零隐私时代，谁在泄露你的秘密？

万鸣宇+易萱

最大的隐患不是技术，而是人

清晨起床，智能穿戴设备自动上传睡眠数据；出门上班，通过手机预定出租车；通勤路上，随手拍下照片发个微信；中午吃饭，坐在办公室很自然打开App叫外卖……

纪录片《第五空间》为观众呈现了这样一幅令人熟悉的生活场景。网络时代，数据可以轻易给每个人“画像”。我们在生产数据，而数据又反过来成为一个路标，让形形色色的推送能够轻易找到我们。

作为《第五空间》纪录片总导演，燕晓英现在去餐厅吃饭再也不连接公共Wi-Fi了。她告诉本刊：“我们在纪录片第一集就展示了风险Wi-Fi的威胁。它很容易泄露你的个人信息。”

同时，为了制作这部关于互联网时代公民信息安全的纪录片，燕晓英的团队针对国内外几十位安全专家做了大量访谈。她发现，一旦了解了自己在网上的暴露程度，所有人都会大吃一惊。

当人们自认为在网络时代体面生活时，实际上他们很可能隐私为零，近似裸奔。

“半个世界”被盗了

“dadada”

2012年，黑客只花了不到25秒就破译了Facebook创始人扎克伯格这串极为简单的领英App密码。

不分大小写，没有数字等干扰项，作为资深工程师，扎克伯格的密码安全性却处于小学生水平。除了密码过于简单，他还犯了另一个大错，就是在多个社交网站共用密码，这样一来，只要有一个被攻破，所有的账号都会沦陷。

黑客组织ourtime宣称对此次事件负责。他们甚至在推特上叫嚣，要求和扎克伯格进行谈判。

扎克伯格的账号被盗或与2012年领英信息泄露事件有关。在2012年，领英曾遭黑客攻击，超过1亿名用户的邮箱和密码被盗，并被公之于网络。之后，黑客还借机窃取了其他650万个关联账号的密码。

几年过去了，情况似乎并没有什么好转。

今年10月3日，雅虎公司公布了2013年黑客攻击盗取用户信息的最新情况：其所有30亿个用户账号都受到了黑客攻击的影响，需要申请更改登录密码以及相关登录信息。这一数字相当于全球人口数量的一半。

在过去的三年里，尽管雅虎声称“得到国家资助的黑客”发动了这次攻击，但至今都无法给出黑客信息，甚至无法判断黑客来自哪里。

与密不透风的黑客信息相反，超过30亿雅虎用户的姓名、电子邮件、电话号码、出生日期、密码，甚至他们的父母和配偶信息、宠物的昵称都被窃取，贩卖，甚至恶意公布在网络上。

显然，雅虎用户不是唯一的受害者。数字安全研究公司金雅拓（Gemalto）最新发布的报告显示，2017年上半年，19亿条记录被泄或被盗：比去年全年总量（14亿）还多。该公司数据泄露水平指数显示，平均每天有1050万记录被盗。

用户主动泄露信息？

23岁的李中文目前就职于360互联网安全中心。作为此领域的专业人士，他多年来养成了一个习惯——至少一周更换一遍自己的全部密码。

“在企业，一般三个月公司会发邮件提醒更换一次密码。”李中文告诉本刊。不过，作为安全专家的他笑称具有“安全洁癖”：从微信、邮箱到路由器、支付宝，不同的账户用不同的密码，密码尽可能复杂，差不多20位，一周更换一次。最常用的支付宝和微信密码，他甚至一周换两次。

在李中文看来，网络安全的最大隐患不是技术，而是人。“从企业的角度来讲，90%的信息安全都是因为人的疏忽，比如密码设计太简单，系统不随时升级，更新了补丁不用。”

甚至很多时候，用户的秘密正是被自己泄露的。

企鹅智酷2016年针对7000多位中国网民进行的问卷调查显示：假如医院正在使用一套医疗健康安全系统，将个人的医疗信息上传，预约门诊和就医都更加方便，80%受访者愿意使用。

