本文来自《财新周刊》2017年31期 文 | 财新记者 张宇哲 吴雨俭 彭骎骎
大数据时代,人人都在‘裸奔’。”一句无奈的玩笑话,折射出大数据的洪流之下,个人隐私信息被严重盗用、滥用的现实。
公安部最近披露消息:自今年3月公安部部署开展打击整治黑客攻击破坏和网络侵犯公民个人信息犯罪专项行动以来,截至目前,全国共侦破侵犯公民个人信息案件和黑客攻击破坏案件1800余起,抓获犯罪嫌疑人4800余名,查获各类公民个人信息500多亿条。
此类案件三大特点:一是黑客入侵网站非法窃取公民个人信息犯罪活动增多,二是企事业内部人员成为非法泄露个人信息的主要源头,三是侵犯公民个人信息犯罪成为其他各类犯罪的上游犯罪。
近日,备受关注的苹果中国公司内部多名员工买卖个人信息一案,已开庭审理。此案涉及苹果国内直销公司及苹果外包公司员工20多人,利用苹果公司内部系统平台,非法查询苹果手机关联的手机号码、姓名、Apple ID等信息,再将信息以每条10元-180元不等的价格售卖,初步查明涉案金额达5000万元以上。
业内人士透露,这类犯罪团伙往往是倒卖个人信息的“数据黑产”安插进公司内部的。“不过,从整个数据产业来看,‘内鬼’案件还算是个案,更普遍的是整个大数据行业成体系地变相买卖个人信息。这是公开的秘密。”
何谓“数据黑产”,还无官方定义。一般把黑客盗取或直接倒卖个人信息的行为称为“黑产”。时下大数据公司流行的对外提供身份验证、“黑名单”服务等市场化行为,并不属于“黑产”。
但在多位资深律师看来,由于普遍涉及侵犯个人隐私,缺乏规范授权,个人信息交易未经过“脱敏”、明示细化授权,属变相买卖。所以,严格来说,大数据公司的部分数据服务或可称为“灰产”,在这一需求之下,催生了近年庞大的“数据黑产”。
中国的网络数据泄露问题已暴露多年,2011年末曾引起社会广泛注意(详见本刊2012年第2期封面报道“网络大泄密”)。近两年,借着互联网金融、消费金融和大数据风控的风口,各种数据公司大行其道,形成了有供有需的完整产业链。源头可追溯至公安部下属的身份证查询中心、高等教育学生信息网、三大移动通信运营商等,中间环节涉及不规范经营的第三方支付机构、个人征信机构、大数据公司、电商平台、房地产中介等,目前需求方是从事现金贷、消费贷的互联网金融平台、各种消费金融公司甚至也包括商业银行的零售业务部门。
眼下,中国相关监管部门正着手整肃大数据产业链。
2017年6月1日,《网络安全法》正式实施,完善了个人信息保护规则,包括要求明确披露信息用途、适用范围、时效等。作为中国第一部全面规范网络空间安全管理的基础性法律,标志着中国网络空间治理、网络信息传播秩序规范、网络犯罪惩治即将翻开崭新的一页。
同日的另一重拳更为业内关注:《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(下称“两高”司法解释),对《刑法修正案(九)》(下称“刑九”)第253条作出解释,明晰了侵犯公民个人信息行为的定罪量刑标准,大幅降低入罪门槛,并明确犯罪行为责任主体,不仅仅是公司,公司高管及直接业务负责人等也要承担相应责任。
北京网贷协会数据安全专家韩洪慧说:“现在非法使用和恶意使用个人信息的情况太严重了。《网络安全法》的实施是一个很好的契机,被寄予很高期望,但关键看执法力度和强度。”
按照“两高”司法解释,非法获取、出售个人财产信息超过50条即可入刑。在业内看来,“如果严格执行,几乎所有的大数据公司立马停摆”。“只要深究其数据是怎么来的?是否经过用户明确授权?很多大数据公司都无法回答。”韩洪慧告诉财新记者。
目前,15家大数据公司被列入公安部门调查名单,其中不乏估值超几十亿元者,包括第一家挂牌新三板的大数据企业数据堂,涉及其对理财公司提供大量用户隐私数据。
财新记者从多个渠道获悉,公安部公共信息网络安全监察局正在制定专项治理方案,已将调查名单扩大到30多家,业内知名的大数据公司悉数在此次调查范围之内,不乏已在排队申请IPO计划的公司。
“去年的电信精准诈骗‘徐玉玉案’是此次‘两高’司法解释加速出台的直接推手。眼下各省公安机关都在开展专项整治活动,目前还处于保密侦查阶段。根据过往历史经验,只要有司法解释出台,接着就是大面积的整治清理行动,后续的演变可拭目以待。”前述公安部三所专家对此预计。
今年3月全国“两会”期间,会议副秘书长、发言人傅莹就表示,2017年将对《网络安全法》开展执法检查,重点检查非法向他人提供个人信息和网络欺诈现象。
7月27日,中央网信办、工信部、公安部、国家标准委四部门联合启动个人信息保护隐私条款专项工作,首批将对微信、淘宝等十款网络产品和服务的隐私条款开展评审,重点包括明确告知收集的个人信息及收集方式等。
“眼下个人信息泄露严重,大家已经苦不堪言。大数据公司不能一味为了发展,牺牲个人消费者的信息安全。”中国公安大学一位教授如是解读。■
コメント