近年來，隨著數(shù)據(jù)安全法、個(gè)人信息保護(hù)法等一系列法律法規(guī)相繼出臺(tái)實(shí)施，我國信息安全事業(yè)取得長足發(fā)展。但是，一些掌握大量用戶數(shù)據(jù)的機(jī)構(gòu)在網(wǎng)絡(luò)安全防護(hù)中措施不足，導(dǎo)致用戶數(shù)據(jù)被不法分子竊取。不法分子將獲取的用戶數(shù)據(jù)分門別類打上標(biāo)簽，再以諸如“婚戀報(bào)告”“風(fēng)險(xiǎn)報(bào)告”等形式對外出售，破壞網(wǎng)絡(luò)安全生態(tài)。

相較于過去“打包販賣”用戶敏感數(shù)據(jù)的方式，當(dāng)前網(wǎng)絡(luò)黑市以買家實(shí)際需求為導(dǎo)向，以“生成報(bào)告”的形式出賣個(gè)人信息。為什么我們的個(gè)人隱私總能被不法分子“輕易”獲取？記者就此展開調(diào)查。

網(wǎng)絡(luò)安全形勢仍不容樂觀

“提供身份證號(hào)，可查指定人征信、戶籍信息。”“婚姻狀態(tài)可查，USDT（一種虛擬貨幣）、微信、支付寶均可支付。”剛剛加入某境外通訊軟件的聊天群，就有群成員迫不及待發(fā)來招徠私信。

在一位賣家發(fā)來的“個(gè)人信用報(bào)告”的預(yù)覽版中，除姓名、性別、手機(jī)號(hào)等信息外，還細(xì)致記錄了每個(gè)人的工作崗位、公積金和社保繳納記錄、借貸額度等高度隱私內(nèi)容。“這些報(bào)告可用于精準(zhǔn)電話營銷。”該賣家說。

來自奇安信的數(shù)據(jù)顯示，2024年全年境內(nèi)政企機(jī)構(gòu)共發(fā)生個(gè)人信息泄露風(fēng)險(xiǎn)事件112起，涉及個(gè)人信息數(shù)據(jù)266.9億條，盡管這一數(shù)據(jù)較2023年減少54.5%，但是海量的數(shù)據(jù)泄露問題反映出政企機(jī)構(gòu)的網(wǎng)絡(luò)安全形勢仍不容樂觀。

個(gè)人信息數(shù)據(jù)的頻繁泄露，不僅嚴(yán)重侵害公民隱私，帶來網(wǎng)絡(luò)詐騙風(fēng)險(xiǎn)，還可能對國家安全帶來威脅。“大量個(gè)人信息數(shù)據(jù)的匯聚、關(guān)聯(lián)和再組織，可以形成精準(zhǔn)的人物畫像，還可以將人與人之間的關(guān)系網(wǎng)絡(luò)描繪出來。這就讓不法分子更容易鎖定目標(biāo)群體、找到突破口。”奇安信安全專家裴智勇說。

此外，一些黑灰產(chǎn)還利用大數(shù)據(jù)和人工智能等技術(shù)，抓取和匹配個(gè)人的隱私圖片和視頻。有不法分子聲稱“只要一張照片就能查詢你的另一半有沒有外遇”，以此牟取不法利益。“通過網(wǎng)絡(luò)爬蟲技術(shù)獲取一些網(wǎng)站上的公開視頻和圖片資料，再進(jìn)行人臉識(shí)別比對，這實(shí)際上侵害了當(dāng)事人的隱私權(quán)。”中國科學(xué)技術(shù)大學(xué)網(wǎng)絡(luò)空間安全學(xué)院教授左曉棟說，不法分子有可能利用泄露的個(gè)人信息和肖像進(jìn)行惡意匹配，由此形成的所謂“婚戀報(bào)告”也觸及法律紅線。

不法分子利用“數(shù)據(jù)接口”等渠道竊取數(shù)據(jù)

在落實(shí)網(wǎng)絡(luò)安全主體責(zé)任過程中，過去常見的“拖庫”漸漸少了，取而代之的是利用數(shù)據(jù)接口等渠道進(jìn)行“螞蟻搬家”式的個(gè)人信息竊取。

