近日,一张“暗网”中文论坛的交易信息截图被爆出,3亿条包括寄/收件人姓名、电话、地址信息的顺丰快递信息,被明码标价为10万元人民币公然叫卖。用户付500元左右就可验货10万条数据,而接下来,这些信息将在黑市中反复倒手,直至被榨干价值。
去年国内网民因信息泄露造成损失预计近千亿
所谓信息黑产简单来说就是由内鬼、黑客、掮客、条商及买家组成的以非法买卖的个人信息的整条地下交易链。
地下信息黑产今天的实际规模已经很难确切估量。已知的是2017年查获的与黑产相关的案件,“9.27特大窃取贩卖公民个人信息专案”涉及互联网、物流、医疗、社交、银行等各类被盗公民个人信息超过50亿条;“善心汇”特大传销团伙案的涉案金额超过百亿元;“快啊答题”打码平台非法获取贩卖公民信息案仅在2017年一季度破解验证码已经达259亿次,累计破解验证码1204亿次;“雷胜科技”色情诱导系列诈骗案查明涉案金额超过6亿元,每一个都是亿元级、亿条级或者亿次级。
“我们这里交易1个亿,黑市交易99个亿”,这是来自贵阳大数据交易所执行总裁王叁寿的估算,他认为黑市日交易额远远超过他搭建三年有余的数据交易所。
信息数据倒卖黑产猖獗,个人用户信息安全如临深渊。中国互联网协会发布的《中国网民权益保护调查报告》显示,去年,国内6.88亿网民因个人信息泄露造成的经济损失预计达到915亿元。
你知道的大企业可能正在泄露你的信息
信息黑产交易链条中的信息来源主要有两个:内鬼和黑客。再往上溯源,内鬼和黑客的信息最终来源于其盗取的企业数据库,而科技巨头们因用户规模庞大,交易场景所涉个人信息全面准确,格外受到内鬼与黑客们的“青睐”,信息漏泄事故频发。
2018年4月,在一个名为 “电话销售群”中,有卖家称自己手上有北京、上海、广州等一线城市、来自美团等外卖平台的客户数据,包括电话姓名、订餐地址在内,每条信息的售价不到一毛钱,另有一些卖家称有饿了么、百度外卖的客户信息,每万条价格从 700 元到 2000 元不等。
2017年3月,在公安部破获的一起盗卖公民信息的特大案件中,泄漏50亿条公民信息的嫌疑犯被传是京东网络安全部员工监守自盗,与黑客长期相互勾结。在此前,京东曾于2016年12月被爆出12G用户信息数据包在黑市流通交易,其中包括用户名、密码、邮箱、QQ号、电话号码、身份证等多个维度,数据多达数千万条。
2017年4月,“大数据行业第一股”数据堂6名员工因涉嫌非法买卖个人信息侵犯个人信息被警方立案侦查,后被提其刑事诉讼。据新华社报道,“数据堂公司在8个月时间内,日均传输公民个人信息1亿3000万余条,累计传输数据压缩后约为4000G。”
数据是现代商业的燃料,每一个快速成长的科技公司都在竭尽全力去创建场景寻找、收集数据,通过各色名目使出浑身解数让用户们敲下“我已阅读并同意用户及隐私协议”的按钮。发个朋友圈就暴露了定位,扫个二维码就被收集了ID信息,安装一个APP就要给予它超过20项的权限。大数据应用场景下,无所不在的数据收集技术、专业化多样化的数据处理技术,使得用户已难以控制其个人信息的收集情境和应用情境。
相比于地下信息黑产,互联网科技企业在个人信息安全问题中本身是没有“原罪”的,如果他们经授权同意收集并在授权范围内使用。问题在于,这些头部企业的系统及数据库是否足以抵抗来自内鬼和黑客们的攻击?屡屡发生的信息泄露事故给了大佬们一个响亮的耳光,而一旦发生泄露,就意味着这些企业收集的海量个人信息已经进入信息黑产的深渊。其后呢,骚扰性营销、电信诈骗、信用卡诈骗又或者是网络金融诈骗?不得而知,直到侵害发生。
高盛首席互联网研究分析师希思· 特里(Heath Terry)在Facebook信息泄露门之后向CNBC表示:每一个快速成长的科技巨头都有可能面临类似的危机。从某种程度上讲,如果企业不能有效防范住每一次危机,则终有一次将会被迫成为黑产链条中的一环,并且是作为信息源头的关键一环。
三大因素导致信息黑产交易猖獗
大数据时代,信息的高速流转和运营创造出空前的价值,随之而来的黑产交易猖獗,头部企业大规模信息泄露事故频发,个人信息价值的发现和运用给用户也带来的空前的隐私焦虑。大数据时代个人信息保护困境至少有以下几方面的形成因素:
1、企业缺乏责任意识,管拿管用不管保护
企业是个人信息一线收集者、个人信息加工利用及存储全线参与者,掌握大量个人信息的同时也掌握最前沿的个人信息计算处理技术,理应承担起保护用户个人信息安全的责任,国内的互联网及大数据公司显然还缺乏这样的责任意识。
