你或你公司的数据如何被泄露、被利用,谁因此发财致富?这个地下数据产业如何运转、进化,新出台的严刑峻法能否将其遏制?
2017年6月1日之后,一群做大数据地下产业的数据采集者和数据掮客常常聚在一起讨论两条最新出台的法规,惶惶不可终日。
6月1日,中国 络领域的基础性法律《中华人民共和国 络安全法》(下称《 安法》)和与之配套的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(下称《两高个人信息司法解释》)开始生效实施。
新法规对倒卖个人信息数据的惩罚几乎已经达到了“一刀切”的程度,入罪门槛极低:非法获取、出售或提供行踪轨迹信息、通信内容、征信信息、财产信息50条以上的即入罪。
在他组的各种局里,主要议题是如何换数据、洗数据、做数据补全。但明面上,他是一家创业公司的核心成员。
据不完全统计,国内个人信息泄露数达55.3亿条左右,平均每人就有四条相关的个人信息泄露,这些信息最终的命运,是在黑市中反复倒手,直至被榨干价值。
其中,80%的数据泄露自企业内鬼,黑客仅占20%。
《 安法》颁布已有数月,相关细则也在陆续出台。7月下旬,中央 信办联合四部门开展互联 隐私条款专项工作。微信和微博作为首批测评对象,分别在9月中旬更新了用户隐私条款,规范了用户数据使用办法。
监管的口子越收越紧,但大数据地下产业的冬天真的来了吗?
内鬼猖獗
《 安法》生效后,仍然有大量渠道可以进行地下数据交易。这个“地下黑 ”日交易额可达上亿元,整体规模难以估测
7月底,《 安法》颁布快两个月时,一家针对商务人士的培训公司市场负责人孟先生在几家面对高端读者的媒体上投放广告,但此后一个星期,没有接到一通打来咨询的电话。
多方打听之后,他换了一种渠道,去购买一些目标用户的个人信息数据,尝试“精准营销”。
7月24日晚,他在南京的一家 站上留言,希望购买一些个人信息数据,并留下了联系方式。
第二天一早,电话就打过来了。这个电话将他一步步带入数据地下产业。
打电话过来的人是该公司的销售人员,针对孟先生想要高净值人群信息的需求,他提出,可以提供经常出入别墅、高端酒店和高尔夫球场等场景的个人信息数据,包括手机Mac地址和Imei地址。
Mac是Media Access Control的缩写,是手机 卡的身份证 ,用来定义 络设备的位置,具有全球唯一性。Imei是International Mobile Equipment Identity的缩写,是由15位数字组成的电子串 ,一个 码对应一台移动电话机,具有全球唯一性。
通过Mac地址和Imei地址可以直接进行 络营销,被获取手机地址的人,只要打开 站,就能收到相关推送,而不是通过个人搜索行为来进行广告推送——这是目前多数大数据营销的正常手段。
这家南京公司的 价是Mac地址0.2元一条,Imei地址0.25元一条。
孟先生觉得这种方式效率还是太低。他询问对方能否直接提供目标人群的手机 ,对方犹豫了,表示最近抓得很紧,手机 这类个人信息比较敏感,风险太高。
不过,这位销售人员提供了另外一条路径。
他说自己的公司与一家 称是上海联通呼叫平台的公司有合作。孟随即与之联系,呼叫平台相关人员告诉孟先生,他们可以通过南京公司提供的Imei地址定位到具体的手机 。
呼叫平台工作人员告诉孟先生,由于近期风声紧,他们只接大单,目前上海本地的订单已经不接了,低于100万元的订单也不能接了,但是这类小订单还可以通过合作平台来接,一个 码收费10元。但他强调,如果订单量够大,可以把价格降到一半以下。
用这样的方式进行电话营销,需要孟先生提供一个8位数的联通座机 码,信息被卖掉的手机 机主接到电话时均显示此 码。为了增加通话率,降低投诉率,他们还能提供闪信服务,在拨通电话前添加企业名片。
闪信在十几年前就出现了,是一种免费的短信服务,发送给用户的信息可直接显示在其手机屏幕上,阅读后信息不自动保存。但是由于通过闪信发送的骚扰信息太多,不少手机厂商已经开启了闪信屏蔽功能。
呼叫平台人员向孟先生强调,可以直接通过他们的标签来找目标人群,不需要先从南京公司那边购买Imei地址再给他们转成手机 ,他们自己就可以通过联通用户的数据,比如地理位置、轨迹,以及通信费用占比,甚至包括交通工具等信息,来判断目标人群的收入和喜好来进行用户画像。
