你的隐私数据正在裸奔,而这背后,则是一个庞大的产业链:一个身份证,可以让你所有的个人信息都暴露出来,随后数据进入一环环的链条……
作者 | 陶婷
编辑 | 孙春芳
隐私数据是什么?
热播韩剧《黑暗荣耀》中,有一个片段是这样的:为了复仇,女主人公文东恩,让孙明悟帮她拿到了李莎拉的买毒品账单,还有崔惠廷拼命想搞定的金龟婿的背景。买货账单、个人背景,诸如此类信息,便是隐私数据。
现实生活中,隐私数据被偷窥,被分析,然后被推销,被骚扰的情况层出不穷。2021年3月15日,央视“3·15”晚会曝光了倒卖简历现象:你只需要花费7元,就可以在网上购得求职者简历。简历上,求职者的姓名、性别、年龄、照片、联系方式、工作经历、教育经历等信息一应俱全。
两年后的2023年3月15日,央视3·15晚会又出手了。这一次,是部分破解版App,违法违规收集用户个人信息的问题。尽管破解App能够免费使用一些功能,但一些破解版APP被额外嵌入第三方插件,即SDK软件包。只要运行该破解版App,SDK包便能盗取用户手机里的个人信息。
这仅仅是隐私数据泄露的冰山一角。针对“是否遇到过信息泄露”这一话题,有媒体还调研了880名车主。
其中,有41.8%的车主遭遇了“购车或办理汽车金融业务后收到关联推销信息、电话”的烦恼,有22%车主的个人信息被导购平台泄露,有17.3%的车主“在未被告知的情况下被人脸识别,个人信息被录入4S店或直营店系统”。
对于平台、商家和数据收集机构来说,这一条条只是数据,但对于被诈骗被骚扰者来说,这是一个又一个的大坑。
“老同学”坑 了他50万
瑞东(男)并不是一个购物狂。这些年,他的消费都很克制,以至于各大购物平台中,瑞东常用的也只有京东和淘宝两家。但最近,他将淘宝App卸载了。
令他做出如此举动的,是一个陌生女人的来电。对方在电话中,不仅准确说出瑞东在淘宝上,什么时候买的什么牌子的花露水,价格是多少,就连他的姓名、手机号、收货地址都说得准确无误。
瑞东差点就相信了。因为,那个女人说的所有信息,与他的真实情况完全吻合。但好在,这个女人的骗术并不高明。她告诉瑞东,他已成为花露水的经销商,需要缴纳一定数目的保证金。
当瑞东斩钉截铁地说“自己并没有这样做”后,这个女人话锋一转,称是瑞东的亲戚用他的信息,帮他注册成为经销商的。在瑞东看来,亲戚会借用自己的信息?这根本不可能。眼看一计、二计都不成,该女子恼羞成怒,破口大骂起来。
意识到自己的隐私数据被泄露了,且很有可能跟购物平台有关后,瑞东卸掉了淘宝App。
思甜(女)就没那么好运了。她接到了一个陌生男人的电话,对方自称是支付宝工作人员。该男子称,“现在国家在管控大学生的网贷政策,所以需要您更改花呗、借呗的学生身份信息,不然会影响征信”。令思甜卸下防备的,是对方准确说出了她的身份信息,支付宝绑定的几张银行卡的尾数,以及花呗的开通时间。
这些数据,即便是思甜自己都要翻查银行卡才能知道,所以她对该名“工作人员”的“支付宝学生账户清零”一说深信不疑。所谓把“支付宝学生账户”清零,是将“借呗”里的贷款额度借贷出去,转成现金。思甜并不知道的是,诈骗分子是以此为障眼法,为的是掌握电话一端的用户,到底能借贷多少钱。
对方说,让思甜将“借呗”的钱借出来,放到自己的银行卡,转到他提供的自称银保监会的人的账号里面。他说“借呗”清零了之后,自称银保监会的人,会马上就把钱返回我的支付宝“借呗”里面。
于是,令思甜至今都后悔的事发生了:在对方的指引下,她脑子像懵了一样,通过支付宝借呗,借了两笔钱共计两万八。秒到账的这笔钱,又被思甜用手机银行,转账到所谓“银保监会”的账户上。
此时,思甜仍没有意识到不对劲,直到对方对她说“你还有登记其他网贷平台(微信的微粒贷、京东的网贷平台)吗”时,思甜才恍然大悟:这就是一个彻头彻尾的骗局。
思甜很确定,自己根本没有登记过其它网贷平台,甚至连京东账户都没有申请过。醒悟过来后,思甜一边与诈骗者斡旋,一边给银行打电话中断转账,但为时已晚。无奈之下,思甜选择了报警处理。
“警方说,这些人一般都是境外作案,很难被抓到。被骗的两万八,可是我加班熬夜,用肝脏、心血赚回来的钱啊!也不敢让爸妈知道,不想让他们操心。为什么骗子知道我这么多信息?”思甜伤心地追问道。
“吴添源,老同学找你有事。”正是看到这句话,吴添源才通过对方的微信好友请求。在吴添源的认知里,既然知道自己的真实姓名,且通过手机号添加的微信,对方必定是他的熟人。
随后,吴添源被“老同学”拉入一个群。在一顿“猛于虎”的洗脑中,他先是听所谓的“大师”讲课,再跟着“大师”炒股。但一夜暴富的神话并没有到来,吴添源的50万本金反而不翼而飞了。最终吴添源才搞明白:所谓的老同学,就是一个骗子;那个炒股App,根本就是假的。
追根溯源下,“正是一个真实的姓名,一个真实的手机号,一个说认识我的‘老同学’,把我坑进这个炒股骗局中。我的信息不知道哪个环节被泄露了。”吴添源向市界抱怨道。
光明和黑暗往往都是共生的。科技为人们带来便利的同时,也带来危机。不知从何时起,数据泄露就像家常便饭一样,渗透于生活的方方面面,给人们带来了巨大损失。
中国互联网络信息中心报告显示,截至 2021 年 12 月,有 22.1% 的网民遭遇个人信息泄露。
这些个人信息泄露后,用户轻则被骚扰电话困扰,重则可能会遭遇电信诈骗、套路贷、敲诈勒索等恶性事件,导致人身财产安全受到侵害。
那么,隐私数据到底是怎么被泄露的?
