RM新时代平台足球

“可以放心，咱們是長(cháng)期合作，數據都是真實(shí)的。”

“**寶付款，到時(shí)發(fā)你郵箱。”

《中華人民共和國數據安全法》將于9月1日正式實(shí)施，我國網(wǎng)絡(luò )空間安全治理法律體系將進(jìn)一步完善。然而，近期記者調查發(fā)現，在論壇社群、電商平臺等網(wǎng)絡(luò )空間，仍有灰色數據交易藏匿于隱蔽角落，其中也包含針對個(gè)人信息等在內的隱私數據交易。

被公開(kāi)售賣(mài)的隱私數據

灰色交易藏匿于貼吧、淘寶等網(wǎng)絡(luò )平臺

聯(lián)系中介賣(mài)房，隔天就有貸款公司問(wèn)你需不需要借貸；每年車(chē)險快到期，就莫名其妙接到各種保險公司的推銷(xiāo)電話(huà)……是哪個(gè)環(huán)節出現了問(wèn)題？

在百度貼吧上，一些個(gè)人隱私數據、行業(yè)數據被公開(kāi)叫買(mǎi)叫賣(mài)。

“全國企業(yè)內部員工通訊錄，真實(shí)可測”“大眾點(diǎn)評商鋪數據，量大3000萬(wàn)”“收影視手機數據，支持測試的來(lái)”“收微博原始數據”……

 

灰色數據交易藏匿于百度貼吧、淘寶、閑魚(yú)等平臺。

“0.9元一條，實(shí)時(shí)抓取的。”記者通過(guò)QQ與其中一位賣(mài)家“林峰”取得聯(lián)系，對方表示可以提供包括車(chē)險、網(wǎng)貸、信用卡等各行業(yè)的數據定制服務(wù)。賣(mài)家特別強調，所有數據是實(shí)時(shí)提取一手的，不是那種“很爛的、轉賣(mài)了好幾手”的數據，并強調“量大價(jià)格還可以再低一些”。

賣(mài)家向記者展示了之前交易的聊天記錄和車(chē)險信息數據樣本，并保證“信息都是真實(shí)的”。在他展示的數據樣本中，包含車(chē)主姓名、身份證號、手機號、車(chē)牌、車(chē)型、發(fā)動(dòng)機號、車(chē)架號、車(chē)檢日期等詳細信息。

 

賣(mài)家向記者展示的數據樣本。

賣(mài)家說(shuō)，車(chē)險數據來(lái)自不同的平臺，當天下單要第二天才能發(fā)，需要進(jìn)行數據篩選，“如果單一個(gè)保險公司，搞不了那么多，一個(gè)公司沒(méi)那么強大。”

記者詢(xún)問(wèn)有沒(méi)有網(wǎng)貸數據，對方則表示，目前只能提供號碼，量大的話(huà)可以搞到住址等更詳細的數據。

交談過(guò)程中，賣(mài)家提醒“盡量打語(yǔ)音，不要發(fā)文字”。

另一位賣(mài)家對記者表示，自己賣(mài)車(chē)險，同時(shí)也可以出售車(chē)險客戶(hù)資料，包括車(chē)輛年限、保險到期時(shí)間等“精準服務(wù)”。“如果要10月到期的車(chē)險信息，現在就有，11月份的需要等到下個(gè)月。”該賣(mài)家告訴記者。

而在淘寶、閑魚(yú)等電商平臺，記者發(fā)現還有不少商家上架了數據代查、數據采集等爬蟲(chóng)服務(wù)，涉及的內容包括:各城市地方官員相關(guān)數據、MIMIC臨床數據庫、某券商機構數據庫查詢(xún)下載、美團數據采集等。

在淘寶上，一家名為“啟航羊絨制品”的商家，實(shí)際提供的是可定制信息采集服務(wù)，涉及搜狗、百度、高德、360地圖商家POI興趣點(diǎn)的電話(huà)號碼信息。“個(gè)人信息采集不到，企業(yè)、店鋪、門(mén)市、工商的都可以。”該商家告訴記者，這些都是公開(kāi)信息，“沒(méi)有風(fēng)險”。

另外一家名為“CityData城市大數據”的商家告訴記者，可以提供包含聯(lián)系方式等在內的二手房源信息，下單后24小時(shí)內網(wǎng)盤(pán)發(fā)貨。

爬蟲(chóng)是一種快速自動(dòng)抓取網(wǎng)絡(luò )公開(kāi)信息的輔助工具，例如我們使用的搜索引擎都用到了爬蟲(chóng)技術(shù)。

“一般而言，如果爬蟲(chóng)所爬取的是公開(kāi)數據，將其打包售賣(mài)，并不被法律所禁止。但是，即便是公開(kāi)數據的爬取，若爬取行為不當，仍然存在一定的法律風(fēng)險，當事人有可能面臨侵權或反不正當競爭訴訟。”中國銀行法學(xué)研究會(huì )理事肖颯告訴人民網(wǎng)記者。

