來源:蘇寧金融研究院
作者: 黃大智
因為一個視頻,微信再次被置於「監測用戶聊天記錄」的烤火架上。
最近,微信官方通過「謠言過濾器」推文,澄清「微信監聽用戶聊天記錄」的謠言。該謠言起於某短視頻聲稱微信正在監聽用戶的聊天記錄,並傳授「關閉微信監聽的訣竅」。雖然其內容實際上是指導用戶如何關閉微信個性化廣告,但事關個人隱私,甚至是個人聊天信息的安全,有關「個人信息安全」這一話題,挑動了廣大網際網路用戶的敏感神經。
歷年兩會上關於「加快個人信息保護立法」的提案都會被熱議,但個人信息權益的複雜性和法律的嚴肅性,使得個人信息保護法一直難產,反倒是一件件侵犯個人信息權益的案件不斷發生。銀行員工私打客戶交易流水、販賣客戶信息牟利、各種APP非法收集信息……
「大數據時代,人人都在裸奔」成為網民的一句口頭禪。在我們看見的、看不見的地方,個人信息黑產規模在不斷的擴大著,信息「裸奔」的時代,了解個人信息保護尤為重要。
你的信息是如何洩露的?
如果我們將任何一種通過「獲取信息牟利」的行為定義為一種詐騙行為,那麼一個典型的「詐騙組織」可以分為兩個部分:社工庫(基礎資料庫)和欺詐獲利。
「社工」的意思是社會工程,在黑客圈指一種黑客攻擊以獲取情報和信息的方法。而「社工庫」就是詐騙組織把通過社工竊取的信息全部存儲起來整合成的一個資料庫。
看起來比較複雜,總結起來就一句話:社工庫是通過各種手段收集信息所組成的一個資料庫。
資料庫中集合了海量的信息,包括但不局限于姓名、出生日期、身份證號、手機號、各類網站的帳號、密碼、安全問題、家庭住址、家庭親戚關係、收貨信息、交易信息等。而社工庫也會因詐騙的規模、技術的高低等因素各有不同。
社工庫數據的個人信息來源主要有三種:第一種是黑客非法入侵,通過盜號、木馬等方式盜取大量信息;第二種是能夠接觸到個人信息的內部工作人員盜取出售信息;第三種是網絡爬蟲等方式非法爬取的數據信息。
黑客會通過入侵、拖庫、製作木馬、製作釣魚網站、製作欺詐主控系統等技術手段,僱傭大量「馬仔」進行社工、使用木馬、使用釣魚網站,而馬仔們得到黑客技術方面的支持後,更容易獲取有價值的信息。
例如,2017年,某大型國際高端酒店就曾發生大規模信息洩露,涉及的銀行卡信息超過幾十萬,損失高達幾千萬。
而通過內部工作人員盜取信息則顯得更加「高效」,也更加容易獲取更有價值的個人信息。例如近期曝光的某銀行員工私自販賣個人客戶信息的行為。
至於通過爬蟲等技術方式獲取信息的行為,隨著監管行為的更加嚴格和反爬蟲技術的發展,正在慢慢減少。
變現其實是個「技術活」
有了龐大數據量和詳細信息的社工庫,詐騙組織就有了一個獲利的基礎,將這些信息「變現」也就不成問題了。
一種獲利方式是信息倒賣,簡單粗暴。詐騙組織通過馬仔在QQ群、論壇、暗網等各種渠道出售有價值的信息,馬仔們又通過各種渠道僱傭成百上千個半職業的詐騙分子,同時各個人員之間又存在信息倒賣的關係。這就導致一個沒有任何資源、技術的「新人」,可以輕鬆通過求購數據、求購技術,進入詐騙組織進行獲利。這種信息倒賣方式多以信息數量計價,因此不可避免的充斥了各種假數據和無效數據。
當然,各種信息的價格也會有所不同,在黑市,一個普通人的身份證信息也許可以賣到20元,一個博士的學歷信息則有可能賣到50元。更值錢的信息則是「銀行帳戶流水」,力壓「酒店開房信息」,成為個人信息黑產中的「鑽石級信息」。理由也很簡單,銀行流水包含眾多調查線索,用途多多,「池子訴某銀行」事件便是一個血淋淋的例子。
另一種獲利方式則顯得更有技術含量。詐騙組織通過盜用帳戶、盜用銀行卡、個人詐騙、企業詐騙、套現、洗錢等方式,把社工庫的信息變現。相對來說,這種方式對於信息的要求更「成套」,也就是說需要同時具備姓名、身份證號、銀行卡號、預留手機號等信息。有了這些信息,詐騙組織中的「技術工種」就可以通過尋找銀行網上支付、第三方快捷支付、無卡裸扣等支付漏洞,將盜取的銀行卡信息在網上進行盜刷或轉帳了。
很顯然,相比於簡單的信息倒賣,這種方式更加需要技術實力和成體系的組織,因而危害也更大。
我的信息我做主?