1份信息表让他毛骨悚然
冯峰是一名资深营销人。因工作原因,这十多年来,他一直跟各种信息和数据打交道。为了解竞争对手的项目信息,冯峰不仅翻过对方的垃圾桶,还安排卧底到竞争对手那里拿资料。为了拓客,他也曾运用各种市场调研手段,搜集潜在客户数据。冯峰也很明白,一些信息就是隐私数据,自己可能在法律的边缘疯狂试探。
真正令冯峰对隐私数据泄露,感到毛骨悚然的,是多年前他拿到了一份北京白领信息表。表上数据量之大,信息之详细,远超冯峰想象。“大概有上百万的白领,信息涉及年龄、单位、职务、电话、住址、身份证等个人信息。”冯峰告诉市界。
为导出这份庞大的数据,冯峰的电脑一度“瘫痪”。也正是因为这件事,冯峰意识到,“这玩意(隐私数据)就像雷一样,指不定什么时候会炸。并且,数据量太大,处理起来太麻烦,就删除了。”更重要的是,从国家政策来看,泄露隐私数据是违法的。
自此之后,冯峰变得谨小慎微起来。“不轻易在网上填手机号和身份证号;遇到办信用卡送礼物这样的活动,一概不参与;工作中对相关数据表格进行加密;涉及客户信息的文件悉数销毁。”冯峰向市界坦言。
即便小心到这个地步,冯峰的隐私数据,也还是被泄露了。在一次买了新车后,冯峰接到各种推销车险的电话,这令他不胜其烦。
冯峰还发现,一些软件还会“监听”。“我平时从来不买床,也不会搜这些东西。但有一天晚上,我移动床,然后谈了关于买床的事情。第二天,在一些视频软件上,我就看到相关推荐。”
隐私数据泄露可谓无处不在,那么,隐私数据的来源到底有哪些?
从目前来看,隐私数据分为三种。一是用户自愿提供的,如微博发表的各种言论及照片、向一些网站、App注册提交的信息等。
二是被观测到的数据,即用户在使用信息设施或者软件时,被记录和观察到的一系列行为数据,如上网记录、购物记录、搜索记录等。
第三种是被推断的数据,即根据用户的各种信息推测的个人数据,如个人信用评级、消费需求、购物偏好等。
有研究指出,在大数据技术的背景下,绝大部分泄露的数据,来自于用户自愿提供。除了微博、网站上的正常信息外,一些用户进行网络购物、下载“山寨”App、分享带有个人信息的订单、连接安全系数低的公共WIFI时,都暗藏风险。
根据近些年信息安全大事件来看,数据泄露的方式主要有三种:特权滥用、系统入侵、社会工程攻击。
特权滥用,即员工利用自己的职务之便,获取数据库内的信息,并将这些数据泄露出去。
系统入侵,即企业可能遭遇爬虫攻击,也可能被植入木马,也可能被黑客利用漏洞攻克了数据库。如2021年,蔚来汽车的一些隐私数据,就被不法分子窃取了。
社会工程攻击,即利用人的弱点,通过电话、短信、网页中的各种诱惑或存在威胁的信息,引导人按照攻击者的意愿去行动,从而达到攻击者的目的。最常见的有电信诈骗、网络钓鱼等。
如生物一样,数据也有着长长的生命周期,环节包括收集、传输、存储、使用、流转、销毁等。在如此长的生命周期当中,任何一个环节出现纰漏,都可能导致数据安全问题出现。
很多人不知道的还有:隐私数据被掏空背后,一些“网络黑手”,正磨刀霍霍向“牛羊”。
一条个 人信息标价100元
“无利不起早,贩卖信息能产生巨大利益,才会让黑产越来越猖狂。”信息安全从业者江浩告诉市界。
被泄露的隐私数据,通过境外网站等平台进行非法交易,形成一条黑色产业链。各种灰色数据,藏匿在百度贴吧、淘宝、闲鱼、QQ等平台上。这些数据都是明码标价的。
证券时报曾如此报道:包含电话号码、微信、QQ号等的个人信息被层层贩卖。一级料商(即数据中间商)的进货成本在0.15元/条左右,二级料商进货成本为0.4元/条左右,三级料商进货成本0.7-0.8元/条,终端售卖均价为1.2-1.5元/条。
