一只“黑手”正悄悄伸向湖北宜昌人李慧勤。
一年前,她在“天天征婚網”注冊信息被人公開叫賣,讓她飽受騷擾電話困擾。人民網創投頻道調查時發現在賣家發來數十條驗證信息中,包含注冊名、手機號碼、微信號和ID。人民網創投頻道試圖添加多人微信,兩人通過驗證后,證實外泄的信息屬實。“天天征婚網”回復稱,經核查,數據是早期部分數據。
互聯網市場快速生長,信息外泄事件不時出現。
在某交流平臺,有人公開叫賣網易郵箱賬號,百萬郵箱售價僅50元。賣家自稱可向這些郵箱發送營銷信息,并展示了據說包含有百萬個郵箱賬號的文件。人民網創投頻道發送數百條郵件測試,反饋信息顯示,僅有6個郵箱發送失敗。網易郵箱內部人士證實,如果沒有退回,證明網易郵箱賬號中心存在這個賬號,也就是說賬號真實存在。
這是個暴利行業。賣家自稱曾一天賺過能買一臺iphone7的錢,且稱通過爬蟲軟件爬取郵箱并不犯法。但大成律師事務所高級合伙人張宏認為,從賣家獲取數據方式來看,涉及抓取用戶數據和個人買賣信息,可以認定這屬于法律明令禁止的范疇,且賣家行為涉嫌違法層級較高。
某知名互聯網安全技術工程師王怡表示,如今,信息交易黑市已經出現數據定制服務和一條龍服務,信息外泄原因主要是平臺服務器安全措施等級低,很容易被黑客入侵;黑客通過軟件漏洞進行攻擊;公司內部人販賣用戶信息。
百萬郵箱售價50元
市面上,個人信息的售價普遍很低。
賣家李娜自稱擁有海量網易郵箱用戶數據,量大且價低。一番討價還價,人民網創投頻道花費50元,看到其販賣的100萬條郵箱賬號信息。
對于為何只售賣網易郵箱,李娜毫不避諱地說,客戶喜歡網易郵箱,用戶數量龐大,只要網易不倒閉,她就有生意。
自1997年成立起,網易郵箱已經走過了22個年頭,旗下擁有八大系統(163、126、yeah、vip163、vip126、188、專業企業郵箱、免費企業郵箱)。截至2016年9月,網易郵箱用戶總數達8.9億,網易郵箱在中國市場占有率自2003年起至今,一直高居全國第一。
2019年2月份,某媒體記者問丁磊,“如果以對社會的推動為標準排名,你認為網易產品中排名前三的是哪三款產品?”
丁磊說,第一是網易郵箱,這個產品是1997年開始做的。網易堅持做郵箱20年,促進了互聯網用戶的通訊效率,特別是海外通訊。
眾所周知,丁磊最初靠的是郵箱、門戶網站業務等發展壯大,而后登陸美國納斯達克。
李娜也挖掘到網易郵箱的商機。她說,幾年前,她主要銷售手機號碼,每條3分錢,后來發現網易郵箱商機,現在她將郵箱賣給不同商戶,每天都有資金入賬,盈利模式穩定。“我賺的最多的時候,一天掙了買一臺iphone7的錢。”據多家電商平臺官方顯示,一臺iphone7售價在幾年前高達數千元。
隨后,李娜提供的截圖顯示,一名賣家花1000元,向她購買500萬條數據,已支付500元訂金,約定當晚交貨。“只要你能付得起錢,我能提供足夠數據,能賣的數量能讓你‘傾家蕩產’。”
另一名賣家在某社交平臺公開叫賣“天天征婚網”用戶信息,他自稱手上有該網站七萬人注冊用戶數據,售價1000元,并稱多名客戶要購買,但具體用途并不知,“有人單獨要女性信息,也有人要男性信息。”
這名賣家表示,客戶事先給客戶提供“天天征婚網”的鏈接,他獲得后臺權限后,便能“竊取”用戶注冊信息,7萬條注冊用戶數據,售價在2000元以上。
推銷詐騙?
