小
中
大
原标题:谁在出卖个人信息?打击黑产需从整个产业链入手
普通人的学历信息会比身份证稍微卖得贵一点,而博士学位的个人信息能够卖到50-60元;标价最贵的信息是公司流水,不法分子会用这个来开 POS 机、洗钱,进行犯罪。
不看综艺,却被节目选为幸运用户“中了大奖”;刚打定主意买房,就接到房屋中介的电话出售小产权房……说到近几年遭遇到的电信诈骗和骚扰电话,做策划的ViVi有些哭笑不得:“与电信诈骗的骗子比起来,段子手都弱爆了。”
如今,擅长于自嘲的中国网友热衷于在微博、论坛等地Po出自己遇到的骚扰短信和电信诈骗电话的截屏与录音,更有甚者会选择“主动调戏”这群销售与职业骗子。这样做的目的,一方面是为了娱乐大众,给生活加点料;另一方面是为了提醒网友,避免更多人上当受骗。
那么是谁出卖了用户的个人信息?是谁在利用它们牟利?我们该如何保护个人信息安全?如何制止这样的违法行为?
打击黑产多为被动
受利益驱动而不断“进化”的黑产数据至少已有十年以上的历史。如今,线上线下的不断结合使用户的财富和个人信息暴露在线上,曾经一穷二白的互联网如今成了堆金积玉的宝地。在日前腾云下午茶上,益云(公益互联网)社会创新中心&IDF互联网威胁情报实验室联合创始人万涛感叹道,相比于黑产的创新能力,企业在安全层面有滞后性,打击多是被动的。黑产比较Low,高举高打的方式不接地气。
虽然Low,但黑产已形成严密的交易链。从上游通过不法手段获取用户账户密码、身份地址和银行卡信息后,数据进行撞库、洗库的方式进行筛选,最终通过购买的方式到达不法分子手中,实施电信诈骗和盗号交易等。
而在最终操作电信诈骗时,黑产又开始琢磨钻法律的空子。万涛表示,法律会滞后,报案或者是线索的汇聚太滞后,而一旦黑产卡死报案金额进行诈骗,受害人相当于吃了哑巴亏。
中央电视台社会新闻部政法部制片人吴闯指出,卖方、买方、诈骗形成黑产闭环,无论是企业还是监管部门,要制造一个缺口。
个人信息买卖分工明确
从商业的角度来讲,商家获得消费者更多的信息才能进行有针对性的服务,实现个性化服务,实现精准化服务,这是消费者喜欢的。另一方面,消费者希望商家什么都不知道,还要享受个性化的服务,这显然是悖论。中国社科院法学研究所研究员、国家信息化专家咨询委员会委员周汉华表示,网络安全问题最终将对于网络社会、电子商务、网络社会交往形成阻碍作用。
目前,只要是大规模的违法的个人信息交易基本上都是通过QQ群,因为QQ群的特征,不是一对一的交易,而且在不断的过滤这些信息。如果做到行为可追溯,则需让更多的利用大数据去解决这些问题。
吴闯认为,实名制的实施能让企业走在前面,而不是跟着骗子后面走。不过,上海金融与法律研究院研究员傅蔚冈认为,之所以会造成个人信息大面积泄露,根本原因可能是实名制带来的,如果没有实名制,就不可能把电话号码和个人信息联系起来。应该在法律法规上,更加严格限制实名制的应用场所。
腾讯安全管理部专家何欣表示,目前个人信息的买卖已经形成分工明确,非常结构化的黑色产业链。首先,是有信息泄露的环节,然后到了传播交易的环节,最后到了应用获利的环节。信息泄露的环节,一般是两种方式,一个是黑客的非法入侵,通过盗号,木马,盗取大量的公民个人信息。还有一个是内鬼,比如能够接触个人信息的单位内部工作人员,他们盗取个人信息,再把这些信息在线上或者在线下进行贩卖。
事实上,进入到传播交易的环节后涉及两方,一个是数据的服务商,一个是信息的贩卖者。这些人通过一些分析和一些模型,建立了不同的数据库,甚至还提供了定制化服务,再把这些信息转卖给获利的黑产分子。黑产分子就会用这些信息去非法营销,比如给你打电话,问你最近是不是需要买房,是不是买奶粉,甚至是电信诈骗和非法调查。
对抗黑产应从多方联手
在黑产分化协作后,政府角色,企业角色,行业角色,公共角色四位一体仍未能实现。在促进反攻协作的同时,相关部门也应该进行反思:数据的采集是否过犹不及?
傅蔚冈提示,网站采集个人信息的时候,要坚持最少原则,没有必要采集那么多数据。采集的信息越多,风险就越大。对于商业网站、政府采集的信息也是一样,多数情况下采集的信息没有必要那么多。实名制后,个人身份信息使用的场所也要被进行严格的限制。
在3月4日举行的十二届全国人大五次会议的新闻发布会上,大会发言人傅莹表示,刑法修正案(九)中有对个人信息保护的规定;去年制定网络安全法,也确定了个人信息保护的基本规则,明确要求网络运营商不能搜集那些跟它提供的信息无关的个人信息,另外,没有得到相关人的允许,也不能把信息转让给其他人。
此外,互联网评论人洪波尖锐的指出,个人信息贩卖现象严重,但实际上跟互联网公司和电信运营商关联度很小。个人信息安全是大环境的问题。在立法环境和执法都不到位的情况下,执法成本颇高。把责任推给技术公司或者是运营公司,这是不合理的。
何欣表示,去年腾讯查处贩卖信息QQ群4700个,要用产业链对抗黑色产业链。首先从法律法规的角度出发,完善刑事责任的设定,提高违法成本;其次,整个产业联合起来,共同打造安全生态圈;第三点则是,希望加强源头的保护,因为很多犯罪分子会直接入侵到不同的机构网站去拿到大量的公民个人信息,所有在源头上掌握公民个人信息的机构,都应该加强自身的安全防护能力;最后就加强用户的教育,希望每一个普通人都能更有意识地保护自己的个人信息。
来源:《财经》杂志2017年03月14日