大量網易郵箱帳號遭公開叫賣 個人信息裸奔到何時?

一隻「黑手」正悄悄伸向湖北宜昌人李慧勤。

一年前，她在「天天徵婚網」註冊信息被人公開叫賣，讓她飽受騷擾電話困擾。人民網創投頻道調查時發現在賣家發來數十條驗證信息中，包含註冊名、手機號碼、微信號和ID。人民網創投頻道試圖添加多人微信，兩人通過驗證後，證實外洩的信息屬實。「天天徵婚網」回復稱，經核查，數據是早期部分數據。

網際網路市場快速生長，信息外洩事件不時出現。

在某交流平臺，有人公開叫賣網易郵箱帳號，百萬郵箱售價僅50元。賣家自稱可向這些郵箱發送營銷信息，並展示了據說包含有百萬個郵箱帳號的文件。人民網創投頻道發送數百條郵件測試，反饋信息顯示，僅有6個郵箱發送失敗。網易郵箱內部人士證實，如果沒有退回，證明網易郵箱帳號中心存在這個帳號，也就是說帳號真實存在。

這是個暴利行業。賣家自稱曾一天賺過能買一臺iphone7的錢，且稱通過爬蟲軟體爬取郵箱並不犯法。但大成律師事務所高級合伙人張宏認為，從賣家獲取數據方式來看，涉及抓取用戶數據和個人買賣信息，可以認定這屬於法律明令禁止的範疇，且賣家行為涉嫌違法層級較高。

某知名網際網路安全技術工程師王怡表示，如今，信息交易黑市已經出現數據定製服務和一條龍服務，信息外洩原因主要是平臺伺服器安全措施等級低，很容易被黑客入侵；黑客通過軟體漏洞進行攻擊；公司內部人販賣用戶信息。

百萬郵箱售價50元

市面上，個人信息的售價普遍很低。

賣家李娜自稱擁有海量網易郵箱用戶數據，量大且價低。一番討價還價，人民網創投頻道花費50元，看到其販賣的100萬條郵箱帳號信息。

對於為何只售賣網易郵箱，李娜毫不避諱地說，客戶喜歡網易郵箱，用戶數量龐大，只要網易不倒閉，她就有生意。

自1997年成立起，網易郵箱已經走過了22個年頭，旗下擁有八大系統（163、126、yeah、vip163、vip126、188、專業企業郵箱、免費企業郵箱）。截至2016年9月，網易郵箱用戶總數達8.9億，網易郵箱在中國市場佔有率自2003年起至今，一直高居全國第一。

2019年2月份，某媒體記者問丁磊，「如果以對社會的推動為標準排名，你認為網易產品中排名前三的是哪三款產品？」

丁磊說，第一是網易郵箱，這個產品是1997年開始做的。網易堅持做郵箱20年，促進了網際網路用戶的通訊效率，特別是海外通訊。

眾所周知，丁磊最初靠的是郵箱、門戶網站業務等發展壯大，而後登陸美國納斯達克。

李娜也挖掘到網易郵箱的商機。她說，幾年前，她主要銷售手機號碼，每條3分錢，後來發現網易郵箱商機，現在她將郵箱賣給不同商戶，每天都有資金入帳，盈利模式穩定。「我賺的最多的時候，一天掙了買一臺iphone7的錢。」據多家電商平臺官方顯示，一臺iphone7售價在幾年前高達數千元。

隨後，李娜提供的截圖顯示，一名賣家花1000元，向她購買500萬條數據，已支付500元訂金，約定當晚交貨。「只要你能付得起錢，我能提供足夠數據，能賣的數量能讓你『傾家蕩產』。」

另一名賣家在某社交平臺公開叫賣「天天徵婚網」用戶信息，他自稱手上有該網站七萬人註冊用戶數據，售價1000元，並稱多名客戶要購買，但具體用途並不知，「有人單獨要女性信息，也有人要男性信息。」

這名賣家表示，客戶事先給客戶提供「天天徵婚網」的連結，他獲得後臺權限後，便能「竊取」用戶註冊信息，7萬條註冊用戶數據，售價在2000元以上。

推銷詐騙？

倒賣數據的暴利，曾讓王怡心動不已。

他說，有段時間，他思考過是否參與數據盜取的生意，覺得太賺錢了。他認識一些朋友，通過買賣數據，每年會有幾十萬收入，而且只是利用工作外的額外時間。

王怡說，個人信息外洩已經涉及到衣食住行四大領域，包括開房記錄、名下資產、乘坐航班，網吧上網記錄。此外，手機實時定位、手機通話記錄，被當作最為容易獲取的數據，從而進行販賣，甚至每周7×24小時不間斷服務。「只要有人付錢，就可輕易被查到。」

