誰在出賣個人信息?打擊黑產需從整個產業鏈入手
普通人的學歷信息會比身份證稍微賣得貴一點,而博士學位的個人信息能夠賣到50-60元;標價最貴的信息是公司流水,不法分子會用這個來開 POS 機、洗錢,進行犯罪。
不看綜藝,卻被節目選為幸運用戶“中了大獎”;剛打定主意買房,就接到房屋中介的電話出售小產權房……說到近幾年遭遇到的電信詐騙和騷擾電話,做策劃的ViVi有些哭笑不得:“與電信詐騙的騙子比起來,段子手都弱爆了。”
如今,擅長于自嘲的中國網友熱衷于在微博、論壇等地Po出自己遇到的騷擾短信和電信詐騙電話的截屏與錄音,更有甚者會選擇“主動調戲”這群銷售與職業騙子。這樣做的目的,一方面是為了娛樂大眾,給生活加點料;另一方面是為了提醒網友,避免更多人上當受騙。
那么是誰出賣了用戶的個人信息?是誰在利用它們牟利?我們該如何保護個人信息安全?如何制止這樣的違法行為?
打擊黑產多為被動
受利益驅動而不斷“進化”的黑產數據至少已有十年以上的歷史。如今,線上線下的不斷結合使用戶的財富和個人信息暴露在線上,曾經一窮二白的互聯網如今成了堆金積玉的寶地。在日前騰云下午茶上,益云(公益互聯網)社會創新中心&IDF互聯網威脅情報實驗室聯合創始人萬濤感嘆道,相比于黑產的創新能力,企業在安全層面有滯后性,打擊多是被動的。黑產比較Low,高舉高打的方式不接地氣。
雖然Low,但黑產已形成嚴密的交易鏈。從上游通過不法手段獲取用戶賬戶密碼、身份地址和銀行卡信息后,數據進行撞庫、洗庫的方式進行篩選,最終通過購買的方式到達不法分子手中,實施電信詐騙和盜號交易等。
而在最終操作電信詐騙時,黑產又開始琢磨鉆法律的空子。萬濤表示,法律會滯后,報案或者是線索的匯聚太滯后,而一旦黑產卡死報案金額進行詐騙,受害人相當于吃了啞巴虧。
中央電視臺社會新聞部政法部制片人吳闖指出,賣方、買方、詐騙形成黑產閉環,無論是企業還是監管部門,要制造一個缺口。
個人信息買賣分工明確
從商業的角度來講,商家獲得消費者更多的信息才能進行有針對性的服務,實現個性化服務,實現精準化服務,這是消費者喜歡的。另一方面,消費者希望商家什么都不知道,還要享受個性化的服務,這顯然是悖論。中國社科院法學研究所研究員、國家信息化專家咨詢委員會委員周漢華表示,網絡安全問題最終將對于網絡社會、電子商務、網絡社會交往形成阻礙作用。
目前,只要是大規模的違法的個人信息交易基本上都是通過QQ群,因為QQ群的特征,不是一對一的交易,而且在不斷的過濾這些信息。如果做到行為可追溯,則需讓更多的利用大數據去解決這些問題。
吳闖認為,實名制的實施能讓企業走在前面,而不是跟著騙子后面走。不過,上海金融與法律研究院研究員傅蔚岡認為,之所以會造成個人信息大面積泄露,根本原因可能是實名制帶來的,如果沒有實名制,就不可能把電話號碼和個人信息聯系起來。應該在法律法規上,更加嚴格限制實名制的應用場所。
騰訊安全管理部專家何欣表示,目前個人信息的買賣已經形成分工明確,非常結構化的黑色產業鏈。首先,是有信息泄露的環節,然后到了傳播交易的環節,最后到了應用獲利的環節。信息泄露的環節,一般是兩種方式,一個是黑客的非法入侵,通過盜號,木馬,盜取大量的公民個人信息。還有一個是內鬼,比如能夠接觸個人信息的單位內部工作人員,他們盜取個人信息,再把這些信息在線上或者在線下進行販賣。
事實上,進入到傳播交易的環節后涉及兩方,一個是數據的服務商,一個是信息的販賣者。這些人通過一些分析和一些模型,建立了不同的數據庫,甚至還提供了定制化服務,再把這些信息轉賣給獲利的黑產分子。黑產分子就會用這些信息去非法營銷,比如給你打電話,問你最近是不是需要買房,是不是買奶粉,甚至是電信詐騙和非法調查。
對抗黑產應從多方聯手
在黑產分化協作后,政府角色,企業角色,行業角色,公共角色四位一體仍未能實現。在促進反攻協作的同時,相關部門也應該進行反思:數據的采集是否過猶不及?
傅蔚岡提示,網站采集個人信息的時候,要堅持最少原則,沒有必要采集那么多數據。采集的信息越多,風險就越大。對于商業網站、政府采集的信息也是一樣,多數情況下采集的信息沒有必要那么多。實名制后,個人身份信息使用的場所也要被進行嚴格的限制。
在3月4日舉行的十二屆全國人大五次會議的新聞發布會上,大會發言人傅瑩表示,刑法修正案(九)中有對個人信息保護的規定;去年制定網絡安全法,也確定了個人信息保護的基本規則,明確要求網絡運營商不能搜集那些跟它提供的信息無關的個人信息,另外,沒有得到相關人的允許,也不能把信息轉讓給其他人。
此外,互聯網評論人洪波尖銳的指出,個人信息販賣現象嚴重,但實際上跟互聯網公司和電信運營商關聯度很小。個人信息安全是大環境的問題。在立法環境和執法都不到位的情況下,執法成本頗高。把責任推給技術公司或者是運營公司,這是不合理的。
何欣表示,去年騰訊查處販賣信息QQ群4700個,要用產業鏈對抗黑色產業鏈。首先從法律法規的角度出發,完善刑事責任的設定,提高違法成本;其次,整個產業聯合起來,共同打造安全生態圈;第三點則是,希望加強源頭的保護,因為很多犯罪分子會直接入侵到不同的機構網站去拿到大量的公民個人信息,所有在源頭上掌握公民個人信息的機構,都應該加強自身的安全防護能力;最后就加強用戶的教育,希望每一個普通人都能更有意識地保護自己的個人信息。
