網(wǎng)購訂單有13種泄露可能，有的一手信息每條賣7元

追蹤電信詐騙黑色鏈條（經(jīng)濟(jì)聚焦）

翟桂溪繪（新華社發(fā)）

　　近日，多地電信詐騙事件引發(fā)廣泛關(guān)注。記者調(diào)查發(fā)現(xiàn)，電信詐騙之所以容易得手，首先是通過高校、政府平臺以及商業(yè)活動中的各個環(huán)節(jié)，大量個人信息被肆意買賣，另一方面是虛假的來電顯示號碼具有極強(qiáng)的欺騙性。

　　業(yè)內(nèi)專家稱，目前的網(wǎng)絡(luò)偵查技術(shù)已經(jīng)足夠應(yīng)對個人信息泄露、電信詐騙等案件。工信部相關(guān)負(fù)責(zé)人表示，將對虛假詐騙電話進(jìn)行重點(diǎn)源頭整治，要求電信企業(yè)確保主叫號碼的合法性和真實(shí)性，及時中止和阻斷不法信息的傳播。

　　高校信息泄露嚴(yán)重，企業(yè)泄露的個人信息與個人資產(chǎn)結(jié)合最緊密

　　在不少業(yè)內(nèi)人士看來，互聯(lián)網(wǎng)技術(shù)發(fā)展至今，個人信息特別是身份證號、住址、電話等基礎(chǔ)信息，在流動過程中的多個環(huán)節(jié)均有泄露。“我們也許早就成了信息‘透明人’。”一位網(wǎng)絡(luò)安全專家說。

　　“個人信息泄露嚴(yán)重的當(dāng)屬高校。”獵豹移動安全專家李鐵軍說，有些部門和單位自身又因數(shù)據(jù)管理意識薄弱或數(shù)據(jù)庫安全防范較弱，很容易泄露信息。一旦黑客發(fā)現(xiàn)一個漏洞，便可以利用這個漏洞攻擊所有同類型網(wǎng)站，造成大面積信息泄露。

　　因管理人員意識薄弱引起的泄露，在大學(xué)表現(xiàn)得特別突出。其中，QQ群可以說是最沒有技術(shù)含量但“有效”的渠道。記者通過QQ聊天軟件輸入“藝術(shù)”等院系簡稱，未受到任何阻攔，便直接加入一個名為“12級藝術(shù)設(shè)計(jì)”的QQ群，從群內(nèi)信息看，該群屬于煙臺大學(xué)。

　　記者在群內(nèi)找到3份直接標(biāo)明“名單”的文檔，在“建筑特困和助學(xué)貸款畢業(yè)生名單”中，姓名、畢業(yè)院校、身份證號、手機(jī)號、貸款金額等詳細(xì)信息暴露無遺。另一份畢業(yè)生還款確認(rèn)名單中，還能找到同一個人的還款金額、疑似還款日期等。

　　企業(yè)泄露的個人信息也不可小覷，這些數(shù)據(jù)與個人資產(chǎn)結(jié)合得更緊密。如京東、淘寶等購物平臺掌握客戶網(wǎng)購訂單，中航信等公司掌握航班機(jī)票信息，各種手機(jī)理財(cái)APP擁有個人金融賬號等。哪怕只有一條信息被詐騙分子利用成功，都會造成財(cái)產(chǎn)損失。

　　深圳前海征信公司信息安全總監(jiān)戴鵬飛曾梳理網(wǎng)購訂單的4大環(huán)節(jié)，發(fā)現(xiàn)有13種信息泄露的可能，包括商家環(huán)節(jié)的內(nèi)部倒賣、病毒攻擊、信息被監(jiān)聽，用戶環(huán)節(jié)的賬號被盜，物流環(huán)節(jié)的內(nèi)鬼倒賣，電商平臺環(huán)節(jié)的內(nèi)部倒賣、系統(tǒng)漏洞等。

　　記者8月20日在百度貼吧中搜索數(shù)據(jù)相關(guān)的貼吧，發(fā)現(xiàn)不少疑似交易個人信息的帖子。記者隨后在“數(shù)據(jù)資源”吧中隨意加了兩個QQ號碼，對方均表示，可以交易網(wǎng)購訂單等各種數(shù)據(jù)。記者從一個賣家手中獲取了300個一周前的訂單后，確認(rèn)是真實(shí)發(fā)生過的網(wǎng)購訂單。

