别让你的个人信息“裸奔”
——大数据时代下个人信息泄露风险预警指南
2017-05-21岁正阳何玲
◎文/本刊记者 岁正阳 何玲
大数据时代,每个人都是数据的生产者,任何一笔花销、一场旅行都会产生数据并被记录下来。保护个人信息,实际上是保护我们每个人的安全和尊严,在这件事上,没有一个局外人。公民个人信息安全不仅是个人安全,更是国家安全。构筑安全有序的大数据互联网体制,是中国成为网络强国的基本保障,做好网络安全和信息化工作,以安全保发展、以发展促安全,努力建久安之势、成长治之业。
今年7月31日下午6点,在从青海西宁始发的D2698次高铁上,纪超与20名同事遭遇了此次青海之旅中最不可思议的事:20名陌生人手持印有纪超他们身份信息的车票,坐在本属于他们的座位上。事件发生后,作为律师的纪超表示要维权到底,他认为握有他们身份信息的旅行社违规操作,侵犯了自己的个人隐私。有业内人士称,类似冒用他人身份信息乘车的案例并不少见,这是旅游业默认的“潜规则”。
互联网时代,伴随公民个人信息泄露而来的恶果令人瞠目。公安部7月发布消息称,自今年3月公安部部署开展打击整治黑客攻击破坏和网络侵犯公民个人信息犯罪专项行动以来,目前全国共侦破侵犯公民个人信息案件和黑客攻击破坏案件1800余起,抓获犯罪嫌疑人4800余名,查获各类公民个人信息500余亿条。
据了解,网络非法获取公民个人信息日益猖獗,涉及身份信息、电话号码、家庭地址,扩展到网络账号和密码、银行账号和密码、购物记录、出行记录,且形成了“源头—中间商—非法使用人员”的黑色产业,给社会安全带来了重大危害和隐患。这不禁让人感叹,何时才能刹住个人信息安全恶化之势?本文通过梳理相关数据和文章,总结得出互联网大数据时代下信息泄露的手段、原因、防范措施等,旨在为社会各界揭露信息安全“黑洞门”,促进提高个人防范意识、增加社会诚信度、强化社会公共秩序。
信息泄露成常态灰色产业链触目惊心
当电话另一头的陌生人能够准确地叫出你的名字、说出你的单位,甚至说出你孩子在哪家幼儿园就读时,你心中作何感受呢?当下,个人信息安全已成为中国社会最为关注的公共议题之一,尤其是自2016年震惊全国的“徐玉玉案”发生后。去年7月20日,公安部以《公安机关打击整治网络侵犯公民个人信息犯罪成效显著》为题报道了公安部门打击侵犯公民个人信息犯罪的努力:全国公安机关累计查破刑事案件750余起,抓获犯罪嫌疑人1900余名,缴获信息230亿条,清理违法有害信息35.2万余条,关停网站、栏目610余个。
去年10月,中国青年政治学院互联网法治研究中心与封面智库联合发起的《你的隐私泄露了吗?》问卷调查显示,全国各个省区市的被调查者,几乎都收到过垃圾短信,接到过骚扰电话。参与调研者中,26%的人每天收到2个以上的垃圾短信,20%的人近一个月来每天收到2个以上骚扰电话。来自上海、北京、重庆、江苏、天津等省市的受访者收到的垃圾短信、接到的骚扰电话最多。说明越是经济发达、社会网络化、信息化程度高的地区,个人信息泄露的密度越高。
中国互联网协会《中国网民权益保护调查报告2016》显示,近一年时间,国内6.88亿网民因个人信息泄露、垃圾短信、诈骗信息等造成的经济损失估算达915亿元。据不完全统计,2016年,黑市上泄露的个人信息达到65亿条次。在我国,平均每个人的个人信息被至少泄露了5次。
