【分析】
非法获利成驱动诱因
移动互联网时代,为每一个公司收集用户信息都提供了极大方便。不管是银行、加油站、酒店还是各种餐厅,都在收集客户信息,但是如何妥善储存和使用这些信息,大多数企业都并没有做好准备。他们只看到这些信息意味着进一步获利的可能,却并不具备基本的信息伦理。
而在互联网时代,由于公民个人信息的经济价值日益凸显,侵犯公民个人信息的违法犯罪行为更是五花八门,构成了一个又一个让人吃惊的黑灰产业链:
订单信息泄露可能被不法分子用于“电信诈骗”;身份信息可能被不法分子冒用到一些审核不严谨的P2P或其他金融平台借贷;行为数据可能被一些违规营销公司做所谓的“大数据营销”;用户账户密码则可能被不法分子用于在互联网上撞库攻击盗取新的数据信息。
华住酒店用户信息泄露一案,只是揭露出信息安全问题的冰山一角。
8月20日,浙江绍兴越城警方侦破史上最大规模30亿条用户数据窃取案。该犯罪团伙非法从运营商流量池中获取用户数据,进而操控用户账号进行微博、微信、QQ、抖音等社交平台的加粉、加群、非法获利。
经警方调查,从2014年开始,瑞智华胜等公司就以竞标的方式,先后与覆盖全国十余省市的电信、移动等多家运营商签订营销广告系统服务合同,进而拿到了运营商服务器的登录权限。取得用户数据后,瑞智华胜通过加粉等“互联网营销和推广”进行盈利。
根据瑞智华胜的财报数据显示,2015年做软件开发服务时,其营收仅187万元、净利润2万元;转型做互联网营销之后的2016年,公司营收3028万元,净利润达1053万元。
目前互联网产业链的每个环节,数据泄露问题依旧严峻。去年3月,公安部开展打击整治黑客攻击破坏和网络侵犯公民个人信息犯罪专项行动,仅4个月时间就侦破相关案件1800余起,抓获犯罪嫌疑人4800余名,查获各类公民个人信息500余亿条。
数据泄露同时发生在信息产业上游的运营商,以及中游的各种App上。即使不被黑客、犯罪团伙窃取,用户信息依旧有被泄露的可能。根据近日DCCI互联网数据中心发布的报告显示,2017年手机App获取个人信息呈现常态化趋势,高达96.6%的Android应用会获取用户手机隐私权限,而iOS应用的这一数据也达到69.3%。此外,25.3%的Android应用存在越界获取用户手机隐私权限的情况。
“目前法律对于信息泄露的监管源于两个方面,第一是通信部门可以对于这些泄露信息的企业提请刑事诉讼,另一方面,用户也可以对泄露自己信息的企业要求其进行民事赔偿。”赵占领透露。
2007年公安部、国家保密局等四部委就下发《信息安全等级保护管理办法》,根据信息系统的重要程度及被破坏后的危害程度,将信息分为五个安全等级,予以规范保护。而到了2017年6月,网络安全法颁布,强调严惩泄露个人信息、非法买卖信息等犯罪行为。
信息安全专家陆宝华认为,国家对数据的分级保护早有明确规定,保证数据的安全与隐私不会泄露。但是具体实施中还坚持企业自主定级、自主保护的原则,因此会存在部分企业数据滥用的问题。
是什么让机构数据库如此不堪一击?
在愈发频繁的数据泄露事件中,机构数据库安防力量薄弱、责任意识淡薄以及数据市场需求旺盛等因素为大规模数据泄露埋下伏笔。
——安防力量薄弱,防范意识不强。360互联网安全中心发布的《WannaCry一周年勒索软件威胁形势分析报告》显示,去年勒索病毒爆发前夕,各机构有58天的时间可以进行补丁升级等安全布防工作,但一些机构错误认为自身隔离措施足够安全、打补丁太麻烦,致使其最终遭受勒索病毒攻击。
——用户数据市场需求旺盛。随着数字化进程的推进,越来越多的人开始习惯刷微博、网购、线上理财等生活方式,在此背景下,根据用户画像进行精准信息推送就显得尤为重要。“好人用你的数据来给你推广告,坏人用你的数据来对你诈骗勒索。”高天表示,用户数据倒卖在我国已形成相对成熟的黑灰产,打包出售用户数据的情况在黑市中随处可见。
——数据流转程序较多,部分企业责任意识淡薄。上海信息安全行业协会专委会副主任张威认为,用户数据在外卖、快递等行业随着商品同时流动,流转过程较为复杂,中间环节出现泄露的可能性也同时增加。张威表示,一些企业认为自己并非互联网行业主要参与者,不会成为被攻击对象,因此在用户数据保管上没有做好安全措施,最终导致大批量用户数据泄露。
——外部监管尚未有效落实。记者在梳理近来发生的用户数据泄露事件后发现,除今年年初部分金融机构因违规出售用户数据或瞒报虚报数据被处罚外,鲜见其他处罚案例。大部分机构在涉嫌数据泄露后以“一纸声明”的形式撇清关系,后续调查结果也未向公众披露,间接导致行业内对用户数据保护氛围恶化。
