“盡量打語音,不要發(fā)文字!”
“可以放心,咱們是長期合作,數(shù)據(jù)都是真實的。”
“**寶付款,到時發(fā)你郵箱。”
《中華人民共和國數(shù)據(jù)安全法》將于9月1日正式實施,我國網(wǎng)絡(luò)空間安全治理法律體系將進一步完善。然而,近期記者調(diào)查發(fā)現(xiàn),在論壇社群、電商平臺等網(wǎng)絡(luò)空間,仍有灰色數(shù)據(jù)交易藏匿于隱蔽角落,其中也包含針對個人信息等在內(nèi)的隱私數(shù)據(jù)交易。
被公開售賣的隱私數(shù)據(jù)
灰色交易藏匿于貼吧、淘寶等網(wǎng)絡(luò)平臺
聯(lián)系中介賣房,隔天就有貸款公司問你需不需要借貸;每年車險快到期,就莫名其妙接到各種保險公司的推銷電話……是哪個環(huán)節(jié)出現(xiàn)了問題?
在百度貼吧上,一些個人隱私數(shù)據(jù)、行業(yè)數(shù)據(jù)被公開叫買叫賣。
“全國企業(yè)內(nèi)部員工通訊錄,真實可測”“大眾點評商鋪數(shù)據(jù),量大3000萬”“收影視手機數(shù)據(jù),支持測試的來”“收微博原始數(shù)據(jù)”……
灰色數(shù)據(jù)交易藏匿于一些網(wǎng)絡(luò)平臺。
“0.9元一條,實時抓取的。”記者通過QQ與其中一位賣家“林峰”取得聯(lián)系,對方表示可以提供包括車險、網(wǎng)貸、信用卡等各行業(yè)的數(shù)據(jù)定制服務(wù)。賣家特別強調(diào),所有數(shù)據(jù)是實時提取一手的,不是那種“很爛的、轉(zhuǎn)賣了好幾手”的數(shù)據(jù),并強調(diào)“量大價格還可以再低一些”。
賣家向記者展示了之前交易的聊天記錄和車險信息數(shù)據(jù)樣本,并保證“信息都是真實的”。在他展示的數(shù)據(jù)樣本中,包含車主姓名、身份證號、手機號、車牌、車型、發(fā)動機號、車架號、車檢日期等詳細信息。
賣家向記者展示的數(shù)據(jù)樣本。
賣家說,車險數(shù)據(jù)來自不同的平臺,當天下單要第二天才能發(fā),需要進行數(shù)據(jù)篩選,“如果單一個保險公司,搞不了那么多,一個公司沒那么強大。”
記者詢問有沒有網(wǎng)貸數(shù)據(jù),對方則表示,目前只能提供號碼,量大的話可以搞到住址等更詳細的數(shù)據(jù)。
交談過程中,賣家提醒“盡量打語音,不要發(fā)文字”。
另一位賣家對記者表示,自己賣車險,同時也可以出售車險客戶資料,包括車輛年限、保險到期時間等“精準服務(wù)”。“如果要10月到期的車險信息,現(xiàn)在就有,11月份的需要等到下個月。”該賣家告訴記者。
而在淘寶、閑魚等電商平臺,記者發(fā)現(xiàn)還有不少商家上架了數(shù)據(jù)代查、數(shù)據(jù)采集等爬蟲服務(wù),涉及的內(nèi)容包括:各城市地方官員相關(guān)數(shù)據(jù)、MIMIC臨床數(shù)據(jù)庫、某券商機構(gòu)數(shù)據(jù)庫查詢下載、美團數(shù)據(jù)采集等。
在淘寶上,一家名為“啟航羊絨制品”的商家,實際提供的是可定制信息采集服務(wù),涉及搜狗、百度、高德、360地圖商家POI興趣點的電話號碼信息。“個人信息采集不到,企業(yè)、店鋪、門市、工商的都可以。”該商家告訴記者,這些都是公開信息,“沒有風險”。
另外一家名為“CityData城市大數(shù)據(jù)”的商家告訴記者,可以提供包含聯(lián)系方式等在內(nèi)的二手房源信息,下單后24小時內(nèi)網(wǎng)盤發(fā)貨。
爬蟲是一種快速自動抓取網(wǎng)絡(luò)公開信息的輔助工具,例如我們使用的搜索引擎都用到了爬蟲技術(shù)。
“一般而言,如果爬蟲所爬取的是公開數(shù)據(jù),將其打包售賣,并不被法律所禁止。但是,即便是公開數(shù)據(jù)的爬取,若爬取行為不當,仍然存在一定的法律風險,當事人有可能面臨侵權(quán)或反不正當競爭訴訟。”中國銀行法學研究會理事肖颯告訴人民網(wǎng)記者。
北京某科技公司技術(shù)總監(jiān)劉剛指出,爬蟲能獲取的信息其實是有限的,且多數(shù)是公開的。但通過撞庫、誘導、群發(fā)、釣魚手段獲取大數(shù)據(jù)信息行為,已非單純的通過爬蟲技術(shù)獲取信息,應歸納到黑客、木馬程序竊取的范疇。
