互联网时期,隐私透露风险无处不在
“人肉开盒”的早期,明星、网红是最大的受害者,明星、网红相对拥有和可以动用大量的社会资源,为什么还是会成为“人肉开盒”的受害者?
“我在一家演出公司任职多年,当时我们有两位头部艺人的航班、酒店等行程就被透露过,是粉丝群内有人买到了艺人的***号码以及一些个人信息,然后就有粉丝凌晨3点蹲在艺人家门口,后来我们的艺人亲自去奉劝才让粉丝回了家。还有一些粉丝则通过艺人***号码查询到航班,进行全程跟艺人或接机。”从事文娱行业多年的赵华见告。
那么明星的个人信息为何会被透露?“很多粉丝也都是有组织的,获取艺人信息甚年夜公开拓布在网络上有几种路子。一是事情室流出信息,有时候一些艺人须要排面,比如接机,于是事情室会提前把航班信息给粉丝团站姐,站姐将信息发在粉丝群;二是有黄牛专门***艺人信息;三是粉丝得到艺人的***或其他个人信息后,自己进一步‘解码’,比如得到艺人***号码后去航空公司查询航班等。”一位长期在粉丝圈的活动者见告第一财经。
节制明星信息的黄牛,其资料从何而来?有知情人士透露,通过一些开盒平台,可以先支付数十元进行机器人查询,得到姓名、手机号、***等基本信息,筛选后可以连续支付用度进行高等查询。“明星有很多基本信息,比如年事、生日、籍贯等是公开的,筛选并不难,只要花点钱,就有很大可能买到信息,然后黄牛再通过粉丝群等售卖明星信息。”
进入互联网时期,每个人的生产、生活都在程度越来越高地数据化,互联网和数字化让每个人的衣、食、住、行变得方便快捷,也让个人隐私被别有用心的违法者盗取打开方便之门。
订机票和酒店须要大量个人信息,这些数据在各大旅游平台均有留存。而个中出境游规复后送签证做事就会经历多个环节。签证信息本身就包含了证件号码、家庭住址、财产情形、事情单位、配偶信息、户口本信息等。第一财经近期调研创造,由于送签证须要一定资质,因此有部分旅游公司是与代理商互助,由代理商送签,在此过程中,游客的签证信息有时会被直接发送到事情群以进行下一步流程。
“签证就该当一对一做事,大型旅游公司有明确制度,线上必须保密,线下信息填表限定在签证部,不可以外流,每个月还有抽查,员工离开工位后纸张表格以及证件原件必须上锁。直接将游客信息发送到群里处理流程是具有信息透露风险的。”春秋旅游副总经理周卫红表示。
说到开房信息的透露,让人第一韶光想到酒店数据库。一位酒店管理者见告第一财经,大型酒店企业都有防火墙,也有安全管理系统,比如大部分员工都没有权限去***客户数据,如果须要调取数据则会在系统有痕迹,可以追溯。但这也并非没有漏洞,近期见到一家品牌酒店的前台职员私下悄悄用手机拍下住客的***信息,据理解,此种行为是不许可的,可是在实际生活中确有发生。
在出行环节中,航空公司的信息透露也是一大问题。据理解,在过去几年,搜索引擎上以“机票数据”、“航班数据”、“内部数据”等关键词进行搜索,就可以显示出大量公然***航班信息的***群。如果以购买订票信息为由,联系群中的信息贩卖人,会被奉告,每条信息的价格为几元到十几元不等,无论哪个航空公司都能弄到,信息包括客户姓名、***号、手机号和登机号。如今,售卖链条已经变得没有那么堂堂皇皇,但乘客的个人和航班信息依然会被透露。
2015年4月,济南地区审查院对高某等18名犯罪嫌疑人提起公诉,罪名便是他们利用在航空公司事情之便倒卖乘客信息获利。
在“人肉开盒”平台上,与机票和开房信息具有相似主要性的是车辆和房产信息,这些信息如何被透露,第一财经进行了调查。
张涛最近很烦恼,她名下的大众牌汽车保险附近续保韶光,以是在近两个月险些每天都要接到保险公司的推销电话。一位推销职员透露,新车在购买保险时,4S店每每会在各大保险平台打算报价,这就会使车主信息在各大保险公司留痕,由于车险是全国通保通赔,以是信息系统会全国共享。
目前在网上有很多车况数据查询的网站,如“查车况”、“全国车辆统一查询”等,网友付费就能获取相应的信息,包括车牌号查车辆、车架号查车辆、车架号查车牌、车辆保险信息查询、名下车辆查询、违章记录查询、车辆状态查询等。在车主核验查询项目中,输入车辆类型、车牌号码、车主姓名后,干系网站会跳出付费环节,付费后会弹出车主和车辆信息是否匹配的信息。