　　以“對詐騙是否有幫助”為定價標(biāo)準(zhǔn)，百元以下的生意不屑做

　　“泄露的個人信息大多用于詐騙。”李鐵軍說，黑客或內(nèi)鬼拿到最新數(shù)據(jù)后，會通過QQ群、論壇等途徑倒賣給使用者，或經(jīng)過掮客注水加工后，倒賣給下游的詐騙者或其他使用者，已經(jīng)形成了“黑產(chǎn)業(yè)鏈”。

　　記者向數(shù)據(jù)倒賣者詢價發(fā)現(xiàn)，個人信息會以“對詐騙是否有幫助”為標(biāo)準(zhǔn)定價：一手的、隔夜的京東網(wǎng)購訂單數(shù)據(jù)可賣到每條7元以上，但10天后只能賣每條3角錢，“時間久了，貨都到客戶手里了，就沒法行騙了”。

　　“個人身份證、住址等基礎(chǔ)信息最不值錢，有時打包出售的幾千萬條身份信息，平均一條只需幾厘錢。”李鐵軍說，這些基礎(chǔ)信息可以從不同渠道獲得，泄露得多，被轉(zhuǎn)賣得也多，很多基礎(chǔ)的信息甚至可以在網(wǎng)上搜索到并打包下載。

　　數(shù)據(jù)掮客還可以反復(fù)倒賣個人信息，或注水加工再次出售。據(jù)記者了解，1000元買入的批量賬戶數(shù)據(jù)，只需倒賣兩次，就可以收回成本；不同時間段的老數(shù)據(jù)注入最新數(shù)據(jù)列表，便可實(shí)現(xiàn)更高回報(bào)；不同類型的數(shù)據(jù)拼在一起，也可以實(shí)現(xiàn)更高的價值。

　　記者采訪發(fā)現(xiàn)，低于百元的生意，數(shù)據(jù)倒賣者是不屑做的，“還不夠麻煩的”。

　　偵查技術(shù)足以應(yīng)對詐騙案，關(guān)鍵是多地多部門協(xié)作

　　調(diào)查數(shù)據(jù)顯示，僅今年二季度，獵網(wǎng)平臺就接到來自全國各地的網(wǎng)絡(luò)詐騙舉報(bào)5509起，涉案總金額高達(dá)4524.8萬元，人均損失8213元。

　　記者調(diào)查發(fā)現(xiàn)，大量個人信息被售賣后用于詐騙，受害者損失在百萬元、千萬元的不在少數(shù)，如中國裁判文書網(wǎng)今年3月披露的一宗電信詐騙案中，受害者損失達(dá)3800萬元。

　　工信部信息中心工經(jīng)所所長于佳寧認(rèn)為，應(yīng)盡快出臺個人信息保護(hù)相關(guān)法律，明確個人隱私數(shù)據(jù)的邊界，明確數(shù)據(jù)存儲、處理、查詢、使用的規(guī)則，明確數(shù)據(jù)保護(hù)的主體責(zé)任，明確數(shù)據(jù)泄露和濫用的處罰方式等。

　　業(yè)內(nèi)人士認(rèn)為，對于電信詐騙中最常見的虛假來電顯示號碼應(yīng)加強(qiáng)監(jiān)管。據(jù)了解，目前，篡改來電顯示或虛假電話號碼產(chǎn)生的渠道主要包括：一是電信企業(yè)開展的語音專線業(yè)務(wù)對主叫號碼未經(jīng)核驗(yàn)，給不法分子篡改電話號碼提供了可乘之機(jī)；二是不法分子非法經(jīng)營VIP電話并提供改號服務(wù)，可以隨意設(shè)置來電顯示號碼；三是國際來電中的虛假主叫號碼；四是通過偽基站發(fā)送短信息并隨意設(shè)置虛假的發(fā)送號碼。

　　工信部9月6日表示，將對虛假詐騙電話進(jìn)行重點(diǎn)源頭整治，要求電信企業(yè)確保主叫號碼的合法性和真實(shí)性。同時面向全國手機(jī)用戶提供國際來電的甄別和提示服務(wù)，以提高用戶防范意識，降低受騙上當(dāng)?shù)膸茁�。依法加大對利用偽基站等開展電信詐騙等違法犯罪活動的懲戒力度。