行業(yè)互換成監(jiān)管難點
越來越多的數(shù)據(jù)泄漏發(fā)生在企業(yè)內(nèi)部
“上午9:22剛注冊好公司,我方辦稅財務(wù)未泄露信息,馬上就開始有一堆電話打過來,問我要不要記賬報稅。”日前,一位來自深圳市華龍區(qū)的市民在人民網(wǎng)領(lǐng)導留言板吐槽。
記者調(diào)查發(fā)現(xiàn),在房產(chǎn)交易、教育培訓、金融保險等重要民生領(lǐng)域,信息泄露情況普遍。多位受訪者表示,有時候個人信息數(shù)據(jù)莫名其妙就被泄露了,一些企業(yè)的“精準營銷”讓人無處可躲。對此,有業(yè)內(nèi)人士表示,數(shù)據(jù)行業(yè)互換是信息泄露的主要途徑之一,企業(yè)、個人私下數(shù)據(jù)互換行為成為監(jiān)管難點。
“行業(yè)互換現(xiàn)象非常普遍,比如:房產(chǎn)中介員工私下交換客戶聯(lián)系方式、汽車經(jīng)銷商與保險機構(gòu)互換資源等等。這些私下行為比較難監(jiān)管。”劉剛告訴記者,當前一般涉及數(shù)據(jù)安全的企業(yè)都需要通過網(wǎng)絡(luò)安全等級保護評測,以黑客攻擊、木馬等技術(shù)方式大規(guī)模獲取數(shù)據(jù)的難度很大,風險也比較高。目前,大量隱私數(shù)據(jù)是通過行業(yè)互換泄露的,一些小的服務(wù)中介、代理機構(gòu)在客戶信息保護方面意識淡薄。
事實上,隨著公民對個人信息保護意識的不斷增強,以及監(jiān)管體系的不斷完善,一些灰色交易正在浮出水面。
據(jù)媒體報道,浙江省通信管理局在7月5日對投訴人的答復函中核實,2019年11月11日,阿里云計算有限公司未經(jīng)用戶同意擅自將用戶留存的注冊信息泄露給第三方合作公司,該行為違反了《中華人民共和國網(wǎng)絡(luò)安全法》第四十二條規(guī)定。
當前對于大型企業(yè),特別是互聯(lián)網(wǎng)大廠,數(shù)據(jù)安全被視為“生命線”,一旦出現(xiàn)數(shù)據(jù)安全事故,其后果將是難以承受的。《網(wǎng)絡(luò)安全法》第21條明確規(guī)定了“國家實行網(wǎng)絡(luò)安全等級保護(“等保”)制度,要求網(wǎng)絡(luò)運營者應當按照網(wǎng)絡(luò)安全等級保護制度要求,履行安全保護義務(wù)。”業(yè)內(nèi)人士表示,一般大中型企業(yè)都會通過“等保”全面提升數(shù)據(jù)安全防護能力。
但是,“防止數(shù)據(jù)泄漏和數(shù)據(jù)合規(guī)運營是當前大多數(shù)企業(yè)面臨的難點。”360集團大數(shù)據(jù)協(xié)同安全技術(shù)國家工程實驗室咨詢總監(jiān)童磊坦言,中大型企業(yè)在完成數(shù)字化轉(zhuǎn)型過程中基本具備網(wǎng)絡(luò)安全基礎(chǔ)防護能力,成熟度較高企業(yè)普遍實施傳統(tǒng)數(shù)據(jù)安全方案,但對于隱私數(shù)據(jù)企業(yè)則普遍沒有專門實施單獨的安全管控,部分出海企業(yè)會針對出海業(yè)務(wù)實施GDPR隱私合規(guī)方案。
“越來越多的數(shù)據(jù)泄漏發(fā)生在企業(yè)內(nèi)部。”童磊說,一方面,隨著數(shù)據(jù)價值的提升,數(shù)據(jù)全生命周期流轉(zhuǎn)往往涉及多個部門和多個系統(tǒng),而相應的訪問控制與權(quán)限管理很難兼顧安全與業(yè)務(wù)兩方面訴求,訴求差異以及統(tǒng)一安全運營控制的缺失往往導致數(shù)據(jù)泄漏事件的發(fā)生。
另一方面,在數(shù)據(jù)成為新型生產(chǎn)要素的背景下,數(shù)據(jù)載體分布廣,海量數(shù)據(jù)匯聚、流通、分析和共享,導致很多企業(yè)都不了解自己的數(shù)據(jù),不能夠清楚地知道敏感數(shù)據(jù)的具體分布,數(shù)據(jù)資產(chǎn)不清晰也為數(shù)據(jù)安全管控和保護策略的實施帶來了困難。
“數(shù)據(jù)安全是相對的,很難做到..安全。”在劉剛看來,在一些面向C端服務(wù)的行業(yè),如房產(chǎn)中介、保險金融等,基層網(wǎng)點多,人員流動大,而且能夠直接觸及到客戶信息。這些特點使得數(shù)據(jù)“行業(yè)互換”等違法行為更加分散、隱蔽,一些企業(yè)在監(jiān)管方面的“鞭長莫及”“默不作聲”一定程度上助長了這種灰色交易。
