2019年春運(yùn)即將開始,12306等搶票平臺基本上處于數(shù)據(jù)高速運(yùn)轉(zhuǎn)、超載服務(wù)狀態(tài)。隨著12306巨量的信息資源不斷涌入,形成了龐大的用戶數(shù)據(jù)庫,有網(wǎng)友爆料,60萬個12306賬號和410萬條聯(lián)系人數(shù)據(jù)在暗網(wǎng)低價出售。
在網(wǎng)友上傳的一張交易截圖中,賣家聲稱掌握了12306中60萬個賬戶信息以及這些信息人的關(guān)聯(lián)關(guān)系。賣家以兩份Excel表格形式出售用戶隱私,其中賬號表包含的數(shù)據(jù)有ID、手機(jī)號、用戶名、明文密碼、姓名、身份證號、郵箱、問題及其答案,另一張表格則含有賬號姓名和身份證。
為了證明其兜售信息的真實(shí)性,賣家特意展示出50個用戶的詳細(xì)賬號信息,及兩名用戶的常用聯(lián)系人。而另一張上傳的截圖顯示,隨意選取50個賬戶中的一個進(jìn)行登錄,12306官網(wǎng)即刻顯現(xiàn)出其常用聯(lián)系人的姓名、身份證、部分手機(jī)號和旅客類型。
隨后,有媒體嘗試撥打被公開信息人的電話,有4人確認(rèn)了賬號、密碼、身份證號的真實(shí)性。部分號碼是空號或者錯號,接聽機(jī)主的姓名、賬號、身份證號等信息與被披露的信息并不一致。
針對此事,中國鐵路總公司官方微博回應(yīng)稱網(wǎng)傳消息不實(shí),12306網(wǎng)站未發(fā)生信息泄露事件。業(yè)內(nèi)專業(yè)人士分析,由于12306數(shù)據(jù)量遠(yuǎn)遠(yuǎn)大于400萬,這些數(shù)據(jù)可能是官網(wǎng)以前泄露的,或者是第三方泄露,比如一些熱門的搶票軟件。
隨著移動互聯(lián)網(wǎng)的發(fā)展,網(wǎng)絡(luò)軟件使用權(quán)限和隱私問題一直是用戶關(guān)注的焦點(diǎn),信息數(shù)據(jù)在無形的流量中游走,成為各大互聯(lián)網(wǎng)巨頭爭搶的“法寶”,大數(shù)據(jù)是王道,流量即變現(xiàn)。然而,個體隱私信息的泄露、竊取和販賣也正在野蠻生長,甚至生成了驚人的黑色產(chǎn)業(yè)鏈。
我們的信息如何被悄然竊取?作為用戶,如何規(guī)范自身的線上行為,確保個人信息安全?如何營造干凈、清潔的互聯(lián)網(wǎng)環(huán)境?化解這些問題,需要用戶、軟件開發(fā)商、平臺運(yùn)營方、相關(guān)監(jiān)管部門共同參與,善意配合,積極推動。
信息泄露的第一道防線多處“破圍”
在PC端和移動端還未普及之前,個人信息如銀行密碼、身份證號、家庭地址等,泄露的規(guī)模和速度呈分散式小口徑。而互聯(lián)網(wǎng)出現(xiàn)以后,與用戶身份認(rèn)定、金融信息、生活服務(wù)等數(shù)據(jù)緊密綁定,個人隱私信息泄露呈幾何倍增加。
用戶隱私泄露,首先歸因于線上用戶諸多不良習(xí)慣。作為個人的隱私信息,沒有主動泄露一說,要么是被用戶無意識流出,要么是被不法分子刻意竊取。
企鵝智酷通發(fā)布《中國網(wǎng)民個人隱私狀況調(diào)查報告》,報告指出:以“幾個密碼通用于大多數(shù)賬號”的中國網(wǎng)民占比達(dá)到50.8%。對自己擁有的所有賬號都采取同一套密碼的人占14.9%。在信息泄露時,接近六成人選擇僅修改泄露平臺的密碼。
用戶對于個人密碼的通用是大環(huán)境影響,越來越多的服務(wù)平臺鎖定用戶的專屬信息,“游客登錄”方式逐漸淘汰。20多歲的李女士接受中國婦女報·中國女網(wǎng)記者采訪時表示,“常用的密碼有兩三個,其他密碼雖然不一樣,但構(gòu)造相同,方便記憶。”
被問及是否更傾向于采用指紋登錄代替密碼登錄時,李女士坦言不會過多使用指紋輸入方式,“一是指紋不安全,害怕別人在自己無意識的情況下進(jìn)行操作,二是針對一些付款指令,指紋操作太快,很容易出錯。”
其次,《2018數(shù)字消費(fèi)者洞察報告》顯示,在與新企業(yè)進(jìn)行交易時,94%的中國大陸消費(fèi)者對企業(yè)共享其個人數(shù)據(jù)持開放態(tài)度,以獲得更便捷的服務(wù)或消費(fèi)體驗(yàn)。
百度董事長李彥宏曾在公開場合表示,中國用戶在個人隱私方面更加開放,一定程度上愿用隱私換取方便和效率。雖然說法較為武斷,不能作為真實(shí)的調(diào)研性結(jié)論,但也說明了眾多網(wǎng)民在進(jìn)行線上服務(wù)交易時仍處于被動地位。
我們的信息如何被竊取?