记者在2016年发布的《中国个人信息安全和隐私保护报告》中发现,在遭遇个人信息侵害时,多达81%的参与调研者经历过知道自己的姓名或单位等个人信息的陌生来电,因网页搜索和浏览时泄露个人信息的参与调研者占53%,因房屋租买、购车、考试和升学等信息泄露,和因在网站留下个人电话和注册网络金融服务而遭遇各类骚扰和诈骗的参与调研者都在30%以上,明确知道个人和家庭信息被贩卖、泄露的参与调研者比例达18%,最少的数据比例即“个人隐私信息被网站公布”“购买机票后收到航班异常的电话或短信诈骗信息”也达9%。这些触目惊心的数字意味着,每个人都有可能成为下一个徐玉玉,日常生活中的每个环节都可能泄露个人信息。
截至2016年12月,我国网民规模达7.31亿人,手机网民规模达6.95亿人。随着购物、支付类应用场景的增加,也让个人信息更有牟利价值。在利益驱使下,一些不法分子贩卖个人信息,甚至形成了庞大的灰色产业链。2014年央视“3·15”晚会就曾曝光,部分银行工作人员通过中介向外兜售客户个人信息将近3000份,造成损失达3000多万元。
由此可见,在互联网信息时代,个人信息正在被一批“钻空子”的人趁机谋利,由于此类犯罪成本低,获取公民个人信息无需技术含量,通常被一些部门和行业从业人员利用职务便利窃取公民个人信息。中国青年政治学院副校长、中国青年政治学院互联网法治研究中心主任林维介绍,在各行各业都推行用户实名制的当下,消费者再难用“李交行”“李建行”的办法判断个人信息从何种渠道泄露。根据现有的举证责任难度,对于技术复杂、环节众多的个人信息侵害行为,个人维权往往只能望洋兴叹。
互联网技术的高速发展正在将社会强行推入一个“大数据”时代,不管人们是否愿意,我们的个人数据正在不经意之间被动地被企业、个人搜集并使用。
五大原因成隐患个人信息保护遭遇挑战
所谓大数据,是指那些大小已经超出传统意义上的尺度,一般的软件工具难以捕捉、存储、管理和分析数据。大数据是互联网的价值属性,互联网技术使得人类自身、社会所有的状态、行为、关系都能被数据化。大规模的信息使用在大数据时代成为可能。当信息被有选择地分享和使用时,它的价值就会增加。所以,通过对这些看似无用的海量数据进行收集、存储、管理和分析,能够快速获得有价值的相关信息,从而更好地为社会生产服务。
然而,个人信息为何容易遭到泄露并被非法应用?中消协曾发布报告提出5点原因:网络信息传播速度快、范围广,个人信息易获取;网络环境下个人信息收集手段日益隐蔽;个人信息更容易被整合作为商业交易使用;网络信息监管缺位,服务商缺乏法律和社会责任意识;网络服务商对收集和存储的海量个人数据在保护方面缺乏足够投入,这些挑战给消费者隐私和安全问题带来隐患。
一是网络信息传播速度快范围广。随着互联网、智能手机、传感器、个人穿戴式设备等新技术的不断普及,个人数据的网络化和透明化已经逐渐成为不可阻挡的大趋势。以前,能够大量掌控公民个人数据的机构只能是持有公权力的政府机构,但现在许多企业和某些个人也能拥有海量数据,甚至在某些方面超过政府机构,从而对公民个人的隐私保护提出了严峻的挑战。
二是个人信息收集手段日益隐蔽。传统Web网站技术通过Cookies(储存在用户本地终端上的数据)将用户登陆网站、浏览网站和搜索信息进行记录,以此得到用户较为完整的个人喜好和使用习惯信息。移动互联网技术出现后,通过手机客户端,能够将用户的实时地理位置、社交关系等更为紧密的信息一一记录下来。以网络购物为例,用户要经过网络下单、在线支付、物流配送等多个流程,其中每个环节都涉及个人数据的搜集、利用与转移。
