记者 汪宁
李铁個人信息泄露,
李铁从事数据保障呵护就业近10年,尤为看重自己個人信息呵护,近日,他告诉央广网记者,今年6月一天,他接到一個陌生电话,对方直接说出他在某电商平台订单信息,并称货品质量有难题,须要供应银行卡号,以便赔偿,
李铁说,因职业敏感,他最先個反应是個人信息被泄露,此前他确实在这家电商平台购买过上述物品,当他试图询问更多信息时,对方立就挂断电话,
记者近期调查发现,除这家电商平台外,多家著名电商平台均有数据在网上公开叫卖,这些信息涵盖消费者姓名、电话、地址、商品名称、快递单号等,有卖家自称每条個人信息0.35元,2000条起卖,倘若购买量大,最底可打五折,记者从卖家处购买数千条数据,随机对近200条個人数据实行电话求证,证实被售卖個人信息中名字、电话、住址等准确无误,
互联网数据信息泄露不光带来不厌其烦营销电话,还牵涉到商业平台之间利益博弈,甚至导致电信诈骗等犯罪现象,诸如2016年震惊国家级“徐玉玉电信诈骗案”,该案入选最高人民法院“2017年推动法治进程十大案件”,
2022年6月1日,《中华人民共、国网络保障法》〔简称《网络保障法》〕正式实施五周年,《网络保障法》明确限定,网络运作者对其收集個人信息所负有法定义务涵盖:无法泄露、篡改、毁损其收集個人信息;未经被收集者同意,无法向他人供应個人信息;采纳技术措施、其他必需措施,确保其收集個人信息保障,防止信息泄露、毁损、丢失,
今年国务院印发《“十四五”数字经济发展规划》提出,严厉打击数据黑市交易,营造保障有序市场环境,国家发展改革委等部门联合印发《关于推动平台经济规范健康持续发展若干意见》中也提到,从严管控非必需采集数据行为,依法依规打击黑市数据交易、大数据杀熟等数据滥用行为,
严厉打击之下,还是有人铤而走险,几千元可买到上万条数据,一条黑色产业链正潜伏在社会隐秘角落中,
個人信息遭公开叫卖,一条数据0.35元
某电商平台個人信息遭泄露,涵盖姓名、手机号码、人家地址等信息〔央广网发〕
隔三岔五,卖家许飞就会在QQ群发布一条“出料”信息,
“出料”是这個地下交易“黑话”,它代表“数据”,消息发出不久之后,群内一些成员就来询问是什么类其他数据,他回复“私聊”后,这群人便消失在聊天群中,申请好友经由验证后,一旦有人买数据时犹豫不决,他就很快把人拉黑,
记者以买家身份加上卖家许飞QQ,“你要多少条?这些数据你先打电话核实,”许飞发来一個文档,称这是截取短信信息,短信显示“某人、某时购买物品已经发货”,
他自称还出售多家著名电商平台個人信息,“一条数据0.35元,2000条信息起卖,”购买者不光可以指定平台,还可指定日期,但最新数据也是两天前数据,而非实时数据,
记者向许飞购买多家电商平台個人数据,发来每份数据文档中信息条数从几十個到上千個不;订单商品有母婴用品、衣服、酒水、生活用品等多种类别,
其中,两份名为某电商平台“纸尿裤”、“母婴”文件,共有数百条网购订单数据信息,信息涵盖所购买商品品名、数量、价格、交易时间、订单号,以及收货人电话、姓名、地址,快递公司、快递单号;其中地址详至门牌号,甚至,一部分订单显示“未发货”“已发货”“孕妇无法走太远路”等备注信息,
某电商平台個人信息遭泄露,含大量母婴类订单信息〔央广网发〕
为验证上述数据信息真实性,记者随机拨打近200名运用者电话求证,证实被售卖者名字、电话、住址等信息无误,
“假数据,我敢卖给你?”许飞再三催促记者尽快核实,“你放心,这些数据都可以对上号,”
许飞介绍,他、其他人合伙开一家就业室,每天产量3万条左右,而他自己也偷偷生产数据,但量少,每月不到1万条,假如客户多,数据又不够,他只能从就业室拿,而自己只能拿一点提成,“挣得并非多”,
见记者犹豫不决,他连续劝说:“数据疗效非常好话,趁月底你多弄点数据,可以打五折,1万条数据只要2300元,你要是想倒手卖,再把价格加上去,”
许飞还发来一份名为“银行交易短信劫持样本”文档,该文档包含国内各大银行名称、姓名、手机号码、属地、时间、储户实时到账短信提示等信息,“这是银行内部流出数据,咱们渠道很多,你信吧?”他说,
另一售卖者也表达,自己售卖数据以母婴类为主,还有特意宝妈平台、电视购物個人信息,这些信息都是从平台一手渠道“拿货”,保证精准,并称倘若价格能够接受,“身份证都能给你洗出现”,