仅靠联通的数据会相对单一,上述呼叫平台工作人员透露,他们也在做数据整合优化的工作,正在与银联、学信 (高校学生信息 站)进行数据整合,这样可以让用户画像更加精准。这意味着,银联、学信 也出现了“内鬼”,而且他们之间达成了合作。
呼叫平台人员还向孟先生强调,他们也接过银行的订单,但是营销效果如何他并未跟进,也未透露具体的客户信息。
“过去一些运营商的数据库内部人能直接访问,现在要求内外 隔离,生产库查询库隔离,堡垒机审计,就是为了避免内鬼往外倒腾数据。”他说。
黑客生态
一线黑客多是学历低下、没有固定工作的年轻人,赚来的黑钱大半被“师父”拿走,而“师父”之上还有“师父”
除了公司内部和外包公司,另一个容易出问题的是经销商。
今年6月,广东苍南警方称,他们在今年1月发现有苹果公司国内员工涉嫌以非法手段获取苹果手机关联的个人信息。涉案的22人中有20人在苹果国内直销公司及苹果外包公司工作。警方没有披露余下两人的相关信息。
遭售卖的信息包括苹果手机关联的手机 码、姓名、Apple ID等,警方未提到这些信息中是否包含密码和信用卡卡 这样的金融信息,如果此类信息也遭售卖,就表明这些犯罪嫌疑人能够获取苹果内部数据,后果也更加严重。
分类信息 站58同城在今年3月遭遇的信息泄露事件,则是典型的爬虫问题。有需求的个人或公司,只需在淘宝上支付700元购买一种爬虫软件,用卖家提供的账 登录后就能不断采集应聘者的相关信息,该软件每小时可以采集数千份用户数据。
事件曝光后,58集团立即回应,称将追查并加固信息安全系统,提升防爬虫技术手段,进一步区隔个人信息物理存档。
具体的价格是,简单清洗去重的数据1000条售价50元,可议价,大量购买价格更优惠。
黑客窃取数据是传统方式。由于黑客行业的隐秘性质,国内的黑客多以口口相传的方式来发展新队伍。目前真正“奋战”在一线的黑客大多以学历低下,没有固定工作的年轻人为主,他们或经人介绍,或在逛论坛时偶然结识一个提供黑客软件的“师父”,简单学习之后,加入黑客队伍。
“师父”之上还有“师父”,这样一条自上而下的体系直接导致了黑客体系里严重分赃不均,前述经验超过十年的地下数据从业者就曾是一个小黑客,起初他对自己的技能颇为自豪,慢慢他发现,“师父”通过给他的那个软件,完全掌控他获得的数据,再加上他没有成熟销售渠道,每个月能赚到的钱少得可怜。
一开始,他会黑一些 站的信息数据,例如教育局内 里的学生信息数据,转手卖给需要这类数据的公司。随着技术越来越娴熟,业务越来越多,大学期间他开始连续创业,做了几个没什么收入的项目,他也多以“创业者”身份示人,但他的另一只手仍在操纵数据地下交易的生意。
从目前的行情来看,上述案例中,疑似联通呼叫平台有标签的用户信息10元一条,属于低价数据,这位资深人士手里的精准用户信息,可以卖到1000元一条。
从黑客到中介,从数据挖掘到数据清洗,地下数据产业链条的每个环节,这位人士都熟知,据他透露,如果有运营商的内部关系,加上一定的渠道资源,赚钱并不难。
但今年6月1日之前,他就嗅到了危险的气息,赶紧把风险较大的业务全部停掉,清除痕迹,戴上了“白帽子”。不过,他并未完全放弃这摊生意,而是将自己的数据交易公司用CRM的方式管理起来,保证每个数据源头都查不到任何破绽。现在,他只做大公司的生意,这些大客户要求严格,不会接受任何违法数据。
但他没想到,有一天他会栽在“同行”手里。
今年早些时候,通过客户反馈,他发现自己的公司也出现了“内鬼”,一名公司员工将客户资料卖给了竞争对手公司,直接导致他丢掉一个200万元的单子。
他很生气,威胁将这名员工告上法庭,最终得到一大笔赔偿金。事后,他将公司整个CRM系统重新整合,现在即使是他也看不到客户的手机 ,所有的短信和电话都通过系统的内置功能来进行。不仅如此,所有员工的行为都会被自动记录,哪个账 查看了用户资料,哪个客服拉取的数据量高于其他人,或是搜索其他客户经理的资料,都会被调出来仔细排查。
黑产进化
传统地下数据产业人士称这些大数据公司为“简单粗暴的暴发户”,“他们太有钱了,本来我们都是小作坊的模式,他们一进来,把我们的生意全都挤没了。”
对上述地下数据产业人士而言,政策法规收紧只是促使他转型的因素之一,更重要的原因是,他发现这池水越来越浑了——新型大数据公司入局,打破了传统的地下数据交易 络。