三是个人信息商业交易乱象频发。依靠云计算的数据处理能力,人们不再对浩如烟海的信息一筹莫展,相反,数据成为有价值的资产,成了极富增值潜力的“金矿”。利益驱使有些企业和犯罪分子恶意开发免费APP,盗取用户基本信息,进而转卖给第三方赚取利益。据媒体公开报道显示,目前征信市场上有部分征信公司,直接从黑市上购买数据,甚至雇佣黑客去盗取个人数据。一些急于变现的公司,在各地招聘代理,推销个人征信信息,年流水可达上亿元。
四是个人信息交易缺乏有效监管。受历史、观念、管理方式以及立法滞后等因素的制约,我国互联网监管工作尚未形成统一、高效的互联网案件立案查处模式。不正当收集个人信息很多都是触犯刑法的犯罪行为,各地公安部门对此也有严厉打击,对于公安部门来说其尚未构成犯罪,但是对于其他执法部门来说已然违法。此外,公安、工商等监管部门单纯依靠自身力量进行查办,各自苦干、合力不强,工作量巨大。
五是网站缺乏保护个人数据意识。在用户提交个人数据后并接受约定服务后,服务商和运营商即负有保护个人数据的法定责任。实际中,在用户与服务商的关系中,用户一般处于信息不对称的弱势一方,因此,保护用户个人数据安全,既是服务商不可推卸的法律责任,也是企业的重要社会责任。但一些企业往往利用强势者地位,强迫用户签订不利于消费者的霸王条款,饱受诟病的智能手机预装软件就是其中的典型代表。
当上网成为社会普遍的生活方式后,个人数据的流动性与暴露风险大大增加了,而大数据则将潜在的风险发展到极致。恶意程序、各类钓鱼和欺诈继续保持高速增长,大量网民个人信息的泄露与财产损失不断增加。为保护公民个人信息,最高人民法院、最高人民检察院发布了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》;《快递暂行条例(征求意见稿)》以信息安全为前提推行快递实名制;《河北省消费者权益保护条例》规定泄露消费者个人信息最高罚款50万……这些规定的发布不仅顺应社会发展的需要,也彰显了我国政府部门保护公民个人信息的决心。
信息泄露陷阱多“灰色链条”亟待铲除
随着大数据时代的来临,尤其是实名制的逐步推开,个人信息泄露的隐患在我国已日趋凸显。有数据显示,全国手机用户全年平均可能被盗取联系人信息14.4亿条,短信71.8亿条;63.4%的网民通话记录、网上购物记录等信息遭泄露;78.2%的网民个人身份信息曾被泄露,包括姓名、家庭住址、身份证号及工作单位等。而由个人身份泄露而导致的银行卡信息被盗取、买卖等违法犯罪行为也已形成黑色产业链。记者通过对近年来个人信息泄露路径的分析整理,发现以下6种方式。
一是企业“内鬼”倒卖信息。移动互联与大数据时代,越来越多的机构积极搜集公民个人信息,并形成自身日益庞大的数据库,典型代表如电商网站、快递公司、房地产中介等。然而,由于内部管理制度的不严谨,企业“内鬼”频频出现,一些员工受利益引诱,铤而走险倒卖客户个人信息。
二是木马病毒窃取信息。在所有个人信息被盗取的实际案例中,手机木马短信已成为不法分子惯用的诈骗方式。他们把自己伪装成学校老师、同学等身份,通过伪基站向周围的手机用户发送木马短信,用户只要一点击短信链接,各种网银账号、密码、短信验证码都将被木马盗取,并转发到犯罪分子手中。
三是网站漏洞盗取信息。各大网站因网络漏洞而被不法分子利用,导致大量用户个人信息泄露的新闻屡见报端。数据显示,2015年360旗下“补天”平台收录了1410个可能造成网站上的个人信息泄露的漏洞,涉及网站1282个,可能泄露的个人信息量高达55.3亿条,这一数字较2014年的23.6亿条翻了一倍之多。更令人担忧的是,这些被曝光的网站对于漏洞修复的态度并不积极,总体修复率仅为8.0%。