房产信息很随意马虎被有心人获取。
有地产中介从业职员对第一财经透露,业主在买卖商品房的过程中,个人信息险些就已经是“透明”的了。“比如交楼之后,全体楼盘的业主信息很快就会在家装、家电、橱柜等下贱商家发卖职员手中了。”
其余,地产发卖之间也会彼此***客户名单。许多看房的业主都会有这样的经历:到一个楼盘去看房并留下联系办法之后,很快周边乃至全市范围内的其他楼盘发卖的推销电话就会纷至沓来。
***客户信息的价格也是有差异的,常日来说,会根据客户圈层来定价,比如豪宅小区的客户信息,常日比一样平常楼盘的客户信息更贵一些。
左师长西席大约在15年前***一套房产,当时找了几家小中介门店挂牌。卖房之后至今十几年的韶光里,左师长西席一贯会收到骚扰电话,他判断这是由于自己的个人信息被透露了。
一家大型中介机构内部人士透露,由于房发生意营业一样平常涉及很大金额,这类客户信息被认为很有代价,买卖房产的过程中,确实会涌现个人信息透露的风险,一样平常分为三种情形——一是部分房产经纪人为了寻求利益,倒卖手中客户信息,多年前该公司内部涌现过一起经纪人倒卖信息案,终极公司报警处理;二是有黑客专门攻击大型中介公司或房屋交易网站的网络系统,一旦攻破系统就可以得到大量客户信息,这些信息终极流向玄色倒卖家当链;三是一些房地产拓客的个体户或者小公司从业者,也被称为“房地产小蜜蜂”,他们会守在比较热门的售楼处以及大中介门店表面,通过记录到访客户的车牌号等个人信息,再进一步去搜集更多客户信息。
值得把稳的是,中奖也是个人信息透露的一种隐秘路子。
“我们曾经给一些客户做抽奖活动的合营及数据调查,在确定获奖名单后,我们须要让中奖者在线填写个人信息,包括名字、***、家庭住址等,然后邮寄奖品。当我们网络到这些信息后会传到公司数据库,虽然数据库并非大家都可以***内容,但具有***权限的人也不少,我就知道有同事***过客人的信息数据。在他***数据的那一霎时,客人信息已经透露了。”一家咨询公司的干系卖力人表示。
另有一部分老年人,也会碰着类似事宜。李旭反传防骗团队对第一财经透露,有些老人会接到诱骗电话,且对方对自己的情形管窥蠡测,是由于有些诱骗集团会先搞一个项目,让老人家以为有很多福利,然后勾引老人自己主动填写个人信息表格。得到老人信息后,这些团伙就开始联系老人进行敲诈。
河南省襄城县公民法院一份刑事讯断书显示,付某、张某以牟利为目的,分别通过***搜索“地推群”,联系上家接管“地推”任务,以扫码进群可以领礼品为诱饵,约请途经群众扫码进微信群,后以一个微信群15元旁边的价格将微信群***给上线。结果导致有居民在不知情的情形下被拉进微信群后,被犯罪分子诱骗3万余元。根据讯断,因陵犯公民个人信息罪,被告人张某、付某分别判处有期徒刑2年、缓刑2年以及有期徒刑3年、缓刑3年,各处罚金公民币10000元,并退还违法所得。
内部人滥用权力
2020年11月,邯郸市公安局曾发布称,不法分子通过有偿租用滑腻调皮员工系统账号盗取个人信息,再层层倒卖给下贱犯罪职员,涉案嫌疑人涉及河北、河南、山东等全国多个省份,涉案金额120余万元,已被警方抓获。从多家快递企业和干系业内人士处理解到,快递用户信息遭透露的情形并不但是滑腻调皮,还涉及不少快递公司以及业务链条上的参与方,并且已经形成了贩卖快递用户信息的“黑产”链条。在这一链条上,不仅有快递企业的员工,还有做“海淘”代购的商家及层层贩卖信息的黄牛。他们将包含快递客户姓名、住址、电话等信息***,每条售价从几毛到几元不等。
这里所说的快递企业员工,实在并不一定是快递公司总部的涉及信息管理的职员,而是快递公司的加盟网点。大多数壮大起来的民营快递企业,都是通过加盟制迅速扩展。在这些快递企业中,总部是把运单预收费作为紧张的收入来源,加盟商每收一单快件,就要向总部缴纳1元或更多的运单费。加盟商数量越大,递送量越大,总部发卖的运单就越多,收入也就越多。各地的加盟商才是真正对快件递送的本钱和价格卖力的一方。他们要自行购买车辆、招聘员工或将下属的站点分包。因此,消费者平时看到的快递价格,并不是由快递公司的总部制订,而是各个地方的加盟网点自行确定的,加盟商在自己的区域内须要自大盈亏。这也导致一些加盟商乃至旗下的承包商,为得到更多利益,与黄牛联手***用户信息,赚到比送快递更多的利润。
