┃张瑶
对于个人隐私,人们从未像当下这般焦虑。
家住北京的李源计划购房之际,接到一个来自陕西西安的陌生电话,对方向他推荐一处北京楼盘,巧的是,和他计划购房的位置和价位相差不远。类似电话,李源每天会接到10个左右。挨个拉黑时,李源明白,他的“姓名+电话+计划北京购房”的个人信息,已经外泄。
李源并不确定他的信息是如何被泄露的,怀疑是在房屋中介公司留下求购信息后,被中介“内鬼”卖出。理由是,在与中介接触后,他开始陆续接到售房电话。
公民的身份、通讯、网络行为等每天都产生海量数据,被各类机构和企业收集、存储,产生可能的泄露源头。其中,“内鬼”监守自盗是个人信息流入黑产的主要渠道。
2017年,公安机关打击利用工作之便窃取、泄露公民个人信息的违法犯罪行为,各部门、各行业内部都有涉案人员,共831名。个人信息中最常见的是手机号码及衍生出的相关信息,被批量掌握在电信运营商手中。
李超是江西省一家移动营业厅的经理,2018年初,一家催债公司的朋友请他帮忙,查询指定人名下的手机号码,每条酬谢0.8元~3元。对李超来说,这是“动动鼠标”的肥差,近两个月内,李超帮这家催债公司查询4万余条个人信息,获利8万元。
金融机构中的客户经理,也有机会接触大量客户信息。韦文是广东佛山一家村镇银行的客户经理,负责信贷业务。2017年11月下旬,他接到陌生人来电,对方对其信息了如指掌。来电称是一家小额贷款公司,给客户放贷,需要查询征信报告,但苦于没有牌照,只要韦文能根据其需求帮忙查询目标对象的征信报告,可每份支付30元~70元报酬。
银行的征信报告,包括个人电话、住址、婚姻状况等基本信息,信用卡还款记录、贷款记录等信用信息,对公民的财务状况描述精准。
作为负责信贷业务的部门主管,查询央行征信报告在韦文权限内。近半年时间,韦文每天多的时候能收到七八十份查询请求,他将这些人的征信报告通过邮箱发送给对方,赚到30多万元。
可以接触到大量个人信息的职业,并非高门槛,岗位职级也不需太高。泄露源可能来自各层级。
除了“内鬼”非法获取,个人信息也会被黑客盯上。
2017年,浙江省一家法院的工作人员白成薇到某部委下属一家妇幼保健医院孕检,医院为孕妇建档,留存了电话号码、家庭住址、孕检结果等隐私信息。这些信息原本被封存在医院的数据库中,不对外公开且流通受限。
但没多久,白成薇及其他孕妇的孕检信息,以及驾校、购物等约2000万条个人信息,出现在黑客童辉的电脑主机里。
童辉于2016年10月因涉嫌侵犯公民个人信息罪被浙江省松阳警方抓获,一年后二审判决获刑三年。审理此案时,浙江省松阳县法院法官叶永青在信息泄露数据库中才看到其同事白成薇也是受害者。
2017年,在上述打击涉公民个人信息违法犯罪行为的行动中,共有389名涉案黑客被抓获。
除“内鬼”和黑客之外,源头泄露者还有公司化运作的团伙。近期,利用为一家省级疾病预防控制中心建设网站之机,杭州一家科技有限公司大量窃取、贩卖儿童医疗信息,获利200余万元。这种利用合作关系窃取个人信息且组织化运作的,可谓升级版的“内鬼”。
个人信息落入“内鬼”和黑客手中后,将分别进入大大小小的中枢———“条商”手中。
源头联系的条商,一般只有一两人,但条商下线还有大量分销商,多至六七层。
当你手中握有大量个人信息时,主动找上门来的常是条商。条商,即数据中间商,上通数据源头,下达需求者,是个人信息黑灰产交易网中的网结。
条商入行往往从接触数据开始,他们中的许多人原本是金融、营销等行业的正当从业者,由于职业特性,需要大量个人信息。寻找信息的过程中发现,只要有廉价和精准的数据上游来源,买卖数据这门生意,更易赚钱。
条商于博主营车档信息,他手机上有数十个已完成的手机定位交易,从对话推断,部分为寻找“老赖”的催收人员,部分为怀疑配偶不忠的一方。
以于博为中心,山东肥城警方发现9条个人信息贩卖链条,77名犯罪嫌疑人组成交易网络。19人为信息源头,其他皆为中间商。这一网络中,于博上通下达的地位关键,当其被警方控制后,上下游都受到影响。
肥城警方发现:社保信息、快递信息、手机定位、学籍信息、机主信息等需求量较大,同理,可掌握这些信息的行业就是黑市所需。
