網(wǎng)上囂張叫賣個人隱私信息 銀行流水和開房記錄付款可查

個人信息泄露嚴峻性不斷升級，販賣“黑市”日益猖獗。記者近日調查發(fā)現(xiàn)，網(wǎng)絡中存在大量公開售賣包括酒店開房信息等僅在少數(shù)渠道可以獲取的公民個人隱私信息，準確度之高令人觸目驚心。業(yè)內人士分析認為，數(shù)據(jù)大量來自“內鬼”和“黑客”渠道，建議有關部門及時從銷售渠道端追查非法交易，遏制“黑產”泛濫。

銀行流水、開房記錄付款可查

原本保管嚴密的居民個人信息，卻可以被任何人在網(wǎng)上以幾百元至上千元的價格買到。記者近日調查發(fā)現(xiàn)，只要知道姓名或身份證號，就可以購買到任何人近十年的酒店開房記錄。

記者通過搜索引擎查找并聯(lián)系到一個名為“客服中心”的QQ聯(lián)系人，稱可查最新開房記錄、出入境記錄和銀行流水，記者征得一位同事同意后，支付了對方要求的1500元且提供了其身份證號碼。

該QQ聯(lián)系人在兩日后提供了該同事2008年以來多達52條酒店開房信息，包括開房日期、酒店地址、入住時間、退房時間、房間號等極為具體的信息。經該同事確認，這些信息基本準確無誤。

經過反復試驗調查，記者發(fā)現(xiàn)此類個人信息買賣的地下黑市十分猖獗，并存在三大特點。首要特點是交易十分活躍，廣告遍布網(wǎng)絡。在百度輸入“個人信息 查詢 私家偵探”等關鍵字后，顯示出諸多網(wǎng)站，號稱能查到所有個人信息。在QQ搜索“個人信息查詢”等關鍵字也能找到大量提供相關服務的QQ群，每個QQ群中都包含很多活躍聯(lián)系人。

令人吃驚的是，一些網(wǎng)站甚至免費提供隱私信息查詢。在百度搜索“開房信息查詢”并在結果首頁進入一家網(wǎng)站后，在搜索框輸入任意姓名，就可查詢到該人身份證號碼、年齡、生日、地址、電郵和曾經的一條開房信息。

其次是信息并不全面。記者今年出差入住的部分賓館信息未被包括在內，且當日測試的酒店開房信息亦未被囊括在內。該QQ聯(lián)系人自稱，最近警方嚴查，因此要求與記者在凌晨溝通。他還表示，如果花費5600元還可查詢銀行流水記錄，花1600元可查詢個人所有航班信息和出入境記錄。

第三個特點是衍生諸多詐騙產業(yè)。很多網(wǎng)上個人信息售賣者聲稱可以查詢微信等即時通訊聊天記錄，但記者經兩次嘗試后發(fā)現(xiàn)這主要為詐騙行為，在支付數(shù)百元定金后對方均無法提供并消失，從事此類交易的QQ群也大量存在于網(wǎng)絡中。

除去個人信息外，一些百度貼吧還存在大量的非法數(shù)據(jù)交易廣告。如在百度“數(shù)據(jù)買賣”貼吧中，叫賣“三大電信運營商內部數(shù)據(jù)”、“各行業(yè)客戶數(shù)據(jù)”、“網(wǎng)購買家數(shù)據(jù)”的內容隨處可見。

內鬼、黑客導致數(shù)據(jù)安全基本失控

從事信息安全工作多年的獵豹移動安全專家李鐵軍(微博)分析認為，個人隱私信息“黑產”龐大，形勢嚴峻，亟須加強監(jiān)管。從信息來源看，個人隱私信息主要來自“黑客技術截獲”和“內部人員違規(guī)泄露”兩條路徑。

就在記者調查同期，公安部門破獲了一起侵犯公民個人信息犯罪的案件，正是來自相關單位內部人員與社會人員相互勾結所為。公安部表示，2016年以來共偵破此類案件1800余起，抓獲犯罪嫌疑人4200余人，查獲各類公民個人信息300余億條，其中，抓獲涉及40余個行業(yè)和部門的內部人員390余人、黑客近百人。

李鐵軍認為，對于網(wǎng)絡數(shù)據(jù)和信息安全管理基本處于失控狀態(tài)，特別是個別管理掌握公民個人信息的機構可能存在大量管理漏洞，能批量獲取居民酒店開房信息、網(wǎng)吧登記信息和銀行卡余額的只有少數(shù)內部網(wǎng)絡可以做到。這些都不是黑客可能輕易入侵的。

他認為，數(shù)據(jù)保護形勢異常嚴峻，不少業(yè)內人士都認為，由于數(shù)據(jù)管理和監(jiān)管的缺失，在互聯(lián)網(wǎng)上幾乎可以查到任何人的信息，從唯一身份信息到交通、位置、航班等日常信息無所不有，泄露數(shù)據(jù)量之大已幾乎覆蓋到每個網(wǎng)民。