许飞从未用支付宝、微信转账方法交易,
他称,支付宝口令红包更保障,记者在购买数据时,他再三嘱咐转账必需经由“支付宝口令”红包,输入口令后,将截图发给他就可,“咱们都是经由这种方法支付,”“这样有点麻烦,但稳妥最要紧,”在聊天中,他从未提钱、数据、红包等敏感词汇,“你要有保障意识”,
数据被反复流转、清洗,溯源不明
交易神秘是因这些数据来源“见无法光”,
“数据保真就行,渠道无法说得‘太白’,否则咱们还咋挣钱!”许飞透露,这些数据最先选经由程序从平台上“爬取”,或者从“企业内鬼”处买到,记者随机向许飞发来数据所涉平台商家实行验证,这些商家就业人员均表达,不出售任何個人数据,
许飞称,有些数据来源于物流,但多家快递公司快递员均表达,在网购快递收发中,他们可以看到备注收货人名字、电话、地址或快递物品类别,但商品型号、颜色、价格等订单具体信息,他们无从晓得,有些著名家电品牌快递面单备注较为祥明,但也并非所有信息都会显示,
“这种货源渠道五花八门,咋跟你说?”许飞表达他不是黑客,也不是中间商,否则数据价格不会这么低,
卖家介绍信息来源渠道、数据产量〔央广网发〕
根据就业经验,李铁感觉,许飞出售大概是一手资料,他本人曾向某企业内鬼购买数据,对方、许飞一样警惕性极高,
李铁介绍,这类倒买倒卖方法往往是把一手信息经由固定渠道向外销售,购买者成立公司或就业室,对数据实行清洗,而后经由各类渠道售卖给個人买家,“一手数据价格往往很低,在数据流通离开后,很多人反复倒卖加价,价格自然就高,”
“这些人胆子很大,不停在各個社交渠道叫卖,况且还反复售卖,”仔细研究对方售卖数据,李铁分析称,一部分数据已被清洗过,而后对方再重新拼凑起来,“这样做最先选是保障,无法追溯源头,”
中国计算机行业协会数据保障专业委员会委员杨蔚表达,从近几年国内外网络攻击大事、数据泄露大事来看,任凭是网购还是其他途径信息泄露,来源最先选是黑客攻击、内鬼泄露、供应链泄露三個方面,
杨蔚说,以电商平台打個比方,它是典型供应链生态体系,既有“上游”,也有“下游”,整個流程协同分工,从消费者角度来看,各個环节都会存在数据被获取大概性,因各数据都在流转,大电商、小电商区别就在于组织、流程上涉及多少难题,“这也是为什么某些电商平台一旦数据泄露,任何一個环节都说不是自己泄露,这些平台没有相应技术手段来保证各环节,说明管理存在难题,”他说,
据记者解,最高人民检察院近期印发《关于增强刑事检察与公益诉讼检察衔接协作严厉打击电信网络犯罪增强個人信息司法呵护通知》,要求严厉打击行业“内鬼”泄露公民個人信息违法犯罪,
数据遭泄露后,多用于营销推广、电信诈骗
许飞从但是问买方购买数据用途,“我管那么多干嘛,问他人也不说,”
但实际上,这些包含大量個人信息数据已经变成电信网络诈骗犯罪“基本物料”,犯罪分子经由非法手段获取公民注册手机卡、银行卡,以此作为诈骗犯罪基石工具,或是利用这些信息对诈骗对象实行“画像”,实施精准诈骗,
卖家出售消费者网购订单信息,包含姓名、手机号码、人家住址等信息〔央广网发〕
在记者电话求证过程中,近半数消费者表达曾接到诈骗电话,甚至一部分人多次接到境外诈骗电话,这些诈骗人员能够祥明说出他们姓名、住址、网购订单等信息,其中,有些是要求他们经由银行转账,有是以返还商品优惠为由要求供应银行卡,
李铁表达,购买这些数据人,最先选是因商业目、诈骗,因商业目,比方说推广营销、获取新运用者、提高销售额、获取博弈对手客群;而诈骗则尤为常见,甚至还有人借此来实行勒索,
杨蔚同样表达,一般個人信息数据泄露后常被用于营销推广、电信诈骗,而在电信诈骗中,在校学生、留守老年人会变成电信诈骗分子重点Follow对象,
2016年8月21日,刚接到大学录取通知书山东临沂市高三毕业生徐玉玉接到诈骗电话,陈文辉等人以发放助学金名义,骗走徐玉玉全部学费9900元,徐玉玉在报警回家路上猝死,
2017年6月27日,此案在山东省临沂市中级人民法院一审公开开庭审理,陈文辉、郑金锋、黄进春等7名被告人均表达认罪悔罪,
