第一财经报道《人肉开盒调查:平台成员上万,约30种隐私信息公开叫卖》显示,“人肉开盒”参与者众多,30余种个人隐私被公开叫卖,违法者获得个人隐私信息后,肆无忌惮恐吓、威胁甚至敲诈、勒索明星、名人,普通人也被波及。大量的个人隐私究竟是怎样被泄露并上传到互联网?第一财经10余位记者联手进行了深度调查。
互联网时代,隐私泄露风险无处不在
“人肉开盒”的早期,明星、网红是最大的受害者,明星、网红相对拥有和可以动用大量的社会资源,为什么还是会成为“人肉开盒”的受害者?
“我在一家演出公司任职多年,当时我们有两位头部艺人的航班、酒店等行程就被泄露过,是粉丝群内有人买到了艺人的身份证号码以及一些个人信息,然后就有粉丝凌晨3点蹲在艺人家门口,后来我们的艺人亲自去劝说才让粉丝回了家。还有一些粉丝则通过艺人身份证号码查询到航班,进行全程跟艺人或接机。”从事文娱行业多年的赵华告诉记者。
那么明星的个人信息为何会被泄露?“很多粉丝也都是有组织的,获取艺人信息甚至公开发布在网络上有几种途径。一是工作室流出信息,有时候一些艺人需要排面,比如接机,于是工作室会提前把航班信息给粉丝团站姐,站姐将信息发在粉丝群;二是有黄牛专门出售艺人信息;三是粉丝获得艺人的身份证或其他个人信息后,自己进一步‘解码’,比如得到艺人身份证号码后去航空公司查询航班等。”一位长期在粉丝圈的活动者告诉第一财经记者。
掌握明星信息的黄牛,其资料从何而来?有知情人士透露,通过一些开盒平台,可以先支付数十元进行机器人查询,获得姓名、手机号、身份证等基本信息,筛选后可以继续支付费用进行高级查询。“明星有很多基本信息,比如年龄、生日、籍贯等是公开的,筛选并不难,只要花点钱,就有很大可能买到信息,然后黄牛再通过粉丝群等售卖明星信息。”
进入互联网时代,每个人的生产、生活都在程度越来越高地数据化,互联网和数字化让每个人的衣、食、住、行变得方便快捷,也让个人隐私被别有用心的违法者窃取打开方便之门。
订机票和酒店需要大量个人信息,这些数据在各大旅游平台均有留存。而其中出境游恢复后送签证服务就会经历多个环节。签证信息本身就包含了证件号码、家庭住址、财产情况、工作单位、配偶信息、户口本信息等。第一财经记者近期调研发现,由于送签证需要一定资质,因此有部分旅游公司是与代理商合作,由代理商送签,在此过程中,游客的签证信息有时会被直接发送到工作群以进行下一步流程。
“签证就应该一对一服务,大型旅游公司有明确制度,线上必须保密,线下信息填表限定在签证部,不可以外流,每个月还有抽查,员工离开工位后纸张表格以及证件原件必须上锁。直接将游客信息发送到群里处理流程是具有信息泄露风险的。”春秋旅游副总经理周卫红表示。
说到开房信息的泄露,让人第一时间想到酒店数据库。一位酒店管理者告诉第一财经记者,大型酒店企业都有防火墙,也有安全管理系统,比如大部分员工都没有权限去下载客户数据,如果需要调取数据则会在系统有痕迹,可以追溯。但这也并非没有漏洞,记者近期见到一家品牌酒店的前台人员私下悄悄用手机拍下住客的身份证信息,据了解,此种行为是不允许的,可是在实际生活中确有发生。
在出行环节中,航空公司的信息泄露也是一大问题。据记者了解,在过去几年,搜索引擎上以“机票数据”、“航班数据”、“内部数据”等关键词进行搜索,就可以显示出大量公然出售航班信息的QQ群。如果以购买订票信息为由,联系群中的信息贩卖人,会被告知,每条信息的价格为几元到十几元不等,无论哪个航空公司都能弄到,信息包括客户姓名、身份证号、手机号和登机号。如今,售卖链条已经变得没有那么明目张胆,但旅客的个人和航班信息依然会被泄露。
2015年4月,济南地区检察院对高某等18名犯罪嫌疑人提起公诉,罪名就是他们利用在航空公司工作之便倒卖旅客信息获利。
在“人肉开盒”平台上,与机票和开房信息具有相似重要性的是车辆和房产信息,这些信息如何被泄露,第一财经记者进行了调查。
张涛最近很烦恼,她名下的大众牌汽车保险临近续保时间,所以在近两个月几乎每天都要接到保险公司的推销电话。一位推销人员透露,新车在购买保险时,4S店往往会在各大保险平台计算报价,这就会使车主信息在各大保险公司留痕,因为车险是全国通保通赔,所以信息系统会全国共享。