劉剛認為,平臺方應主動加強自身監(jiān)管,落實內(nèi)外風險管控、提升信息保護等級。另一方面,建議加大對個人泄露隱私的處罰力度。
目前,一些機構(gòu)、企業(yè)也探索通過技術(shù)手段實現(xiàn)數(shù)據(jù)“可用不可見、可用不可取”。例如通過隱私計算技術(shù),在不共享明文數(shù)據(jù)、保障數(shù)據(jù)安全和用戶隱私的前提下,實現(xiàn)多方數(shù)據(jù)協(xié)同,聯(lián)通數(shù)據(jù)孤島,可以有效打擊數(shù)據(jù)黑產(chǎn)。
數(shù)據(jù)安全頂層設(shè)計逐步到位
扎緊“數(shù)據(jù)灰產(chǎn)”牢籠仍需各方合力
隨著數(shù)字經(jīng)濟成為經(jīng)濟增長的新引擎,數(shù)據(jù)作為新型生產(chǎn)要素的潛能正在逐步顯現(xiàn)。如何在數(shù)據(jù)的收集、加工、傳輸?shù)忍幚砘顒又屑饶茚尫判始t利,又確保敏感數(shù)據(jù)不被侵權(quán)、泄露、販賣,成為監(jiān)管需要平衡的關(guān)鍵。
在保護數(shù)據(jù)安全方面,即將實施的《數(shù)據(jù)安全法》規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施的運營者、從事數(shù)據(jù)交易中介服務(wù)的機構(gòu)、國家機關(guān)等數(shù)據(jù)處理者均負有數(shù)據(jù)安全保護的義務(wù)。第四十四條至第五十二條還詳細規(guī)定了違反相應義務(wù)時各主體應當承擔的責任。肖颯表示,這有利于在發(fā)生違規(guī)違法事件后厘清各主體的法律責任。
“作為重要生產(chǎn)要素,數(shù)據(jù)對經(jīng)濟發(fā)展的價值需要被進一步重視。”中國電子技術(shù)標準化研究院網(wǎng)絡(luò)安全研究中心數(shù)據(jù)安全部主任胡影認為,《數(shù)據(jù)安全法》的一大特點在于兼顧統(tǒng)籌數(shù)據(jù)安全與發(fā)展:一方面厘清隱私保護、數(shù)據(jù)安全鏈條中各主體的法律責任;另一方面也鼓勵數(shù)據(jù)的合法開發(fā)利用,保障數(shù)據(jù)依法自由有序流動。
隨著《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護法》的逐步到位,數(shù)據(jù)安全和隱私保護的監(jiān)管力度正在不斷加大。業(yè)內(nèi)人士認為,頂層設(shè)計正在逐步到位,但要扎緊“數(shù)據(jù)灰產(chǎn)”牢籠,仍需行政監(jiān)管、市場約束、行業(yè)自律、社會監(jiān)督等各方合力。
“從監(jiān)管動向來看,電商、外賣、快遞、打車、連鎖酒店、求職招聘等行業(yè),獲取的信息不僅涉及到用戶隱私安全,還有可能涉及國家安全。”劉剛認為,大公司所獲取的數(shù)據(jù),往往更具有價值,加強企業(yè)對個人信息規(guī)范管理的同時,應推動建立統(tǒng)一的管理系統(tǒng),以保證數(shù)據(jù)使用安全、合法、可追溯。
據(jù)中國信通院云計算與大數(shù)據(jù)研究所副所長魏凱介紹,信通院已牽頭制定《數(shù)據(jù)安全治理能力評估方法》,編制發(fā)布《數(shù)據(jù)安全治理實踐指南》,推出國內(nèi)..數(shù)據(jù)安全治理能力評估(DSG評估)服務(wù),為企業(yè)建設(shè)、度量、改進自身數(shù)據(jù)安全治理體系提供方法論和操作指南,引導企業(yè)從戰(zhàn)略、技術(shù)和制度等角度全面提升安全能力和合規(guī)水平。截止目前,已有20多家頭部企業(yè)積極開展貫標工作。
“對于信息安全行業(yè)而言,應該積極探索如何平衡地利用數(shù)據(jù),既要保護個人隱私、保護單點數(shù)據(jù),又要進一步放大數(shù)據(jù)價值,真正實現(xiàn)數(shù)據(jù)全流程安全,確保數(shù)據(jù)可用不可見、可用不可取,進而發(fā)揮更大的政企數(shù)據(jù)賦能作用。”安恒信息董事長范淵說。
轉(zhuǎn)自人民網(wǎng)
當前位置:
熱門推薦