App的附加信息錯綜復(fù)雜,留痕操作導(dǎo)致信息泄露成大概率事件。美劇《你》中,男主人公偷窺女主在Facebook、twitter的隱私信息,通過女主曬出的照片定位,社交關(guān)系,順藤搜索出了女主的成長經(jīng)歷、家庭情況、情感狀況、消費(fèi)習(xí)慣以及家庭住址和工作單位,并根據(jù)這些信息對女主進(jìn)行跟蹤,設(shè)計(jì)偶遇陷阱。該劇旨在表現(xiàn),信息爆炸時代來臨后,個人信息的竊取輕而易舉,熱門社交軟件中大量隱私的泄露將威脅用戶人身財(cái)產(chǎn)安全。
據(jù)《App個人信息泄露情況調(diào)查報告》稱,讀取位置信息權(quán)限和訪問聯(lián)系人權(quán)限是安裝和使用手機(jī)App時最常出現(xiàn)的情況,分別占86.8%和62.3%。受訪者被要求讀取通話記錄權(quán)限(47.5%)、讀取短信記錄權(quán)限(39.3%)、打開攝像頭權(quán)限(39.3%)、話筒錄音權(quán)限(24.6%)的比例也相對較高。
南都個人信息保護(hù)研究中心負(fù)責(zé)人娜迪婭表示,軟件商應(yīng)該區(qū)分核心功能信息和非核心功能信息,地圖App的核心功能就是定位,但如果這個App的衍生服務(wù)不涉及定位導(dǎo)航,仍需要強(qiáng)行開啟用戶的位置信息,這是不合理的,用戶在授權(quán)時應(yīng)當(dāng)謹(jǐn)慎選擇。
“目前,黑客攻擊造成的信息泄露,是線上個人信息被竊取的主要方式之一。另外就是內(nèi)部工作人員的刻意泄露,客觀上由于系統(tǒng)管理漏洞導(dǎo)致,主觀上則是涉及信息的竊取、販賣。”娜迪婭介紹。
娜迪婭強(qiáng)調(diào),“撞庫”現(xiàn)象近年來也越發(fā)嚴(yán)重。根據(jù)之前描述的“用戶賬戶密碼同一或相似”問題,一旦黑客方獲悉了用戶的一個登錄密碼,就會用這些“料”嘗試批量登錄其他網(wǎng)站,連帶搜尋用戶其他的個人網(wǎng)上信息,造成用戶信息大量被竊取。
例如,在國內(nèi)多起盜刷銀行卡案件中,騙子先通過在網(wǎng)上買來的受害人銀行卡賬號、身份證號碼等信息,再用軟件“撞庫”,相匹配的銀行卡賬號和密碼就會顯示出來,之后通過用電商平臺給買家充話費(fèi)等手段,將錢一筆一筆從銀行卡中轉(zhuǎn)移出來。
娜迪婭給出建議,在進(jìn)行網(wǎng)上交易活動時,盡量不要給出精確的個人信息,更不要使用單一的賬戶密碼。并且,一般大型的互聯(lián)網(wǎng)公司,技術(shù)能力較強(qiáng),對用戶信息的監(jiān)管能力要優(yōu)于小企業(yè),用戶在選擇同質(zhì)化服務(wù)時,需要考慮到這一點(diǎn)。
完善立法保護(hù)是重中之重
2016年12月發(fā)布的《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》對“個人信息保護(hù)”提出了明確要求:保護(hù)本國信息系統(tǒng)和信息資源免受侵入、干擾、攻擊和破壞,保障公民在網(wǎng)絡(luò)空間的合法權(quán)益。這是我國第一次發(fā)布關(guān)于網(wǎng)絡(luò)空間安全的戰(zhàn)略性文件。
