文 | 走狗
按照新聞傳播規律,如果一條信息在某一段時間內,被大眾或某一群體密集關注,那這件事必定是社會性或行業內不同凡響的事。
因為大眾對新聞事件的關注點,要麼大,要麼奇,要麼關乎自身利益。
近兩日,安在(Anzer)CEO張耀疆的朋友圈被數據堂的消息刷爆。
這些評點人士,多為互聯網安全圈的專家,他們接連發聲,足以見得此事的嚴重性。
在筆者看來,此事被眾多業內人士關注,並不意外,因為它影響力大,更重要的是,它幾乎關係到我們每個人的利益。
而這個利益,即為互聯網領域內的個人信息安全。
那麼,數據堂究竟是怎樣的一家公司,它到底犯了什麼事?才能引起互聯網安全圈如此密集的關注。
據新華社新媒體2018年7月8日報道,山東日前破獲一起特大侵犯公民個人信息案,共抓獲犯罪嫌疑人57名,打掉涉案公司11家,查獲公民信息數據4000GB、數百億條。
經查,涉案的數據堂公司在8個月時間內,日均傳輸公民個人信息1億3千萬餘條,累計傳輸數據壓縮後約為4000GB左右。公民個人信息達數百億條,數據量特別巨大。
隨後,數據堂將這些非法數據,倒賣給Google、三星、佳能、NEC、Intel、Facebook、Microsoft、Snapchat等境外企業,謀取暴利。
據悉,此案涉及的數據隱私性高,案件涉及的上網URL數據,包含了手機號、上網基站代碼等 40 餘項信息要素,記錄手機用戶具體的上網行為,甚至部分數據能夠直接進入公民個人賬號主頁。
此外,據辦案人員表示,該案涉案的 11 家公司中,三家公司涉嫌單位犯罪,甚至有 4 名博士生、博士後涉案。
清末民國旗人報刊小說家程道一在其著作《消閒演義》中有言:“朝臣都不一心,總是吃裡扒外,恐怕將來鬧糟了算呀!”
成語“吃裡扒外”即典出於此,意為背叛自己集體為別人辦事。
可以看出,數據堂盜取國人隱私數據,售賣給境外公司組織,典型的吃裡扒外的東西。
筆者發現,數據堂在2018年7月3日發佈了重大事項停牌公告,原因是“預計應披露的重大信息在披露前已難以保密或已經洩露,或公共媒體出現與公司有關傳聞,可能或已經對股票轉讓價格產生較大影響的事項”。
公告說辭冠冕堂皇,其中之意卻是不難體會——死期將至,命不久矣。
數據堂的來歷與背景
據互聯網可查信息獲知,數據堂前身為2010年8月成立的西普在線,2013年9月正式改名為數據堂。總部位於北京,目前在南京、鎮江、天津、保定等地,設有多個專業數據處理中心,並在北美硅谷設有分公司。
數據堂是國內首家專注於互聯網綜合數據交易和服務的公司,致力於融合和盤活各類大數據資源,實現數據價值最大化。
數據堂為中國大數據交易和服務領域的領頭羊,已在全國中小企業股份轉讓系統(新三板)掛牌上市,成功登陸資本市場,成為中國大數據交易及服務行業第一家掛牌新三板的企業。
數據定製、數據商城、移動應用數據服務是數據堂旗下三大核心業務。
據數據堂2017年年報,數據堂已經擁有共計約2000TB的數據集,數據獲取方式為通過自營眾包平臺採集、優質供應商合作、公共領域共享以及網絡爬蟲等。
數據採集範圍遍及全球30多個國家,合作伙伴遍佈世界10多個國家,已成功為國內外多家企業提供數據定製服務,包括百度,騰訊,阿里巴巴、奇虎360、聯想、科大訊飛等國內頂級互聯網和高科技企業,以及Google、三星、佳能、NEC、Intel、Facebook、Microsoft、Snapchat、Nuance、Fujitsu等境外企業及在華研發機構。
數據堂的創始人CEO是齊紅威。
齊紅威何許人也?
