日前,《每日经济新闻》先后刊发《知名企业家个人信息遭大规模泄露,涉蜜雪冰城、荣盛、森马、蔚来等,平均约2分钱一条!卖家称数据上亿》《2.5亿条企业数据只卖2.47元?标称电话量北京280万条、广州268万条、合肥116万条……记者亲测》等报道,揭露企业家个人信息遭大规模泄露,引发财经圈热议。
泄露来源和时间是业内关注焦点,记者注意到,探客查平台上,农夫山泉创始人钟睒睒、蔚来汽车联合创始人秦力洪、森马服饰创始人邱光和、新尚集团董事长唐立新、蜜雪冰城实控人张红甫、钟薛高创始人林盛、喜茶创始人聂云宸的电话来源被标注为“其他”。荣盛集团董事长李水荣、蓝思科技董事长周群飞的电话来源被标注为“智能关联”。这些手机号码标注的“全网最早出现时间”集中在2023年5月或7月。
探客查上企业家手机号多被标注为“其他”“智能关联”
励销云平台上,华创产业投资管理(湖北)有限公司法定代表人吕泽华、芯联股权投资(杭州)有限公司法定代表人赵奇的号码来源为“智能分析”。
励销云上吕泽华、赵奇电话标注为“智能分析”
为何这些电话“全网最早出现时间”如此集中?这些信息可能来自哪里?《每日经济新闻》记者(以下简称每经记者)继续追踪调查。
针对信息泄露的来源,每经记者采访了数据安全领域知名企业北京明朝万达科技股份有限公司高级副总裁、首席科学家喻波。
喻波表示,有可能从多个渠道获得数据,通过碰撞建模还原真实数据。通过手机APP(应用程序)和手机操作系统、手机安全防护管家、黑客攻击电信运营机构这些渠道都可能获得电话标识信息。
记者注意到,很多网站或平台在用户注册时要求勾选同意条款,其中包括“读取联系人”“读取通话记录”等。用户勾选条款后,数据所有权归谁?平台是否应尽到“反爬”责任?平台使用用户数据的合法边界是什么?
喻波说,通过授权,平台得到的是使用权,所有权仍归个人。依照相关法律,使用过程中应将用途告知数据所有方,同时做到安全防护,不能泄露信息。平台应制定防范机制,既要做到外部防护,又要做到内部管控,甚至当数据被再次利用、传播时应告知用户。要做到内部管控就需要给数据打标签,针对不同数据等级制定不同防护措施,并限定不同的使用环境。
励销云一位销售人员曾表示:“关于搜索技术,我们目前主要用的是大数据+超链分析技术。这两种技术是基于爬虫的目前最先进的数据整合分析技术。”
什么是大数据+超链分析技术?
喻波告诉每经记者,大数据+超链分析技术运用类似传统爬虫技术采集“原数据”,再结合大数据建模分析和清洗形成“衍生数据”。例如拿到手机号后,通过与第三方数据信息“碰撞”完成数据清洗,形成一条相对完整的信息。
他指出,该过程中,数据供给方供出“原数据”时可以享受收益权,同时需要控制所有权。例如,数据利用方应告知数据所有者用途,数据主体有要求删除其个人数据的权利,数据控制者有责任在特定情况下及时删除个人数据。数据加工方应遵守相关法律法规并遵循一定原则。使用数据时,应及时告知数据所有者使用用途。获取及存储数据过程中应做到对数据保护的责任和义务,不能对国家、社会以及数据所有者造成损害。
喻波介绍,如果爬虫行为侵犯了他人权益,就会被认定为违法行为,例如在未获得授权的情况下爬取他人个人信息、商业机密等。另外,如果从后台通过猜测口令密码或使用跳过技术跳过认证进入账户则属于明令禁止的黑客行为。
在此前采访中,中国移动、中国联通均否认售卖用户个人信息,中国电信也明确表示与探客查和励销云无数据合作。那么,若要与运营机构掌握的手机号实名数据“撞库”,是否一定会用到不合法的爬虫技术?
喻波回复“是的”,并补充道:“也不排除数据泄露的可能。在日常对暗网数据的监测中,曾经检测到很多实名手机卡信息,间接证明电信运营机构存在数据泄露的可能性。这种泄露有可能是系统被外部攻击,也有可能是内部人员无意间泄露。”
记者注意到,在探客查平台上,知名企业家手机号码标注的“全网最早出现时间”集中在2023年5月或7月。这个时间与“检测到暗网中出现实名手机卡信息”的时间是否一致?遭贩卖的数据是否有可能是从暗网购买?
喻波表示:“暗网数据一直都有,2023年也监测到很多运营商数据和其他政务等多方实名个人数据。另外部分非正规渠道APP也会有意收集很多个人信息。我们现在正在配合国家相关监管机构实时监测互联网站点、暗网等敏感数据信息并形成报告提交管理层。”
在调查中,每经记者发现电商及社交平台上有大量可出售的企业信息,大规模收集、出售企业负责人联系方式的行为是否违法?