王怡透露，這樣信息並不屬於昂貴的數據類型，即使是針對某個人，他獲取這些信息，也僅僅花費不到千元。

王怡表示，如今，信息交易黑市已經出現數據定製和一條龍服務，這說明網際網路黑產對個人隱私的侵害行為越來越明顯。

這也說明外洩的個人數據有市場需求。王怡看來，如今，數據處理技術已經非常完善，僅用一臺電腦，就可以將看似雜亂的數據進行深度分析，了解數據擁有者的具體收入，是否有房，是否單身，是否有私家車，喜歡什麼顏色等，這為騙子創造了更多行騙的機會，因為通過定向推送進行詐騙比通過垃圾廣告詐騙有效的多。

在柬埔寨從事中國地下博彩生意的張力認為，在東南亞，超萬家不同規模的博彩公司，他們就需要大量靠譜數據。經過交流，博彩公司之間形成了信息的交換渠道，比如某家公司會用100個客戶的數據與另外一家公司的100個客戶數據進行交換。「通過數據交換，大家可以對不同客戶實現開發利用。」

張力表示，在博彩行業，它帶有鮮明特點，不同人會參與多種類型的博彩活動，因此某個客戶信息可以多次利用，他們會在不同博彩公司消費。「一名優質『客戶』的相關信息，售價在5000元左右。」

「你不要認為價格高，如果一個數據敢賣這個價格，那就說明它可以給買家創造數倍收益，這也讓大批人鋌而走險。」

張力表示，他曾經有個合作夥伴，對方手上掌握大量有效數據，這些數據能夠為市場擴展提供強力保障，對方曾對他說，這些數據是他在大公司工作的親戚提供的。

「市場上遇到類似的交易，這也是無法避免的。」張力說，對於公司而言，它必須有相應制度和管理規範預防信息數據洩露，但從實際情況看，諸多中小型公司只能滿足最基本的數據保護。

內鬼操作？

但在張力看來，在不考慮黑客因素下，公司內部人員數據洩露尤為普遍。

這種說法也得到王怡贊同。他說，類似金融產品明細、用戶帳戶等安全級別相對較低的信息，少部分信息可以通過爬蟲程序直接抓取。但從技術的角度看，大部分平臺是沒有辦法通過爬蟲軟體獲取用戶電話、帳戶和其他明細。

王怡稱，爬蟲軟體是模擬人的操作，直接登錄抓取頁面等常規操作。如果網際網路上沒有這些數據，那就需要從公司後臺資料庫直接抓取信息，這是沒法使用爬蟲程序的。

在王怡看來，通過爬蟲軟體就能夠獲得數據，說明安全級別並不高，如果直接獲得安全級別高的數據，那就需要一定技術。

王怡表示，一般而言，獲取公司資料庫內部數據有三種方法，這也是市面上最常使用的方式。一是對方平臺伺服器的安全措施等級低，技術手段進入對方系統，獲取操作權限。二是黑客通過滲透測試工具，通過軟體漏洞進行攻擊。三是內外勾結，公司內部人進行信息販賣。

實際上，這已不是網易郵箱出事。

對此，網易免費郵箱當時稱，用戶對信息安全的重視，網易感同身受，並一向注重對用戶隱私的保護。網易郵箱一天處理約2億封郵件，不存在任何個人參與窺探用戶隱私的可能性。網易現在和將來都不存在、也不會容忍收集用戶隱私用於商業目的的行為。同時，網易郵箱將對銷售部門進行規範，避免因誇大宣傳，引起誤導。

華為資深工程師張合表示，如果網易出現郵箱帳號洩露，不管是否參與交易，網易都應承擔責任，「保護用戶的數據隱私是平臺最起碼的責任。」

「網易應該承擔責任。」張宏也說，網絡運營者應當採取技術措施和其他必要措施，確保其收集的個人信息安全，防止信息洩露、毀損、丟失。在發生或者可能發生個人信息洩露、毀損、丟失的時候，應當立即採取補救措施。但是，這次網易郵箱帳號洩露，尚未證實由網易內部人士所為。