據百度百科介紹,齊紅威是斯坦福大學訪問學者。曾任NEC中國研究院研發部部長、高級研究員。現CCF大數據專家委員會委員,CCFYOCSEFAC委員。中科院自動化所模式識別博士學位,中科院計算所博士後。
當然,如此龐大的數據堂,並非齊紅威一人可以撐起,其背後亦有幕後高人。此人即是數據堂創建之初的投資者是田溯寧。
1993年,遠在美國的田溯寧在《光明日報》上,刊發了一篇名為《美國信息高速公路計劃對中國現代化的意義》的文章。
在此文章中,田溯寧闡述了計算機和互聯網將會對中國產生哪些方面的影響。
“信息高速公路”這個稱謂,從此成為中國互聯網的代名詞。田溯寧也被尊稱為“互聯網建築師”。
2010年,田溯寧的寬帶資本,投資了齊紅威的數據堂。
數據堂早在一年前就已出事
據筆者查詢得知,其實從去年開始,網上就有人爆料該公司高管被抓。
據悉,該案件從2017年4月份就已經開始偵查,如今只不過是正式結案。
2017年5月,據某知情人士處透露,因洩露客戶隱私,數據堂的高管和業務人員被警方帶走調查,多條數據線業務處於停擺狀態。
“公司一位VP級別的高管、五名業務人員都被警方帶走調查,多條數據業務線也處於停擺狀態”,一位知情人士稱,原因是數據堂給一家理財營銷公司,提供了大量涉及用戶隱私的數據。
另一位知情人士稱:“數據堂涉及的隱私數據多了去了,之前公司發了郵件,要求所有員工封口,據我所知,合夥人×××確實被帶走了,公司未公告的事太多太多了”。
電影《無間道2》中吳鎮宇飾演的倪永孝及其父親倪坤有句口頭禪:“出來混,遲早要還的。”
這話的意思是,一個人在社會上做了某些敗壞道德或違反法律的事情,遲早有一天會受法律或受害人的加倍奉還。
數據堂出事,是遲早的事。
因為數據堂高大鮮亮的外表下,卻掩蓋不了一個鐵定的事實——數據是偷來的。
數據堂還有沒有更深的罪惡
在數據堂官網的數據商城中,數據堂提供語音識別/資料庫,包含方言、少數民族和普通話。
有語言學常識的就會知道,中國的方言種類繁多,在戰爭狀態下,或被別有用心的國家用作編譯密碼傳輸軍事情報。
實際上,美國軍隊已經多次將方言用作編譯軍事情報進行傳輸,具備高度的難以破解特點,比如越南戰爭。
筆者希望國防部、國家安全部務必調查數據堂,是否將中國方言數據存儲於美國,是否將中國方言提供給美國軍方使用。
央行主導的徵信系統,受到《徵信業管理條例》、《徵信機構管理辦法》和《個人信用信息基礎數據庫管理暫行辦法》等法規的制約,並受到央行的管轄,對機構的接入、查詢、上報等均有嚴格的管理和監督。
像數據堂之類的民營公司,在數據的採集、處理和流通上,可謂基本不受監管。
小則侵犯公民個人信息,大則危害國家主權安全,希望國防部、國家安全部、公安部、工信部、央行和銀保監會引起高度重視,重拳打擊違法違規採集、處理和傳輸公民個人信息的大數據公司。
其實,不止是數據堂,數據被售賣的案件,早已屢見不鮮。
單單就2016年4月起的半年間,全國公安機關就累計查破網絡侵犯公民個人信息犯罪刑事案件750餘起,抓獲犯罪嫌疑人1900餘名,繳獲信息230餘億條,清理違法有害信息35.2萬餘條,關停網站、欄目610餘個。
數據堂汙染了互聯網安全領域
在2016年舉行的C3安全峰會上,亞信集團董事長田溯寧表示,數字化像一個新的星球,整個人類遷徙到這個星球,它的安全問題就成為進入信息化時代最重要的話題。
田溯寧說,從歷史角度看,從來沒有像今天這樣,計算帶來了這麼多可能。疾病可以根據計算數據預測,很多產品可以個性化定製化。但數據的隱私權、國家主權也面臨前所未有的挑戰。下一代的人工智能和物聯網,對於安全也提出了更高的要求。
與此同時,網絡安全已經上升成為了國家戰略。不論是從政治還是從商業來看,網絡安全正變為風口,這一領域不再只是互聯網公司的小規模競爭,而將迎來巨頭PK的時代。
如今回頭來看,兩年前在會上大談信息安全的田溯寧,面對兩年後自己投資公司的非法獲取公民信息,不知會不會覺得諷刺?
