你的隱私數(shù)據(jù)正在裸奔,而這背后,則是一個龐大的產(chǎn)業(yè)鏈:一個身份證,可以讓你所有的個人信息都暴露出來,隨后數(shù)據(jù)進入一環(huán)環(huán)的鏈條……
(資料圖片)
作者 |陶婷
編輯| 孫春芳
隱私數(shù)據(jù)是什么?
熱播韓劇《黑暗榮耀》中,有一個片段是這樣的:為了復(fù)仇,女主人公文東恩,讓孫明悟幫她拿到了李莎拉的買毒品賬單,還有崔惠廷拼命想搞定的金龜婿的背景。買貨賬單、個人背景,諸如此類信息,便是隱私數(shù)據(jù)。
現(xiàn)實生活中,隱私數(shù)據(jù)被偷窺,被分析,然后被推銷,被騷擾的情況層出不窮。2021年3月15日,央視“3·15”晚會曝光了倒賣簡歷現(xiàn)象:你只需要花費7元,就可以在網(wǎng)上購得求職者簡歷。簡歷上,求職者的姓名、性別、年齡、照片、聯(lián)系方式、工作經(jīng)歷、教育經(jīng)歷等信息一應(yīng)俱全。
兩年后的2023年3月15日,央視3·15晚會又出手了。這一次,是部分破解版App,違法違規(guī)收集用戶個人信息的問題。盡管破解App能夠免費使用一些功能,但一些破解版APP被額外嵌入第三方插件,即SDK軟件包。只要運行該破解版App,SDK包便能盜取用戶手機里的個人信息。
這僅僅是隱私數(shù)據(jù)泄露的冰山一角。針對“是否遇到過信息泄露”這一話題,有媒體還調(diào)研了880名車主。
其中,有41.8%的車主遭遇了“購車或辦理汽車金融業(yè)務(wù)后收到關(guān)聯(lián)推銷信息、電話”的煩惱,有22%車主的個人信息被導購平臺泄露,有17.3%的車主“在未被告知的情況下被人臉識別,個人信息被錄入4S店或直營店系統(tǒng)”。
對于平臺、商家和數(shù)據(jù)收集機構(gòu)來說,這一條條只是數(shù)據(jù),但對于被詐騙被騷擾者來說,這是一個又一個的大坑。
“老同學”坑了他50萬
瑞東(男)并不是一個購物狂。這些年,他的消費都很克制,以至于各大購物平臺中,瑞東常用的也只有京東和淘寶兩家。但最近,他將淘寶App卸載了。
令他做出如此舉動的,是一個陌生女人的來電。對方在電話中,不僅準確說出瑞東在淘寶上,什么時候買的什么牌子的花露水,價格是多少,就連他的姓名、手機號、收貨地址都說得準確無誤。
瑞東差點就相信了。因為,那個女人說的所有信息,與他的真實情況完全吻合。但好在,這個女人的騙術(shù)并不高明。她告訴瑞東,他已成為花露水的經(jīng)銷商,需要繳納一定數(shù)目的保證金。
當瑞東斬釘截鐵地說“自己并沒有這樣做”后,這個女人話鋒一轉(zhuǎn),稱是瑞東的親戚用他的信息,幫他注冊成為經(jīng)銷商的。在瑞東看來,親戚會借用自己的信息?這根本不可能。眼看一計、二計都不成,該女子惱羞成怒,破口大罵起來。
意識到自己的隱私數(shù)據(jù)被泄露了,且很有可能跟購物平臺有關(guān)后,瑞東卸掉了淘寶App。
思甜(女)就沒那么好運了。她接到了一個陌生男人的電話,對方自稱是支付寶工作人員。該男子稱,“現(xiàn)在國家在管控大學生的網(wǎng)貸政策,所以需要您更改花唄、借唄的學生身份信息,不然會影響征信”。令思甜卸下防備的,是對方準確說出了她的身份信息,支付寶綁定的幾張銀行卡的尾數(shù),以及花唄的開通時間。
這些數(shù)據(jù),即便是思甜自己都要翻查銀行卡才能知道,所以她對該名“工作人員”的“支付寶學生賬戶清零”一說深信不疑。所謂把“支付寶學生賬戶”清零,是將“借唄”里的貸款額度借貸出去,轉(zhuǎn)成現(xiàn)金。思甜并不知道的是,詐騙分子是以此為障眼法,為的是掌握電話一端的用戶,到底能借貸多少錢。
對方說,讓思甜將“借唄”的錢借出來,放到自己的銀行卡,轉(zhuǎn)到他提供的自稱銀保監(jiān)會的人的賬號里面。他說“借唄”清零了之后,自稱銀保監(jiān)會的人,會馬上就把錢返回我的支付寶“借唄”里面。