此后,關(guān)于網(wǎng)絡(luò)信息安全的相關(guān)政策法規(guī)陸續(xù)出臺,網(wǎng)絡(luò)安全的法規(guī)體系和相關(guān)制度體系正在逐漸完善中。中央民族大學(xué)法學(xué)院二級教授宋才發(fā)表示,從法律層面保護(hù)網(wǎng)絡(luò)合法權(quán)益,可以從三個維度著手,一是各級政府必須加強(qiáng)對關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護(hù),二是加強(qiáng)政府對網(wǎng)絡(luò)空間秩序的管控和引導(dǎo),三是加大對網(wǎng)絡(luò)刑事犯罪打擊的立法和執(zhí)法力度。
“首先,各級政府是主要責(zé)任人并承擔(dān)主要責(zé)任,要引導(dǎo)和鼓勵公眾通過互聯(lián)網(wǎng)參與公共事務(wù),讓人民群眾有條件和機(jī)會監(jiān)督政府,促使公權(quán)力運(yùn)行更加公開透明。”宋才發(fā)表示,政府主管部門必須清醒地認(rèn)識到,要守護(hù)公民隱私保護(hù)與合理利用的邊界,不能僅靠應(yīng)用商“妥善保護(hù)用戶信息”的承諾,也不能僅僅依靠企業(yè)自律解決問題。
同時,加大對網(wǎng)絡(luò)刑事犯罪打擊的執(zhí)法力度是遏制個人隱私販賣的必要措施。宋才發(fā)教授建議,對于出賣用戶信息,倒賣個人隱私的非法行為,國家立法機(jī)關(guān)要根據(jù)網(wǎng)絡(luò)犯罪的技術(shù)特點(diǎn)增設(shè)資格刑,推動網(wǎng)絡(luò)非法行為的入罪進(jìn)程;檢察機(jī)關(guān)和執(zhí)法機(jī)關(guān)要著力構(gòu)建互聯(lián)網(wǎng)風(fēng)險防控體系,加大對網(wǎng)絡(luò)刑事犯罪打擊的執(zhí)法力度。
去年11月1日起施行的《公安機(jī)關(guān)互聯(lián)網(wǎng)安全監(jiān)督檢查規(guī)定》,標(biāo)志著互聯(lián)網(wǎng)安全將進(jìn)入規(guī)范化執(zhí)法、流程化監(jiān)管的新階段。其中明確規(guī)定,“公安機(jī)關(guān)在互聯(lián)網(wǎng)安全監(jiān)督檢查中,發(fā)現(xiàn)互聯(lián)網(wǎng)服務(wù)提供者和聯(lián)網(wǎng)使用單位,竊取或者以其他非法方式獲取、非法出售或者非法向他人提供個人信息,尚不構(gòu)成犯罪的,由公安機(jī)關(guān)沒收違法所得,并處違法所得一倍以上十倍以下罰款,沒有違法所得的,處一百萬元以下罰款。”
同時,公安機(jī)關(guān)及其工作人員對依法履行互聯(lián)網(wǎng)安全監(jiān)督檢查職責(zé)中知悉的個人信息和商業(yè)秘密,應(yīng)當(dāng)嚴(yán)格保密,不得泄露、出售或者非法向他人提供,構(gòu)成犯罪的,要依法追究刑事責(zé)任。把獲取的信息用于其他用途的,要對直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員依法給予處分。
這意味著,一旦個人信息泄露即將受到處罰,這對于許多因個人信息泄露,長期遭受電話營銷、電信詐騙困擾的民眾來說,無疑又增加了一道自我權(quán)益保護(hù)防線。