芝麻数据并不直接交易涉及到公民身份的信息(包括手机 、身份证 等),不完全属于“地下”,但公司的触角已经伸到了地下。这样的大数据公司是数据地下世界的新人。
今年5月31日,《 络安全法》施行前夕,新三板上的大数据公司数据堂(831428)被传因泄露用户信息公司高管被带走调查。原因是涉嫌给一家理财营销公司提供大量个人隐私数据,包括身份信息、消费信息等。
根据公开资料,数据堂成立于2011年,于2014年12月在新三板上市,并在中美两地建立了4家子公司和5个数据处理中心。
数据堂公司官 称,其商业模式是“依托自身的数据资源、技术研发优势及丰富的市场运营经验,打通数据获取、数据处理、数据服务环节,融合和盘活各类数据资源,推动相关技术、应用和产业的创新,实现数据价值最大化”。
5月23日,数据堂的下游客户公司发现,数据堂提供的一些数据接口突然断了,询问如何解决时,得到的回应是:“在调整,等消息。”
有媒体曾经质疑数据堂,为何未公告其高管被调查,影响了部分业务线一事?数据堂今年5月的回应是:“目前还没有出最终的调查结果。”
朱文杰强调:“数据堂不是一家数据交易公司,而是基于人工智能技术提供定制化的数据服务。”
但他说,随着需求被放大,整个地下数据产业开始变成半公开化了。
苏州的一家大数据公司成立于2011年底,2013年就已经开始盈利,2016年注册用户60万,年营收过亿元。其市场优势是数据全面、价格便宜。
这家公司顶着明星创业公司的光环,不仅拿到巨额融资,还是苏州工业园区的重点引进项目。
不过,有地下数据产业资深人士透露,能做到数据全面且便宜的原因在于这家公司整合了大量购买数据的小渠道,这些渠道大多不合法。其中包括各种黑客、内鬼,他们通过QQ群、微信群出售数据,还包括以暗 为主的非法 站,他们大量搜刮数据,重新整理后低价出售。
上述地下数据产业资深人士将这些大数据公司称为“简单粗暴的暴发户”,“他们太有钱了,本来我们都是小作坊的模式,这样的公司一进来,把我们的生意全都挤没了。”
该公司官 上最热门的几类数据里包含二代身份证认证与银行卡信息认证,但目前中国有资格进行身份证信息验证的公司只有国政通一家。
这家苏州公司为何能够拥有如此高端精准的个人信息认证体系?一位了解该公司的人士透露,因为他买通了一家国政通的合作公司,通过该合作公司发到国政通进行认证。
这家公司的身份证认证的价格为30万元100万次,据行业人士透露,该公司会进行数据截留,截取其他的信息,然后再进行处理,二次售卖。
这些处于灰色地带的大数据公司的主要客户来自互联 金融行业。
金融行业的获客成本普遍高于其他行业,2013年互联 金融行业开始火爆,模式比传统金融机构更轻,规模扩张也更快。
竞争压力之下,互联 金融公司的获客需求量激增,同时,也需要更快速进行用户身份验证以及贷款资格审查,这些都在一定程度上刺激了灰色大数据公司的发展。
这样的模式无疑进一步刺激了地下数据交易,也导致了大数据行业“劣币驱逐良币”的现象。如果保证数据获取合法,那么在价格上根本无法与从地下获取数据匹敌,这让很多干净的数据公司几乎毫无竞争力可言。
硬币的另一面是,数据地下产业的快速进化,冒出大型公司,反倒让监管变得更容易下手。
接近权威部门的人员透露,监管部门对非法数据交易和买卖一直都非常重视,但囿于数据价值无法量化评估、交易过程隐蔽等问题,之前没有用一刀切的方式进行监管。
严刑峻法
地下数据交易几乎每笔都不低于50条个人信息,这意味着数据地下从业者只要被抓就可能被刑责
今年6月1日颁布的《 络安全法》,是中国第一部全面规范 络空间安全管理的基础性法律,它将之前仅停留在政策规章层面的数据安全问题法律化了。例如,企业现在收集个人信息必须征得用户同意,否则就是违法。
配套出台的《两高个人信息司法解释》则从刑法层面进一步明确了侵犯公民个人信息行为的定罪量刑标准,为执法扫清障碍。
7月,由 信办、工信部、公安部、国家标准委等四部门共同组织实施了“隐私条款专项工作”,首批审批对象包括新浪微博、淘宝、微信、京东商城、滴滴等十多款热门 络产品。
9月,包括京东、微博、微信在内的多家平台都已经发布新调整的用户隐私条例,明确了会获取用户的哪些信息,以及获取前提(用户同意)。
