《中華人民共和國數據安全法》自2021年9月1日起施行
記者調查:網絡平台暗藏隱私數據交易 信息安全領域亟待“掃黑”
“盡量打語音,不要發文字!”
“可以放心,咱們是長期合作,數據都是真實的。”
“**寶付款,到時發你郵箱。”
《中華人民共和國數據安全法》將於9月1日正式實施,我國網絡空間安全治理法律體系將進一步完善。然而,近期記者調查發現,在論壇社群、電商平台等網絡空間,仍有灰色數據交易藏匿於隱蔽角落,其中也包含針對個人信息等在內的隱私數據交易。
被公開售賣的隱私數據
灰色交易藏匿於貼吧、淘寶等網絡平台
聯系中介賣房,隔天就有貸款公司問你需不需要借貸﹔每年車險快到期,就莫名其妙接到各種保險公司的推銷電話……是哪個環節出現了問題?
在百度貼吧上,一些個人隱私數據、行業數據被公開叫買叫賣。
“全國企業內部員工通訊錄,真實可測”“大眾點評商鋪數據,量大3000萬”“收影視手機數據,支持測試的來”“收微博原始數據”……
灰色數據交易藏匿於一些網絡平台。
“0.9元一條,實時抓取的。”記者通過QQ與其中一位賣家“林峰”取得聯系,對方表示可以提供包括車險、網貸、信用卡等各行業的數據定制服務。賣家特別強調,所有數據是實時提取一手的,不是那種“很爛的、轉賣了好幾手”的數據,並強調“量大價格還可以再低一些”。
賣家向記者展示了之前交易的聊天記錄和車險信息數據樣本,並保証“信息都是真實的”。在他展示的數據樣本中,包含車主姓名、身份証號、手機號、車牌、車型、發動機號、車架號、車檢日期等詳細信息。
賣家向記者展示的數據樣本。
賣家說,車險數據來自不同的平台,當天下單要第二天才能發,需要進行數據篩選,“如果單一個保險公司,搞不了那麼多,一個公司沒那麼強大。”
記者詢問有沒有網貸數據,對方則表示,目前隻能提供號碼,量大的話可以搞到住址等更詳細的數據。
交談過程中,賣家提醒“盡量打語音,不要發文字”。
另一位賣家對記者表示,自己賣車險,同時也可以出售車險客戶資料,包括車輛年限、保險到期時間等“精准服務”。“如果要10月到期的車險信息,現在就有,11月份的需要等到下個月。”該賣家告訴記者。
而在淘寶、閑魚等電商平台,記者發現還有不少商家上架了數據代查、數據採集等爬虫服務,涉及的內容包括:各城市地方官員相關數據、MIMIC臨床數據庫、某券商機構數據庫查詢下載、美團數據採集等。
在淘寶上,一家名為“啟航羊絨制品”的商家,實際提供的是可定制信息採集服務,涉及搜狗、百度、高德、360地圖商家POI興趣點的電話號碼信息。“個人信息採集不到,企業、店鋪、門市、工商的都可以。”該商家告訴記者,這些都是公開信息,“沒有風險”。
另外一家名為“CityData城市大數據”的商家告訴記者,可以提供包含聯系方式等在內的二手房源信息,下單后24小時內網盤發貨。
爬虫是一種快速自動抓取網絡公開信息的輔助工具,例如我們使用的搜索引擎都用到了爬虫技術。
“一般而言,如果爬虫所爬取的是公開數據,將其打包售賣,並不被法律所禁止。但是,即便是公開數據的爬取,若爬取行為不當,仍然存在一定的法律風險,當事人有可能面臨侵權或反不正當競爭訴訟。”中國銀行法學研究會理事肖颯告訴人民網記者。
北京某科技公司技術總監劉剛指出,爬虫能獲取的信息其實是有限的,且多數是公開的。但通過撞庫、誘導、群發、釣魚手段獲取大數據信息行為,已非單純的通過爬虫技術獲取信息,應歸納到黑客、木馬程序竊取的范疇。
行業互換成監管難點
越來越多的數據泄漏發生在企業內部
“上午9:22剛注冊好公司,我方辦稅財務未泄露信息,馬上就開始有一堆電話打過來,問我要不要記賬報稅。”日前,一位來自深圳市龍華區的市民在人民網領導留言板吐槽。
記者調查發現,在房產交易、教育培訓、金融保險等重要民生領域,信息泄露情況普遍。多位受訪者表示,有時候個人信息數據莫名其妙就被泄露了,一些企業的“精准營銷”讓人無處可躲。對此,有業內人士表示,數據行業互換是信息泄露的主要途徑之一,企業、個人私下數據互換行為成為監管難點。
“行業互換現象非常普遍,比如:房產中介員工私下交換客戶聯系方式、汽車經銷商與保險機構互換資源等等。這些私下行為比較難監管。”劉剛告訴記者,當前一般涉及數據安全的企業都需要通過網絡安全等級保護評測,以黑客攻擊、木馬等技術方式大規模獲取數據的難度很大,風險也比較高。目前,大量隱私數據是通過行業互換泄露的,一些小的服務中介、代理機構在客戶信息保護方面意識淡薄。
事實上,隨著公民對個人信息保護意識的不斷增強,以及監管體系的不斷完善,一些灰色交易正在浮出水面。