姓名、身份證號(hào)、手機(jī)號(hào)、常用地址……在中國電子技術(shù)標(biāo)準(zhǔn)化研究院網(wǎng)安中心的一例安全測評(píng)中，測試人員發(fā)現(xiàn)有6萬份訂單數(shù)據(jù)有可能來自某平臺(tái)的數(shù)據(jù)接口泄露。

所謂數(shù)據(jù)接口，就是機(jī)構(gòu)傳輸、共享數(shù)據(jù)時(shí)輸入和輸出數(shù)據(jù)的對接口，也就是數(shù)據(jù)出入的“大門”。“如果把這扇門看住了，來來往往的數(shù)據(jù)就都能被調(diào)閱。”中國電子技術(shù)標(biāo)準(zhǔn)化研究院網(wǎng)安中心測評(píng)實(shí)驗(yàn)室副主任何延哲告訴記者，一些機(jī)構(gòu)在設(shè)置數(shù)據(jù)接口時(shí)缺少身份認(rèn)證、訪問控制等安全措施，導(dǎo)致黑客能夠隨時(shí)“劫持”接口并獲取實(shí)時(shí)數(shù)據(jù)。

在何延哲及其技術(shù)團(tuán)隊(duì)以往隨機(jī)測試的數(shù)據(jù)接口中，存在安全問題的不在少數(shù)。“相較于‘陳年數(shù)據(jù)’，通過數(shù)據(jù)接口獲取的實(shí)時(shí)數(shù)據(jù)更新，在黑灰產(chǎn)上售賣的價(jià)格也會(huì)更高。”何延哲說。

在某不法論壇網(wǎng)站中，有人開設(shè)了專門群組用以分享各類數(shù)據(jù)接口。通過其所分享的數(shù)據(jù)接口，不法分子可獲取指定人員的社保信息、生育信息、車險(xiǎn)購買信息等敏感數(shù)據(jù)。

各類機(jī)構(gòu)在打造數(shù)字化平臺(tái)時(shí)缺乏網(wǎng)絡(luò)安全思維，部分敏感數(shù)據(jù)缺乏高等級(jí)保護(hù)，而通過數(shù)據(jù)接口竊取數(shù)據(jù)等不法操作并不需要多高的技術(shù)門檻。“有的平臺(tái)存在安全問題的數(shù)據(jù)接口長期‘暴露’在外，掌握一些基礎(chǔ)攻擊手段的黑客就能通過不安全的數(shù)據(jù)接口直接獲取平臺(tái)最新用戶數(shù)據(jù)。”何延哲說，把數(shù)據(jù)接口“保護(hù)起來”并非難事，不過由于缺乏對數(shù)據(jù)接口的安全風(fēng)險(xiǎn)監(jiān)測，機(jī)構(gòu)在大多數(shù)情況下難以意識(shí)到自己的數(shù)據(jù)接口可能已經(jīng)被網(wǎng)絡(luò)黑灰產(chǎn)惡意利用了。

此外，合作伙伴和機(jī)構(gòu)“內(nèi)鬼”也是數(shù)據(jù)泄露的重要渠道之一。2020年7月，某快遞企業(yè)員工私自向不法分子有償出借工作賬號(hào)，致使超過40萬條公民個(gè)人信息泄露。“各類機(jī)構(gòu)在獲取用戶數(shù)據(jù)后，往往會(huì)和合作伙伴共享，以獲取數(shù)據(jù)的最大利用價(jià)值。”裴智勇說，在數(shù)據(jù)共享過程中，部分合作伙伴未完全遵守網(wǎng)絡(luò)安全協(xié)議，進(jìn)而導(dǎo)致用戶數(shù)據(jù)泄露。同時(shí)，一些網(wǎng)絡(luò)黑灰產(chǎn)和機(jī)構(gòu)“內(nèi)鬼”相勾結(jié)，倒賣用戶數(shù)據(jù)。“在互聯(lián)網(wǎng)知識(shí)共享平臺(tái)上發(fā)生的數(shù)據(jù)泄露事件中，這兩種方式占比超過一半”。