四是免费WiFi暗藏“黑手”。数据显示,腾讯手机管家用户每天有超过2亿次WiFi连接,其中每天约有60万次连接了风险WiFi。一旦连接诈骗WiFi,个人的网银和支付账号、密码等各类信息,可能在个人毫不知情的情况下就被不法分子盗取了。此外,恶意二维码也是不法分子的手段之一。用户扫描恶意二维码,相当于点击了一个带有木马病毒的短信链接,手机将被植入木马病毒。调查数据显示,在7岁~19岁的青少年中,“经常扫二维码,不考虑是否安全”的比例高达40.3%。
五是登录密码易被破解。密码通用虽简单省事又好记,但其中安全隐患重重。当不法分子盗取或破解了你的某个账户后,将会用相应数据在其它网站或账户上进行尝试登录,专业术语叫“撞库”。比方说,获取了你的银行账户,再在支付宝账户尝试登录,触发“多米诺骨牌效应”。数据显示,我国75.93%的网民存在多账号使用同一密码的问题,特别是青少年群体这一比例高达82.39%。
六是朋友圈测试存陷阱。“上传一张照片,看看你的颜值有多高”“输入生辰八字,测试你的来世今生”“填写你的职业,看你今后发展如何”......如今,各类测试已经霸占微信朋友圈。看似简单的测试,其实是一些幕后公司窃取公民个人信息的手段。特别是真实姓名和出生年龄,真实信息泄露后,对个人会造成一定影响。此外,朋友群中发的商业红包等信息也要注意,部分群众容易因图小便宜而致使自己陷入骗局。
目前,针对个人信息的犯罪已经形成了一条灰色的产业链,在这个链条中,有专门从事个人信息收集和泄密源的团体,他们之中包括一些有合法权限的内部用户主动通过QQ、互联网、邮件、移动存储等各类渠道泄露信息,还包括一些黑客,通过攻击行为获得企业或个人的数据库信息。有专门向泄密源团体购买数据的个人信息中间商团体,他们根据各种非法需求向泄密源购买数据,作为中间商向有需求者推销数据:买卖、共享和传播各种数据库。还有专门从中间商团体购买个人信息,并实施各种犯罪的使用人团体。他们是实际利用个人信息侵害个人利益的群体。
工信部检测发现涉违规手机使用个人信息的应用软件名单
6安卓商店 UU电话 V3.5.4 未经用户同意,收集、使用用户个人信息 2016年三季度网易通省钱电话 V1.0.0 7蜂助手 空中急救 V2.0.6 未经用户同意,收集、使用用户个人信息 2016年三季度8小米应用商店 纳信 V2.2.1 未经用户同意,收集、使用用户个人信息 2016年四季度9机锋网 野途 V2.8.2 未经用户同意,收集、使用用户个人信息 2017年一季度10 九号安卓频道 我的新世界 V1.0.0.4 未经用户同意,收集、使用用户个人信息 2017年二季度11 游迅网八分音符酱 V1.0.0.4未经用户同意,收集、使用用户个人信息 2017年二季度暴力战车 V5.0.0.9狂野飙车 V1.0.0.3
据不完全统计,这些人在获得个人信息后,会利用个人信息从事五类违法犯罪活动,包括电信诈骗、敲诈勒索、非法商业竞争、调查婚姻、滋扰民众。如2012年年底,北京、上海、深圳等城市相继发生大量电话诈骗学生家长案件。犯罪分子利用非法获取的公民家庭成员信息,向学生家长打电话谎称其在校子女遭绑架或突然生病,要求紧急汇款解救或医治,以此实施诈骗。又比如,不法分子利用购买的公民个人信息,介入婚姻纠纷、财产继承、债务纠纷等民事诉讼,对群众正常生活造成极大困扰。
信用与法律双驱动为个人信息筑起“保护墙”
