“出全球数据”“无上限收数据”——言狂意妄的数据黑市“料商”,正持续受到监管的严厉打击。
1月19日,国家发展改革委等九部门联合发布《关于推动平台经济规范健康持续发展的若干意见》,明确严厉打击平台企业超范围收集个人信息、超权限调用个人信息等违法行为。从严管控非必要采集数据行为,依法依规打击黑市数据交易、大数据杀熟等数据滥用行为。
这是时隔一周政策再次强调打击数据黑市——1月12日正式发布的《“十四五”数字经济发展规划》提出,严厉打击数据黑市交易,营造安全有序的市场环境。
数据被明码标价售卖
在多数人眼里,数据的经济价值难以明确量化。不过,在数据黑市里,数据却被“明码标价”。比如,在某QQ群里有人发布消息称,“爬外卖App商家数据的捞一个, 价为3分/条,一次性收北京地区全部外卖店铺。”
值得注意的是,除了QQ群,境外加密聊天软件也成为数据黑市交易的联络平台。例如,通讯软件Telegram因提供用户匿名、信息端对端加密、聊天信息定时销毁、“阅后即焚”等功能,被大量“料商”所采用。
黑市数据从何而来?
广州白云法院于2021年4月份公布的一起裁决,就揭露了“内鬼”泄露数据的“升级版本”。自2020年6月份起,蒋某、巫某、彭某、王某、刘某在广州市尖彭路某公寓A1115房,由蒋某担任老板,向他人购买某招聘 站的账 ,由刘某、王某使用上述账 在该 站发布大量虚假招聘信息收集应聘者的公民个人信息,再由蒋某、巫某、彭某将收集的信息贩卖牟利。蒋某等人非法获取、销售含姓名和电话 码的公民个人信息数量合计42790条。
针对黑客攻击的手段,360数科知微实验室安全专家对《证券日 》表示,一般黑客会通过攻击企业的相关后台、数据库等获取数据,这种方式有时也被黑产从业者称为“爬虫”,但并非通常意义上的“爬虫”。此类数据价格不定,单条最高能卖到15元,不过,真假混杂,大部分为虚假或伪造信息。
“当前黑市交易的短信和SDK(软件开发工具包)数据,因信息真实性较高、质量较好,是黑市流转的主流数据,在黑产高质量数据类型中分别占比67%、22%,尤其是短信类数据,在黑市最‘吃香’。”360数科知微实验室安全专家表示,短信类数据的主要泄露源头为各类不合规或管理不规范的代理商平台,泄露途径包括平台被黑客攻击、渗透或内部泄露等。
“黑市”规模估计已超1500亿元
据360数科知微实验室安全专家介绍,在获取环节,产业链中存在不少规模化运作的数据提供公司,主要贩卖DPI、SDK、微信好友等信息,他们拥有自己的官 ,有至少5个客户群组、1万个以上账 关注;在贩卖环节,数据贩卖商会开发专门的后台软件,用于各下游代理商下载相关数据。
正义 于2021年12月份公布的一则消息,就揭露了这条黑色产业链的冰山一角。2019年,田某在通过“暗 ”购买了其他黑客非法获取的某科技公司账户数据库后,不断完善该数据库,再通过“暗 ”以加密通讯工具联络、比特币结算的方式多次贩卖牟利。据悉,该数据库包含公民个人信息6亿余组。
公安部近期公布的一批2021年侵犯个人信息典型案例,也揭露了不法分子从数据获取到出售获利的全流程。其中一个案例显示,犯罪嫌疑人何某利用为相关单位、企业建设信息系统之机,非法获取医疗、出行、快递等公民个人信息数十亿条,搭建对外提供非法查询服务的数据库,通过“暗 ”发布广告招揽客户,出售牟取不法利益。
数据黑产不仅有一条自己的完整产业链,还常常作为其他黑产的上游。
“随着近年来我国互联 渗透率越来越高, 络流量不断增长,尤其是以智能手机为代表的移动互联 数据流量保持高速增长,2021年我国移动互联 流量已经超过2000亿GB,同比增长30%以上。数据流量的不断增长,也加速了数据黑产的规模扩张,由此估计2021年我国数据黑色交易的市场规模已经超过1500亿元。”方孙维表示。
数据黑市交易为何屡禁不止?