与《 安法》相比,《两高个人信息司法解释》更令人胆寒,因为它制定了极低的入罪门槛——非法获取、出售或提供行踪轨迹信息、通信内容、征信信息、财产信息50条以上的即可入罪,如果将公民个人信息出售或者提供给他人是公司行为,标准减半,25条即可入罪。
根据《刑法修正案(九)》,“侵犯个人信息罪”的适用刑罚包括两档,第一档量刑为“处三年以下有期徒刑或者拘役,并处或者单处罚金”,第二档量刑为“三年以上七年以下有期徒刑,并处罚金”。
(2016年11月9日,西安市公安局雁塔分局刑侦大队,警方破获贩卖个人信息案。在某房地产公司工作人员陈某的因贩卖个人信息被雁塔公安分局刑拘。民警正在对犯罪嫌疑人陈某进行讯问,陈某对他贩卖个人信息的行为悔恨落泪,办案民警递上纸巾安慰陈某。图/视觉中国)
现实中的地下数据交易,几乎每笔都不低于50条个人信息。某专业人士认为,这意味着,数据地下产业从业者只要被抓,就可能被刑责。
相比之下,日本最高处刑六个月,加拿大和爱尔兰仅处以罚金,美国刑罚虽然和中国差不多重,但仅限于医疗行业,甚至还有部分国家并没有就个人信息保护设立专门的刑事责任体系。欧洲推崇行政监管,美国倚重民事救济。
深圳市刑警大队近期针对违法数据交易展开四次行动,与腾讯、360两家互联 公司提供的手机管家服务合作,一旦出现用户标记“推销”、“诈骗”等标签超过50次的手机 码,就会立即出动调查。
四次大规模行动之后,深圳警方明显感觉到此类举 电话少了很多,而在新法规出台前,接到举 电话也不知道该如何处理。
中国信息通信研究院法律研究中心原副主任、现腾讯研究院资深研究员王融分析,事后重刑与事前预防相结合的好处在于,既利于在全 会建立对个人信息的收集、利用基本规范,也回归了法律救济的应有之义。这正是《 安法》的价值所在。
新形势下,一些曾游走在灰色地带的企业将脚收了回来。
还有一些公司开始依照新法进行合规性检测。汇业律师事务所高级合伙人黄春林表示,今年6月之后,涉及个人信息处理的企业纷纷找上门来,他所在的律师事务所业务量大幅增长。汇业的主业是企业数据规范。
企业主动规范数据使用,这是新法压力下的重大进步。
根据《 安法》,企业有责任确保其收集的个人信息的安全。
如果用户个人信息丢失,企业必须通知用户,用户有权追责;所有企业都需要一个 络安全负责人,此人不应是技术人员,而是创始人或高管等对企业有支配能力的人。
这和欧盟模式类似。欧盟的《一般数据保护条例》规定,在个人数据被广泛使用的情况下,例如被超过250名雇员的企业使用、或者个人数据在特定目的下被持续和系统地收集监控,那么进行数据处理或控制的企业或组织应该任命有专门数据保护知识的数据保护官(Data Protection Officer,DPO)。
欧盟规定,对于以数据处理为核心业务,或日常运营中处理敏感数据的企业,例如互联 、电信、金融、征信、医疗、教育等行业的公司,它们的目标不应只停留在满足合规性要求,还应建立一套相对坚固的防御体系。
王融认为,许多数据泄露是公司内鬼或黑客所为,这种情况不可能禁绝,但公司若有证据显示自己已设立比较完善的数据安全管理体系,相关刑罚就有可能减免。
相对于水面下的见不得光的产业,立法面对的另一个大问题是企业和企业、企业和用户之间的数据确权。
8月4日,华为和腾讯的数据争议曝光。腾讯称,华为正在通过其荣耀Magic智能手机收集微信用户活动信息,以为其AI提供训练数据,例如使手机能够基于用户的短信内容推荐餐厅。
腾讯认为,华为的做法夺取了腾讯的数据,侵犯了微信用户的隐私。华为则表示,自己只有在用户授权的情况下才会收集用户活动信息,这些信息包括微信聊天信息。
不过,对于微信聊天信息这样的私密数据,是否获得用户授权就有权抓取用户信息,目前法条并没有一个明确的界定。
四个月前的顺丰、菜鸟互断物流数据接口事件,也是在国家邮政局介入下,协商解决。
无论是华为、腾讯之争,还是顺丰、菜鸟之争,都是数据确权风暴来临前的预警。在数据已经成为核心资产的今天,弥补数据产权的立法缺失刻不容缓。
中央 信办 络安全协调局负责人近期透露,《 安法》的配套法规正在抓紧制定中,包括关键信息基础设施保护办法、个人信息和重要数据出境安全评估办法、 络关键设备、 络安全专用产品目录和个人信息安全规范等。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!