　　業(yè)內(nèi)人士認(rèn)為，防范電信詐騙需要公安、金融、電信、司法等多部門參與，統(tǒng)籌協(xié)作，從強(qiáng)化個人信息保護(hù)、推進(jìn)電信卡、銀行卡實(shí)名管理、規(guī)范身份證件使用管理，提升個人防范意識和公安機(jī)關(guān)偵破能力等方面建立長效機(jī)制。

　　“目前的網(wǎng)絡(luò)偵查技術(shù)已經(jīng)足夠應(yīng)對個人信息泄露、電信詐騙等案件，關(guān)鍵是要多部門、多區(qū)域聯(lián)動。”李鐵軍說。徐玉玉案中，犯罪嫌疑人在福建，受害者在山東，但經(jīng)多地、多部門協(xié)作，從立案到抓捕犯罪嫌疑人歸案，僅用了數(shù)天時間。

　�。〒�(jù)新華社北京9月7日電 記者許晟、高亢、邵琨、朱基釵、劉碩）

　　《 人民日報(bào) 》（ 2016年09月08日 10 版）

電信詐騙頻發(fā)，根在網(wǎng)上個人信息保護(hù)乏力

信息泄露  誰該挨“板子”

許一凡  張  璁

8月19日，山東臨沂“準(zhǔn)大學(xué)生”徐玉玉被“教育局工作人員”電話騙走9900元，不久后心臟驟停，經(jīng)醫(yī)院搶救無效不幸去世。

8月23日，山東臨沐縣大二學(xué)生宋振寧也在遭遇詐騙之后心臟驟停，不幸離世。

8月24日，大二學(xué)生小文（化名）被“航空公司客服”以發(fā)放改簽補(bǔ)償為由，騙走6100元學(xué)雜費(fèi)。

表面上看，悲劇的矛頭直指“電信詐騙”，但究其根源，是受害者的個人信息早已遭泄露。

《中國網(wǎng)民權(quán)益保護(hù)調(diào)查報(bào)告（2015）》顯示，63.4%的網(wǎng)民通話記錄、網(wǎng)上購物記錄等活動信息遭泄露；78.2%的網(wǎng)民個人身份信息曾被泄露，包括姓名、家庭住址、身份證號及工作單位等。

究竟誰在販賣個人信息，個人信息保護(hù)為何停滯不前，“板子”該打誰？這些問題值得深究。

泄露源頭多  暗結(jié)“利益鏈”

互聯(lián)網(wǎng)方便了人們的日常生活，但同樣增加了信息泄露的風(fēng)險(xiǎn)。

由于互聯(lián)網(wǎng)的開放性、共享性，網(wǎng)絡(luò)侵害的后果更不可控。僅在2015年，就有多個數(shù)據(jù)庫被曝存在嚴(yán)重漏洞，用戶的個人信息面臨威脅。知名快遞公司、知名門戶網(wǎng)站紛紛“上榜”。甚至有媒體曝光超30個省市的衛(wèi)生和社保系統(tǒng)有大量高危漏洞，數(shù)千萬用戶的社保信息面臨泄露的風(fēng)險(xiǎn)。

《第38次中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》顯示，截至2016年6月，中國網(wǎng)民規(guī)模達(dá)7.10億，互聯(lián)網(wǎng)普及率51.7%，手機(jī)網(wǎng)民占比92.5%。龐大的網(wǎng)民基數(shù)帶來海量的信息，隨著網(wǎng)站對于注冊用戶的需求上升，大量用戶信息被保存至網(wǎng)站服務(wù)器當(dāng)中。不法分子便借機(jī)通過信息購買、數(shù)據(jù)盜取等形式獲取用戶個人信息。

近日，不少網(wǎng)友反映，自己在某票務(wù)網(wǎng)站的賬號信息被盜，導(dǎo)致被冒充“客服”的行騙者騙走大量現(xiàn)金，行騙者準(zhǔn)確地報(bào)出了受騙用戶的姓名、電話號、身份證號。有受騙者表示，自己雖然平時有戒備心，但遇到這種情況還是難以辨別。

