今日觀點!1.2元就能買到個人信息？ 泄露源頭或涉及多個環(huán)節(jié)

2023-03-17 08:02:01|

來源：南方日報作者：

專家建議明確用戶信息監(jiān)管“第一責任人”（副題）

【資料圖】

南方日報記者孟健汪棹桴

“抱歉，您的快遞不慎丟失，我們將給您十倍理賠?！苯?，廣州一在校大學生劉賀突然接到一通自稱是快遞客服人員的來電。劉賀查詢購物信息，發(fā)現(xiàn)自己確實有一個與對方描述一致的快遞，于是按照對方要求提供了銀行卡和驗證碼，最終被騙走5000元。

劉賀的遭遇并非個案。騙子是如何精確獲取劉賀的網(wǎng)購信息的？南方日報記者調查發(fā)現(xiàn)，不少平臺的用戶信息在網(wǎng)上被公開售賣，一條僅需1.2元。

線上消費、快遞收發(fā)、網(wǎng)站登錄……用戶個人信息在流向每一個終端的過程中，都有可能被竊取、販賣，最終落入不法分子手中。對此，受訪專家建議在加強技術監(jiān)管的同時，逐步明晰個人信息保護的技術責任主體和應用規(guī)范，找到各環(huán)節(jié)負責用戶信息監(jiān)管的“第一責任人”。

調查

網(wǎng)購信息被明碼標價

可指定商品類型和下單時間

互聯(lián)網(wǎng)的某些角落里，個人信息成為明碼標價的“商品”。記者潛入的一個名為“網(wǎng)購料子”的2萬人網(wǎng)絡黑灰產群中，每隔幾天，就會有人發(fā)布“出料”信息?！傲献印笔蔷W(wǎng)絡地下交易的“黑話”，即各類用戶個人信息。

3月13日，記者以買家身份從群內聯(lián)系賣家小志，詢問是否可以買到某電商平臺的用戶訂單信息?！皩崟r訂單4元一條，本月內下單的1.5元一條?！毙≈痉Q，他還出售多家知名電商平臺的“料子”。購買者不僅可以指定平臺，還可以選擇商品類型和用戶下單時間等。

“2000條以上，算你每條1.2元?！睘榱俗C明自己“真實有料”，小志給記者發(fā)來了一個名為“某某（平臺名）美妝”的文件用于“測試”。記者注意到，文件中有100條訂單信息，包括品名、單價、數(shù)量、運單號、收貨人、手機號碼、地址、發(fā)貨時間等，一些地址甚至詳細至門牌號。

記者問及交易方式，小志表示需用“U幣”支付。他口中的“U幣”指泰達幣（USTD），是一種基于區(qū)塊鏈技術的虛擬貨幣，具有匿名性特點。公開報道顯示，泰達幣還被用于網(wǎng)絡賭博、販毒、洗錢等犯罪活動。

除了電商訂單，在該社交平臺的其他群組中，招聘、婚戀交友、小額貸款、酒店出行、在線教育等平臺的用戶個人信息也被公開出售。

記者接觸到的只是龐大的個人信息買賣黑灰產市場的“冰山一角”。據(jù)國內知名網(wǎng)絡安全公司奇安信集團監(jiān)測的數(shù)據(jù)顯示，僅去年1月到10月，就有超過950億條的中國境內機構數(shù)據(jù)在海外被非法交易，其中60%是公民個人信息。

這些用戶個人信息最終會流向何處？記者調查發(fā)現(xiàn)，經(jīng)過層層轉賣，這些數(shù)據(jù)往往會落入不法分子手中，用于非法營銷甚至詐騙。

困局

泄露環(huán)節(jié)多

溯源追查困難重重

用戶的個人信息是在哪個環(huán)節(jié)“丟失”的？記者向小志問起數(shù)據(jù)來源時，對方表現(xiàn)得非常謹慎，并未直接回復。有業(yè)內人士總結，網(wǎng)絡平臺出現(xiàn)的信息泄露，來源主要為供應鏈泄露、內鬼泄露和黑客攻擊。

供應鏈環(huán)節(jié)中，快遞物流行業(yè)的信息泄露亂象常見諸報端。3月15日，公安部公布的8起打擊侵犯公民個人信息典型案例中，江蘇公安偵查發(fā)現(xiàn)犯罪嫌疑人勾結快遞公司員工，通過在公司內部電腦安裝木馬程序等方式，竊取物流寄遞信息。去年，廣州警方也在偵查中發(fā)現(xiàn)，個別快遞企業(yè)“內鬼”直接通過偷拍等方式非法獲取快遞面單信息。