一笔简单的交易背后,有可能包含多个源头、多层中间商,他们的协作错综复杂。今年2月21日晚,条商“锦瑟”(网名)接到一个定位信息的订单,“锦瑟”的报价是“移动1600元,联通1400元,5分钟内出结果”。收到200元定金后,“锦瑟”向对方发去一张标有经纬度的地图截图——显示这个手机尾号为6613的人,目前正在深圳市福田区一所中学。买家如约转来剩余1200元尾款。
“锦瑟”进一步主动询问,是否需要该机主的快递、开房和出行记录,“打包1000元”。对方同意,第二笔交易完成。
这起案件前后,包括多达19个公民隐私泄露源头,涉及征信报告,电信运营商的三网名下手机号码,手机实时定位、快递地址、出行记录等。
条商掌握的信息量惊人。仅在一起案例中,涉案信息就达8000万条。
一位网名“白帽子”的黑客向记者展示过一张截图,上面有他的姓名、电话、身份证号、QQ和开房记录,皆从一个地下社工库中得来。
这位黑客说,他从不在外留下任何隐私信息,不使用共享单车、刷卡、快递等需要提供个人信息的服务,手机经过严格审核也没有安装任何需要过多权限的国产APP。然而,在一家连锁酒店办过的会员卡数据库被盗后,他的信息还是被出卖并被储存进社工库中。
个人信息在黑市流转的终点,是信息使用者。在这里,信息价格和精准度均不断提升。
过去,对个人信息泄露的担忧仅停留在接到骚扰电话的直观体验当中,但事实上,更值得担忧的情形是,对公民各维度的精准追踪。
精准营销是个人信息最常见的用处。
一名长期侦办相关案件的民警告诉记者,金融和房地产领域是需求信息最旺盛的行业。
一名北京地产中介为完成销售业绩,从朋友推荐的条商手中花费200元买到一份含有近千个附近楼盘所有业主姓名和电话号码的信息清单,他打印出后,每天挨个致电,询问是否卖房。
网络技术大大减少了获取这些信息的成本,15年前,地产中介如果想获得业主信息,需要花费不止200元以获取物业高管信任,套取业主信息。那时,印满业主信息的“硬货”,还不是如今的word文档,而是厚厚的黄页手册。
比起被骚扰带来的不适感,个人信息在诈骗分子手中有更高的变现价值。诈骗者的经验是,学生、中老年人、病患三大标签下的个人最易受骗。
记者梳理了2016年至2018年5月涉信息黑产的261份公开司法判决。侵犯公民个人信息案件数据统计结果显示,近两年案例中用于营销诈骗的情况加剧,从2016年的20%升至今年的52%。侵犯公民个人信息罪与其他罪同犯的比例也大幅增加,2016年仅为23%,今年已达到62%,其中最常一同出现的就是诈骗罪和盗窃罪。
此外,一些信息使用者通过收集手机定位、使用过的快递单等线索,完成对个人的定位追踪。其可能造成的伤害,包括直接侵犯人身权利。
腾讯2017年基于对黑产观察的研究显示,私家侦探及地下催债公司是在幕后推高公民信息售价的主要根源之一。
2017年2月,广州,一家自称“16k”的催收公司员工们刚上班就被公安机关抓获,桌上散落着的电信、快递、地址和身份信息,是他们了解债务人并制作话术的来源。
“16k”之名,就源自能快速获取多达16个省的公民个人信息,并掌握债务人的行踪。他们买来的信息以财产、交通、机场、开房记录为多。
一名兼职条商的上门催债人员告诉记者,在多种源头信息的追溯下,只要有充足利润空间,“老赖”在他们面前基本无处遁形。
大量案例表明,侵犯公民个人信息犯罪的最大危害不是隐私泄露,而是为下游犯罪提供了实现可能。
公安部一名负责相关案件的警官告诉记者,今年爆发的电信网络诈骗、信用卡诈骗、网络传销等财产型犯罪,以及绑架、敲诈勒索、故意伤害等暴力型犯罪背后,都能发现公民隐私通过互联网泄露的身影。
海量的个人信息地下市场规模多大,目前没有准确数字统计。
公安部近两年的数据统计显示,在过去两年里,各地公安机关共侦破侵犯公民个人信息案件6700余起,抓获犯罪嫌疑人1.9万余名。
但这不是黑市全貌。来自贵阳大数据交易所执行总裁王叁寿的估算是,黑市日交易额远远超过他搭建三年有余的数据交易所。“我们这里交易1个亿,黑市交易99个亿。”
吸引人们铤而走险进入黑市贩卖个人信息的主要动因,是获利简单且利润高。