在无锡数字经济研究院执行院长吴琦看来,数据黑市通过“内鬼”、 络技术、黑客等多种渠道完成数据流入、进行不法交易,技术丰富、途径多变,给执法部门的监管带来了巨大困难。
实际上,打击数据黑市交易,两个核心问题就是个人信息保护与数据安全。围绕这两个问题,我国不断完善相关法律法规,最早可追溯至2013年的《征信业管理条例》《电信和互联 用户个人信息保护规定》,此后陆续有《中华人民共和国 络安全法》《中华人民共和国电子商务法》《App违法违规收集使用个人信息行为认定方法》等。
在刚刚过去的2021年,我国相继颁布、施行了多项相关法律法规。从年初施行的《民法典》到年底的《中华人民共和国个人信息保护法》,其间还有《征信业务管理办法》《常见类型移动互联 应用程序必要个人信息范围规定》《中华人民共和国数据安全法》《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》等数部法律法规。此外,还有《 络数据安全管理条例(征求意见稿)》。
业界:对合法数据需求建立渠道
应该如何有效防范数据泄露?360数科知微实验室安全专家表示,“由于数据流通使用涉及多环节、多合作机构,企业需要有效落实法律相关要求,在注重自身数据安全管理的同时,也要把控好第三方合作和管理,完善数据全链路监控和管理体系,积极与监管机构、公安等合作,打击治理数据黑灰产。”
孟博表示,电信业务经营者、互联 信息服务提供者等应当严格遵守相关法律法规的规定,切实落实主体责任,对所收集的用户信息严格保密,并建立健全用户信息保护制度。
值得一提的是,多家互联 企业已采取实际行动履行信息保护义务。去年7月6日,阿里巴巴开放平台发布《依法加强消费者订单中敏感信息保护的公告》称,将启动订单处理链路的消费者敏感信息保护方案,对涉及消费者个人敏感信息采取加密、去标识化等安全技术措施;随后在7月9日,京东发布《JD用户订单隐私安全方案》,京东商家开放平台将对订单中的手机 和座机 进行脱敏。
对于普通用户而言,为防范平台侧的数据泄露,360数科知微实验室安全专家建议,需要牢记密码安全三原则:一是密码需要包含字母、数字和符 ;二是避免多账 使用同一密码;三是定期更换密码。另外,为防范电信诈骗,下载App和访问 站时要认准官方渠道,不要误点可疑链接和不明来路的二维码。
盘和林则从另一个角度给出了建议,在他看来,打击数据黑市,不仅要加强对非法数据和个人隐私信息获取行为的打击,也要对合法数据需求建立渠道,并强化监管。
安全服务需求快速增长
2021年11月30日,工信部印发的《“十四五”大数据产业发展规划》指出,“十三五”时期我国大数据产业取得了重要突破,但仍然存在一些制约因素。其中包括“安全机制不完善,数据安全产业支撑能力不足,敏感数据泄露、违法跨境数据流动等隐患依然存在”。同时,文件还明确了“十四五”时期六大任务,其中之一是“筑牢数据安全保障防线”。
1月12日正式发布的《“十四五”数字经济发展规划》进一步提出,“建立健全数据安全治理体系,研究完善行业数据安全管理政策”,同时要“进一步强化个人信息保护,规范身份信息、隐私信息、生物特征信息的采集、传输和使用,加强对收集使用个人信息的安全监管能力”。
有机构预计,我国数据安全市场规模有望在2023年达到97.5亿元。盘和林认为,在此背景下,数据收集、数据处理(涉及清洗、打包、脱敏等)、数据使用(AI和数据分析)以及数据安全公司等,将在未来有更好的发展机遇。
“数据备份、加密、访问控制、密码等基础数据安全产品的需求有望持续提升,相关领域上市公司或将迎来下游需求的快速增长。”方孙维表示。
目前A股市场上已有不少 络安全相关上市公司,包括深信服、安恒信息、奇安信、绿盟科技、启明星辰、美亚柏科、拓尔思等。
安恒信息近期也在投资者互动平台上表示,数据安全是保障信息技术应用稳定发展的前提和关键,是公司布局的战略方向之一,目前公司通过智能化管理平台,在技术层面实现了风险核查能力、数据梳理能力、数据保护能力以及数据威胁监控预警能力等四大核心能力的建设,在业务层面,实现对数据采集、传输、存储、处理、交换、销毁等全生命周期的管理。
吴琦建议,在数据要素市场建立健全的过程中,数据安全及数据治理公司应当抓住机会,结合政策,探索发展出一条安全可靠的数据交易机制。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!