據(jù)公安部門介紹，不法分子非法獲取的公民個人信息種類多樣，已經(jīng)從簡單的身份信息、家庭地址等，擴(kuò)展到手機(jī)通訊錄、銀行賬號和密碼、出行記錄等，任何主體均可能成為個人信息侵權(quán)行為的受害者。同時，泄露源頭多樣，信息盜取技術(shù)不斷增強(qiáng)，已經(jīng)形成了“源頭—中間商—非法使用人員”的利益鏈條和黑色產(chǎn)業(yè)。

2016年1月，重慶市公安局巴南區(qū)分局曾破獲一起販賣公民個人信息案件，抓獲犯罪嫌疑人53名。案件涉及信息巨大，包括中小學(xué)生及家長信息、重慶各大樓盤業(yè)主信息、車主信息、銀行客戶信息等，各類公民個人信息數(shù)千萬條，存儲量達(dá)61.9G。

“問題的根源在于巨大的利益驅(qū)動。當(dāng)前，圍繞個人信息的竊取、販賣以及在此基礎(chǔ)上的電信詐騙和電話營銷的龐大產(chǎn)業(yè)鏈已經(jīng)形成。”上海社會科學(xué)院信息研究所信息安全研究中心主任惠志斌說。

遺憾的是，多數(shù)網(wǎng)民的信息保護(hù)意識不強(qiáng)�！段覈�公眾網(wǎng)絡(luò)安全意識調(diào)查報(bào)告（2015）》指出，81.64%的網(wǎng)民不注意定期更換密碼，80%網(wǎng)民不考慮安全性隨意連接WiFi。而在注冊不熟悉的網(wǎng)站或下載軟件需簽署用戶信息保護(hù)和責(zé)任條款時，僅有14.87%的網(wǎng)民會仔細(xì)閱讀個人信息保護(hù)相關(guān)內(nèi)容。

法律出臺難  維權(quán)成本高

“就個人而言，需要提升信息安全的基本意識和技能，最直接的方式就是要通過用戶協(xié)議了解平臺收集個人信息的合理范圍和法律責(zé)任。”惠志斌說。

隨著近年來由信息泄露導(dǎo)致的詐騙案件頻現(xiàn)，個人信息保護(hù)不斷成為社會關(guān)注的焦點(diǎn)。2012年12月，全國人大常委會頒布《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》，將公民個人電子信息保護(hù)納入法律層面；2013年7月，工信部制定出臺《電信和互聯(lián)網(wǎng)用戶個人信息保護(hù)規(guī)定》；去年底開始施行的《中華人民共和國刑法修正案（九）》中也專門新設(shè)了“侵犯公民個人信息罪”，對于犯罪嫌疑人的判罰最高可達(dá)7年有期徒刑。這些法律法規(guī)的制定對于公民個人信息保護(hù)起到了一定的積極作用。

“我國目前已經(jīng)對受保護(hù)的個人信息范圍作出了具體界定，即‘可識別’身份的個人信息。而不可識別的個人信息則屬于大數(shù)據(jù)范疇。”中國政法大學(xué)傳播法研究中心副主任朱巍說。

北京安理律師事務(wù)所高級合伙人王新銳認(rèn)為，我國沒有專門的《個人信息保護(hù)法》，涉及個人信息的相關(guān)法律規(guī)定較為分散，信息采集、使用缺乏統(tǒng)一規(guī)范。普通消費(fèi)者很難對個人信息保護(hù)法律制度有系統(tǒng)的了解，導(dǎo)致個人維權(quán)難度加大，維權(quán)成本增加。保護(hù)公民信息安全，需要統(tǒng)籌協(xié)調(diào)運(yùn)營商、服務(wù)商、工信、司法等部門在監(jiān)管體系中的角色，分清責(zé)任歸屬，使法律執(zhí)行、問責(zé)及時、有效。

北京市網(wǎng)信辦網(wǎng)絡(luò)技術(shù)安全處處長張?jiān)浇癖硎荆�隨著互聯(lián)網(wǎng)產(chǎn)品的豐富，必須考慮各種不同形態(tài)產(chǎn)品的法律共性問題，特別是對于信息安全保護(hù)方面的管理規(guī)則。網(wǎng)信辦下一步將探索運(yùn)用市場的資源和技術(shù)的力量，加大對違法問題的發(fā)現(xiàn)力和制約力。

《 人民日報(bào) 》（ 2016年09月08日 14 版）