據媒體報道,浙江省通信管理局在7月5日對投訴人的答復函中核實,2019年11月11日,阿裡雲計算有限公司未經用戶同意擅自將用戶留存的注冊信息泄露給第三方合作公司,該行為違反了《中華人民共和國網絡安全法》第四十二條規定。
當前對於大型企業,特別是互聯網大廠,數據安全被視為“生命線”,一旦出現數據安全事故,其后果將是難以承受的。網絡安全法第21條明確規定了“國家實行網絡安全等級保護(“等保”)制度,要求網絡運營者應當按照網絡安全等級保護制度要求,履行安全保護義務。”業內人士表示,一般大中型企業都會通過“等保”全面提升數據安全防護能力。
但是,“防止數據泄漏和數據合規運營是當前大多數企業面臨的難點。”360集團大數據協同安全技術國家工程實驗室咨詢總監童磊坦言,中大型企業在完成數字化轉型過程中基本具備網絡安全基礎防護能力,成熟度較高企業普遍實施傳統數據安全方案,但對於隱私數據企業則普遍沒有專門實施單獨的安全管控,部分出海企業會針對出海業務實施《通用數據保護條例》(GDPR)隱私合規方案。
“越來越多的數據泄漏發生在企業內部。”童磊說,一方面,隨著數據價值的提升,數據全生命周期流轉往往涉及多個部門和多個系統,而相應的訪問控制與權限管理很難兼顧安全與業務兩方面訴求,訴求差異以及統一安全運營控制的缺失往往導致數據泄漏事件的發生。
另一方面,在數據成為新型生產要素的背景下,數據載體分布廣,海量數據匯聚、流通、分析和共享,導致很多企業都不了解自己的數據,不能夠清楚地知道敏感數據的具體分布,數據資產不清晰也為數據安全管控和保護策略的實施帶來了困難。
“數據安全是相對的,很難做到絕對安全。”在劉剛看來,在一些面向C端服務的行業,如房產中介、保險金融等,基層網點多,人員流動大,而且能夠直接觸及到客戶信息。這些特點使得數據“行業互換”等違法行為更加分散、隱蔽,一些企業在監管方面的“鞭長莫及”“默不作聲”一定程度上助長了這種灰色交易。
劉剛認為,平台方應主動加強自身監管,落實內外風險管控、提升信息保護等級。另一方面,建議加大對個人泄露隱私的處罰力度。
目前,一些機構、企業也探索通過技術手段實現數據“可用不可見、可用不可取”。例如通過隱私計算技術,在不共享明文數據、保障數據安全和用戶隱私的前提下,實現多方數據協同,聯通數據孤島,可以有效打擊數據黑產。
數據安全頂層設計逐步到位
扎緊“數據灰產”牢籠仍需各方合力
隨著數字經濟成為經濟增長的新引擎,數據作為新型生產要素的潛能正在逐步顯現。如何在數據的收集、加工、傳輸等處理活動中既能釋放效率紅利,又確保敏感數據不被侵權、泄露、販賣,成為監管需要平衡的關鍵。
在保護數據安全方面,即將實施的數據安全法規定了關鍵信息基礎設施的運營者、從事數據交易中介服務的機構、國家機關等數據處理者均負有數據安全保護的義務。第四十四條至第五十二條還詳細規定了違反相應義務時各主體應當承擔的責任。肖颯表示,這有利於在發生違規違法事件后厘清各主體的法律責任。
“作為重要生產要素,數據對經濟發展的價值需要被進一步重視。”中國電子技術標准化研究院網絡安全研究中心數據安全部主任胡影認為,數據安全法的一大特點在於兼顧統籌數據安全與發展:一方面厘清隱私保護、數據安全鏈條中各主體的法律責任﹔另一方面也鼓勵數據的合法開發利用,保障數據依法自由有序流動。
隨著網絡安全法、數據安全法、個人信息保護法的逐步到位,數據安全和隱私保護的監管力度正在不斷加大。業內人士認為,頂層設計正在逐步到位,但要扎緊“數據灰產”牢籠,仍需行政監管、市場約束、行業自律、社會監督等各方合力。
“從監管動向來看,電商、外賣、快遞、打車、連鎖酒店、求職招聘等行業,獲取的信息不僅涉及到用戶隱私安全,還有可能涉及國家安全。”劉剛認為,大公司所獲取的數據,往往更具有價值,加強企業對個人信息規范管理的同時,應推動建立統一的管理系統,以保証數據使用安全、合法、可追溯。
據中國信通院雲計算與大數據研究所副所長魏凱介紹,信通院已牽頭制定《數據安全治理能力評估方法》,編制發布《數據安全治理實踐指南》,推出國內首個數據安全治理能力評估(DSG評估)服務,為企業建設、度量、改進自身數據安全治理體系提供方法論和操作指南,引導企業從戰略、技術和制度等角度全面提升安全能力和合規水平。截止目前,已有20多家頭部企業積極開展貫標工作。
“對於信息安全行業而言,應該積極探索如何平衡地利用數據,既要保護個人隱私、保護單點數據,又要進一步放大數據價值,真正實現數據全流程安全,確保數據可用不可見、可用不可取,進而發揮更大的政企數據賦能作用。”安恆信息董事長范淵說。
(文中林峰、劉剛均為化名。實習生許願對此文亦有貢獻。)
【短評】
分享讓更多人看到
推薦閱讀
相關新聞
- 評論
- 關注