倒賣數據的暴利,曾讓王怡心動不已。
他說,有段時間,他思考過是否參與數據盜取的生意,覺得太賺錢了。他認識一些朋友,通過買賣數據,每年會有幾十萬收入,而且只是利用工作外的額外時間。
王怡說,個人信息外泄已經涉及到衣食住行四大領域,包括開房記錄、名下資產、乘坐航班,網吧上網記錄。此外,手機實時定位、手機通話記錄,被當作最為容易獲取的數據,從而進行販賣,甚至每周7×24小時不間斷服務。“只要有人付錢,就可輕易被查到。”
王怡透露,這樣信息并不屬于昂貴的數據類型,即使是針對某個人,他獲取這些信息,也僅僅花費不到千元。
王怡表示,如今,信息交易黑市已經出現數據定制和一條龍服務,這說明互聯網黑產對個人隱私的侵害行為越來越明顯。
這也說明外泄的個人數據有市場需求。王怡看來,如今,數據處理技術已經非常完善,僅用一臺電腦,就可以將看似雜亂的數據進行深度分析,了解數據擁有者的具體收入,是否有房,是否單身,是否有私家車,喜歡什么顏色等,這為騙子創造了更多行騙的機會,因為通過定向推送進行詐騙比通過垃圾廣告詐騙有效的多。
在柬埔寨從事中國地下博彩生意的張力認為,在東南亞,超萬家不同規模的博彩公司,他們就需要大量靠譜數據。經過交流,博彩公司之間形成了信息的交換渠道,比如某家公司會用100個客戶的數據與另外一家公司的100個客戶數據進行交換。“通過數據交換,大家可以對不同客戶實現開發利用。”
張力表示,在博彩行業,它帶有鮮明特點,不同人會參與多種類型的博彩活動,因此某個客戶信息可以多次利用,他們會在不同博彩公司消費。“一名優質‘客戶’的相關信息,售價在5000元左右。”
“你不要認為價格高,如果一個數據敢賣這個價格,那就說明它可以給買家創造數倍收益,這也讓大批人鋌而走險。”
張力表示,他曾經有個合作伙伴,對方手上掌握大量有效數據,這些數據能夠為市場擴展提供強力保障,對方曾對他說,這些數據是他在大公司工作的親戚提供的。
“市場上遇到類似的交易,這也是無法避免的。”張力說,對于公司而言,它必須有相應制度和管理規范預防信息數據泄露,但從實際情況看,諸多中小型公司只能滿足最基本的數據保護。
內鬼操作?
但在張力看來,在不考慮黑客因素下,公司內部人員數據泄露尤為普遍。
這種說法也得到王怡贊同。他說,類似金融產品明細、用戶賬戶等安全級別相對較低的信息,少部分信息可以通過爬蟲程序直接抓取。但從技術的角度看,大部分平臺是沒有辦法通過爬蟲軟件獲取用戶電話、賬戶和其他明細。
王怡稱,爬蟲軟件是模擬人的操作,直接登錄抓取頁面等常規操作。如果互聯網上沒有這些數據,那就需要從公司后臺數據庫直接抓取信息,這是沒法使用爬蟲程序的。
在王怡看來,通過爬蟲軟件就能夠獲得數據,說明安全級別并不高,如果直接獲得安全級別高的數據,那就需要一定技術。
王怡表示,一般而言,獲取公司數據庫內部數據有三種方法,這也是市面上最常使用的方式。一是對方平臺服務器的安全措施等級低,技術手段進入對方系統,獲取操作權限。二是黑客通過滲透測試工具,通過軟件漏洞進行攻擊。三是內外勾結,公司內部人進行信息販賣。
實際上,這已不是網易郵箱出事。
2013年3月15日,央視"3·15晚會"曝光了網易郵箱涉嫌偷窺用戶信息,進行廣告營銷。央視調查發現,網易等一些網站同意第三方公司通過植入代碼、獲取cookie,從而鎖定用戶、精準投放廣告。網易公司也會對自己的用戶進行跟蹤分析,甚至包括用戶非常隱私的郵件內容。
對此,網易免費郵箱當時稱,用戶對信息安全的重視,網易感同身受,并一向注重對用戶隱私的保護。網易郵箱一天處理約2億封郵件,不存在任何個人參與窺探用戶隱私的可能性。網易現在和將來都不存在、也不會容忍收集用戶隱私用于商業目的的行為。同時,網易郵箱將對銷售部門進行規范,避免因夸大宣傳,引起誤導。
華為資深工程師張合表示,如果網易出現郵箱賬號泄露,不管是否參與交易,網易都應承擔責任,“保護用戶的數據隱私是平臺最起碼的責任。”
“網易應該承擔責任。”張宏也說,網絡運營者應當采取技術措施和其他必要措施,確保其收集的個人信息安全,防止信息泄露、毀損、丟失。在發生或者可能發生個人信息泄露、毀損、丟失的時候,應當立即采取補救措施。但是,這次網易郵箱賬號泄露,尚未證實由網易內部人士所為。
買賣數據不違法?