上海百谷律师事务所律师高飞告诉记者,个人信息无论是否为大数据爬取,都是不允许买卖的。
高飞认为,这些平台大规模搜集、售卖企业家电话号码的行为违反个人信息保护法及刑法第二百五十三条之一规定,涉嫌构成侵犯公民个人信息罪。此外,如果有“撞库”行为,还涉嫌构成破坏计算机信息系统罪。
记者注意到,刑法第二百五十三条之一规定,违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。
武汉大学法学院副教授、网络治理研究院副院长敬力嘉告诉每经记者,过去刑事司法实践采取的是二次授权说,对已公开个人信息进行获取、提供的要获得信息主体的二次授权。按照这个标准,这类情形应该构罪。但民法典和个人信息保护法出台后,一般认为二次授权规则废止了。现在刑法学界对已公开个人信息刑法保护的限度还有合目的说(对已公开个人信息的处理是否符合信息主体公开个人信息的概括的目的)、客观开放程度说(看信息公开的程度)等标准的争议。
敬力嘉解释,合理处理的标准应该符合个人信息保护合规的要求,不对通过处理个人信息可能影响到的信息主体、其他个人、企业利益和公共利益造成重大消极影响。如果没做到合理处理,首先就可能违反个人信息保护法,在这个基础上就可能构成侵犯公民个人信息罪。
大规模收集、售卖信息的商业谋利行为是合理处理吗?
敬力嘉认为不算合理处理。以前很多人觉得倒卖已公开个人信息的危害不大,不值得处罚,但现在这类行为已经成规模了,形成了产业链,可能对企业家个人、企业的合法权益产生不利影响,法律对此类行为处罚必要性的评价有待审慎更新。
民法方面,北京市中闻(上海)律师事务所律师范益天表示,民法典第一千零三十四条规定:个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。
范益天说,虽然法定代表人个人信息公开了,但并不代表法定代表人同意行为人将其个人身份信息出售扩散。法定代表人身份信息、通讯号码等信息应属公民个人信息,所包含的内容体现了公民隐私,法律应当予以保护。企业法定代表人、个体工商户将自己的身份信息、通讯号码等依法公示,主要是便于相关部门监督管理和开展正常的生产经营活动,并不当然丧失与其个人相联系且为特定个人信息的特征。故企业法定代表人身份信息、通讯号码等被非法出售、交换,可能侵犯其隐私权。
励销云销售人员出示的信息系统安全等级保护备案证明及信息安全管理体系ISO27001认证证书是否能确保其所售数据的合法性?如何获得这两份证书?
喻波表示,提交对应的证明材料即可。“要证明公司制定了相应完善的制度,只需提交完善的制度文档;证明业务流程,提供截图证明公司有相应能力即可。但实际执行和提交的证明仍可能存在很大差距。”
数据交易的合规边界在哪里?
记者注意到,范益天曾在撰文中提到“同意”和“去标识化”是数据交易两大合法性基础。
励销云销售人员曾称“不展示全名是为规避法律风险”,但记者发现所谓打“*”号形同虚设,借助该平台信息,采用销售人员推荐的方法,即可轻松还原姓名中的“*”号。
如此标注真能规避法律风险吗?到底什么是去标识化?
范益天告诉每经记者,去标识化是指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程。去标识化只能降低信息主体被识别的可能性,并不能完全消除个人信息泄露的风险。因此,对个人信息去标识化处理后的数据,仍属于个人信息范畴。
他表示,如果未达到去标识化,根据个人信息保护法第十四条的规定:个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。
此外,记者注意到,数据产品在上海数交所挂牌前需提供合规评估报告。在对产品作合规评估时,通常需要考虑哪些因素?
范益天表示,数据资产交易的合规性主要围绕数据交易主体、交易对象、交易过程三方面展开。在交易主体上,要有相应资质以及合规经营能力;在交易对象上,供给方在收集个人数据时需遵循合法正当、最小必要、告知同意等原则;在交易过程方面,在数据交易平台进行场内交易的,需要符合平台规定的评估、挂牌、定价、交易、交付等流程要求。
能够同时满足合规性及供需双方诉求的数据交易模式是什么?
喻波表示,未来可能会出现隐私计算、可信计算。即数据供给方有数据,另一方有技术,供给方希望数据可用不可见。目前有一些可信计算方式对数据、模型进行训练,可做到数据可用不可拿、用后销毁,同时分配收益。但平台的可信性是个问题。一旦数据泄露,数据使用权和收益权将不可控,所有权和收益权无法对等,因此亟需权威机构拉通供给、流通和使用三方全要素周期,通过加强监管和配套技术保障加速数据要素流通。
编辑/范辉