一些機(jī)構(gòu)在源頭端過度收集用戶數(shù)據(jù)，導(dǎo)致敏感數(shù)據(jù)過度集中。國內(nèi)知名個(gè)人信息保護(hù)專家、清華大學(xué)法學(xué)院教授勞東燕認(rèn)為，部分信息收集機(jī)構(gòu)以包括“提升服務(wù)體驗(yàn)”在內(nèi)的各種理由要求用戶或消費(fèi)者“一攬子授權(quán)”，是造成數(shù)據(jù)泄露的根本原因。2021年，個(gè)人信息保護(hù)法正式實(shí)施，其中明確規(guī)定“收集個(gè)人信息，應(yīng)當(dāng)限于實(shí)現(xiàn)處理目的的最小范圍，不得過度收集個(gè)人信息”。“這個(gè)‘最小范圍’的解釋權(quán)目前看仍然在收集數(shù)據(jù)的機(jī)構(gòu)，而不是在用戶或者消費(fèi)者手上”。

徹底斬?cái)嗌煜騻€(gè)人隱私的黑手

隨著法律法規(guī)的日益完善，近年來我國打擊涉公民個(gè)人信息犯罪工作成效顯著，一批以兜售公民個(gè)人信息牟利的不法分子受到法律嚴(yán)懲。

2024年，四川成都警方偵破侵犯公民個(gè)人信息、非法控制計(jì)算機(jī)信息系統(tǒng)等網(wǎng)絡(luò)犯罪案件1201起，依法采取刑事強(qiáng)制措施1116人；山西長治警方在2024年輾轉(zhuǎn)多地，成功打掉一個(gè)特大侵犯公民個(gè)人信息及掩飾、隱瞞犯罪所得犯罪團(tuán)伙，抓獲犯罪嫌疑人10名，扣押涉案資金500余萬元；同年，安徽合肥警方偵破特大侵犯公民個(gè)人信息案，抓獲犯罪嫌疑人11名，查獲涉案金額120余萬元，保護(hù)了公民個(gè)人信息百萬余條……

提升機(jī)構(gòu)網(wǎng)絡(luò)安全防護(hù)能力，構(gòu)筑數(shù)據(jù)安全防火墻。裴智勇等專家建議，政企機(jī)構(gòu)應(yīng)進(jìn)一步完善網(wǎng)絡(luò)安全的制度建設(shè)，確保責(zé)任到崗、到人。在出現(xiàn)網(wǎng)絡(luò)安全事件后，及時(shí)向國家有關(guān)部門報(bào)告，盡可能減少因數(shù)據(jù)泄露給用戶和社會(huì)帶來的損失。

減少前端數(shù)據(jù)收集，從源頭降低數(shù)據(jù)泄露風(fēng)險(xiǎn)。“比如點(diǎn)外賣，有手機(jī)號(hào)、有地址，確保外賣能送到，就不應(yīng)該獲取其他信息。”勞東燕建議，根據(jù)個(gè)人信息保護(hù)法等法律法規(guī)要求，數(shù)據(jù)收集應(yīng)遵循“最小必要原則”，有關(guān)部門可根據(jù)數(shù)據(jù)實(shí)際使用場景，明確相應(yīng)的數(shù)據(jù)收集范圍，為“最小必要”設(shè)定標(biāo)準(zhǔn)。

強(qiáng)化隱私保護(hù)意識(shí)，對過度收集、濫用數(shù)據(jù)等行為說“不”。何延哲建議，機(jī)構(gòu)和網(wǎng)絡(luò)平臺(tái)等應(yīng)從用戶和消費(fèi)者角度出發(fā)，更加重視個(gè)人信息保護(hù)，決不能為了蠅頭小利出讓個(gè)人信息權(quán)益。對明顯存在過度收集用戶信息和潛在的侵犯公民個(gè)人信息的違法犯罪線索，網(wǎng)絡(luò)用戶可及時(shí)向互聯(lián)網(wǎng)管理部門和公安部門舉報(bào)。