是谁在买卖用户个人信息?你该怎么做
据新京报5月17日报道,亚马逊、1号店、小红书等账号信息泄露,“盗号扫号卖号”已成黑色产业链,黑客通过“扫号撞库”取得用户数据。“网络生存”已经成为中国7亿多网民的工作生活常态,我们的个人信息安全将何处安放?
个人信息泄露多严重?
【中国网民规模达7.31亿 “网络生存”成常态】中国互联网络信息中心(CNNIC)在京发布第39次《中国互联网络发展状况统计报告》(以下简称为《报告》)。《报告》显示,截至2016年12月,中国网民规模达7.31亿,相当于欧洲人口总量,互联网普及率达到53.2%。
【何为“公民个人信息”?】刑法第二百五十三条之一规定的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。
【1700个漏洞可泄露百亿条个人信息】大数据时代为人们带来便利,同样增加了信息泄露的风险。360互联网安全中心今年1月发布的《2016年中国网站安全漏洞形势分析报告》披露,2015年仅补天平台收录的漏洞中,就有1400余个漏洞可造成个人信息泄露,可泄露信息规模达55.3亿条。2016年又新收录了300余个可造成个人信息泄露的漏洞,约可泄露个人信息50余亿条。
信息买卖形成黑色产业链
【网络诈骗已成产业链】据360互联网安全中心统计数字显示,新型网络骗术层出不穷的一个重要原因是网络诈骗产业链的形成。由北京市公安局网络安全保卫总队与360互联网安全中心联合发起成立的网络诈骗全民举报平台——猎网平台——在2015年11月曾发布首个《现代网络诈骗产业链分析报告》,报告显示:基于对网民举报的近9万起网络诈骗案件的追踪研究,该平台发现网络诈骗已形成一条完整且分工明确、多达15个工种的地下黑色产业链;初步统计,网络诈骗从业者至少有160万人,“年产值”超过1100亿元,而涉嫌泄露用户信息量已超过千万级。
【盗库黑客成源头】猎网平台反网络诈骗专家裴智勇接受新京报记者采访时介绍,即便是手法最简单的网络诈骗,也至少需要10人的犯罪团伙:从开发制作、批发零售到诈骗实施、分赃销赃,网络诈骗可划分出多达盗库黑客、电话诈骗经理、短信群发商等多个不同工种,其分工明确,协同作案,形成了完整的网络诈骗地下产业链,其中盗库黑客是这条产业链的源头。
数据同样显示了这一隐患,2016年全年(截至11月15日),360网站安全检测平台共扫描各类网站197.9万个,其中,存在漏洞的网站91.7万个,占比为46.3%;存在高危漏洞的网站14.0万个(全年去重),占扫描网站总数的7.1%。
【个人信息为何容易遭到泄露并被非法应用?】中国消费者协会曾发布报告提出五点原因:网络信息传播速度快、范围广,个人信息易获取;网络环境下个人信息收集手段日益隐蔽;网络搜索功能日益强大,个人信息更容易被整合;网络信息监管缺位,服务商缺乏法律和社会责任意识;网络服务商对收集和存储的海量个人数据在保护方面缺乏足够投入。
个人信息如何保护?
【个人信息泄露的五条途径】追根溯源,个人信息为何会落在不法分子手中,是谁在泄露我们的个人信息?苏宁金融研究院研究发现,个人信息泄漏主要有五大路径:一是人为因素,即掌握了信息的公司、机构员工主动倒卖信息;二是电脑感染了木马病毒等恶意软件,造成个人信息被窃取;三是不法分子利用网站漏洞,入侵并盗取保存信息的数据库;四是用户随意连接免费WIFI或者扫描二维码而被不法分子盗取信息;五是密码简单,“一套密码走天下”,极大便利了不法分子进行“撞库”。
【非法出售个人信息获利5000元以上即可入罪】5月9日,《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》在京发布,明确非法获取、出售或者提供公民个人信息,违法所得5000元以上即可入罪,造成被害人死亡、重伤、精神失常或者被绑架等严重后果的,依照刑法规定,处3年以上7年以下有期徒刑,并处罚金。这是两高首次就打击侵犯公民个人信息犯罪出台司法解释。5月16日,最高人民检察院发布了6个侵犯公民个人信息的典型案例。在6个案例中,有涉及国家工作人员与销售商勾结,买卖婴儿信息数量达几十万条的案例;有在远程、非接触的状态下跨省区、多地域的犯罪;还有通过百度及QQ向他人购买学生个人信息,冒充学校及教育局工作人员骗取钱财的案例等等。
【立法明确个人信息安全规范的标准】近年来,我国对于个人信息保护的重视程度越来越高。新《消费者权益保护法》中,将个人信息保护作为消费者的一种权益加以确认。因此,国家应加强立法,明确个人信息安全规范的标准,为保障个人隐私提供法律依据。企业也应在创新的同时强化行业自律,保护用户信息,谨防信息泄露。全国信息安全标准化技术委员会秘书长高林认为,对于个人信息安全规范的标准要从两方面入手。一是在数据采集阶段,对企业收集用户个人信息要有合理限制,不是什么信息都可以收集;二是对信息收集之后的管理制定标准。
【用户树立自我保护意识,减少信息曝光率】很多流落他人之手的信息都是由于我们自己的疏忽造成的,个人信息的随意曝光给了他人可趁之机。以下生活常见的场景要注意防范:1.处理快递单时先抹掉个人信息再丢弃;2.使用公共网络,下线前要先清理痕迹;3.上网评论时不要随意留个人信息;4.网上留电话号码,数字间用“-”隔开,避免被搜索到;5.身份证等个人信息保管好;6.慎用手机app的签到功能;7.慎重使用云存储;8.加密并尽量使用较复杂的密码;9.别随便晒孩子照片;10.网上测试小心有诈;11.警惕手机病毒,定期给手机杀毒,不随便下载软件;12.别让旧手机泄密,旧手机废弃前先格式化;13.安装软件少点“允许”。
国外如何保障个人信息安全?
【他山之石:美国】据中国网报道,在个人信息保护方面,美国推行行业自律模式,即“由公司或者产业实体制定行业的行为规章或行为指引,为行业的网络隐私保护提供示范的行为模式”。美国与个人信息保护相关的行业自律模式主要有建议性的行业指引、网络隐私认证计划和技术保护模式。
【他山之石:英国】英国在2016年发布的《国家网络安全战略(2016-2021)》中明确提出三大战略目标:防御、威慑和发展。为此,英国政府与产业部门合作,采用自动防御技术抵御黑客网络攻击、病毒、垃圾邮件等侵害。同时,英国还加强国际合作,大力培养网络人才、发展最新技术,紧跟全球互联网前沿水平。
【他山之石:俄罗斯】在信息安全保护方面,俄罗斯更加强调个人自主保护,力推数据存储本地化。俄罗斯《个人数据保护法》规定,任何收集俄罗斯公民个人信息的本国或者外国公司在处理与个人信息相关的数据,包括采集、积累和存储时,必须使用俄罗斯境内的服务器。
【本文为Lightning·枕头财经系列栏目第380期】腾讯财经出品,欢迎留言分享,或给我们写邮件。枕头君同时诚邀财经智库、财经专家、理财达人入驻,合作邮箱:jackyjin@tencent.com,期待您的来稿来信。