在中国裁判文书网上,第一财经梳理近年的“陵犯公民个人信息”的干系讯断书创造,多省市都涌现了通信运营商业务厅及代理商等的内部员工涌现透露个人信息的情形。多份讯断书显示,从2020年11月至2021年7月韶光不等,中国移动广西隆循分公司那桐业务厅的许某某、卢某某、黎某某、陈某某等多名员工,利用事情职员的身份便利,在为客户供应业务做事过程中,私自将客户的手机号码、验证码发送至“抖音新用户群”、“淘宝老用户群”、“jd企业”等等微信群,用于注册各种互联网平台账户。***一组“手机号码+验证码”获利2元至16元不等,***获利从2000多元到7000多元不等,终极受到法律的制裁。
法律法规明确规定公职职员在履行职责时不得造孽获取公民个人信息,但是实际仍有少数公职职员知法犯法,为牟利获取和***公民个人信息。第一财经理解到,部分“人肉开盒“案例中涉及的隐私信息,有些来源可能便是个别公职职员。
近年来一些地方表露了公职职员造孽获取公民个人信息的案例。
2022年7月,成都邑纪委监委通报10起“十大领域”范例案例,个中之一为大邑县公安局䢺江派出所一级警员何某造孽获取并***公民个人信息问题。2019年12月至2020年11月期间,何某利用其职务便利,私自利用单位配发的数字证书和移动警务终端,造孽查询车辆登记、户籍等公民个人信息***给他人,获取违法所得共计558818.28元。2022年6月,何某受到开除公职处罚。何某因陵犯公民个人信息罪被判处有期徒刑三年八个月,并惩罚金公民币30万元。
2020年3月,湖南省衡阳市中级公民法院公布一起案件的审理情形。肖某原系衡阳市公安局刑侦支队民警,2017年年初,被告人肖增灿因投资失落败,经济紧张,便到处探求赢利的机会。肖某利用权益,与买方商量好公民个人行踪轨迹信息按每条为300元(代号G)、车辆轨迹信息按每条100元(代号C)、公民住宿信息(代号K)按每条100元的价格进行交易。自2017年3月至2018年12月,肖某盗取公民个人信息***给他人,违法所得总计公民币1814844.38元,肖某犯陵犯公民个人信息罪,被判处有期徒刑四年六个月,并惩罚金公民币一百八十二万元。
2019年10月15日,贵州凤冈法院公开开庭审理了一起陵犯公民个人信息犯罪案。15名被告人中,个中5人为湖北、四川两省的公安局交警部门辅警。法院查明,被告人陈某丹、刘某、王某、易某、管某均原系湖北、四川两省的公安局交警部门辅警,2019年3月至5月,5名辅警分别与他人达成查询公民个人信息***的意向。因此,5名辅警多次登录公安警务系统,造孽查询贵州、湖北、云南等省的公民车辆档案信息、户籍等详细信息。
法院查明,被告人易某、管某在利用担当辅警期间,将造孽查询的公民个人信息,通过微信***给被告人陈某国、张某,两被告人又将信息***给被告人熊某,按上述的办法,熊某依次将信息***给被告人方某先,刘某伟、刘某等人。方某先、刘某伟、罗某娣等15人通过造孽查询、跨省倒卖公民个人信息,分别造孽获利173358元至5000元不等。
经审理,法院分别判处被告人方某先、刘某伟、罗某娣等15人三年二个月有期徒刑至拘役五个月,并惩罚金十万至五千元不等。
《中华公民共和国刑法》第二百五十三条规定:违反国家有关规定,向他人***或者供应公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单惩罚金;情节特殊严重的,处三年以上七年以下有期徒刑,并惩罚金。
贵州凤冈法院在公开宣布中提醒,违反国家有关规定,将在履行职责或者供应做事过程中得到的公民个人信息,***或者供应给他人的,依照前款的规定从重惩罚。
如何保障数据安全?