目前在网上有很多车况数据查询的网站,如“查车况”、“全国车辆统一查询”等,网友付费就能获取相应的信息,包括车牌号查车辆、车架号查车辆、车架号查车牌、车辆保险信息查询、名下车辆查询、违章记录查询、车辆状态查询等。在车主核验查询项目中,记者输入车辆类型、车牌号码、车主姓名后,相关网站会跳出付费环节,付费后会弹出车主和车辆信息是否匹配的信息。
房产信息很容易被有心人获取。
有地产中介从业人员对第一财经记者透露,业主在买卖商品房的过程中,个人信息几乎就已经是“透明”的了。“比如交楼之后,整个楼盘的业主信息很快就会在家装、家电、橱柜等下游商家销售人员手中了。”
另外,地产销售之间也会彼此出售客户名单。许多看房的业主都会有这样的经历:到一个楼盘去看房并留下联系方式之后,很快周边甚至全市范围内的其他楼盘销售的推销电话就会接踵而至。
出售客户信息的价格也是有差异的,通常来说,会根据客户圈层来定价,比如豪宅小区的客户信息,通常比一般楼盘的客户信息更贵一些。
左先生大约在15年前出售一套房产,当时找了几家小中介门店挂牌。卖房之后至今十几年的时间里,左先生一直会收到骚扰电话,他判断这是因为自己的个人信息被泄露了。
一家大型中介机构内部人士透露,因为房产交易一般涉及很大金额,这类客户信息被认为很有价值,买卖房产的过程中,确实会出现个人信息泄露的风险,一般分为三种情况——一是部分房产经纪人为了寻求利益,倒卖手中客户信息,多年前该公司内部出现过一起经纪人倒卖信息案,最终公司报警处理;二是有黑客专门攻击大型中介公司或房屋交易网站的网络系统,一旦攻破系统就可以获得大量客户信息,这些信息最终流向黑色倒卖产业链;三是一些房地产拓客的个体户或者小公司从业者,也被称为“房地产小蜜蜂”,他们会守在比较热门的售楼处以及大中介门店外面,通过记录到访客户的车牌号等个人信息,再进一步去搜集更多客户信息。
值得注意的是,中奖也是个人信息泄露的一种隐秘途径。
“我们曾经给一些客户做抽奖活动的配合及数据调查,在确定获奖名单后,我们需要让中奖者在线填写个人信息,包括名字、身份证、家庭住址等,然后邮寄奖品。当我们收集到这些信息后会传到公司数据库,虽然数据库并非人人都可以下载内容,但具有下载权限的人也不少,我就知道有同事下载过客人的信息数据。在他下载数据的那一刹那,客人信息已经泄露了。”一家咨询公司的相关负责人表示。
另有一部分老年人,也会遇到类似事件。李旭反传防骗团队对第一财经记者透露,有些老人会接到诈骗电话,且对方对自己的情况了如指掌,是因为有些诈骗集团会先搞一个项目,让老人家觉得有很多福利,然后诱导老人自己主动填写个人信息表格。获得老人信息后,这些团伙就开始联系老人进行欺诈。
河南省襄城县人民法院一份刑事判决书显示,付某、张某以牟利为目的,分别通过QQ搜索“地推群”,联系上家接受“地推”任务,以扫码进群可以领礼品为诱饵,邀请路过群众扫码进微信群,后以一个微信群15元左右的价格将微信群出售给上线。结果导致有居民在不知情的情况下被拉进微信群后,被犯罪分子诈骗3万余元。根据判决,因侵犯公民个人信息罪,被告人张某、付某分别判处有期徒刑2年、缓刑2年以及有期徒刑3年、缓刑3年,各处罚金人民币10000元,并退还违法所得。
内部人滥用权力
2020年11月,邯郸市公安局曾发布消息称,不法分子通过有偿租用圆通员工系统账号盗取个人信息,再层层倒卖给下游犯罪人员,涉案嫌疑人涉及河北、河南、山东等全国多个省份,涉案金额120余万元,已被警方抓获。记者从多家快递企业和相关业内人士处了解到,快递用户信息遭泄露的情况并不只是圆通,还涉及不少快递公司以及业务链条上的参与方,并且已经形成了贩卖快递用户信息的“黑产”链条。在这一链条上,不仅有快递企业的员工,还有做“海淘”代购的商家及层层贩卖信息的黄牛。他们将包含快递客户姓名、住址、电话等信息出售,每条售价从几毛到几元不等。