于是,令思甜至今都后悔的事發(fā)生了:在對方的指引下,她腦子像懵了一樣,通過支付寶借唄,借了兩筆錢共計兩萬八。秒到賬的這筆錢,又被思甜用手機銀行,轉(zhuǎn)賬到所謂“銀保監(jiān)會”的賬戶上。
此時,思甜仍沒有意識到不對勁,直到對方對她說“你還有登記其他網(wǎng)貸平臺(微信的微粒貸、京東的網(wǎng)貸平臺)嗎”時,思甜才恍然大悟:這就是一個徹頭徹尾的騙局。
思甜很確定,自己根本沒有登記過其它網(wǎng)貸平臺,甚至連京東賬戶都沒有申請過。醒悟過來后,思甜一邊與詐騙者斡旋,一邊給銀行打電話中斷轉(zhuǎn)賬,但為時已晚。無奈之下,思甜選擇了報警處理。
“警方說,這些人一般都是境外作案,很難被抓到。被騙的兩萬八,可是我加班熬夜,用肝臟、心血賺回來的錢啊!也不敢讓爸媽知道,不想讓他們操心。為什么騙子知道我這么多信息?”思甜傷心地追問道。
“吳添源,老同學找你有事?!闭强吹竭@句話,吳添源才通過對方的微信好友請求。在吳添源的認知里,既然知道自己的真實姓名,且通過手機號添加的微信,對方必定是他的熟人。
隨后,吳添源被“老同學”拉入一個群。在一頓“猛于虎”的洗腦中,他先是聽所謂的“大師”講課,再跟著“大師”炒股。但一夜暴富的神話并沒有到來,吳添源的50萬本金反而不翼而飛了。最終吳添源才搞明白:所謂的老同學,就是一個騙子;那個炒股App,根本就是假的。
追根溯源下,“正是一個真實的姓名,一個真實的手機號,一個說認識我的‘老同學’,把我坑進這個炒股騙局中。我的信息不知道哪個環(huán)節(jié)被泄露了。”吳添源向市界抱怨道。
光明和黑暗往往都是共生的??萍紴槿藗儙肀憷耐瑫r,也帶來危機。不知從何時起,數(shù)據(jù)泄露就像家常便飯一樣,滲透于生活的方方面面,給人們帶來了巨大損失。
中國互聯(lián)網(wǎng)絡(luò)信息中心報告顯示,截至 2021 年 12 月,有 22.1% 的網(wǎng)民遭遇個人信息泄露。
這些個人信息泄露后,用戶輕則被騷擾電話困擾,重則可能會遭遇電信詐騙、套路貸、敲詐勒索等惡性事件,導致人身財產(chǎn)安全受到侵害。
那么,隱私數(shù)據(jù)到底是怎么被泄露的?
1份信息表讓他毛骨悚然
馮峰是一名資深營銷人。因工作原因,這十多年來,他一直跟各種信息和數(shù)據(jù)打交道。為了解競爭對手的項目信息,馮峰不僅翻過對方的垃圾桶,還安排臥底到競爭對手那里拿資料。為了拓客,他也曾運用各種市場調(diào)研手段,搜集潛在客戶數(shù)據(jù)。馮峰也很明白,一些信息就是隱私數(shù)據(jù),自己可能在法律的邊緣瘋狂試探。
真正令馮峰對隱私數(shù)據(jù)泄露,感到毛骨悚然的,是多年前他拿到了一份北京白領(lǐng)信息表。表上數(shù)據(jù)量之大,信息之詳細,遠超馮峰想象。“大概有上百萬的白領(lǐng),信息涉及年齡、單位、職務(wù)、電話、住址、身份證等個人信息?!瘪T峰告訴市界。
為導出這份龐大的數(shù)據(jù),馮峰的電腦一度“癱瘓”。也正是因為這件事,馮峰意識到,“這玩意(隱私數(shù)據(jù))就像雷一樣,指不定什么時候會炸。并且,數(shù)據(jù)量太大,處理起來太麻煩,就刪除了?!备匾氖?,從國家政策來看,泄露隱私數(shù)據(jù)是違法的。
自此之后,馮峰變得謹小慎微起來?!安惠p易在網(wǎng)上填手機號和身份證號;遇到辦信用卡送禮物這樣的活動,一概不參與;工作中對相關(guān)數(shù)據(jù)表格進行加密;涉及客戶信息的文件悉數(shù)銷毀?!瘪T峰向市界坦言。
即便小心到這個地步,馮峰的隱私數(shù)據(jù),也還是被泄露了。在一次買了新車后,馮峰接到各種推銷車險的電話,這令他不勝其煩。
馮峰還發(fā)現(xiàn),一些軟件還會“監(jiān)聽”?!拔移綍r從來不買床,也不會搜這些東西。但有一天晚上,我移動床,然后談了關(guān)于買床的事情。第二天,在一些視頻軟件上,我就看到相關(guān)推薦?!?/p>
隱私數(shù)據(jù)泄露可謂無處不在,那么,隱私數(shù)據(jù)的來源到底有哪些?