在我國,“堂”字往往代表著光明正大、端莊高雅,甚至代表著無上榮耀。
比如藥行的“同仁堂”、“九芝堂”等,武行的“忠義堂”、“龍虎堂”等,學界的“京師大學堂”、“北洋大學堂”等,朝廷封賞有“忠武堂”、 “節孝堂”、“孝義堂”等,以倫理道德為堂號有 “重德堂”、 “務本堂”、 “克慎堂”、 “居廉堂”等,以科舉功名為堂號有“九牧堂”、“八龍堂”等,以先世名人為堂號有白居易“香山堂”、唐代宰相裴度“綠野堂”。
歷史上的名門望族,大多有本家族的“堂號”。高大寬敞的廳堂上,懸掛著書寫“堂號”的匾額,當地老百姓談論某一家族時,喜歡以“某某堂”來稱呼。
而觀當今,數據堂簡直玷汙了“堂”這個字。
1979年電視劇施思版《人在江湖》有句臺詞:“善惡終有報,天道好輪迴。不信抬頭看,蒼天饒過誰。”
數據堂不是第一個,也不是最後一個。
筆者就以這段臺詞,送給在互聯網領域作惡多端,但尚不為人知的人與企業。
專家怎麼看?
上述文字,是筆者的對數據堂的一些牢騷。
針對此事,筆者向ISC2018分論壇主席、全知科技CEO方興先生求教,希望他能從行業以及專業角度,來談談數據堂事件的影響。
下文便是方興先生的看法與見解:
在我看來,這些大數據公司的數據來源,最核心的是三條路徑:
1)公開數據的爬取;
2)數據中間服務時的截留;
3)大數據公司之間的交互;
再者,是從黑市獲取,主要是內鬼竊取和黑客入侵獲得,但黑客入侵的在數據整體量級上會小很多。
這個case定案,核心不是爬的數據用於合法商業分析,而是被內鬼倒賣給黑市。
被爬數據的大公司,也希望打擊爬數據的公司,但從爬上面,是很難有定性為刑事案件的司法解釋的。不過爬數據公司的數據洩露出去,導致出現詐騙案件就是另一說了,大公司把自己用戶因此被詐騙案件都推送給公安去定案。
買賣公民隱私數據,這個就構成了犯罪。難定性犯罪的是,爬取的數據用於自己群體性的合法商業分析或提供分析的結果。只是這種案件沒法查,只能通過詐騙案件產生倒推了查。
公開信源的,你可以爬這個,沒有司法說法,要說也是對方設置了限制,你用技術去繞過防爬,可能被解釋為破壞計算機系統罪。
截留數據肯定比爬嚴重,但也難舉證。司法實踐上都是案件倒推查。
你搞了數據,就得管好別出問題。出了案件,管你是爬是截留來的,只要沒數據主體的授權,都可以從你把隱私數據買賣(你買來路說不清楚,你賣流到了黑灰產)去打。
而且出一個案件,可以牽涉一批公司出來,很多大數據公司是互相交換數據的。
後面徵信、廣告營銷、業務安全風控等,都會受這個案子的影響。
結語
很多時候,對大數據的獲取與利用,雖難定罪,因為很難知道其通過何種途徑獲取,法律條文也尚未有明細規定。
但從竊取濫用個人信息的角度來看,數據堂盜售個人信息一案的影響,肯定是巨大而深遠的,其後的走向趨勢,以及會不會影響國家針對這個行業,制定專門的法律規範,尚未可知。
按照歷史規律,總要等一個領域的問題徹底爆發以後,才會有力地推動政策法規的制定。
安在作為專注信息安全的新媒體,一定會持續關注事態發展,以及及時曝光類似數據安全事件。
閱讀更多 安在信息安全新媒體 的文章
