露”两种方式。
在记者调查期间,公安部门破获一起侵犯公民个人信息的犯罪案件,原因是有关单位内部人员与社会工作人员相互勾结。根据公安部,自2016年以来,超过1800个这样的病例发现,超过4200名嫌疑人被捕,超过300亿件的个人信息被控制后,包括超过390人来自40多个行业和部门和近100名黑客。
李铁军相信网络数据和信息安全管理基本上是失控,尤其是公民的个人管理的个人信息机构可能存在大量的管理漏洞,批量获取居民的酒店房间信息,网吧注册信息和银行卡余额只有少数内部网络。这些都不容易被黑客攻破。
他认为,数据保护的情况非常严重。许多业内人士认为,由于缺乏数据管理和监督,几乎每个人的信息都可以在互联网+上找到,从独特的身份信息到交通、位置、航班等日常信息,泄露的数据量几乎覆盖了每一个互联网用户。
记者发现,目前有关于黑市水相关黑水生产的询问。
5月7日,记者联系了三个提供查询操作水黑生产从业者,彼此分别可以“每2000元一个月流水”,“每一个每月4000元水”,和“5000元来检查所有的水”,但当被问及水源,对方不愿意透露太多,只是说“银行退出,你可以打印出来。”
广东广强律师事务所高级合伙人曾杰律师公开表示,未经法律授权擅自查询客户流水的行为属于侵犯公民个人信息的行为,不仅包括此类非法提供,还包括非法获取的主体。
但是否构成犯罪,还要看具体数额或情况。
例如,公民在履行职责或提供服务过程中获得的个人信息的数量或利润应该减半。例如,信用信息和财产信息只要超过25条,或者非法收入超过2500元。
第二,不符合刑事立案标准的,也属于行政违法行为,应当给予相应的行政处罚。
前线民警告诉记者,在以往调查此类案件中,互联网正在开展规模巨大、覆盖全国、销售方便的个人信息交易。在许多社交媒体群体中,信息贩子不断通过互联网发布需求和交换需求。除了“二手”的数据反复买卖,“主要”信息来自许多来源,如黑客闯入一些数据库、非法获取各种各样的个人信息和销售利润,和一些实践者获得公民的个人信息和使用他们的在线销售数据位置。
除了幽灵之外,黑客也是数据泄露的重要途径,链条比较分散。根据李的研究,这个群体被分为三个层次。有能力发现漏洞并侵入系统的顶级黑客在全国有数百人。还有那些购买、出售和利用这些漏洞的人,他们知道如何利用这些漏洞获取数据和转售信息,可能有成千上万的人。底部是一大群想从数据中赚钱的人,其中目标公司最多,使用个人信息的欺诈集团最多。
不仅如此,除了明目张胆的“黑色生产”,“灰色”数据交易行为也很常见。作为数据交换的数据包括居民保险、企业贸易通关,专利,信用报告行业、工商、司法、生产销售,城市交通服务数据,等等,但由于我国数据所有权,个人信息,如法律、法规的定义尚未完善,企业之间交易的个人数据的平台,也属于“地方”阶段,也存在很多的隐患。
专家建议打击来自该渠道的数据
猎豹移动发布的一份全球隐私安全报告显示,由于中国和印度等新兴国家第三方市场缺乏监管,导致这些地区恶意应用程序泛滥。2014年猎豹移动截获手机病毒和恶意app 280万,是2013年数据的3.29倍,其中60%以上为移动支付和个人隐私盗窃。
2015年,猎豹移动安全实验室将拦截历史追溯到钓鱼网站收集系统,发现自2014年7月以来,收集银行卡信息的钓鱼网站超过6300家。研究人员从30多个钓鱼网站获取了超过3.5万份银行卡记录。据估计,此类网络钓鱼攻击的受害者每天在700至3500人之间。
公民隐私权的严重侵犯和多行业个人信息数据在互联网上的非法曝光,反映出我国在数据安全管理方面仍存在许多薄弱环节。在这方面,专家和业内人士认为,非法数据转售应该严格追溯到渠道销售,和数据的安全存储和流通的规则应该长期计划来保护公民的隐私信息数据安全,妥善处理。
第一步应该是追踪销售渠道。虽然数据泄露的来源难以监管,但很容易追踪,因为大量的交易渠道是互联网搜索引擎、手机群等公共渠道,并与个人甚至企业的实名支付宝账户相连。中国工程院院士吴鹤泉表示,安全是中国大数据行业的薄弱环节,存在技术风险和管理风险。居民隐私公开出售就是这两种风险的体现。非法数据倒卖案件要追根溯源,打击“黑产品”。
其次,加强对源数据的权限管理。加强对各行业数据信息领域的管理要求。对于学校、机关、快递公司、电子商务等“内部幽灵”较多的领域,需要建立数据管理机制,集中管理系统权限和数据采集记录,并增加预警机制。
再次应夯实数据管理的法律基础。有专家表示,对个人数据的保护大多依照2012年通过的《全国人民代表大会常务委员会关于加强网络信息保护的决定》,这已远远不能覆盖目前行业的发展现状。为此应加快大数据管理的法律法规依据,完善隐私保护的法律基础。
此外还应确定大数据管理的权责部门。在我国逐步建立国家大数据中心的过程中,应不断提升技术手段,并将个人隐私保护作为建设过程的重要内容,针对大数据产业迅速发展的形式,以及数据权属、个人数据隐私保护、政府数据公开等难题,明确专门的监管部门,充分管理和利用好数据战略资源。