盘点以上个人隐私透露的各种路子,资深人工智能专家郭涛见告第一财经:“‘人肉开盒’这类信息透露常日是通过以下渠道和平台产生的,一是社交媒体平台,用户在这些平台上分享个人信息时可能没故意识到风险,或者没有采纳足够的安全方法。二是电子商务平台和物流公司,这些平台上的某些商家或事情职员会网络用户的个人信息,并在未经授权的情形下透露给第三方。三是数据透露事宜,当一个组织或企业的数据被黑客攻击或内部职员透露时,用户的个人信息可能会被暴露。四是恶意软件和钓鱼攻击,黑客通过发送恶意链接或伪装成合法网站来诱骗用户输入个人信息,从而获取用户的敏感数据。要实现人肉开盒,黑客常日须要节制一定的技能手段,包括但不限于社会工程学等;网络钓鱼:发送伪装成合法网站的电子邮件或短信,诱利用户点击链接并透露个人信息;暴力破解:考试测验各种可能的密码组合,直到找到精确的密码;SQL注入:利用网站程序中的漏洞插入恶意代码,从而获取敏感信息。“
从技能角度来看,网络安全专家田际云认为,个人隐私信息透露的环节很多,包括网站、APP、政务等平台,网购、快递、酒店、培训、学校、保险、出行以及汽车、房屋等交易管理部门等。网络储存个人信息的平台、调用利用信息的运用都可能造成信息透露。但技能是由人为落地履行的。个体和组织是否支配或利用干系技能?个体和组织是否依照技能哀求来利用?都是须要持续不雅观察的。
“2017年6月履行的《网络安全法》、2021年9月履行的《数据安全法》、2021年11月履行的《个人信息保护法》等等,关于个人信息保护的法律已经比较健全。有关监管部门该当会陆续出台更加细化更具有针对性的规范或法律。2022年12月履行的《反电信网络诱骗法》以及2023年9月通过的《未成年人网络保护条例》便是例子。尤其是《反电信网络诱骗法》中,对付节制隐私信息的干系部门和个人,有明确的哀求和惩罚规定。这表明,监管部门也认识到‘内鬼’是透露用户隐私信息的主要节点之一。”田际云认为。
在打击“内鬼“方面,2016年,海内70家大型快递物流企业就曾共同成立快递物流“黑名单”查询系统,把盗窃快件、透露客户信息、倒卖客户信息等12种违规违法行为列入黑名单。参与快递物流企业“黑名单”系统的企业承诺,5年之内不该用“黑名单”上的快递职员。中通快递科技与信息中央信息安全部高等经理马辰先容,快递公司越来越多利用隐私面单,对消费者姓名、电话、地址等个人信息进行脱敏。
美团方面表示,自数安法、个保法落地履行后,美团严格按照法规哀求,重点环绕“奉告-赞许”“最小-必要”等基本原则,通过推进产品隐私管理功能迭代优化、提高隐私规则透明度等多项举措,来保障用户知情权、选择权等个人信息权柄在隐私合规方面,培植并上线App隐私权限注册管理平台,严格遵照法律哀求的“最小必要原则”,对13类隐私数据的合规收口管理。
“要防止‘人肉开盒’,须要个人、企业、政府三方协力保障。首先,个人作为数据所有者该当看重保护个人隐私,提升个人隐私的保护意识,对自身和家人的敏感信息要担保足够的当心。企业作为数据处理者该当尊重干系的隐私保护的哀求,从技能上可以在内部对用户的手机号等敏感信息脱敏,防止敏感信息被透露,此外做好敏感信息的权限掌握和透露可溯源;其余从制度上也须要内部加强员工的信息安全教诲,培养员工伸手必被捉的根本意识,避免在内部贩卖个人隐私的行为发生。政府该当从立法上加强对持有大量个人数据的平台企业的监管,从政策和法律上提升造孽‘人肉开盒’的打击力度,对透露个人隐私的个人和企业从严从重惩罚。”通信高等工程师袁博剖析。
(文内赵华、张涛为化名,张歆晨对本文亦有贡献)