在賣家李娜看來,通過爬蟲技術獲取網易郵箱并進行交易不違法,“爬蟲程序是我男朋友做的,爬取的是網絡上公開信息,不涉及違法行為。”
“爬取數據的合法性其實很窄,只有不妨害網站的正常運行、嚴格遵守網站設置的robots協議,不強行突破網站的反爬措施,這才是真正合法的數據爬取行為。”張宏表示,從法律角度來看,雖然數據的爬取是從公開數據當中進行數據抽查,但如果使用不當,也會突破法律的邊緣。
《網絡安全法》第四十二條規定,網絡運營者不得泄露、篡改、毀損其收集的個人信息;未經被收集者同意,不得向他人提供個人信息。但是,經過處理無法識別特定個人且不能復原的除外。網絡運營者應當采取技術措施和其他必要措施,確保其收集的個人信息安全,防止信息泄露、毀損、丟失。在發生或者可能發生個人信息泄露、毀損、丟失的時候,應當立即采取補救措施,按照規定及時告知用戶并向有關主管部門報告。
另外,《電信和互聯網用戶個人信息保護規定》第十條規定,電信業務經營者、互聯網信息服務提供者及其工作人員對在提供服務過程中收集、使用的用戶個人信息應當嚴格保密,不得泄露、篡改或者毀損,不得出售或者非法向他人提供。
2017年6月1日,《“兩高”關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》規定了較低的入刑門檻——該司法解釋將個人信息根據敏感度的高低分為三檔,非法出售的數量分別達到50條、500條、5000條,或違法所得達5000元以上即可定罪,如果是在履行職責、提供服務過程中“監守自盜”的,標準減半。
“這說明,所有的條件都必須是共同存在,才可以保證最終的合法性,但凡有一個條件違反了,就是違法行為。據我所知,大量程序員在從事數據的爬取過程中,或多或少都有違法的嫌疑。”張宏說。
在張宏看來,企業若要實現數據合法獲取,必須滿足兩個條件。一是互聯網企業只能收集其提供服務所必需的個人信息,非必需信息一概不得收集;二是企業必須明示收集、使用的目的、方式和范圍,并征得用戶的同意,最常見的形式是平時注冊賬號前需要打勾的“隱私協議”。
如何保護數據隱私?
近年來,在互聯網市場快速成長的背景下,個人信息保護不力的事件屢見不鮮。
3月27日,上海市消保委發布了針對39款網購、旅游、生活類常用手機App涉及個人信息權限的評測結果。結果顯示,25款APP存在數據問題,尤其關于“日歷”權限的過度申請和隨意授權更令人擔憂。
這也就是說,這些APP申請了發送短信、錄音、撥打電話、讀取聯系人、監控外撥電話、重新設置外撥電話的路徑、讀取通話記錄等敏感權限,卻未在應用中進行使用。
張合向人民網創投頻道表示,在市場中,侵權行為俯拾即是,有顯性的,也有隱性的。
所謂顯性,就是數據泄露已經影響市民生活。商家通過電話、郵件等方式對市民狂轟濫炸發送廣告,甚至開展詐騙行為。
所謂的隱形數據泄露最簡單也是最常見的表現形式是,當你在搜索軟件進行搜索的時候,關于你的數據已經傳播至其他軟件公司,任何公司都能夠根據用戶需求,提供相應產品,然后以機票、新聞、商戶等推薦形式展現。
“這是令人不寒而栗的。”張合說,人的記憶并不可靠,每個人都對自己沒有絕對的理解,但是互聯網數據是固定的,互聯網會比你更了解你自己,如果不加以控制,任何人都沒有隱私。
在我國,隨著《網絡安全法》及《“兩高”關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》等政策的實施,配合既有的法律、法規、規章,已形成刑事、行政、民事三位一體的法律保護體系。
張宏認為,從懲戒力度上看,在我國侵犯隱私的行為入刑門檻低、刑罰重,但行政處罰力度不及歐盟,民事訴訟也較難取得大額賠償;相較之下,歐洲更為推崇行政監管,美國則倚重民事救濟,體現了各國政府選擇治理手段上的不同側重。
張宏還稱,在執法層面,我國相關部門也在愈發頻繁地采取行動,一方面得益于法律的不斷完善、辦案技術水平的不斷提高,另一方面,地下數據產業本身經過洗牌、重整、資源集中后,許多“大公司”浮出水面,成為執法機關調查公民信息泄露源頭的重要切入點。
(文中李慧勤、李娜、張合、王怡均為化名)