買賣數據不違法？

在賣家李娜看來，通過爬蟲技術獲取網易郵箱並進行交易不違法，「爬蟲程序是我男朋友做的，爬取的是網絡上公開信息，不涉及違法行為。」

「爬取數據的合法性其實很窄，只有不妨害網站的正常運行、嚴格遵守網站設置的robots協議，不強行突破網站的反爬措施，這才是真正合法的數據爬取行為。」張宏表示，從法律角度來看，雖然數據的爬取是從公開數據當中進行數據抽查，但如果使用不當，也會突破法律的邊緣。

《網絡安全法》第四十二條規定，網絡運營者不得洩露、篡改、毀損其收集的個人信息；未經被收集者同意，不得向他人提供個人信息。但是，經過處理無法識別特定個人且不能復原的除外。網絡運營者應當採取技術措施和其他必要措施，確保其收集的個人信息安全，防止信息洩露、毀損、丟失。在發生或者可能發生個人信息洩露、毀損、丟失的時候，應當立即採取補救措施，按照規定及時告知用戶並向有關主管部門報告。

另外，《電信和網際網路用戶個人信息保護規定》第十條規定，電信業務經營者、網際網路信息服務提供者及其工作人員對在提供服務過程中收集、使用的用戶個人信息應當嚴格保密，不得洩露、篡改或者毀損，不得出售或者非法向他人提供。

2017年6月1日，《「兩高」關於辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》規定了較低的入刑門檻——該司法解釋將個人信息根據敏感度的高低分為三檔，非法出售的數量分別達到50條、500條、5000條，或違法所得達5000元以上即可定罪，如果是在履行職責、提供服務過程中「監守自盜」的，標準減半。

「這說明，所有的條件都必須是共同存在，才可以保證最終的合法性，但凡有一個條件違反了，就是違法行為。據我所知，大量程式設計師在從事數據的爬取過程中，或多或少都有違法的嫌疑。」張宏說。

在張宏看來，企業若要實現數據合法獲取，必須滿足兩個條件。一是網際網路企業只能收集其提供服務所必需的個人信息，非必需信息一概不得收集；二是企業必須明示收集、使用的目的、方式和範圍，並徵得用戶的同意，最常見的形式是平時註冊帳號前需要打勾的「隱私協議」。

如何保護數據隱私？

近年來，在網際網路市場快速成長的背景下，個人信息保護不力的事件屢見不鮮。

3月27日，上海市消保委發布了針對39款網購、旅遊、生活類常用手機APP涉及個人信息權限的評測結果。結果顯示，25款APP存在數據問題，尤其關於「日曆」權限的過度申請和隨意授權更令人擔憂。

這也就是說，這些APP申請了發送簡訊、錄音、撥打電話、讀取聯繫人、監控外撥電話、重新設置外撥電話的路徑、讀取通話記錄等敏感權限，卻未在應用中進行使用。

張合向人民網創投頻道表示，在市場中，侵權行為俯拾即是，有顯性的，也有隱性的。

所謂顯性，就是數據洩露已經影響市民生活。商家通過電話、郵件等方式對市民狂轟濫炸發送廣告，甚至開展詐騙行為。

所謂的隱形數據洩露最簡單也是最常見的表現形式是，當你在搜索軟體進行搜索的時候，關於你的數據已經傳播至其他軟體公司，任何公司都能夠根據用戶需求，提供相應產品，然後以機票、新聞、商戶等推薦形式展現。

「這是令人不寒而慄的。」張合說，人的記憶並不可靠，每個人都對自己沒有絕對的理解，但是網際網路數據是固定的，網際網路會比你更了解你自己，如果不加以控制，任何人都沒有隱私。

在我國，隨著《網絡安全法》及《「兩高」關於辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》等政策的實施，配合既有的法律、法規、規章，已形成刑事、行政、民事三位一體的法律保護體系。

張宏認為，從懲戒力度上看，在我國侵犯隱私的行為入刑門檻低、刑罰重，但行政處罰力度不及歐盟，民事訴訟也較難取得大額賠償；相較之下，歐洲更為推崇行政監管，美國則倚重民事救濟，體現了各國政府選擇治理手段上的不同側重。

（文中李慧勤、李娜、張合、王怡均為化名）

來源：人民網