在知道了你的信息是如此的值錢後,也許你對「自己的身體才是最值錢的」這句話有了新的認知(個人體貌特徵等都是個人信息)。但是既然值錢,那就不可避免涉及歸屬和處置的問題,也就是說:所有和我有關的信息,都是屬於我、可以由我處置麼?
目前,我國關於個人信息保護相關的法律規定,散落在《民法通則》、《網絡安全法》、《消費者權益保護法》等各法律中,尚且還沒有統一的《個人信息保護法》出臺,也缺乏對於「個人信息權」的準確界定。
但是,歐盟的《統一數據保護條例(GDPR)》給了我們非常好的參考。GDPR在個人信息保護領域的嚴厲性和廣泛適用性給了全球其他國家非常好的示範。
GDPR將個人數據保護納入人權範疇,以人權至上為保護原則。根據有關條款,數據主體作為數據的權利人,有以下幾種權利:
第一,知情權,即數據的控制者(如各網站和APP)必須得簡單明了的告訴用戶,用戶們的數據是如何被收集處理的。
第二,訪問權,即用戶可以瀏覽、確認自己在該網站(APP)上的個人數據。例如用戶可以查看在購物網站上的瀏覽「足跡」,且數據控制者不能因此項服務對用戶收費。
第三,反對權,用戶有權拒絕數據控制者基於其合法利益處理個人數據,也有權拒絕基於個人數據的營銷行為。也就是說,理論上如果用戶反對,企業不能通過對用戶的分析進行「精準推送或營銷」。
第四,限制處理權,當用戶提出投訴時(例如針對數據的準確性),可以限制數據控制者不再對該用戶數據繼續處理。
第五,反自動化決策,若數據控制者和處理者通過自動化處理(包括畫像)作出決策影響了用戶時,用戶可進行拒絕。
第六,數據被遺忘權(刪除權),即用戶有權要求刪除有個人有關的留存信息。放在網際網路語境下,就是要允許用戶註銷、刪除各種帳戶。
第七,數據可攜帶權,用戶將其個人信息從一個信息服務提供者轉移至另一個信息服務提供者。例如,用戶可以將其Facebook中的各種照片和資料轉移到Instagram上,而在這個過程中,Facebook不僅不能干涉,還要配合用戶提供服務。
當然,以上這些僅僅是簡要的解釋,實際中還會有一些例外情況。同時,GDPR號稱「最嚴數據保護條例」,其他國家包括我國在對個人信息保護立法中,並非是對GDPR保護條例的照搬,而是作為參考。
絕對嚴格的監管帶來的是企業合規成本的飆升,GDPR通過複雜的連鎖反應,對歐盟數字經濟產生了重大的影響。事實上,數據嚴監管的負面效應已經顯現,中國信通院發布的《全球數字經濟新圖景(2019年)》顯示,2018年美國數字經濟規模達到12.34萬億美元,中國保持第二大數字經濟體地位,規模達到4.73萬億美元,其他各國則顯著落後於中美。可以看到,歐盟在這波數字經濟浪潮中,已經顯著落後於中美。
儘管如此,安永的一份調查報告顯示,亞太區金融機構普遍都預計各國會像GDPR看齊,調整相關法律法規。從這個方面來講,即便國內現在沒有法律對上述信息主體權利作出規定,也有希望在未來真正實現「我的信息我做主」。
先保護自己的身份免遭盜用
鑑於個人信息的保護如此重要,每個人都希望找到一些簡單又行之有效的方式,以避免自己成為被盜用身份的受害者。但是事實上,在個人信息的使用上,安全和便捷歷來是此消彼長的狀態,技術的發展可以帶動兩者的同步提升,卻無法消除兩者之間的矛盾。
在我們享受到如此便利的網際網路服務時,就必然會一定程度上讓渡個人信息的安全。公共討論中的「網際網路時代,隱私已死」其實一定程度上是「用便利換隱私」的結果。
但是當網際網路成為一種公共服務,每個人都缺少不了的時候,顯然需要政府(立法)出面解決信息過度使用的局面。最小採集理念在發達國家已經被普遍採納,國內的公權力機構和企業如何遵守這一底線,顯然是一個值得思考的問題。
但是對於個人而言,當我們身處這樣一個既定的資訊時代中,最起碼可以先注重自己的行為,保護身份信息免遭盜用。
首先,不要把明顯的各類紙質信息隨意丟棄,例如銀行單據、快遞信息等。保管好所有和自己有關的文件記錄,當不要的時候,要及時銷毀。
其次,牢記所有帳號密碼,儘量不要所有平臺用統一的帳號密碼登錄。如果實在難以記住,可以試著通過可加密的方式記錄。
最後,每年至少去央行徵信中心或銀行等機構查詢一次自己的徵信報告,確保自己沒有「被貸款」或「被法人」。
參考書目:1、陸強華、楊志寧著,《深度支付》,中國金融出版社,2018;2、David Montague著,易寶支付譯,《風控及未來》,中國金融出版社,2016;3、David Lawrence著,張宇譯,《消費金融真經:個人貸款業務全流程指南》,機械工業出版社,2017;4、謝遠揚,《個人信息權利的侵權法保護》,中國法制出版社,2016;