無論你是否愿意相信,我們的信息被販賣,已經(jīng)到了喪心病狂的地步。
你會接到詐騙信息,說你的孩子嫖娼需要用錢贖;
你會收到推銷電話,對你做極為精準(zhǔn)的房產(chǎn)、保健品促銷。
你會接到詐騙電話,在“詐騙劇本”里,你的個人信息精確無比。
前不久,央視的調(diào)查新聞報道,只需要一個手機(jī)號,就可以查任何人的身份證號碼、名下的房產(chǎn)、購車情況、開房記錄,通話記錄、支付寶賬號、電商收貨地址詳單、外賣收貨地址明細(xì)、精確到地點(diǎn)和分秒的打車記錄,甚至是實(shí)時位置都可以被精準(zhǔn)定位。
最近,警方更是破獲了一起倒賣50億條個人信息的大案,這些實(shí)事已經(jīng)把每一個旁觀者變成了當(dāng)事人。
說來都是淚:身份證、學(xué)歷、開房記錄、銀行流水信息哪個更貴?販賣個人信息的黑產(chǎn)需要社交群組作為陣地,最大最悠久的社交平臺 QQ 自然成為很多壞人的首選。所以在打擊網(wǎng)絡(luò)黑產(chǎn)方面,騰訊可以算是老兵。
騰訊公司打擊網(wǎng)絡(luò)黑產(chǎn)專家何欣對網(wǎng)絡(luò)黑產(chǎn)有深入的研究,她對雷鋒網(wǎng)《宅客頻道》介紹:
一個人的身份證信息,在黑市里可以賣到20塊。
一個博士的學(xué)歷信息,在黑市里可以賣到50-60塊。
在所有的信息中,最值錢的要算是“銀行流水信息”。
沒錯,“銀行流水信息”力壓“開房信息”,成為了所有信息里面價值最高的。原因很簡單,很多銀行流水記錄可以作為調(diào)查線索,可以作為敲詐材料。(和誰開房固然重要,把錢花給誰更重要。。。)甚至很多企業(yè)的流水可以直接用來開企業(yè)賬戶、開POS機(jī),甚至用來洗錢。
個人信息泄露途徑一般有兩個:
一是黑客的非法入侵,通過盜號、木馬盜取大量信息。
二是能夠接觸到個人信息內(nèi)幕的一些工作人員,做出盜取信息的行為。
二者殊途同歸,無辜群眾信息被販賣,壞人獲取暴利。
很多黑產(chǎn)選擇在騰訊的產(chǎn)品,例如 QQ 上完成非法交易。但對于騰訊來說,不能侵犯用戶隱私是產(chǎn)品的底線,他們必須在不查看用戶聊天記錄的基礎(chǔ)上判斷哪些 QQ 群在進(jìn)行非法交易。這個時候就需要結(jié)合關(guān)鍵字、關(guān)鍵詞、群主的資料、頭像等等公開的資料,結(jié)合群的行為信息通過人工智能算法來判斷一個群是否違法。
然而,這種隔山打牛的方法,終歸并不直接。事實(shí)也是如此,犯罪分子也在通過各種手段來不斷對抗騰訊的算法。
何欣吐槽說:
我們做安全的同事幾乎每天都工作12個小時,但是黑產(chǎn)分子好像也特別勤奮。而且不斷變化方法來對抗我們的打擊模型。
例如,這些販賣個人信息的 QQ 群,名字里都不帶有“個人信息”等關(guān)鍵字,有些“追債群”實(shí)際上就在進(jìn)行著個人信息交易的行為。
實(shí)際上,QQ 更多時候是被壞人在信息交易傳播環(huán)節(jié)利用,而僅僅通過騰訊來對整個中國的信息泄露進(jìn)行遏制,顯然不太現(xiàn)實(shí)。
我們不妨看看職業(yè)黑客怎么說。
頂級黑客有什么建議?作為中國第一代黑客,老鷹(萬濤)在多個領(lǐng)域中,對黑產(chǎn)的打擊都做過貢獻(xiàn)。他的微博叫做“黑客老鷹”,也許正是因?yàn)檫@個名字,他可以經(jīng)常收到人們相關(guān)的私信,他說,自己收到最多類型的私信有兩種:
一種是不法分子讓自己幫忙一起做黑產(chǎn);
另一種是人們被騙了,報警無效來求助黑客幫忙。
老鷹告訴雷鋒網(wǎng)宅客頻道:
首先,對于黑產(chǎn)的打擊法律會相對滯后。
其次,受到傷害的人報案或線索匯聚太困難。
在報案上,案件發(fā)生損失的地點(diǎn)很重要,涉及到案件的歸屬地和管轄權(quán),而互聯(lián)網(wǎng)是沒有邊界的,很多案件都在管轄權(quán)這一關(guān)被卡掉了。
另外,很多黑產(chǎn)分子利用泄露的個人信息進(jìn)行詐騙,都會嚴(yán)格“自律”詐騙的金額,不超過法律嚴(yán)懲的界限。例如謊稱用戶購買的訂單有問題,進(jìn)行小額詐騙。這種詐騙每單的金額都只有幾百塊或一千塊,所以很難被重視。
老鷹相信數(shù)據(jù)匯集的力量,他說:
如果我不是騰訊的,我有可能發(fā)現(xiàn)了一些線索,但是犯罪分子可能是用QQ號,或者是以什么方式進(jìn)行溝通聯(lián)絡(luò),也有可能通過郵箱什么的,現(xiàn)在的線索還不足,但是這些線索需要匯聚。
因?yàn)槲覀兪菦]有執(zhí)法權(quán)的,安全團(tuán)隊(duì)之間如果要分享線索信息,就要合法。明明看到很多有用的信息,但是安全的協(xié)同由于缺乏法律的一些解釋,或者缺乏配套機(jī)制。如果我們私下交易,也有風(fēng)險性,大家都是各掃門前雪。
理論上數(shù)據(jù)的匯聚應(yīng)該政府去牽頭,這樣就可以做,就可以向前邁一步。
【萬濤】
信息總在泄露,能不能少采集一些?我記得西方媒體曾經(jīng)做過調(diào)查,76%的人會因?yàn)閭人信息泄露而減少網(wǎng)絡(luò)上的活動。而在中國,同樣的調(diào)查,認(rèn)為個人信息泄露需要擔(dān)心的卻只有20-30%。
周漢華如是說,他是中國社科院法學(xué)研究所研究員、國家信息化專家咨詢委員會委員。
在他看來,從斯諾登事件到最近 CIA 的入侵工具被黑客拖出來,這件事本身就說明了:再厲害的防火墻和防衛(wèi)設(shè)施,都不能絕對保證數(shù)據(jù)的安全。既然如此,那么一個很好的辦法就是——盡量少地保存數(shù)據(jù)。
周漢華認(rèn)為,大數(shù)據(jù)越來越火,但對于數(shù)據(jù)最好的防護(hù),是“不該要的別要”。
他對雷鋒網(wǎng)(公眾號:雷鋒網(wǎng))宅客頻道說:
現(xiàn)在的大數(shù)據(jù)經(jīng)濟(jì)價值越來越大,大家都覺得這是財富,不要白不要。很多時候我們注冊一項(xiàng)服務(wù),如果你不給就根本沒有辦法往下進(jìn)行。
其實(shí),最小采集理念在發(fā)達(dá)國家已經(jīng)普遍采納了。這里涉及一個問題:我的數(shù)據(jù)到底是誰來控制?你要保存我的密碼,控制我的數(shù)據(jù),但我的數(shù)據(jù)最終應(yīng)該是我自己控制。這是所謂數(shù)據(jù)自決權(quán)的問題,是歐洲比較領(lǐng)先的觀念。作為公司也好,作為公權(quán)力主體也好,都應(yīng)該反思這個問題。
實(shí)名制讓世界更好還是更壞?很多時候,我去營業(yè)廳辦一張電話卡,必須本人拿身份證拍一張照片。我覺得很多時候這是一種屈辱。一是因?yàn)樗杉宋业暮芏嘈畔ⅲ硗馐聦?shí)證明數(shù)據(jù)存儲在這里并不安全。
不僅如此,去開一個網(wǎng)上的小店,也需要實(shí)名注冊。
在這種情況下,如果以前泄露身份信息的渠道還在,這些信息都會被合并到那個渠道里面。
上海金融與法律研究院研究員傅蔚岡說。
過去火車是實(shí)名的,前一階段乘坐長途汽車也要實(shí)名了。今后是不是你開小汽車出去,在高速公路都會有登記?