1月3日支付宝年度账单刷爆朋友圈,随后网友发现按照支付宝的页面操作,开启支付宝年度账单将会默认选择了同意《芝麻服务协议》,该协议约定“您同意我们可将您的全部信息进行分析并将结果推送给我们的合作或服务机构”。
随后,滴滴约车被爆“大数据杀熟”,据网友爆料称使用滴滴打车过程中发现同样地点、同样距离、同样时间,滴滴约车给使用频率高的用户的预估价高于使用频率更低的用户。
3月26日,百度老总李彦宏在中国发展高层论坛上当着国际观众的面公然发表“中国用户在个人隐私方面更加开放,一定程度上愿用隐私换方便和效率”,这样令人乍舌的言论,互联网科技巨头们对于用户个人信息保护意识之淡薄可见一斑。
头部企业接连被爆出的侵犯用户信息数据相关权利流氓行径充分展现了他们对于个人信息数据强烈甚至是过度的收集和利用激励以及极不对称的保护激励,企业大量的人力、物力、财力都用在获取和开发用户个人信息上,数据合规、数据安全方面的投入不够,内部制度防不住内鬼,外部安全防不住黑客。
责任意识欠缺、预算失衡使得用户不仅不能依靠服务商保护自己,反而面临被数据持有者侵害和持有者数据泄露后被黑产市场买家侵害的双重风险。
2、大数据应用形态单一,精准营销催生旺盛信息需求
据中国信通院预测,我国2018年大数据产业规模预计可达6200亿,而到2020年,将会扩到10100亿(数据来源:《大数据白皮书2018》)。体量和增速都十分可观,但在产业应用类型上,大数据融合应用主要集中在外围业务上,在核心业务方面的渗透程度还有待提高。大数据发展促进委员会 2018 年 4 月发布的《中国大数据发展调查报告》显示,在应用大数据的行业企业中,营销分析、客户分析和内部运营管理是应用最广泛的三个领域:61.7%的企业将大数据应用于营销分析,50.2%的企业将大数据应用于客户分析,将近50%的企业将大数据应用于内部运营管理。简单来说,就是对用户进行标签化管理并最终用于精准营销。
精准营销是个人信息最常见的用处,尤其是在金融、房地产、医疗保健等行业,基于大数据分析出有需求的客户并打上相应偏好的标签,对潜在消费者进行精准营销将会大大降低成本。用户的体验是,大街上收到的无差别传单变少了,接到的能准确说出你部分敏感信息的推销电话变多了,在搜索框输入过一次的内容将会反复出现在你的首页。
精准营销再往前一步,就是精准诈骗,大数据企业用于精准营销,黑产市场买家用于精准营销和精准诈骗。“没有买卖就没有杀害”,以精准营销为导向的应用方式催生了对大量用户敏感信息的需求,刺激企业争夺用户个人信息,形成数据孤岛乃至催生信息黑产市场交易需求。
这样的大数据应用方式十分初级,是杀鸡取卵式的,对应的是数据采集和分析趋向于聚焦特定用户,追求对个人用户的精准画像,越准确越值钱,这恰恰与个人信息保护要求的去标识化、匿名化、信息脱敏逆向而为。
3、法律保障体系不完善,刑事打击力量单一
过去很长一段时间,国内个人信息安全保护都处于法律真空期,行业野蛮生长,黑市交易猖獗。直到2009年《新法修正案七》出台才明确将“出售或非法提供”及“窃取或以其他方法非法获取”公民个人信息且“情节严重”的行为入罪,但对于“情节严重”的标准始终未明确,执法效果并不明显。直到2017年6月1日,《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》发布:非法获取、出售公民行踪轨迹信息、通信内容、征信信息、财产信息50条以上的;住宿信息、通信记录、健康生理信息、交易信息等500条以上的;其他公民个人信息5000条以上的;违法所得5000元以上的;利用非法购买、收受的公民个人信息合法经营获利5万元以上的,构成入罪的“情节严重”标准,侵犯公民个人信息涉嫌犯罪的打击才明确起来。此时,黑产已经逐步“进化”,技术不断升级,犯罪形态越发隐蔽,跨地域及跨境增多,侦察取证困难,执法难度很大。
2017年出台的《民法总则》第111条虽然提到了信息采集者的义务,但并无细化规定也无配套制约措施,宣示意义大于实践操作。总体而言,现行法律框架下,对于个人信息保护仍然主要依靠刑事打击,力量单一,还没有形成民事、刑事、行政相互配合的法律保护体系,没有配套的前置行政监管手段和细致的保障措施,直接跨越到刑事责任,保护效果有限,而且缺乏事前的源头监管和预防。但事实上,个人信息一旦泄露,从信息黑市中完全删除几乎不可能,事前预防才是关键。
破局:拒绝“隐私换便利”