这里所说的快递企业员工,其实并不一定是快递公司总部的涉及信息管理的人员,而是快递公司的加盟网点。大多数壮大起来的民营快递企业,都是通过加盟制迅速扩张。在这些快递企业中,总部是把运单预收费作为主要的收入来源,加盟商每收一单快件,就要向总部缴纳1元或更多的运单费。加盟商数量越大,递送量越大,总部销售的运单就越多,收入也就越多。各地的加盟商才是真正对快件递送的成本和价格负责的一方。他们要自行购买车辆、招聘员工或将下属的站点分包。因此,消费者平时看到的快递价格,并不是由快递公司的总部制定,而是各个地方的加盟网点自行确定的,加盟商在自己的区域内需要自负盈亏。这也导致一些加盟商甚至旗下的承包商,为获得更多利益,与黄牛联手出售用户信息,赚到比送快递更多的利润。
在中国裁判文书网上,第一财经记者梳理近年的“侵犯公民个人信息”的相关判决书发现,多省市都出现了通信运营商营业厅及代理商等的内部员工出现泄露个人信息的情况。多份判决书显示,从2020年11月至2021年7月时间不等,中国移动广西隆安分公司那桐营业厅的许某某、卢某某、黎某某、陈某某等多名员工,利用工作人员的身份便利,在为客户提供业务服务过程中,私自将客户的手机号码、验证码发送至“抖音新用户群”、“淘宝老用户群”、“jd企业”等等微信群,用于注册各类互联网平台账户。出售一组“手机号码+验证码”获利2元至16元不等,出售获利从2000多元到7000多元不等,最终受到法律的制裁。
法律法规明确规定公职人员在履行职责时不得非法获取公民个人信息,但是实际仍有少数公职人员知法犯法,为牟利获取和出售公民个人信息。第一财经记者了解到,部分“人肉开盒“案例中涉及的隐私信息,有些来源可能就是个别公职人员。
近年来一些地方披露了公职人员非法获取公民个人信息的案例。
2022年7月,成都市纪委监委通报10起“十大领域”典型案例,其中之一为大邑县公安局䢺江派出所一级警员何某非法获取并出售公民个人信息问题。2019年12月至2020年11月期间,何某利用其职务便利,私自使用单位配发的数字证书和移动警务终端,非法查询车辆登记、户籍等公民个人信息出售给他人,获取违法所得共计558818.28元。2022年6月,何某受到开除公职处分。何某因侵犯公民个人信息罪被判处有期徒刑三年八个月,并处罚金人民币30万元。
2020年3月,湖南省衡阳市中级人民法院公布一起案件的审理情况。肖某原系衡阳市公安局刑侦支队民警,2017年年初,被告人肖增灿因投资失败,经济紧张,便到处寻找赚钱的机会。肖某利用职权,与买方商量好公民个人行踪轨迹信息按每条为300元(代号G)、车辆轨迹信息按每条100元(代号C)、公民住宿信息(代号K)按每条100元的价格进行交易。自2017年3月至2018年12月,肖某盗取公民个人信息出售给他人,违法所得总计人民币1814844.38元,肖某犯侵犯公民个人信息罪,被判处有期徒刑四年六个月,并处罚金人民币一百八十二万元。
2019年10月15日,贵州凤冈法院公开开庭审理了一起侵犯公民个人信息犯罪案。15名被告人中,其中5人为湖北、四川两省的公安局交警部门辅警。法院查明,被告人陈某丹、刘某、王某、易某、管某均原系湖北、四川两省的公安局交警部门辅警,2019年3月至5月,5名辅警分别与他人达成查询公民个人信息出售的意向。因此,5名辅警多次登录公安警务系统,非法查询贵州、湖北、云南等省的公民车辆档案信息、户籍等详细信息。
法院查明,被告人易某、管某在利用担任辅警期间,将非法查询的公民个人信息,通过微信出售给被告人陈某国、张某,两被告人又将信息出售给被告人熊某,按上述的方式,熊某依次将信息出售给被告人方某先,刘某伟、刘某等人。方某先、刘某伟、罗某娣等15人通过非法查询、跨省倒卖公民个人信息,分别非法获利173358元至5000元不等。
经审理,法院分别判处被告人方某先、刘某伟、罗某娣等15人三年二个月有期徒刑至拘役五个月,并处罚金十万至五千元不等。
《中华人民共和国刑法》第二百五十三条规定:违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
贵州凤冈法院在公开报道中提醒,违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。
如何保障数据安全?