從目前來看,隱私數(shù)據(jù)分為三種。一是用戶自愿提供的,如微博發(fā)表的各種言論及照片、向一些網(wǎng)站、App注冊提交的信息等。
二是被觀測到的數(shù)據(jù),即用戶在使用信息設(shè)施或者軟件時,被記錄和觀察到的一系列行為數(shù)據(jù),如上網(wǎng)記錄、購物記錄、搜索記錄等。
第三種是被推斷的數(shù)據(jù),即根據(jù)用戶的各種信息推測的個人數(shù)據(jù),如個人信用評級、消費需求、購物偏好等。
有研究指出,在大數(shù)據(jù)技術(shù)的背景下,絕大部分泄露的數(shù)據(jù),來自于用戶自愿提供。除了微博、網(wǎng)站上的正常信息外,一些用戶進行網(wǎng)絡(luò)購物、下載“山寨”App、分享帶有個人信息的訂單、連接安全系數(shù)低的公共WIFI時,都暗藏風險。
根據(jù)近些年信息安全大事件來看,數(shù)據(jù)泄露的方式主要有三種:特權(quán)濫用、系統(tǒng)入侵、社會工程攻擊。
特權(quán)濫用,即員工利用自己的職務(wù)之便,獲取數(shù)據(jù)庫內(nèi)的信息,并將這些數(shù)據(jù)泄露出去。
系統(tǒng)入侵,即企業(yè)可能遭遇爬蟲攻擊,也可能被植入木馬,也可能被黑客利用漏洞攻克了數(shù)據(jù)庫。如2021年,蔚來汽車的一些隱私數(shù)據(jù),就被不法分子竊取了。
社會工程攻擊,即利用人的弱點,通過電話、短信、網(wǎng)頁中的各種誘惑或存在威脅的信息,引導人按照攻擊者的意愿去行動,從而達到攻擊者的目的。最常見的有電信詐騙、網(wǎng)絡(luò)釣魚等。
如生物一樣,數(shù)據(jù)也有著長長的生命周期,環(huán)節(jié)包括收集、傳輸、存儲、使用、流轉(zhuǎn)、銷毀等。在如此長的生命周期當中,任何一個環(huán)節(jié)出現(xiàn)紕漏,都可能導致數(shù)據(jù)安全問題出現(xiàn)。
很多人不知道的還有:隱私數(shù)據(jù)被掏空背后,一些“網(wǎng)絡(luò)黑手”,正磨刀霍霍向“牛羊”。
一條個人信息標價100元
“無利不起早,販賣信息能產(chǎn)生巨大利益,才會讓黑產(chǎn)越來越猖狂?!毙畔踩珡臉I(yè)者江浩告訴市界。
被泄露的隱私數(shù)據(jù),通過境外網(wǎng)站等平臺進行非法交易,形成一條黑色產(chǎn)業(yè)鏈。各種灰色數(shù)據(jù),藏匿在百度貼吧、淘寶、閑魚、QQ等平臺上。這些數(shù)據(jù)都是明碼標價的。
證券時報曾如此報道:包含電話號碼、微信、QQ號等的個人信息被層層販賣。一級料商(即數(shù)據(jù)中間商)的進貨成本在0.15元/條左右,二級料商進貨成本為0.4元/條左右,三級料商進貨成本0.7-0.8元/條,終端售賣均價為1.2-1.5元/條。
“滲透數(shù)據(jù)”則貴得多。所謂滲透數(shù)據(jù),即所有信息都能夠被抓取,除了電話號碼、微信等基本信息外,還包含身份證號、出行記錄、開房記錄、家庭成員、工作、婚姻狀態(tài)、戶籍所在地等。
這些信息在交易中被分了級。查詢個人簡易信息15元/條,包含姓名、性別、手機號;中級信息50元/條,除了簡易信息外,增加了戶籍地址、身份證號、照片;高級信息100元/條,在中級信息基礎(chǔ)上增加了現(xiàn)住地址、開房記錄、車輛信息。
隱私數(shù)據(jù)的集散地,主要來源于兩個地方。一是常規(guī)搜索引擎搜索不到的暗網(wǎng)。很多人看中了暗網(wǎng)“絕對隱形”的特性,在上面干著現(xiàn)實生活中干不了的事情,這其中就包括隱私數(shù)據(jù)販賣。
