資料交易灰色產業勃興, 個人資訊洩露觸目驚心, 如何轉向正軌?
整肅資料產業鏈文 | 財新記者 張宇哲 吳雨儉 彭駸駸前言
“大數據時代, 人人都在‘裸奔’。 ”一句無奈的玩笑話, 折射出大資料的洪流之下, 個人隱私資訊被嚴重盜用、濫用的現實。
公安部最近披露消息:自今年3月公安部部署開展打擊整治駭客攻擊破壞和網路侵犯公民個人資訊犯罪專項行動以來, 截至目前, 全國共偵破侵犯公民個人資訊案件和駭客攻擊破壞案件1800餘起, 抓獲犯罪嫌疑人4800餘名, 查獲各類公民個人資訊500多億條。
此類案件三大特點:一是駭客入侵網站非法竊取公民個人資訊犯罪活動增多,
近日, 備受關注的蘋果中國公司內部多名員工買賣個人資訊一案, 已開庭審理。 此案涉及蘋果國內直銷公司及蘋果外包公司員工20多人, 利用蘋果公司內部系統平臺, 非法查詢蘋果手機關聯的手機號碼、姓名、Apple ID等資訊, 再將資訊以每條10元-180元不等的價格售賣, 初步查明涉案金額達5000萬元以上。
業內人士透露, 這類犯罪團夥往往是倒賣個人資訊的“資料黑產”安插進公司內部的。 “不過, 從整個資料產業來看, ‘內鬼’案件還算是個案, 更普遍的是整個大資料行業成體系地變相買賣個人資訊。
何謂“資料黑產”, 還無官方定義。 一般把駭客盜取或直接倒賣個人資訊的行為稱為“黑產”。 時下大資料公司流行的對外提供身份驗證、“黑名單”服務等市場化行為, 並不屬於“黑產”。
但在多位資深律師看來, 由於普遍涉及侵犯個人隱私, 缺乏規範授權, 個人資訊交易未經過“脫敏”、明示細化授權, 屬變相買賣。 所以, 嚴格來說, 大資料公司的部分資料服務或可稱為“灰產”, 在這一需求之下, 催生了近年龐大的“資料黑產”。
……
上篇
大資料生態圈
大資料風控公司的興起, 始於2013年互聯網金融的火爆。
尤其近來網貸平臺、消費金融機構線上獲客需求暴增, 並倒逼傳統銀行轉型,
……
中篇
資訊洩露溯源
無論是線上獲客還是風險防範,
“身份資訊和手機號是查詢量和需求最大的。 ”業內人士介紹。 90%的個人資訊都在國家部門, 個人身份資訊對外輸出的官方管道通常有三個, 分別由三個不同部門管理:一是公安部下屬的全國公民身份證號碼查詢中心(下稱身份證查詢中心), 行話稱提供“二要素”驗證, 即姓名和身份證號碼相對應;二是電信實名制下, 來自三大移動通信運營商的手機號碼和姓名、身份證號對應, 即“移動三要素”驗證;三是來自銀行的銀行卡和姓名、身份證號、手機號對應, 業內稱為“四要素”驗證, 即銀行的KYC(瞭解你的客戶)實名制, 這是開立I類銀行帳戶必須具備的。
“當一些國家機關或部門對外開放介面級的批量查詢業務, 從技術上操作, 其他人從其許可的查詢機構那裡‘撞庫’, 就很容易可以獲得資訊。 ‘撞庫’是門檻很低的技術, 駭客還可以利用部分互聯網使用者‘多家網站同一個用戶名和密碼’的習慣, 去試探別的網站資料庫。 ” 美國三大征信機構之一益博睿中國的一位高管表示。
以身份證查詢中心為例。 據多位業內人士介紹, 身份證查詢中心是事業單位, 對外正式授權身份核驗服務的有八家代理商, 業內號稱“八大金剛”——國政通、證通公司、上海爰金、北京英泰、上海駿聿、中勝信用, 江蘇法華、宇信易誠。 除了證通公司由證監會監管, 其他七家不受金融監管。
……
下篇
整肅開始了
6月1日起實施的《網路安全法》和“兩高”司法解釋,將對資料行業現行做法產生巨大衝擊。若按照“兩高”司法解釋的較低入罪門檻,大多數大資料公司都違法。“這次史無前例,所有的大資料公司都很關注。”前述公安大學教授表示。
早在2013年2月,涉及個人資訊的處理已有法可依——工信部聯合多家單位制定的《資訊安全技術公共及商用服務資訊系統個人資訊保護指南》(下稱《指南》),成為中國首個個人資訊保護標準。
《指南》明確將個人資訊分為個人一般資訊和個人敏感資訊(包括身份證號碼、手機號碼、種族、政治觀點、宗教信仰、基因、指紋等),並提出默許同意和明示同意的概念。對於個人一般資訊,默許同意便可收集和利用;對於個人敏感資訊,則需明示同意;而且在達成個人資訊使用目的之後必須刪除。但由於《指南》屬於指導性檔,並未強制執行。
此次“兩高”司法解釋第五條對“公民個人資訊”作了進一步區分:行蹤軌跡資訊、通信內容、征信資訊、財產資訊為重要資訊,住宿資訊、通信記錄、健康生理資訊、交易資訊等為敏感資訊;並首次明確了公民個人“財產資訊”屬於最嚴格保護的範疇,而且指出財產資訊既包括傳統銀行帳戶,也包括協力廠商支付結算帳戶。
……
本文為2017年8月7日出版的《財新週刊》封面文章
財小新提示:
想閱讀全文?有兩種方式可選。
1,註冊財新網通行證,每月即可免費閱讀五篇《財新週刊》文章。
未經許可,禁止進行轉載、摘編、複製及建立鏡像等任何使用。如需轉載,請通過向本公眾號後臺申請並獲得授權。歡迎轉發朋友圈
6月1日起實施的《網路安全法》和“兩高”司法解釋,將對資料行業現行做法產生巨大衝擊。若按照“兩高”司法解釋的較低入罪門檻,大多數大資料公司都違法。“這次史無前例,所有的大資料公司都很關注。”前述公安大學教授表示。
早在2013年2月,涉及個人資訊的處理已有法可依——工信部聯合多家單位制定的《資訊安全技術公共及商用服務資訊系統個人資訊保護指南》(下稱《指南》),成為中國首個個人資訊保護標準。
《指南》明確將個人資訊分為個人一般資訊和個人敏感資訊(包括身份證號碼、手機號碼、種族、政治觀點、宗教信仰、基因、指紋等),並提出默許同意和明示同意的概念。對於個人一般資訊,默許同意便可收集和利用;對於個人敏感資訊,則需明示同意;而且在達成個人資訊使用目的之後必須刪除。但由於《指南》屬於指導性檔,並未強制執行。
此次“兩高”司法解釋第五條對“公民個人資訊”作了進一步區分:行蹤軌跡資訊、通信內容、征信資訊、財產資訊為重要資訊,住宿資訊、通信記錄、健康生理資訊、交易資訊等為敏感資訊;並首次明確了公民個人“財產資訊”屬於最嚴格保護的範疇,而且指出財產資訊既包括傳統銀行帳戶,也包括協力廠商支付結算帳戶。
……
本文為2017年8月7日出版的《財新週刊》封面文章
財小新提示:
想閱讀全文?有兩種方式可選。
1,註冊財新網通行證,每月即可免費閱讀五篇《財新週刊》文章。
未經許可,禁止進行轉載、摘編、複製及建立鏡像等任何使用。如需轉載,請通過向本公眾號後臺申請並獲得授權。歡迎轉發朋友圈