公司最近发生了几起盗窃事件，为了保护员工财产安全，老板要在办公区域安装高清摄像头，同时还可以监控员工的考勤和表现，60%的受访者选择同意。

假如在车辆上安装智能设备，以便保险公司追踪记录车速和路径，车主可以获得额外的保险折扣。55%的受访者愿意安装。

在使用网络资源时，人们对隐私信息的让度尺度一直在浮动。用隐私来置换更优质的服务，对很多人颇具吸引力。不少人觉得为了一两个好用的功能，让度一点点个人信息没什么关系。

这一次的调查还发现，四成多的智能手机用户在网上公开过自己所在的城市和自己的照片。两成多智能手机用户公开过自己某一时刻的定位、生日、真实姓名、联系方式。

而当人们使用在线地图、共享交通、订票和购物功能时，在没有阅读长达万言的“用户协议”而点击“yes”之后，就已经让度了部分隐私权力。

很多人没有意识到，大数据时代分散在各处的细节信息聚合在一起会产生强大的力量。2016年，《华尔街日报》专栏作者福勒邀请了6位素未谋面的志愿者进行试验。他给志愿者展示了自己一小时内在网上搜集到的有关对方的信息。

志愿者中有人在谷歌上搜过自己的名字，但很少人知道还有FamilyTreeNow.com和Spokeo这样专门的个人信息搜索引擎。这些搜索引擎将公开资料（比如财产记录和法院报告）和网络数据相结合，任何人都可以用它找到某个人的出生日期、居住地址、电话号码、远近亲戚，甚至还包括过往的恋人和室友。

看到一个陌生人轻易從网上调查出自己的各种底细，志愿者无不目瞪口呆。

谁在掌握你的秘密

谈到互联网隐私，有人会说：“我没有什么可隐藏的。”事实上，每个人在网上的任何行迹都理应保持谨慎。

你是否曾在浏览器上看过某些不光彩的东西？在工作时间背着老板揽私活或者看球赛？如果这些东西的截图被配偶或妻子看到，或者被放到老板和竞争对手的桌上，后果会是什么？即便是数字生活中最无害的论坛帖子和朋友圈动态，都可能被人搜集利用，成为骚扰或威胁你的条件。endprint

福勒曾在专栏中提到，一位女士在4年前与伴侣分手，之后开始独居生活。突然她开始接到陌生男人打来的骚扰电话，社交网络上收到奇怪的加好友请求，甚至有一次发现陌生男子出现在她家。一开始，她以为是前男友在报复，后来才发现是自己没有保护好隐私。

一位前百度工程师则告诉记者，在百度工作时，每年都有七八位亲友找到他，希望可以删除自己不小心泄露在网上的个人信息。

在前述隐私测试中，福勒指导志愿者们登陆了自己的谷歌账户，在“我的活动”页面下查看他们在互联网上留下的痕迹——每个时间的GPS位置、浏览的每一个网页、点击的每个视频都被记录在案，就连与语音助手对话的录音也被上传到云端。

谷歌前不久决定向用户公开从所有谷歌服务中搜集到的用户数据，并将这些数据的管理权限交给用户自己。实验中，一半的志愿者选择立即删除。

一位安全行业内人士透露，为了描述一个用户画像，阿里巴巴构建了741个纬度，来收集数据。“你买过什么，购买频率和价格，你住在哪，银行里有多少钱，它全知道。”

而携程这样的在线票务平台则涉及到姓名、身份证件，住宿记录等更为敏感的公民信息。

同样，政府作为社会的管理者，也掌握着大量个人信息，这其中就包括各类健康数据、教育数据、工作数据。

2013年，英国《卫报》报道，英国政府通讯总部正在运作一项名为“时代”的计划，通过对北美洲跨大西洋光纤的英国上岸处装设拦截器，英国情报机构——政府通讯总部得以实现信息监听，并暗中收集全球范围内的网民信息，如邮件往来、Facebook定位、互联网追踪和通讯记录等。德国政府在2016年2月则批准了政府使用木马监控可疑公民的权力，情报机构可以追踪嫌疑人在智能手机和电脑上的聊天和对话。

平均被泄露5次

2016年8月19日下午4点30分，刚刚被南京邮电大学录取的女孩徐玉玉接到陌生电话，对方称自己是教育局的人，有一笔助学金要发放给她。

徐玉玉并没想到，这通电话从江西九江一间出租屋里打出，可怕的骗局由此开始，她为此付出了生命的代价——在她将准备交学费的9900元打入了骗子提供的账号后6分钟，钱被迅速取走。悲愤交加中，她在报案回家的路上晕倒，经抢救无效死亡。