通过大数据计算、搜集、分析公民个人信息,逐渐成为一些行业的“潜规则”,甚至开始形成集搜集、分析、售卖于一体的黑色产业链。大数据技术的应用普及正在成为信用体系建设的双刃剑,多维度、大范围的采集行为在构建起个人信用图谱的同时,也给数据安全和个人隐私保护带来挑战。
“征信监管要把握个人的信息安全、保护个人隐私权利,征信信息必须合法合规使用。”6月17日,中国人民银行征信管理局局长万存知出席“Fintech时代的消费金融创新发展峰会”时谈到个人信息要受到保护时表示,从国家法律角度来讲,个人要授权征信系统向别人提供信息,前提是本人要授权,本人不授权别人就不能使用这个信息,使用了就是违规违法。受到侵害时,也可以要求赔偿。从征信监管来讲,要把握个人的信息安全、保护个人隐私权,征信信息必须合法合规使用,不能泄露、倒卖,更不能拿来犯罪。
在国内外出现了一些新的项目合作态势。即业主与承包商从斗智斗勇的竞争者转变为战略合作者,双方达成战略联盟,建立一种合作伙伴的关系。强调了企业之间的合作共赢、资源共享、风险共担、利益均摊的关系。这种新的管理理念尤其强调了信息的交流与共享对于增强企业合作竞争力的作用,有效的降低了信息不对称的程度。
蚂蚁金服集团董事长彭蕾在7月18日的杭州首届“中国城市信用建设高峰论坛”上指出:隐私保护将成为信用体系的基石。隐私保护将是信用体系建设中最为关键的一点。随着参与信用体系建设的市场化机构越来越多,对信息、数据、隐私的保护能力将成为参与者必备的核心能力。“这个能力不仅是技术实力的体现,也体现了企业的社会责任和担当。”彭蕾表示。
蚂蚁金服集团安全管理部总经理邵晓东也曾表示,要从立法完善、司法协同、政府监管、企业合作、行业共享、全民参与六方面,共建保护公民个人信息的外部生态。然而目前,我国并没有专门的个人信息保护法,只是在《宪法》《民法通则》《刑事诉讼法》《刑法修正案(九)》等法律法规中做了一些具体规定。
2014年出台的《刑法修正案(九)》将《刑法》第253条之一修改为:“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处3年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处3年以上7年以下有期徒刑,并处罚金。”法律专家认为,和《宪法》、民法、行政法一样,它并没有对公民的个人信息做出具体解释,而作为区别“罪与非罪”的界限——“情节是否严重”也缺乏明确的界定范围。
有专家建议,应将《刑法》对犯罪行为的规定细致量化,同时,《宪法》、民法、行政法也要完善相关规定,才能构建完备的法律体系。这方面,国外的一些做法值得借鉴。例如,德国实行统一交叉的立法模式,制定专门的法律条案,对公民的个人信息进行整体归类,避免了法律的零散化和相互冲突。
当然,政府工商部门、消费者协会、媒体等相关机构应加强宣传,提高公民的自我保护意识。只有法律完备、政府机关与行业协会之间形成良性互动,公民个人防范意识足够高,公民个人信息的安全库才能称得上牢靠。正如《大数据时代》作者维克托·迈尔-舍恩伯格所倡导的,大数据时代个人信息安全应实施管理变革,从个人许可转变到让数据使用者承担责任。
大数据时代,每个人都是数据的生产者,任何一笔花销、一场旅行都会产生数据并被记录下来。保护个人信息,实际上是保护我们每个人的安全和尊严,在这件事上,没有一个局外人。公民个人信息安全不仅仅是个人的安全,更是国家安全,构筑安全有序的大数据互联网体制,是中国成为网络强国的基本保障,做好网络安全和信息化工作,以安全保发展、以发展促安全,努力建久安之势、成长治之业。