根据法院披露信息,2015年11月至2016年8月,被告人陈文辉、郑金峰、黄进春等人经由网络购买学生信息、公民购房信息,随后冒充教育局、财政局、房产局就业人员,以发放贫困学生助学金、购房补贴为名,以高考学生为最先选诈骗对象,拨打电话骗取他人钱款,金额共计人民币56万余元,
李铁表达,电信诈骗犯罪产业链背后,盘踞着以公司化体系运作网络犯罪集团,诈骗大一部分话术围绕高额回报、高收益展开,后续再以账户异常、流水不够、银行卡异常无法提现等理由实施诈骗,常见骗局类型有刷单、假冒金融App、电商购物退款等,在他看来,电信网络诈骗背后折射是各类信息数据保障,网络黑产分子攫取個人数据信息,经过搞定加工后批量标价卖给电信诈骗团伙,后者再利用这些信息获取受害者信任,以实施诈骗,
公安部公布最新统计数据显示,2021年,公安机关侦办侵犯公民個人信息、黑客等重点案件1.8万余起,打掉为赌、诈骗等犯罪供应资金结算、技术支撑、引流推广等服务团伙6000余個,查处非法侵入计算机信息系统、非法获取系统数据人员3000余名,抓获行业内部人员680余名,
個人信息泄露后,立案难、维权难
杨蔚也曾遭遇個人信息泄露,而其后维权之路让这位网络保障领域专家都感到无比艰难,
就在今年“3·15”当天,杨蔚接到某房产中介电话,对方精准地说出他所居住小区、楼层号,“骚扰电话精准层次,真是让人发指,”杨蔚尝试举报,但过程并非理想,
杨蔚说,这类案件举证大一部分容易因扩散渠道不具有单一性、唯一性,导致无法确认泄露主体而败诉,网民在日常生活中运用一些App时,倘若不授权就用不行任何功能,但授权同意后就表达运用者让渡自己個人信息,给予App运作主体获取权限,这也是为什么近年来手机App过度收集运用者信息现象多次遭受质疑原因,因容易滋生数据黑产,引发违法犯罪,
另外,依靠暗网交易软件获取数据来源更加私密,形成监管盲区,给执法部门带来很大困难,杨蔚感觉,要从上游如支付环节或数据源头搞定难题,
被泄露個人信息当作商品贩卖〔央广网发〕
为增强对数据保障、個人信息呵护力度,近几年国内颁布多部法律法规及行业准则,涵盖网络保障法、数据保障法、個人信息呵护法、电子商务法以及消费者权益呵护法等,
北京市中治律师事务所律师郭聪感觉,根据刑法第二百五十三条之一:侵犯公民個人信息罪,违反国家有关限定,向他人出售或者供应公民個人信息,情节严重,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节极具严重,处三年以上七年以下有期徒刑,并处罚金,
郭聪表达,据不百分之百统计,目前根据司法实践中案例数据,2020年至2021年侵犯公民個人信息犯罪结案案例约4613件,2022年1月至6月约为307件,绝大多数案件处于判处三年以下有期徒刑量刑层级,
在国外,欧盟实施严厉数据呵护条例GDPR,GDRP是《通用数据呵护条例》简称,是欧盟立法机关针对欧洲发生诸多信息、秘密数据泄露案件而制定法案,该条例明确限定,公司内部须要设立数据呵护官DPO〔类似于CEO、COO高管职位〕,负责個人秘密数据呵护,对比国内外法律,欧盟对数据泄露处罚力度更大,法条更明确,杨蔚感觉,相比欧盟,我国关于数据保障立法起步较晚,在数据保障治理实践上还存在一定差距,
中兴通讯数据呵护合规部与数据法盟联合编制《GDPR执法案例精选白皮书》数据显示,截至2019年9月24日,22家欧洲数据监管机构对共87件案件作出总计3.7亿欧元行政处罚定夺,
杨蔚表达,数据作为生产要素,保障呵护依旧是须要大家一道搞定难题,须监管部门、企业、保障机构、民间保障力量等各方奋勉,他感觉,有关部门要连续明确各方权责,将举证门槛降低,同时加大处罚力度;企业及掌门人应做到知法守法,承担保障個人信息保障义务,对员工实行保障教育、培训,企业内建设网络保障防御体系、增强数据备份、信息保密等就业;個人要提高保障防护意识,具备一定敏感性,谨慎点击链接及网站、创建保障性较高密码等,
北京大学法学院副院长薛军感觉,要从根本上搞定信息泄露难题,还要依靠先进技术,在大概发生個人秘密、信息泄露环节,要用技术将信息匿名化,这些匿名信息只有系统能识别,而行为人无法识别、获取,
他表达,相关部门还要进一步增强对这类违法行为侦查,加大对不法分子惩处力度,“这個最有震慑力,当他们晓得违规、违法绝对受到处罚时,大概就放弃。”
〔文中李铁、许飞均为化名〕