“渗透数据”则贵得多。所谓渗透数据,即所有信息都能够被抓取,除了电话号码、微信等基本信息外,还包含身份证号、出行记录、开房记录、家庭成员、工作、婚姻状态、户籍所在地等。
这些信息在交易中被分了级。查询个人简易信息15元/条,包含姓名、性别、手机号;中级信息50元/条,除了简易信息外,增加了户籍地址、身份证号、照片;高级信息100元/条,在中级信息基础上增加了现住地址、开房记录、车辆信息。
隐私数据的集散地,主要来源于两个地方。一是常规搜索引擎搜索不到的暗网。很多人看中了暗网“绝对隐形”的特性,在上面干着现实生活中干不了的事情,这其中就包括隐私数据贩卖。
2018年6月,圆通快递10亿条快递数据,被公然在暗网上售卖;同年7月,3亿顺丰用户数据在暗网售卖;2023年3月上旬,美国数百名议员及其家人的敏感信息被放到了暗网上出售。
另一个是社工库。它是黑客们将泄露的用户数据整合分析,然后集中归档的一个地方。社工库上的数据,一方面来自黑客攻击网站后窃取的用户数据库,另一方面来自一些会出卖用户数据的小网站。
尽管在中国,私自用社工库调查他人,涉嫌侵犯个人信息权和隐私权,且在中国进入暗网也同样属于违法行为,但在利益的驱使下,一些人还是铤而走险起来。
购买隐私数据的人中,有的是为发展业务,有的拿来搞诈骗。行骗者拿到信息后,是怎么做的呢?以身份证号为例,其算法规则是公开的。通过一张身份证,就能搞清该人的性别、年龄、籍贯、家庭住址等等。
根据身份证继续查询下去,行骗者还能得到主人的全家户口信息。大部分情况下,还能查到对方的常用密码,而很多人社交平台的密码是通用的。在此基础上,不法分子再搜罗各大平台动态,这个人的地址、工作单位、收入水平等,都一清二楚。一张较为简略的“用户画像”,就出来了。
如果再深入一点,行骗者还可以利用一些手段,得到你的人际关系网,你的用户画像,就会越来越清晰。拿着如此全面的信息,行骗者就开始钓鱼了。这显然超出很多人的认知。于是,就有千千万万个像思甜一样的受害者出现了。
不过,近些年来,我国已经形成了《个人信息保护法》《数据安全法》《网络安全法》三大数据保护的防护网。3月16日,针对央视“3·15”晚会报道的部分破解版APP违法违规收集用户个人信息问题,工信部表示,立即组织核查,并依据《个人信息保护法》《电信和互联网用户个人信息保护规定》等有关法律法规要求进行严厉查处。
在国家严厉打击违法行为下,冯峰发现,直接购买隐私数据的渠道的确变少了。不过,相对应地,市场上涌现出一些服务公司,它们宣称提供精准人群服务,其背后通常有海量的数据。“这些数据,从哪里来?”冯峰追问道。
北京大成律师事务所肖飒律师告诉市界,“如果这些服务公司的数据来源不正当,那必定属于违法行为。在实际案例中,这些数据若认定是商业秘密,那么服务公司就有可能构成侵犯商业秘密罪;若被认定为是个人信息,就有可能触犯侵犯公民个人信息罪,上下游人员还有可能构成帮助信息网络犯罪活动罪。”
尽管思甜也担心自己的隐私信息会被滥用,但令她矛盾的一点是:在面临商家提供的优惠账单时,她还是会选择向商家提供个人信息以换取优惠。这也是大多数人的心理。因此,肖飒认为,单纯强调让个人提高隐私保护的意识,显然是苍白且不切实际的。
最重要的是,“如何让个体在让渡个人隐私获得利益的同时,充分知晓自己将面临的后果(个人信息不会泄露给第三者),这又涉及到企业合规的问题了。所以企业与个人对于隐私数据的态度,实际上是缺一不可的。”肖飒说。
而在深受伤害的思甜看来,企业能不能保护个人信息,不是她能掌控的,她能做的,就是像爱护眼睛一样爱护自己的个人信息,不轻易泄露。
(文中思甜、冯峰、瑞东为化名。)