八招防范个人信息流向“黑市”
第一招 谨防网络购物钓鱼网站。通过网络购买商品时,要仔细验看登录的网址,不要轻易接收和安装不明软件,要慎重填写银行账户和密码,防止个人信息泄露造成经济损失。比如,在登录购物网站时要核实网站的域名是否正确,审慎点击商家从即时通讯工具上发送的支付链接,以防是钓鱼网站。
第二招 谨防在微信中晒照片。有些家长在朋友圈晒的孩子照片包含孩子姓名、就读学校、所住小区,有些人喜欢晒火车票、登机牌,却忘了将姓名、身份证号、二维码等进行模糊处理,这些都是比较常见的个人信息泄露行为。此外,微信中“附近的人”这个设置,也被用做看到他人照片的工具。
第三招 谨防参加网上调查活动。上网时经常会碰到各种网络调查问卷、购物抽奖活动或者申请免费邮寄资料、申请会员卡等活动,一般要求填写详细联系方式和家庭住址等个人信息。建议参与此类活动前,要选择信誉可靠的网站认真核验对方的真实情况,不要贸然填写导致个人信息泄露。
第四招 谨防公共场所免费WiFi。在智能手机的网络设置中选择了WiFi(无线网络)自动连接功能,就会自动连接公共场所WiFi。但是,WiFi安全防护功能比较薄弱,黑客只需凭借一些简单设备,就可盗取WiFi上任何用户名和密码。因此,使用无线WiFi登录网银或者支付宝时,可以通过专门的APP客户端访问。
第五招 妥善处置个人信息存单。快递单含有网购者的姓名、电话、住址,车票、机票上印有购票者姓名、身份证号,购物小票上也包含部分姓名、银行卡号、消费记录等信息。不经意扔掉,可能会落入不法分子手中,导致个人信息泄露。因此,对于已经废弃的包含个人信息的资料要妥善处理好。
第六招 妥善使用身份证复印件。银行、移动或联通营业厅、各类考试报名、参加网校学习班等很多地方都需要留存个人的身份证复印件,甚至一些打字店、复印店利用便利,会将暂存在复印机硬件的客户信息资料存档留底。因此,在提供身份证复印件时,要在含有身份信息区域注明“本复印件仅供××用于××用途,他用无效”和日期,并且复印完成后要清除复印机缓存。
第七招 妥善提供必要简历信息。目前,越来越多的人通过网上投简历的方式找工作,而简历中的个人信息一应俱全,有些公司在面试的时候会要求你填写一份“个人信息表”,上面要你的家庭关系说明、父母名字、个人电话住址、毕业学校(详细到小学)、证明人(甚至还有学校证明人)、甚至身份证号。业内人士提醒,一般情况下,简历中不要过于详细填写本人具体信息,尤其是家庭住址、身份证号等。
第八招 妥善设置社交软件信息。通过微博、QQ空间、贴吧、论坛和熟人互动时,有时会标注对方姓名、职务、工作单位等真实信息。这些信息有可能会被不法分子利用,很多网上伪装身份实施的诈骗,都是利用了这些地方泄露的信息。建议在微博、QQ空间等社交网络要尽可能避免透露真实身份信息。
与此同时,除以上八招防范措施以外,国家网信办提示,个人信息遭泄露后,公民可通过以下三种方式维权:一是按照全国人大常委会《关于加强网络信息保护的决定》,遭遇信息泄露的个人有权立即要求网络服务提供者删除有关信息或者采取其他必要措施予以制止。二是个人还可向公安部门、互联网管理部门、工商部门、消协、行业管理部门和相关机构进行投诉举报。据了解,中国互联网违法和不良信息举报中心的举报热线为“12377”,网址为www.12377.cn。三是消费者还可依据《侵权责任法》《消费者权益保护法》等,通过法律手段进一步维护自己的合法权益,如要求侵权人赔礼道歉、消除影响、恢复名誉、赔偿损失等。