對于越來越擴(kuò)大的實(shí)名制運(yùn)動,他持警惕態(tài)度。
他認(rèn)為,為了防止惡意行為而進(jìn)行的實(shí)名制注冊,出發(fā)點(diǎn)是好的。但是同時這也意味著我們所有的真實(shí)信息都暴露在了相應(yīng)的平臺之上。
正如事實(shí)所證明的那樣,由于很多商業(yè)平臺,甚至是國家機(jī)構(gòu)的網(wǎng)絡(luò)安全防護(hù)力量并不足夠強(qiáng)大,所以最好的方法就是,不在所有不必要的情況下提供真實(shí)的個人信息。
“既然留不住,不如斷舍離。”這未嘗不是在千瘡百孔的網(wǎng)絡(luò)世界中一個權(quán)宜之計。
為什么非法交易都集中到QQ群去?這可能是因?yàn)?QQ 在設(shè)立之初就是著眼于陌生人的交流,而微信等一開始就是熟人社交。“兔子不吃窩邊草”,陌生人之間的交流便于干壞事。
但反過來如果我們每個人日常向外提供的信息都是非實(shí)名的,估計也就沒有那么多的信息泄露了。
雖然實(shí)名和匿名是一個悖論,不同的傾向會引發(fā)不同的問題,但是我認(rèn)為如果真的都搞成實(shí)名了,對于個人的危害就更大了。
他說。
如果我們的基因數(shù)據(jù)泄露,會發(fā)生什么?著名的央視導(dǎo)演石強(qiáng)曾經(jīng)耗時三年,完成紀(jì)錄片《互聯(lián)網(wǎng)時代》。
為了真正理解互聯(lián)網(wǎng),他和團(tuán)隊(duì)曾經(jīng)采訪了凱文·凱利、扎克伯格、馬斯克、馬云、馬化騰等諸多互聯(lián)網(wǎng)大咖。在石強(qiáng)看來,隱私和服務(wù)是天平的兩端。
你要享受更好的更便利的服務(wù),就必須出讓更多的隱私,就這么簡單。
但是,犯罪正是由此而產(chǎn)生。
在互聯(lián)網(wǎng)時代,利用個人信息犯罪也許只需要一根網(wǎng)線。中國的電信詐騙破案率不超過 3%,美國的破案率稍高于中國,但并不多。究其原因,石強(qiáng)認(rèn)為是“破案成本太高”,因?yàn)槊恳粋線索都要一點(diǎn)點(diǎn)去研究,最后把很對多線索調(diào)查的結(jié)果結(jié)合起來才能摸清案情,這對于國家資源的消耗很大。
石強(qiáng)舉了一個個人信息泄露歷史上重大的案例:
2012年“3·15”我們做了信息安全的一個大案。羅維鄧白氏是一家全球化公司,以精準(zhǔn)營銷見長。但是它進(jìn)入中國之后,中國業(yè)務(wù)迅速成為它全球業(yè)務(wù)一半的支撐。他做的就是買賣個人信息。你的信用卡、車輛、家庭住址,2億多中國人的“全信息”,被公開買賣。這樣的公司化、正規(guī)營運(yùn)的個人信息買賣公司敢在上海警方眼皮底下明目張膽地開展業(yè)務(wù)。
但是在他看來,有關(guān)個人隱私信息泄露,還有可能向著更恐怖的方向發(fā)展。
如今的智能家居,它可以知道我的什么信息?它幾乎可以實(shí)時掌握我的所有的狀況。這比傳統(tǒng)意義的個人信息更加可怕。
未來,一定有人想要得到你的基因信息。今后體檢公司一定不是靠體檢賺錢,而是靠健康數(shù)據(jù)和基因數(shù)據(jù)來掙錢。但是,如果我的基因信息泄露,被人用于別的目的,會發(fā)生什么?如果將來仿生人技術(shù)出現(xiàn),它擁有和我一樣的基因信息,那么我怎么證明我還是我呢?
正如石強(qiáng)所說,中國 2004 年就已經(jīng)完成了《個人信息保護(hù)法》草案,并且提交立法建議。至今 12 年過去了,《個人信息保護(hù)法》并沒有更多的進(jìn)展。這其中顯然遇到了很大的難度和阻礙。
保護(hù)個人信息,實(shí)際上是保護(hù)我們每個人的安全和尊嚴(yán)。在這件事上,沒有一個局外人。
2017年3月,騰訊公司舉辦了《對個人信息販說 NO》騰云下午茶沙龍活動,幾位專家對抵御個人信息泄露這個艱巨的任務(wù)提出了自己的建議。雷鋒網(wǎng)宅客頻道將專家的討論記錄成文,希望能夠?qū)ζ胀ㄈ、持有個人信息的公司組織以及政策制定者提供參考。