北京某科技公司技術(shù)總監劉剛指出，爬蟲(chóng)能獲取的信息其實(shí)是有限的，且多數是公開(kāi)的。但通過(guò)撞庫、誘導、群發(fā)、釣魚(yú)手段獲取大數據信息行為，已非單純的通過(guò)爬蟲(chóng)技術(shù)獲取信息，應歸納到黑客、木馬程序竊取的范疇。

行業(yè)互換成監管難點(diǎn)

越來(lái)越多的數據泄漏發(fā)生在企業(yè)內部

“上午9：22剛注冊好公司，我方辦稅財務(wù)未泄露信息，馬上就開(kāi)始有一堆電話(huà)打過(guò)來(lái)，問(wèn)我要不要記賬報稅。”日前，一位來(lái)自深圳市華龍區的市民在人民網(wǎng)領(lǐng)導留言板吐槽。

記者調查發(fā)現，在房產(chǎn)交易、教育培訓、金融保險等重要民生領(lǐng)域，信息泄露情況普遍。多位受訪(fǎng)者表示，有時(shí)候個(gè)人信息數據莫名其妙就被泄露了，一些企業(yè)的“精準營(yíng)銷(xiāo)”讓人無(wú)處可躲。對此，有業(yè)內人士表示，數據行業(yè)互換是信息泄露的主要途徑之一，企業(yè)、個(gè)人私下數據互換行為成為監管難點(diǎn)。

“行業(yè)互換現象非常普遍，比如：房產(chǎn)中介員工私下交換客戶(hù)聯(lián)系方式、汽車(chē)經(jīng)銷(xiāo)商與保險機構互換資源等等。這些私下行為比較難監管。”劉剛告訴記者，當前一般涉及數據安全的企業(yè)都需要通過(guò)網(wǎng)絡(luò )安全等級保護評測，以黑客攻擊、木馬等技術(shù)方式大規模獲取數據的難度很大，風(fēng)險也比較高。目前，大量隱私數據是通過(guò)行業(yè)互換泄露的，一些小的服務(wù)中介、代理機構在客戶(hù)信息保護方面意識淡薄。

事實(shí)上，隨著(zhù)公民對個(gè)人信息保護意識的不斷增強，以及監管體系的不斷完善，一些灰色交易正在浮出水面。

據媒體報道，浙江省通信管理局在7月5日對投訴人的答復函中核實(shí)，2019年11月11日，阿里云計算有限公司未經(jīng)用戶(hù)同意擅自將用戶(hù)留存的注冊信息泄露給第三方合作公司，該行為違反了《中華人民共和國網(wǎng)絡(luò )安全法》第四十二條規定。

當前對于大型企業(yè)，特別是互聯(lián)網(wǎng)大廠(chǎng)，數據安全被視為“生命線(xiàn)”，一旦出現數據安全事故，其后果將是難以承受的?！毒W(wǎng)絡(luò )安全法》第21條明確規定了“國家實(shí)行網(wǎng)絡(luò )安全等級保護（“等保”）制度，要求網(wǎng)絡(luò )運營(yíng)者應當按照網(wǎng)絡(luò )安全等級保護制度要求，履行安全保護義務(wù)。”業(yè)內人士表示，一般大中型企業(yè)都會(huì )通過(guò)“等保”全面提升數據安全防護能力。

但是，“防止數據泄漏和數據合規運營(yíng)是當前大多數企業(yè)面臨的難點(diǎn)。”360集團大數據協(xié)同安全技術(shù)國家工程實(shí)驗室咨詢(xún)總監童磊坦言，中大型企業(yè)在完成數字化轉型過(guò)程中基本具備網(wǎng)絡(luò )安全基礎防護能力，成熟度較高企業(yè)普遍實(shí)施傳統數據安全方案，但對于隱私數據企業(yè)則普遍沒(méi)有專(zhuān)門(mén)實(shí)施單獨的安全管控，部分出海企業(yè)會(huì )針對出海業(yè)務(wù)實(shí)施GDPR隱私合規方案。

“越來(lái)越多的數據泄漏發(fā)生在企業(yè)內部。”童磊說(shuō)，一方面，隨著(zhù)數據價(jià)值的提升，數據全生命周期流轉往往涉及多個(gè)部門(mén)和多個(gè)系統，而相應的訪(fǎng)問(wèn)控制與權限管理很難兼顧安全與業(yè)務(wù)兩方面訴求，訴求差異以及統一安全運營(yíng)控制的缺失往往導致數據泄漏事件的發(fā)生。

另一方面，在數據成為新型生產(chǎn)要素的背景下，數據載體分布廣，海量數據匯聚、流通、分析和共享，導致很多企業(yè)都不了解自己的數據，不能夠清楚地知道敏感數據的具體分布，數據資產(chǎn)不清晰也為數據安全管控和保護策略的實(shí)施帶來(lái)了困難。