大数据发展的前提和基础是同意信息包括个人信息是可以被用作商业用途的,不承认这个前提,大数据过往所创造的价值和未来蕴含的能量都将失去合法性基础。但李彦宏“隐私换便利”的论断是伪命题,虽然“从没有人会去阅读冗长的用户协议”。大数据要发展毋庸置疑,公民个人信息权利毋庸置疑,两种价值取向都具有“政治正确性”,信息黑产同时损害了大数据发展和公民信息安全毫无疑问应该严厉打击,关键在于如何平衡大数据时代数据的商业利用与个人信息保护。
1、寻求新的商业模式,促进大数据产业升级
6月1日,美国“互联网女皇”玛丽·米克尔(Mary Meeker)2018年互联网趋势报告中指出,“科技公司正面临矛盾,它们在使用数据提供更好的消费者体验和侵犯消费者隐私之间进退两难。”
商业开发与用户隐私保护两难境地是大数据产业升级引发的阵痛,行业发展初期,以用户隐私为燃料的商业模式是一条捷径,基于对用户的精准画像进行个性化产品精准营销的企业更容易脱颖而出,快速获得流量、营收、估值和市场份额。
用户们的信息主权意识和信息安全需求逐步觉醒,大规模数据泄露事件频发、“大数据杀熟”、黑产威胁,以精准营销为导向的商业模式潜在的隐私风险已经引起了用户的警惕和反感。
据报道,2018年3月28日,遭遇剑桥分析公司的数据泄露事件次周以Facebook为首的四大科技股FANG跌3.3%,市值蒸发超1000亿美元,卸载Facebook话题大规模刷屏,该公司不得不紧急关停大量共享给广告商和第三方的数据来源,以挽回消费者的信赖,但仍面临GDPR条款下的巨额罚款和诉讼危机。
全球范围内数据安全保护立法趋严也进一步压缩了大数据创业者们“讲故事”的空间,捷径已经走不通了。破局商业利用与信息安全矛盾的关键点在于开发新的大数据商业模式,促进产业升级。
《大数据白皮书》指出产品设计、产品生产、企业供应链管理等才是大数据分析的核心业务,利用大数据可以对实体经济行业进行市场需求分析、生产流程优化、供应链与物流管理、能源管理、提供智能客户服务等。与实体经济相融合,服务实体经济,基于大数据分析用户群体需求与偏好对传统产品进行优化、升级,提供更好的产品与服务,而非紧盯数据本身的价值,对个人用户信息“杀鸡取卵”式掠夺的,方有开发隐私友好型商业模式的可能。
2、制定个人信息保护法,标红隐私保护边界
截止2016年12月,全球共有115个国家和地区制定了专门的个人信息保护法,确立了个人信息收集、使用以及跨境传输等基本规则。我国个人信息保护目前仍以分散立法为主,尚未制定专门统一的个人信息保护法,有必要制定国家专门统一的个人信息保护法,明确法律适用范围、个人信息控制者的义务、当事人享有的权利、合理利用与违法侵权的边界、侵权者的侵权责任,损害赔偿的条件与标准。
在个人信息保护法制定方面可以参照欧盟5月25日生效的《通用数据保护条例》(GDPR)。这部“史上最严”数据监管条例全面提升了对个人数据的保护力度,其核心目标是将个人数据保护深度嵌入企业组织运营。除此前版本已明确的合法、公平、透明、目的限制、最小化、权责一致等原则,GDPR还首次明确了用户个人数据“被遗忘权”、“可携带权”,并为相关企业设定了义务,企业一旦违反其数据保护规定,轻者处以1000万欧元或者上一年度全球营收的2%(两者取其高)的罚款;重者处以2000万欧元或者企业上一年度全球营收的4%(两者取其高)的罚款。
3、企业数据合规
企业是个人信息价值的开发者,也是海量数据的持有者,随着数据保护立法趋严,数据合规成为企业无法再回避的问题。企业应在其参与的个人信息收集、保存、使用、处理、共享、转让、披露中遵循个人信息安全基本原则,对用户的个人信息安全负责。一方面企业在技术方面提升自己,最低标准是能够保证其控制下的个人信息来源合法、不可逆脱敏、不被滥用、免遭泄露;另一方面,企业应该完善信息安全方面的内部控制,加强相应的内部制度建设,如个人信息管理制度、信息安全事件处理、报告制度,强化企业信息数据管理,定期开展信息安全影响评估和信息安全审计。
4、个人保护意识
与个人信息安全最密切相关的还是公民个人,我国公民对于网络个人信息的重视程度不够,在日常的网络生活中缺乏保护自己的意识,使得违法分子能够很轻易的获得公民个人的详细资料。提升公民自身素质和保护意识是对网络个人信息保护必不可少的手段。一方面,要帮助公民树立个人信息受保护的观念,在日常的网络生活中注重保护自己的个人信息,减少被侵犯的可能;另一方面加强公民的维权意识,一旦个人信息被侵犯,能够积极主动地维护自身的权利,防止损害结果的进一步扩大,也通过追究侵权方法律责任的方式促使对方不敢再实施侵权行为。
閱讀更多 壹點財經 的文章