2018年6月,圓通快遞10億條快遞數(shù)據(jù),被公然在暗網(wǎng)上售賣;同年7月,3億順豐用戶數(shù)據(jù)在暗網(wǎng)售賣;2023年3月上旬,美國數(shù)百名議員及其家人的敏感信息被放到了暗網(wǎng)上出售。
另一個是社工庫。它是黑客們將泄露的用戶數(shù)據(jù)整合分析,然后集中歸檔的一個地方。社工庫上的數(shù)據(jù),一方面來自黑客攻擊網(wǎng)站后竊取的用戶數(shù)據(jù)庫,另一方面來自一些會出賣用戶數(shù)據(jù)的小網(wǎng)站。
盡管在中國,私自用社工庫調(diào)查他人,涉嫌侵犯個人信息權(quán)和隱私權(quán),且在中國進入暗網(wǎng)也同樣屬于違法行為,但在利益的驅(qū)使下,一些人還是鋌而走險起來。
購買隱私數(shù)據(jù)的人中,有的是為發(fā)展業(yè)務(wù),有的拿來搞詐騙。行騙者拿到信息后,是怎么做的呢?以身份證號為例,其算法規(guī)則是公開的。通過一張身份證,就能搞清該人的性別、年齡、籍貫、家庭住址等等。
根據(jù)身份證繼續(xù)查詢下去,行騙者還能得到主人的全家戶口信息。大部分情況下,還能查到對方的常用密碼,而很多人社交平臺的密碼是通用的。在此基礎(chǔ)上,不法分子再搜羅各大平臺動態(tài),這個人的地址、工作單位、收入水平等,都一清二楚。一張較為簡略的“用戶畫像”,就出來了。
如果再深入一點,行騙者還可以利用一些手段,得到你的人際關(guān)系網(wǎng),你的用戶畫像,就會越來越清晰。拿著如此全面的信息,行騙者就開始釣魚了。這顯然超出很多人的認知。于是,就有千千萬萬個像思甜一樣的受害者出現(xiàn)了。
不過,近些年來,我國已經(jīng)形成了《個人信息保護法》《數(shù)據(jù)安全法》《網(wǎng)絡(luò)安全法》三大數(shù)據(jù)保護的防護網(wǎng)。3月16日,針對央視“3·15”晚會報道的部分破解版APP違法違規(guī)收集用戶個人信息問題,工信部表示,立即組織核查,并依據(jù)《個人信息保護法》《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》等有關(guān)法律法規(guī)要求進行嚴厲查處。
在國家嚴厲打擊違法行為下,馮峰發(fā)現(xiàn),直接購買隱私數(shù)據(jù)的渠道的確變少了。不過,相對應(yīng)地,市場上涌現(xiàn)出一些服務(wù)公司,它們宣稱提供精準人群服務(wù),其背后通常有海量的數(shù)據(jù)。“這些數(shù)據(jù),從哪里來?”馮峰追問道。
北京大成律師事務(wù)所肖颯律師告訴市界,“如果這些服務(wù)公司的數(shù)據(jù)來源不正當,那必定屬于違法行為。在實際案例中,這些數(shù)據(jù)若認定是商業(yè)秘密,那么服務(wù)公司就有可能構(gòu)成侵犯商業(yè)秘密罪;若被認定為是個人信息,就有可能觸犯侵犯公民個人信息罪,上下游人員還有可能構(gòu)成幫助信息網(wǎng)絡(luò)犯罪活動罪?!?/p>
盡管思甜也擔心自己的隱私信息會被濫用,但令她矛盾的一點是:在面臨商家提供的優(yōu)惠賬單時,她還是會選擇向商家提供個人信息以換取優(yōu)惠。這也是大多數(shù)人的心理。因此,肖颯認為,單純強調(diào)讓個人提高隱私保護的意識,顯然是蒼白且不切實際的。
最重要的是,“如何讓個體在讓渡個人隱私獲得利益的同時,充分知曉自己將面臨的后果(個人信息不會泄露給第三者),這又涉及到企業(yè)合規(guī)的問題了。所以企業(yè)與個人對于隱私數(shù)據(jù)的態(tài)度,實際上是缺一不可的?!毙わS說。
而在深受傷害的思甜看來,企業(yè)能不能保護個人信息,不是她能掌控的,她能做的,就是像愛護眼睛一樣愛護自己的個人信息,不輕易泄露。
(文中思甜、馮峰、瑞東為化名。)