时隔一年后，19岁的杜天禹端坐在山东省临沂市罗庄区人民法院被告席上。他因贩卖包括徐玉玉个人信息在内的山东省高考学生信息而被视为徐玉玉电信诈骗致死案的始作俑者。根据新出台的《网络安全法》，“非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息50条以上”，即属情节严重，可入刑。

在法庭的公开审判中，这位身材消瘦的年轻黑客讲述了自己通过浏览网站找漏洞攻击为乐趣，通过贩卖“黑”到的公民信息赚零花钱的整个经过。2016年夏天，他通过贩卖山东省十万余条高考考生信息，获利一万四千余元，其中正包含徐玉玉的信息。

实际上，涉及公民个人信息的产业链早在几年前就已经形成了。新企业、新商户、新平台、新网站在推广初期都急需大量目标客户资料，而掌握这些信息数据的商家或管理者利用信息管理漏洞，将用户数据当作一种“特殊商品”进行贩卖。甚至一些从事非法电信诈骗的团伙也习惯通过中间人购买公民信息，发掘“潜在客户”。

今年6月，国内破获的一起案件中，22名苹果及相关公司的员工，利用自己的Apple ID进入公司内部系统，盗取了大量苹果用户的姓名、手机号码、Apple ID等数据，并在黑市以每人10元至180元的价格倒卖出去。

7月27日，丽水市景宁县公安局成功打掉浙江首个网上传播家庭摄像头破解入侵软件的犯罪团伙，查获被破解入侵家庭摄像头IP近万个。该团伙将破解的IP在网上出售，对着客厅的普通摄像头信息，每个IP价格5元，对着床的是10元，有激情画面的则是20元。

“现在很多家用智能设备出货量达到几十万甚至上百万，但安全性非常差。”长亭科技CEO陈宇森告诉本刊，很多厂商在开发产品时忽略了联网后的安全性。

据央视的相关报道，2016年在黑市上被泄露的个人信息高达65亿条次，相当于我们每个人的个人信息平均至少被泄露过5次，窃取公民个人信息所衍生出来的黑灰色产业链年获利已经超过百亿元。

位于信息获取上游，持有大量公民信息的人被称为“信息贩子”。2016年公安部部署开展了打击整治网络侵犯公民个人信息犯罪专项行动，全国公安机关抓获了4261名贩子。其中，一部分人是从事银行、教育、工商、电信、快递、证券、电商网站等行业的内部人员监守自盗；只有少部分是专业黑客依靠攻击牟利。

国外交易公民信息的灰色产业链也很普遍。在硅谷，有无数聪明的头脑通过这些用户数据变现。据市场研究机构eMarketer的统计，2010年至2017年间，数据驱使的广告行业规模翻了三倍，达到830亿美元。美国联邦通信委员会（FCC）在今年三月提出新法案，互聯网服务提供商在未来可以与广告商自由分享用户个人数据。

根据赛门铁克公司2017年最新发布的《互联网安全威胁报告》，全球范围内，服务业和金融/保险/地产已经占据了数据泄露总数的66%；细分行业受影响最严重的前三名依次是：商业服务、健康服务和存托机构。

为了保护个人隐私，菜鸟网络最近联合物流企业，逐步淘汰印有消费者姓名、电话等个人信息的快递面单，取而代之的是消费者名字和电话号码的部分字符由“*”字符代替的“隐私面单”，只有快递员能通过专用App识别与查看。

消费者不必在收到包裹后强行去除个人信息了，但这并不意味着可以杜绝个人信息的泄露。一位网络安全工程师透露，现在已经没有人通过废品回收集合快递单了，“都是从淘宝店主那端直接买发货单，5块钱一张。”

在制作纪录片时，燕晓英曾经询问过腾讯负责网络安全的一位领导是否和普通人一样使用微信交流工作，发送私密或敏感信息。他的回答是：与普通人并无不同。

“我不可能活在没有网络的世界。”燕晓英说。而便利和威胁就像双生子，人们每享受一种便利其实也意味着个人行为的风险又增加一分。endprint