“數據安全是相對的，很難做到絕對安全。”在劉剛看來(lái)，在一些面向C端服務(wù)的行業(yè)，如房產(chǎn)中介、保險金融等，基層網(wǎng)點(diǎn)多，人員流動(dòng)大，而且能夠直接觸及到客戶(hù)信息。這些特點(diǎn)使得數據“行業(yè)互換”等違法行為更加分散、隱蔽，一些企業(yè)在監管方面的“鞭長(cháng)莫及”“默不作聲”一定程度上助長(cháng)了這種灰色交易。

劉剛認為，平臺方應主動(dòng)加強自身監管，落實(shí)內外風(fēng)險管控、提升信息保護等級。另一方面，建議加大對個(gè)人泄露隱私的處罰力度。

目前，一些機構、企業(yè)也探索通過(guò)技術(shù)手段實(shí)現數據“可用不可見(jiàn)、可用不可取”。例如通過(guò)隱私計算技術(shù)，在不共享明文數據、保障數據安全和用戶(hù)隱私的前提下，實(shí)現多方數據協(xié)同，聯(lián)通數據孤島，可以有效打擊數據黑產(chǎn)。

數據安全頂層設計逐步到位

扎緊“數據灰產(chǎn)”牢籠仍需各方合力

隨著(zhù)數字經(jīng)濟成為經(jīng)濟增長(cháng)的新引擎，數據作為新型生產(chǎn)要素的潛能正在逐步顯現。如何在數據的收集、加工、傳輸等處理活動(dòng)中既能釋放效率紅利，又確保敏感數據不被侵權、泄露、販賣(mài)，成為監管需要平衡的關(guān)鍵。

在保護數據安全方面，即將實(shí)施的《數據安全法》規定了關(guān)鍵信息基礎設施的運營(yíng)者、從事數據交易中介服務(wù)的機構、國家機關(guān)等數據處理者均負有數據安全保護的義務(wù)。第四十四條至第五十二條還詳細規定了違反相應義務(wù)時(shí)各主體應當承擔的責任。肖颯表示，這有利于在發(fā)生違規違法事件后厘清各主體的法律責任。

“作為重要生產(chǎn)要素，數據對經(jīng)濟發(fā)展的價(jià)值需要被進(jìn)一步重視。”中國電子技術(shù)標準化研究院網(wǎng)絡(luò )安全研究中心數據安全部主任胡影認為，《數據安全法》的一大特點(diǎn)在于兼顧統籌數據安全與發(fā)展：一方面厘清隱私保護、數據安全鏈條中各主體的法律責任；另一方面也鼓勵數據的合法開(kāi)發(fā)利用，保障數據依法自由有序流動(dòng)。

隨著(zhù)《網(wǎng)絡(luò )安全法》《數據安全法》《個(gè)人信息保護法》的逐步到位，數據安全和隱私保護的監管力度正在不斷加大。業(yè)內人士認為，頂層設計正在逐步到位，但要扎緊“數據灰產(chǎn)”牢籠，仍需行政監管、市場(chǎng)約束、行業(yè)自律、社會(huì )監督等各方合力。

“從監管動(dòng)向來(lái)看，電商、外賣(mài)、快遞、打車(chē)、連鎖酒店、求職招聘等行業(yè)，獲取的信息不僅涉及到用戶(hù)隱私安全，還有可能涉及國家安全。”劉剛認為，大公司所獲取的數據，往往更具有價(jià)值，加強企業(yè)對個(gè)人信息規范管理的同時(shí)，應推動(dòng)建立統一的管理系統，以保證數據使用安全、合法、可追溯。

據中國信通院云計算與大數據研究所副所長(cháng)魏凱介紹，信通院已牽頭制定《數據安全治理能力評估方法》，編制發(fā)布《數據安全治理實(shí)踐指南》，推出國內首個(gè)數據安全治理能力評估（DSG評估）服務(wù)，為企業(yè)建設、度量、改進(jìn)自身數據安全治理體系提供方法論和操作指南，引導企業(yè)從戰略、技術(shù)和制度等角度全面提升安全能力和合規水平。截止目前，已有20多家頭部企業(yè)積極開(kāi)展貫標工作。

“對于信息安全行業(yè)而言，應該積極探索如何平衡地利用數據，既要保護個(gè)人隱私、保護單點(diǎn)數據，又要進(jìn)一步放大數據價(jià)值，真正實(shí)現數據全流程安全，確保數據可用不可見(jiàn)、可用不可取，進(jìn)而發(fā)揮更大的政企數據賦能作用。”安恒信息董事長(cháng)范淵說(shuō)。

（文中林峰、劉剛均為化名。實(shí)習生許愿對此文亦有貢獻。）

【短評】

隱私數據保護，守底線(xiàn)就是守生命線(xiàn)


編輯：薛姣