据王叁寿观察,数据黑市上的交易价格呈现极端化——极贵或极便宜。不脱敏(脱敏,指将涉及敏感个人信息的数据进行去个人化、去隐私化处理)的数据极贵,可能一条10元,如果数据是由催债公司定制,每条或高达1000元。而那些已经在网上被交易无数次的数据库则非常便宜。
一个名为“园林艺术交流”的微信群,其实是个人信息交易群。其群聊显示,三网名下手机号查询在黑产链末端买入时的报价达600元,在源头处仅3元。
2017年腾讯守护者安全计划发布的信息显示,13项公民信息种类中,报价最低1元一条,最高达到3000元——高学历人口信息价格每条20元~60元不等,银行流水单信息则价值1000元~3000元/条。
据统计的261份判决样本显示,公民通讯住址信息是最常见的非法黑市交易类型,在所有信息种类中占比近三成。
对于猖獗的黑市,执法部门一直在打击。
特别是网络安全法和相关司法解释生效以来,执法打击更为严厉。《网络安全法》规定,网络运营者收集、使用个人信息应当明示收集、使用信息的目的、方式和范围,并经被收集者同意。同时,任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。
由于执法态势要求全链条打击,地下交易成本正大幅提高。不过,据公安机关一名负责打击侵犯公民个人信息犯罪的民警介绍,近年来大数据行业的“野蛮生长”状态促进了个人信息黑市和乱象的形成,数据采集、流通、交易、应用等环节基本处于无章可循状态。
尽管源头被缩减,但已经泄露的海量个人信息仍在黑市,只不过暂时沉淀下来。如一位资深业内人士所言,一些合法的大数据公司悄然成为个人信息的“沉淀仓库”,尤其是极少数从事互联网技术、金融服务、期货股票交易等业务的公司,在发展中积累大量公民个人信息,由于经营不善、管理不当的原因,不少企业靠出售这些数据支撑生存。
王叁寿也披露,不断有来源不明的数据公司,打着数据交易的名义,想在贵阳大数据交易所挂牌数据。
由于正规数据公司的灰色行为,数据市场的“黑白边界”在逐渐模糊。目前可见的红线是,数据来源是否合法,以及交易数据是否脱敏。但问题在于,大数据公司交易成千上万条信息,其中掺杂来源非法、未脱敏的数据,其实很难发现。
凭安征信CEO杨茂江透露,一些原本在做P2P的互联网金融公司,如今转型做金融科技,对外输出数据、输出模型。这些他们从用户处收集来的数据,是否经过脱敏,被卖给了谁,往往失控。
在与执法者角力的过程中,黑灰产已经完成技术上的升级,隐蔽性更高的同时,精准度也提升不少。
据记者梳理的裁判样本,被执法部门打击的不法者,多以线上数据库的复制或架设网站提供api接口为主,过去常见的物理转移(硬盘交易等)已少见。
目前较为普遍的交易方式是卖家积攒大量的数据库存在本地,根据买家的精准订单提供相应数据,称之为“订单式”销售。
在网络安全公司知道创宇404安全实验室总监隋刚看来,对大量用户敏感数据的持有者来说,网络安全更像是一条马其诺防线——投入再大技术成本,仍无法防止漏洞的出现并被有心者绕过防线入侵。
黑产中的新技术也开始出现。2017年11月以来,被称为“短信嗅探”的团伙通过一种特殊采集设备,利用电信运营商2G网络数据不加密特性,寻找附近基站范围内的2G手机号码后,登录各类网站采集验证码,再将手机号码和验证短信提供给自己的上线“洗料”,通过社工库等,“洗出”手机机主的真实身份信息,如姓名、身份证号、网络注册信息等,再进一步获取银行卡号、互联网金融网站账号等,进行盗窃财产、账号洗钱等。
对于公安机关来说,除了要对抗不断升级的新技术,还要克服诸多办案困难。比如,许多个人信息犯罪是跨区域实施,产业链中信息源头在境内,条商和信息使用者却在境外,极大增加取证难度。
依赖执法部门的打击只能进行事后惩戒,但事实上,个人信息一旦泄露,从信息黑市中完全删除几乎不可能。以此来看,事前预防才是关键。
立法的不明确一直是阻碍个人信息保护力度加强的重要瓶颈。实践中,直到2017年6月1日,最高法院、最高检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》生效,侵犯公民个人信息涉嫌犯罪的打击才明确起来。
