九六
一条个人信息标价100元
“无利不起早,贩卖信息能产生巨大利益,才会让黑产越来越猖狂。”信息安全从业者江浩告诉市界。
被泄露的隐私数据,通过境外网站等平台进行非法交易,形成一条黑色产业链。各种灰色数据,藏匿在百度贴吧、淘宝、闲鱼、QQ等平台上。这些数据都是明码标价的。
证券时报曾如此报道:包含电话号码、微信、QQ号等的个人信息被层层贩卖。一级料商(即数据中间商)的进货成本在0.15元/条左右,二级料商进货成本为0.4元/条左右,三级料商进货成本0.7-0.8元/条,终端售卖均价为1.2-1.5元/条。
“渗透数据”则贵得多。所谓渗透数据,即所有信息都能够被抓取,除了电话号码、微信等基本信息外,还包含身份证号、出行记录、开房记录、家庭成员、工作、婚姻状态、户籍所在地等。
这些信息在交易中被分了级。查询个人简易信息15元/条,包含姓名、性别、手机号;中级信息50元/条,除了简易信息外,增加了户籍地址、身份证号、照片;高级信息100元/条,在中级信息基础上增加了现住地址、开房记录、车辆信息。
隐私数据的集散地,主要来源于两个地方。一是常规搜索引擎搜索不到的暗网。很多人看中了暗网“绝对隐形”的特性,在上面干着现实生活中干不了的事情,这其中就包括隐私数据贩卖。
2018年6月,圆通快递10亿条快递数据,被公然在暗网上售卖;同年7月,3亿顺丰用户数据在暗网售卖;2023年3月上旬,美国数百名议员及其家人的敏感信息被放到了暗网上出售。
另一个是社工库。它是黑客们将泄露的用户数据整合分析,然后集中归档的一个地方。社工库上的数据,一方面来自黑客攻击网站后窃取的用户数据库,另一方面来自一些会出卖用户数据的小网站。
尽管在中国,私自用社工库调查他人,涉嫌侵犯个人信息权和隐私权,且在中国进入暗网也同样属于违法行为,但在利益的驱使下,一些人还是铤而走险起来。
购买隐私数据的人中,有的是为发展业务,有的拿来搞诈骗。行骗者拿到信息后,是怎么做的呢?以身份证号为例,其算法规则是公开的。通过一张身份证,就能搞清该人的性别、年龄、籍贯、家庭住址等等。
根据身份证继续查询下去,行骗者还能得到主人的全家户口信息。大部分情况下,还能查到对方的常用密码,而很多人社交平台的密码是通用的。在此基础上,不法分子再搜罗各大平台动态,这个人的地址、工作单位、收入水平等,都一清二楚。一张较为简略的“用户画像”,就出来了。
如果再深入一点,行骗者还可以利用一些手段,得到你的人际关系网,你的用户画像,就会越来越清晰。拿着如此全面的信息,行骗者就开始钓鱼了。这显然超出很多人的认知。于是,就有千千万万个像思甜一样的受害者出现了。
不过,近些年来,我国已经形成了《个人信息保护法》《数据安全法》《网络安全法》三大数据保护的防护网。3月16日,针对央视“3·15”晚会报道的部分破解版APP违法违规收集用户个人信息问题,工信部表示,立即组织核查,并依据《个人信息保护法》《电信和互联网用户个人信息保护规定》等有关法律法规要求进行严厉查处。
在国家严厉打击违法行为下,冯峰发现,直接购买隐私数据的渠道的确变少了。不过,相对应地,市场上涌现出一些服务公司,它们宣称提供精准人群服务,其背后通常有海量的数据。“这些数据,从哪里来?”冯峰追问道。
北京大成律师事务所肖飒律师告诉市界,“如果这些服务公司的数据来源不正当,那必定属于违法行为。在实际案例中,这些数据若认定是商业秘密,那么服务公司就有可能构成侵犯商业秘密罪;若被认定为是个人信息,就有可能触犯侵犯公民个人信息罪,上下游人员还有可能构成帮助信息网络犯罪活动罪。”
尽管思甜也担心自己的隐私信息会被滥用,但令她矛盾的一点是:在面临商家提供的优惠账单时,她还是会选择向商家提供个人信息以换取优惠。这也是大多数人的心理。因此,肖飒认为,单纯强调让个人提高隐私保护的意识,显然是苍白且不切实际的。
最重要的是,“如何让个体在让渡个人隐私获得利益的同时,充分知晓自己将面临的后果(个人信息不会泄露给第三者),这又涉及到企业合规的问题了。所以企业与个人对于隐私数据的态度,实际上是缺一不可的。”肖飒说。