一線民警告訴記者，在此前查處的這類案件中發(fā)現(xiàn)，互聯(lián)網(wǎng)上每天進行著規(guī)模巨大、覆蓋全國、買賣便捷的公民個人信息交易。在眾多社交媒體群組中，信息販子不停地通過互聯(lián)網(wǎng)發(fā)布需求、互通有無。除了被反復買賣的“二手”數(shù)據(jù)，“一手”信息來源有很多途徑，例如有黑客侵入一些數(shù)據(jù)庫，非法獲取各種個人信息并銷售牟利，還有一些能夠接觸公民個人信息的從業(yè)人員，利用職務之便將數(shù)據(jù)在網(wǎng)上出售。

除去內鬼外，黑客也是數(shù)據(jù)泄露的重要途徑，這一鏈條相對分散。根據(jù)李鐵軍的研究，這一人群分為三個層次。最頂端的黑客具備發(fā)現(xiàn)漏洞和攻破系統(tǒng)的能力，在全國有數(shù)百人。其次是買賣和利用這些漏洞的人，懂得如何利用漏洞獲取數(shù)據(jù)和倒賣信息，可能有上萬人。最底層是大量希望利用數(shù)據(jù)牟利的群體，以廣告營銷為目標的公司和用個人信息詐騙的團伙最多。

不僅如此，除了明目張膽的“黑產”，“灰色”的數(shù)據(jù)交易行為也普遍存在。如一些數(shù)據(jù)交易所交易的數(shù)據(jù)包括居民保險、企業(yè)貿易通關、專利、征信、工商、司法、行業(yè)生產銷售、城市交通服務數(shù)據(jù)等，但由于我國對數(shù)據(jù)權屬、個人信息的定義等法律法規(guī)尚未完善，企業(yè)之間在平臺上交易個人數(shù)據(jù)，還屬于“無章可循”階段，同樣存在大量隱患。

專家建議從渠道端嚴打數(shù)據(jù)“黑產”

獵豹移動發(fā)布的一份全球隱私安全報告顯示，中國、印度等新興國家由于第三方市場缺乏管理，導致惡意應用在這些地區(qū)泛濫。2014年，獵豹移動全年截獲手機病毒及惡意應用APP共約280萬個，是2013年數(shù)據(jù)的3.29倍，其中60%以上屬于移動支付和竊取個人隱私類。

2015年獵豹移動安全實驗室從釣魚網(wǎng)站收集系統(tǒng)中回溯過往攔截歷史，發(fā)現(xiàn)自2014年7月以來就有6300多個專門收集銀行卡信息的釣魚網(wǎng)站，研究人員僅從30余個釣魚網(wǎng)站中就獲得了超過3.5萬條銀行卡記錄。據(jù)推測，遭遇此類釣魚網(wǎng)站攻擊，泄露銀行卡信息的受害者保守估計在700至3500人/天。

公民隱私被嚴重侵犯以及多行業(yè)個人信息數(shù)據(jù)非法暴露在互聯(lián)網(wǎng)當中，反映了我國數(shù)據(jù)安全管理仍存在大量薄弱環(huán)節(jié)。對此專家及業(yè)內人士認為，應從渠道銷售端嚴格追溯非法數(shù)據(jù)倒賣，并從長遠規(guī)劃數(shù)據(jù)的安全存放和流通規(guī)則，保護公民信息隱私，妥善處理數(shù)據(jù)安全。

首先應從銷售渠道追溯嚴打。雖然數(shù)據(jù)泄露源頭端監(jiān)管難度大，但因為大量交易渠道均為互聯(lián)網(wǎng)搜索引擎、QQ群等公開渠道，并關聯(lián)到個人甚至企業(yè)實名的支付寶賬戶，因此非常容易追查。中國工程院院士鄔賀銓表示，安全是我國大數(shù)據(jù)產業(yè)的短板，存在技術與管理的雙重風險。居民個人隱私被公開販賣，正反映了這兩大風險，應從源頭上追溯非法數(shù)據(jù)倒賣案例，打擊“黑產”。

其次要加強源頭端數(shù)據(jù)權限管理。對各行業(yè)涉及數(shù)據(jù)信息的領域加強管理要求，針對“內鬼”大量存在的學校、政府機關、快遞公司、電商等泄露案例頻發(fā)的領域，可要求建立數(shù)據(jù)管理機制，將系統(tǒng)權限和數(shù)據(jù)獲取記錄集中管理，并增加預警機制。

再次應夯實數(shù)據(jù)管理的法律基礎。有專家表示，對個人數(shù)據(jù)的保護大多依照2012年通過的《全國人民代表大會常務委員會關于加強網(wǎng)絡信息保護的決定》，這已遠遠不能覆蓋目前行業(yè)的發(fā)展現(xiàn)狀。為此應加快大數(shù)據(jù)管理的法律法規(guī)依據(jù)，完善隱私保護的法律基礎。

此外還應確定大數(shù)據(jù)管理的權責部門。在我國逐步建立國家大數(shù)據(jù)中心的過程中，應不斷提升技術手段，并將個人隱私保護作為建設過程的重要內容，針對大數(shù)據(jù)產業(yè)迅速發(fā)展的形式，以及數(shù)據(jù)權屬、個人數(shù)據(jù)隱私保護、政府數(shù)據(jù)公開等難題，明確專門的監(jiān)管部門，充分管理和利用好數(shù)據(jù)戰(zhàn)略資源。