盘点以上个人隐私泄露的各种途径,资深人工智能专家郭涛告诉第一财经记者:“‘人肉开盒’这类信息泄露通常是通过以下渠道和平台产生的,一是社交媒体平台,用户在这些平台上分享个人信息时可能没有意识到风险,或者没有采取足够的安全措施。二是电子商务平台和物流公司,这些平台上的某些商家或工作人员会收集用户的个人信息,并在未经授权的情况下泄露给第三方。三是数据泄露事件,当一个组织或企业的数据被黑客攻击或内部人员泄露时,用户的个人信息可能会被暴露。四是恶意软件和钓鱼攻击,黑客通过发送恶意链接或伪装成合法网站来诱骗用户输入个人信息,从而获取用户的敏感数据。要实现人肉开盒,黑客通常需要掌握一定的技术手段,包括但不限于社会工程学等;网络钓鱼:发送伪装成合法网站的电子邮件或短信,诱使用户点击链接并泄露个人信息;暴力破解:尝试各种可能的密码组合,直到找到正确的密码;SQL注入:利用网站程序中的漏洞插入恶意代码,从而获取敏感信息。“
从技术角度来看,网络安全专家田际云认为,个人隐私信息泄露的环节很多,包括网站、APP、政务等平台,网购、快递、酒店、培训、学校、保险、出行以及汽车、房屋等交易管理部门等。收集储存个人信息的平台、调用使用信息的应用都可能造成信息泄露。但技术是由人为落地实施的。个体和组织是否部署或使用相关技术?个体和组织是否依照技术要求来使用?都是需要持续观察的。
“2017年6月实施的《网络安全法》、2021年9月实施的《数据安全法》、2021年11月实施的《个人信息保护法》等等,关于个人信息保护的法律已经比较健全。有关监管部门应该会陆续出台更加细化更具有针对性的规范或法律。2022年12月实施的《反电信网络诈骗法》以及2023年9月通过的《未成年人网络保护条例》就是例子。尤其是《反电信网络诈骗法》中,对于掌握隐私信息的相关部门和个人,有明确的要求和处罚规定。这表明,监管部门也认识到‘内鬼’是泄露用户隐私信息的重要节点之一。”田际云认为。
在打击“内鬼“方面,2016年,国内70家大型快递物流企业就曾共同成立快递物流“黑名单”查询系统,把盗窃快件、泄露客户信息、倒卖客户信息等12种违规违法行为列入黑名单。参与快递物流企业“黑名单”系统的企业承诺,5年之内不使用“黑名单”上的快递人员。中通快递科技与信息中心信息安全部高级经理马辰介绍,快递公司越来越多使用隐私面单,对消费者姓名、电话、地址等个人信息进行脱敏。
美团方面表示,自数安法、个保法落地实施后,美团严格按照法规要求,重点围绕“告知-同意”“最小-必要”等基本原则,通过推进产品隐私管理功能迭代优化、提高隐私规则透明度等多项举措,来保障用户知情权、选择权等个人信息权益在隐私合规方面,建设并上线App隐私权限注册管理平台,严格遵循法律要求的“最小必要原则”,对13类隐私数据的合规收口管理。
“要防止‘人肉开盒’,需要个人、企业、政府三方协力保障。首先,个人作为数据所有者应该注重保护个人隐私,提升个人隐私的保护意识,对自身和家人的敏感信息要保证足够的警惕。企业作为数据处理者应该尊重相关的隐私保护的要求,从技术上可以在内部对用户的手机号等敏感信息脱敏,防止敏感信息被泄露,此外做好敏感信息的权限控制和泄露可溯源;另外从制度上也需要内部加强员工的信息安全教育,培养员工伸手必被捉的基础意识,避免在内部贩卖个人隐私的行为发生。政府应该从立法上加强对持有大量个人数据的平台企业的监管,从政策和法律上提升非法‘人肉开盒’的打击力度,对泄露个人隐私的个人和企业从严从重惩罚。”通信高级工程师袁博分析。
(文内赵华、张涛为化名,记者张歆晨对本文亦有贡献)
版权声明:内容来源于互联网和用户投稿 如有侵权请联系删除