物流環(huán)節(jié)之外，平臺技術漏洞也是信息泄露的主要原因之一?！耙噪娚唐脚_為例，漏洞可能出現(xiàn)在平臺和商家之間的環(huán)節(jié)。”李云供職于某互聯(lián)網(wǎng)公司，長期從事數(shù)據(jù)安全保護工作。在他看來，大型電商平臺的防護體系相對成熟，通常不易被直接攻擊。但平臺內的商家為了提高運營效率，會使用第三方訂單管理軟件接入平臺API端口。這些第三方軟件的防護能力相對薄弱，較容易成為黑客攻擊的目標。

國內數(shù)據(jù)安全服務商“威脅獵人”發(fā)布的《2022年數(shù)據(jù)資產泄露分析報告》中也提到，工具軟件泄露已成為電商行業(yè)數(shù)據(jù)泄露的第三大原因，僅次于物流環(huán)節(jié)泄露和店鋪運營“內鬼”泄露。

然而，即便明確了泄露源頭，追查幕后黑手仍然困難重重。李云介紹，“料商”們手中的數(shù)據(jù)大多經(jīng)過層層“清洗”，追查起來非常困難。

北京盈科（杭州）律師事務所律師朋禮松表示，信息販賣者通過境外社交軟件或暗網(wǎng)進行交易，導致辦案機關無法通過數(shù)據(jù)調取方式獲取證據(jù)，通常只能通過對聊天軟件中相關內容的截圖來進行認定?！八痉▽嵺`中，可能會存在證據(jù)鏈不完整等問題?！?/p>

對策

明晰監(jiān)管責任主體

推廣隱私保護技術手段

近年來，國家相繼出臺《個人信息保護法》《網(wǎng)絡安全法》《數(shù)據(jù)安全法》等法律法規(guī)和相關行業(yè)規(guī)范，持續(xù)加強公民個人信息保護。以物流行業(yè)為例，國家郵政局公布的信息顯示：截至去年底，全國主要寄遞企業(yè)自有渠道已基本實現(xiàn)“隱私面單”功能覆蓋。

當前已有一些電商推出了“隱私號碼保護”功能。記者隨機使用幾款軟件后發(fā)現(xiàn)，并非所有平臺都上線了這一功能，某知名電商平臺客服明確表示，該功能只針對部分用戶隨機開放。

“隱私號碼保護”為何沒有全面普及？實踐效果尚不理想可能是原因之一。社交平臺上，不少用戶反映，因為使用隱私號碼導致快遞無法正常配送。中國政法大學傳播法研究中心副主任朱巍表示，“隱私號碼保護”功能在外賣、網(wǎng)約車平臺運用較為廣泛，而在電商購物平臺中，由于涉及售后等環(huán)節(jié)，一定程度上影響用戶體驗，相關技術和產品流程仍有待完善。

“對平臺企業(yè)而言，新功能的開發(fā)和運維必然會產生相應成本?！彪娦欧治鰩煾读帘硎荆茝V此類隱私保護功能不能僅憑企業(yè)自覺，相關部門應牽頭制定相應技術標準，并督促全行業(yè)加快應用。

“保護用戶個人信息應更側重事前預防，持續(xù)加強技術管控。”朱巍建議，法律層面需逐步明晰技術責任主體和應用規(guī)范，找到各環(huán)節(jié)負責用戶信息監(jiān)管的“第一責任人”?！叭邕M一步規(guī)范平臺企業(yè)的數(shù)據(jù)采集處理行為，實現(xiàn)‘技術可留痕’，確保監(jiān)管部門可以通過技術手段查證、追責。”朱巍說。

朋禮松提醒，任何個人或單位，不論通過何種形式出售或提供公民個人信息，均構成侵犯公民個人信息罪。而以技術手段突破平臺或軟件安全限制獲取用戶個人信息的行為，還可能構成非法獲取計算機系統(tǒng)數(shù)據(jù)罪或侵犯商業(yè)秘密罪。

普通消費者該如何保護個人信息？受訪專家表示，用戶在網(wǎng)上購物時，不要隨意下載、注冊來源不明的軟件；定期清除相關個人信息；對不使用的軟件盡快注銷；如發(fā)現(xiàn)個人信息被侵犯，可依據(jù)相關法律法規(guī)依法發(fā)起維權。

標簽：