隐私泄露为诈骗打开方便之门
2016-02-25聂日明
聂日明
近期,家住山东省临沂市农村的18岁大学新生徐玉玉被诈骗电话骗走9900元学费,导致呼吸心脏骤停最终去世。就在同一天,与徐玉玉家相隔不远的临沂市河东区汤头镇塔桥村的大一女生小芹也遭遇了电信诈骗,骗走6800元。此前,同在临沂市的临沭县大二学生宋振宁在连续遭遇电信诈骗后,心脏骤停,近日不幸去世。
诈骗多发不仅仅是社会转型问题
大规模城市化之前,中国是一个熟人圈子主导人际关系型社会,居民不太相信熟人圈子以外的陌生人,与外界的交流也很少,其个人信息也很少会流转到圈外,骗子无法在圈子外面完成诈骗。
改革开放以后,城市化进程加快,社会向陌生人社会转型,但习惯了熟人社会的居民并不都可以很快的适应社会,社会的两种模式的转换中,诈骗很容易发生。山东省的高考考生徐玉玉、大学生朱振宁等几名不幸的同学,就处在这样的社会环境中。对于农村的考生而言,考大学、读大学是他们第一次走向外部世界,是他们脱离传统的熟人社会走向陌生人社会的第一步,只是他们完全没有想到这个世界会如此的险恶,无法接受。
如果仅仅限于此,电信诈骗还只是一个打击刑事犯罪和社会转型的问题。
问题的解决,一方面要提高打击诈骗的力度,提高犯罪成本。目前中国相关诈骗案的立案标准高、结案率低,执法懈怠变相激励了相关犯罪。
另一方面,也要教育公众,让他们适应现代的陌生人社会,能够识别一般的骗局,著名的骗局包括尼日利亚遗产继承、富婆借精生子等。被骗在某种程度上也是一种教育,不仅帮助个人快速成长,其个案传播也警示他人不再受骗。中国的各级政府及居民联系的重要单位也有很多的教育警示,帮助普通人避免被骗。虽然听起来冷血,但很多人、很多国家都是这么成长起来的。
然而,徐玉玉、宋振宁被诈骗并不是这么简单。
个人信息泄露降低诈骗成本
先讲一个自己的例子。作为一个NGO的工作人员,为了满足上级单位对职称等级的要求,我在今年报名了国家人力资源与社会保障部组织的考试——社会工作者职业水平考试,后来因为我太懒,没有去考,但我如约收到了骗子的短信:可以从他们那里购买考题,最近成绩公布了以后,我又收到了可以修改成绩的诈骗短信。今年5月,人社部人事考试中心就报考信息泄露发布声明,称高度重视,目前正与相关部门组织开展调查。
如今的骗局设计越来越精致,已经达到聪明人也有可能上当的地步,最为关键的因素是骗子掌握了受骗者详细的个人信息,借此获得受害者的信任,实施骗局。
山东的这三名准大学生(及大学生),学历并不低,之所以被骗,就是因为骗子能准确地说出身份号码、银行账户、助学金申请等个人隐私信息。一般人通常的理解是,助学金的申请等信息,我只提供给了特定的机构,应该只有对方才知道这个信息。这个信息本身就是一種身份鉴权,他说出这个信息,我应该可以信任对方。
2014年央行启动互联网个人征信信息查询时,鉴别查询者是被查询者本人的渠道,就是通过查询者对个人隐私信息的回答来完成的,例如贷款银行名称、贷款金额等。银行发放信用卡以及对持卡人的身份鉴权往往也不是通过柜台见面,也是通过配偶姓名、单位名称、家庭电话等信息的核对来完成的。大学生在对方知晓个人隐私信息的前提下,放松警惕并不奇怪。
因此,山东大学生遭遇的诈骗案的关键并不是诈骗,也不在于电信诈骗案多么的猖狂,而是个人隐私保护的问题。骗子到底是怎么拿到这些个人隐私信息的?泄露个人隐私的机构应该承担什么样的责任?