面对暗潮涌动的黑产和缺乏技术、安全意识的数据持有者,在中国,刑事打击仍在第一线单打独斗。其局限性之一是,依据罪刑法定的要求,执法机关对于不构成“情节严重”的犯罪行为往往打击困难,而企业出于合法经营目的进行的非法交易,难以被发现和取证。
由于中国目前尚未建立起完善的行政、民事立法体系保护公民个人信息,隐私保护相关条文散落在各法规中,未形成体系。
一位执法者坦言,没有行政处罚的前置性程序,从民事责任直接到刑事责任,跨度较大,有待形成执法合力。
意识缺失、立法缺位,黑产已悄然发展起极高产值和规模,个人隐私数据被标价售卖、精准定制甚至追踪,而在绝大多数情况下,直到接到骚扰、诈骗电话,人们才意识到自己隐私信息的失控。
隐私信息泄露后,普遍造成公众对信息保管者的不信任,对个人信息保护现状的焦虑。
2018年3月28日,遭遇剑桥分析公司的数据泄露事件之后,Facebook关停大量共享给广告商和第三方的数据来源。这一举措得到消费者的信赖,却也引发合作商的反弹。
一家Facebook的数据合作商高管表示,尽管他所在的公司在数据使用和合规的透明度上已做出许多努力,也从未进行过剑桥分析中的数据滥用事件,仍被Facebook泄露事件波及,对该公司并不公平。
个体对于产品体验需求的不同,对隐私的看法差异,对个人信息保护的诉求不同,都在实践中形成巨大的操作难点,极易走向极端。
在收集阶段,刑法和网络安全法给出两条底线,即授权和匿名化处理。今年5月1日生效的国家推荐性标准《个人信息安全规范》,则对信息的收集、存储和使用流程给出建议。
达到合规,企业在收集、分析和利用等每一个环节均需努力——在收集用户个人信息时应当尽可能仅收集与业务有关的信息,在存储和挖掘过程中进行匿名化处理并确保其安全,而在最后使用时确保不伤害个人利益。
授权是个人信息被收集的重要合法前提。《个人信息安全规范》要求,应当充分展示信息的收集范围、个人信息保存时间最小化、搜集敏感信息时应当获得用户明示授权等,旨在给个人更多的控制权和选择权。
360副总裁谭晓生,是国内互联网企业的首个首席隐私官。任何一次操作不当,就可以被认为有偷窃或滥用用户隐私的问题,在谭晓生看来,企业反而可能在博弈中处于弱势。
一家美国上市的知名精准营销公司依据全球法律和业务建立起的一套机制有借鉴意义。该公司亚太地区隐私事务高管介绍,用户数据在进入公司前,均需要经过隐私政策、来源、合法性等各维度的风险评估,这是一个偏产品设计的评估,但需要法务、工程师、安全主管等近30个人的团队共同协作,以确保合规。
那些不触碰隐私红线的数据可以进入挖掘和分析的环节。以上述公司为例,用户的数据会进入其数据安全港,依据不同的标签分类,每个个体最多可以被打上数千个标签。
王叁寿创办的贵阳大数据交易所是中国首家大数据交易所,成立两年后一直未实现有效盈利。数据交易所内交易的数据是经过匿名化处理、无法被复原的数据,与个人隐私无关。但它的竞争对手,黑市中的数据大多不脱敏,追求精准,这让合法大数据交易失去竞争优势。
上述隐私事务高管介绍,按照美国联邦贸易委员会的要求,数据一旦被脱敏就不可被再识别,合作的厂商和生态圈也均需遵守同样的原则。
然而,北京理工大学计算机学院教授、副院长刘驰指出,特别在深层次数据分析的时候,维持数据的匿名化十分困难。因为匿名化只能保证在数据输入端不存在敏感信息,但数据在被深层次地挖掘、融合、加工和价值提炼时,可能再次关联到个人,导致匿名化失效。
基本上,个人信息的合规使用目前在中国较大程度依赖于公司的自我约束,法律红线往往无能为力。
而且,在公众的隐私保护期待和商业逻辑之间找到平衡点只会越来越难。如何平衡道德、法律与商业化,依旧是个无解的难题。
“我分别做A网站和B网站,一个说我用户隐私权保护得特别好,对待每一个用户都如新;另一个会采集用户信息提供个性化服务,在竞争中谁会活下来?保护用户隐私的这个企业一定死掉。死人是不会说话的。”一家中国明星互联网公司副总裁说。
可以预见的是,随着数据保护的立法潮成为共识,所有数据持有者和收集者的技术成本和法律成本都将极大提升。