1.2元就能买到个人信息?泄露源头或涉及多个环节
南方日报 2023-03-17 08:30

“抱歉,您的快递不慎丢失,我们将给您十倍理赔。”近日,广州一在校大学生刘贺突然接到一通自称是快递客服人员的来电。刘贺查询购物信息,发现自己确实有一个与对方描述一致的快递,于是按照对方要求提供了银行卡和验证码,最终被骗走5000元。

刘贺的遭遇并非个案。骗子是如何精确获取刘贺的网购信息的?南方日报记者调查发现,不少平台的用户信息在网上被公开售卖,一条仅需1.2元。

线上消费、快递收发、网站登录……用户个人信息在流向每一个终端的过程中,都有可能被窃取、贩卖,最终落入不法分子手中。对此,受访专家建议在加强技术监管的同时,逐步明晰个人信息保护的技术责任主体和应用规范,找到各环节负责用户信息监管的“第一责任人”。

调查

网购信息被明码标价 可指定商品类型和下单时间

互联网的某些角落里,个人信息成为明码标价的“商品”。记者潜入的一个名为“网购料子”的2万人网络黑灰产群中,每隔几天,就会有人发布“出料”信息。“料子”是网络地下交易的“黑话”,即各类用户个人信息。

3月13日,记者以买家身份从群内联系卖家小志,询问是否可以买到某电商平台的用户订单信息。“实时订单4元一条,本月内下单的1.5元一条。”小志称,他还出售多家知名电商平台的“料子”。购买者不仅可以指定平台,还可以选择商品类型和用户下单时间等。

“2000条以上,算你每条1.2元。”为了证明自己“真实有料”,小志给记者发来了一个名为“某某(平台名)美妆”的文件用于“测试”。记者注意到,文件中有100条订单信息,包括品名、单价、数量、运单号、收货人、手机号码、地址、发货时间等,一些地址甚至详细至门牌号。

记者问及交易方式,小志表示需用“U币”支付。他口中的“U币”指泰达币(USTD),是一种基于区块链技术的虚拟货币,具有匿名性特点。公开报道显示,泰达币还被用于网络赌博、贩毒、洗钱等犯罪活动。

除了电商订单,在该社交平台的其他群组中,招聘、婚恋交友、小额贷款、酒店出行、在线教育等平台的用户个人信息也被公开出售。

记者接触到的只是庞大的个人信息买卖黑灰产市场的“冰山一角”。据国内知名网络安全公司奇安信集团监测的数据显示,仅去年1月到10月,就有超过950亿条的中国境内机构数据在海外被非法交易,其中60%是公民个人信息。

这些用户个人信息最终会流向何处?记者调查发现,经过层层转卖,这些数据往往会落入不法分子手中,用于非法营销甚至诈骗。

困局

泄露环节多 溯源追查困难重重

用户的个人信息是在哪个环节“丢失”的?记者向小志问起数据来源时,对方表现得非常谨慎,并未直接回复。有业内人士总结,网络平台出现的信息泄露,来源主要为供应链泄露、内鬼泄露和黑客攻击。

供应链环节中,快递物流行业的信息泄露乱象常见诸报端。3月15日,公安部公布的8起打击侵犯公民个人信息典型案例中,江苏公安侦查发现犯罪嫌疑人勾结快递公司员工,通过在公司内部电脑安装木马程序等方式,窃取物流寄递信息。去年,广州警方也在侦查中发现,个别快递企业“内鬼”直接通过偷拍等方式非法获取快递面单信息。

物流环节之外,平台技术漏洞也是信息泄露的主要原因之一。“以电商平台为例,漏洞可能出现在平台和商家之间的环节。”李云供职于某互联网公司,长期从事数据安全保护工作。在他看来,大型电商平台的防护体系相对成熟,通常不易被直接攻击。但平台内的商家为了提高运营效率,会使用第三方订单管理软件接入平台API端口。这些第三方软件的防护能力相对薄弱,较容易成为黑客攻击的目标。

国内数据安全服务商“威胁猎人”发布的《2022年数据资产泄露分析报告》中也提到,工具软件泄露已成为电商行业数据泄露的第三大原因,仅次于物流环节泄露和店铺运营“内鬼”泄露。

然而,即便明确了泄露源头,追查幕后黑手仍然困难重重。李云介绍,“料商”们手中的数据大多经过层层“清洗”,追查起来非常困难。

北京盈科(杭州)律师事务所律师朋礼松表示,信息贩卖者通过境外社交软件或暗网进行交易,导致办案机关无法通过数据调取方式获取证据,通常只能通过对聊天软件中相关内容的截图来进行认定。“司法实践中,可能会存在证据链不完整等问题。”

对策

明晰监管责任主体 推广隐私保护技术手段

近年来,国家相继出台《个人信息保护法》《网络安全法》《数据安全法》等法律法规和相关行业规范,持续加强公民个人信息保护。以物流行业为例,国家邮政局公布的信息显示:截至去年底,全国主要寄递企业自有渠道已基本实现“隐私面单”功能覆盖。

当前已有一些电商推出了“隐私号码保护”功能。记者随机使用几款软件后发现,并非所有平台都上线了这一功能,某知名电商平台客服明确表示,该功能只针对部分用户随机开放。

“隐私号码保护”为何没有全面普及?实践效果尚不理想可能是原因之一。社交平台上,不少用户反映,因为使用隐私号码导致快递无法正常配送。中国政法大学传播法研究中心副主任朱巍表示,“隐私号码保护”功能在外卖、网约车平台运用较为广泛,而在电商购物平台中,由于涉及售后等环节,一定程度上影响用户体验,相关技术和产品流程仍有待完善。

“对平台企业而言,新功能的开发和运维必然会产生相应成本。”电信分析师付亮表示,推广此类隐私保护功能不能仅凭企业自觉,相关部门应牵头制定相应技术标准,并督促全行业加快应用。

“保护用户个人信息应更侧重事前预防,持续加强技术管控。”朱巍建议,法律层面需逐步明晰技术责任主体和应用规范,找到各环节负责用户信息监管的“第一责任人”。“如进一步规范平台企业的数据采集处理行为,实现‘技术可留痕’,确保监管部门可以通过技术手段查证、追责。”朱巍说。

朋礼松提醒,任何个人或单位,不论通过何种形式出售或提供公民个人信息,均构成侵犯公民个人信息罪。而以技术手段突破平台或软件安全限制获取用户个人信息的行为,还可能构成非法获取计算机系统数据罪或侵犯商业秘密罪。

普通消费者该如何保护个人信息?受访专家表示,用户在网上购物时,不要随意下载、注册来源不明的软件;定期清除相关个人信息;对不使用的软件尽快注销;如发现个人信息被侵犯,可依据相关法律法规依法发起维权。

文/孟健 汪棹桴

编辑/倪家宁

最新评论