个人隐私泄露除了个人管理不善以外,主要是由涉事单位管理不善导致的。近年来知名的隐私泄露案例有汉庭酒店的开房信息,CSDN、天涯、网易邮箱、支付宝都曾出现过被拖库或撞库。
最令人揪心的是政府部门也在泄露个人隐私。举个典型的例子,成都女司机别车事件曝光后,涉事女司机遭遇网友的人肉,最终开房记录被扒出来,情节恶劣到令人发指。从网上披露的图片可以看出女司机的隐私是从公安部门的查询系统中流出的,事后也未见有新闻披露涉案人员被处分。
身份号码非常重要,却被滥用
个人隐私泄露更大的背景是个人身份信息在社会管理中的滥用。由于公安部门在社会管理中的核心地位,居民身份号码在公民中的普及率很高,身份号码的普及使得各种政府签发的证件、身份证明的编号都直接采用了身份号码,如个人社会保障号码、机动车驾驶证号、个人纳税号等。银行、电信、学历学位、不动产权、婚姻等个人核心财产登记、社会关系的确认也都和身份号码绑定。
身份号码关联的个人信息的广泛性,使得从单条个人信息就很容易还原出一个人的隐私全貌。
在现代中国,身份号码几乎是一个人的全部,掌握一个人的身份号码,在个人隐私保护并不完善的今天,就意味着可以掌握一个人的旅行记录、可以查到财产状况、学历学籍等信息,个人等同于透明。身份号码犹如黑暗森林中的坐标,个人只能祈求不被曝光。
中国落后的社会管理体制,使得中国的行政机关对个人身份鉴权的方式很原始,非常强调实名制。在日常生活中,个人住酒店、乘飞机与火车、办理手机卡、注册支付宝和微信等,无不需要身份登记,身份号码也就留在这些机构,这些信息往往又和公安等部门联网同步。
身份号码使用已经泛滥到去政府部门或写字楼办事,门口的保安也会要求出示并暂时保留身份证到出来为止,微博、微信等社交网络等实名认证的时候,也都需要选填身份号码,现如今连买盒感冒药、寄个快递都需要记录身份号码。个人隐私泄露固然是少数人的违法犯罪,但身份号码在个人生活中的滥用无疑也让个人隐私泄露更加容易。
实名制,本来是为了遏制犯罪,更容易追查犯罪信息的,但现实的结果,犯罪嫌疑人并没有更容易抓,老实本分的普通人的核心机密被曝之公众。
尽管有人将山东大学生遭遇到电信诈骗的原因归结到170等虚拟运营商没有很好的执行手机实名制,但中国的现实大家都知道,手机没有实名并不是问题,最起码受款银行卡肯定是实名的,银行卡的实名制要求也要远高于手机实名制。然而这些并没有什么用,警察没有动力破案的时候,再多的实名制也起不了什么作用。
换个角度来看,近年来发生多起因微信、QQ的聊天记录而受到行政处罚的案例,网络发帖被拘也不少见,这些领域的实名制远弱于手机,但并不妨碍警察想执法时可以很容易追查到事主。
韩国也曾相信网络实名制可以制止犯罪。2005年6月5日发生的“狗屎女”事件令韩国民众开始反思网络暴力,将网络实名制以立法形式付诸实施。但结果是实名制打击的犯罪数量有限,个人隐私却出现大规模泄露。
2011年7月,韩国门户网站Nate以及社交网站“赛我网”遭黑客攻击,约3500万名用户的个人信息外泄,包括姓名、生日、电话、住址、邮箱、密码和身份号码。同年11月,韩国游戏运营商Nexon公司服务器被黑客入侵,导致1300万名用户的个人信息被泄露。韩国2010年总人口也不过5000万。最终Naver、Daum等大型门户网站不得不陆续宣布,删除已保存的用户信息。次年,网络实名制被韩国宪法裁判院宣布违宪,划上休止符。
破获电信诈骗案并非难事
面对基于个人隐私的精准电信诈骗案,政府能怎么办?
首先,要从源头上杜绝个人隐私泄露。不收集隐私信息,自然就不会泄露,具体包括限制商家收集如身份号码等核心信息,身份证件编码应当去身份号码中心化,所有政府签发的身份证明,应该各自独立编码,后台数据可以联网并一一对应,但分配给公民的各类证件号码应该不同。带身份号码的证件只用于学历、银行、纳税等核心隐私行为,住宿、乘飞机等允许使用政府签发的、不带身份号码的证件。
其次,对个人隐私保护立法并加强执法。政府和企业在收集个人隐私数据的同时,也负有隐私保护的责任,如果泄露必须追究相关机构的责任。在徐玉玉案中,抓住诈骗人当然重要,但惩罚泄露了徐玉玉的招考、学校等个人隐私信息的责任主体也同样重要。
再次,社会安全是政府提供的最为关键的公共品,政府如果无法保障个人的生命和财产安全,再多的基础设施建设也是徒勞。当然,现在的财政对公共安全的投入并不低,问题在于公共安全的支出存在结构性问题,用于老百姓切身利益的社会治安资源比例太小。
事实上,电信诈骗案技术门槛并不高,追查也并不难,山东的这三起诈骗案被公众广泛关注后,8月26日17:39,临沂警方宣布抓获徐玉玉案的两名犯罪嫌疑人,宋振宁案的嫌疑人也被锁定。电信诈骗案泛滥多主要还是警方不够重视。