互联网时代,谁在出卖我们的信息?
2019/10/29 14:39:55

01

2017年10月,5个中国移动成都分公司旗下公司的80后员工,以1毛、6分、1分一条不等的价格,彼此倒卖客户信息,最多的一次,交易了243万条,其中的94万多条卖给了一个做移动外呼业务的公司。终了,几人被判了三年到五年不等有期徒刑。

这种监守自盗的故事,几乎成为个人信息保护口号下的一大病症。这几日,我连日受推销电话骚扰,一琢磨,八成因为前日注册某招聘网站提交了手机号,至于怎么泄露的,我想,要么被爬虫,要么被倒卖了吧。

大约从2004年开始,中国的网络实名制注册和个人信息网络化开始形成确切的数据流,但个人信息保护的相关法律政策并未紧跟而上,少得可怜。2013年,数据产业风云鹊起,个人信息买卖、非法爬虫数据几乎让大数据公司赚得盆满钵满。一直到2017年中,《网络安全法》的实施,在法律上终结了这种行为的可操作性。

20年来,数据的产生几乎是爆炸性的,个人信息夹带着行为数据喷涌而出,DC名为《数据时代2025》的报告显示,全球每年产生的数据将从2018年的33ZB增长到2025年的175ZB(1ZB相当于1.1万亿GB)。对一个人的画像越来越容易,只要通过对个人微信、QQ或Facebook上好友推文数据进行分析而无需查看个人用户数据,即可对个人信息的精准推测。

对个人信息和数据掌控着的,往往是大机构,从支付到电信、物流、住宿、电商等行业,高频、大规模的用户行为沉淀了海量数据,这些领域的机构,也是数据泄露的重灾区。

中国互联网协会2015年发布的数据报告显示,78.2%的网民个人身份信息被泄露过,包括网民的姓名、学历、家庭住址、身份证号及工作单位等;63.4%的网民个人网上活动信息被泄露过,包括通话记录、网购记录、网站浏览痕迹、IP地址、软件使用痕迹及地理位置等。

2018年,Facebook、携程、圆通、顺丰、华住等企业机构都发生过用户个人信息及数据泄露事件。这年11月,万豪集团旗下喜达屋酒店预订系统遭入侵,多达5亿曾在喜达屋系统预订酒店的客户个人信息被泄露。

只要有利可图,倒卖和非法爬虫之事并不会停止。

02

2018年底,一份854GB大小、2.02亿中国求职者的简历信息MongoDB数据库在无人看管的情况下“裸奔”了一个星期,直到曝光之日才被下线。期间至少十几个IP在脱机之前访问了数据库。

这份数据库包含了个人全名家庭住址,手机号码,电子邮件,婚姻状况,子女数量,政治关系,身高,体重,驾驶执照,识字水平,薪水期望、教育背景、工作经验等。

那一个星期里,这些数据就像一个未上锁的档案箱,放在大街上任人翻阅。

传言这些数据来自中国的几家大型招聘网站,但未被承认。

大公司保护我们的个人信息与数据安全,从来不是一件靠谱的事情。

近几年以来,社交平台FaceBook、美国征信巨头Equifax、出行公司Uber、京东商城等大公司都发生过大规模数据泄露事件。如果说数据泄露大部分是因为黑客攻击或漏洞被攻击,那么内鬼倒卖机构数据,几乎是制度的原罪。

2017年,中国建设银行江阴市云亭支行主管陈某通过中国建设银行新一代查询系统,查询公民在该行的开户资料、绑定手机号码、银行卡余额等信息达四十余条,再以每条250元左右的价格分六次卖给他人,获利6000元多。

黑客与互联网公司的数据安全之间,几乎是道高一尺、魔高一丈的较量,前者是刺客,也是后者防火墙的达摩克斯之剑;而内鬼利用职务之便倒卖数据,则是制度和内控漏洞之殇。

同一年,受聘于江苏省镇江市公安局新区分局巡特警大队内勤(文职)的90后青年唐某,利用职务之便,查询公安内网的全国人口信息库和全国机动车、驾驶人资源信息库,拿到约11300余条公民的个人户籍、车辆信息,卖了十万余元。

内鬼卖数据,也是监管套利的典型。2017年6月,《网络安全法》开始实施后,打击犯罪提上日程,犯罪者的面目逐渐暴露。

这一月之后,中国裁判文书网上的侵犯公民个人信息的刑事案件开始陡增,并不是犯罪多了起来,而是清算开始了。

03

2018年3月至4月期间,大数据公司中数智汇的一个魏姓员工,短短一个月内,以“网络爬虫”程序爬取了329.6万条公民姓名和电话号码的工商个体户和单位资料进行贩卖,后被判处有期徒刑四年。

爬虫的商业化需求,几乎随着P2P网贷和现金贷的兴起而泛滥,2013年之后,大数据产业兴起,现金贷、P2P网贷言必称大数据风控,而这些数据,许多来自非法爬虫与倒卖。

2017年,家住长沙的中国工商银行长沙市汇通支行信贷中心员工田某,以每条30元的价格,为3名小贷公司业务经理、1名诺远普惠经理查询公民个人征信记录,最终,涉案的几人被判一年至五年不等有期徒刑。

第三方数据公司的出现,迅速喂饱了消费金融、P2P甚至银行金融机构的风控需求,并激活了获客、营销的能力。2015年前后,爬虫和数据买卖是许多大数据公司的主要数据来源。第三方数据公司和互联网金融这对共荣共生的野蛮兄弟,一起吸着窗口期的红利。

现金贷、P2P吃着这些带血的馒头,也是睁一只眼闭一只眼。

如果细究一下就会发现,整个互联网金融的无序发展,带来了上下游产业的黑产泛滥,第三方数据公司以数据买卖、非法爬虫为它获客、营销和风控提供滋养,暴力催收为它断后,而诈骗混杂其中,这几兄弟沆瀣一气,将过去几年内的金融科技创新熬成了一锅浆糊。

这些爬虫和倒卖的背后,还催收了如大数据杀熟、过度营销等现象。你我今日泄露的个人信息,明天就会变为垃圾短信和诈骗电话的的狂轰乱炸。

2016年8月,即将迈入大学校园的18岁山东徐姓女孩,拿着家里东拼西凑的9900元学费,憧憬着大学生涯的无限可能,却被一个冒充教育局、以奖学金作为诱饵的诈骗电话骗去,报案后不幸心脏骤停离世。

大数据时代,我们之所以越来越怕,是技术放大了个人信息泄露的风险,互联网上,个人面对机构,被描述地越来越立体化,越来越裸体化。

04

2017年5月,英国《经济学人》杂志发表文章,将数据比作“未来的石油”。

如今面临着最基本的一个问题:数据出自于你我,为何成了他人的石油?数据确权一事在近几年里被提出,就是“产权”与“所有权”问题。

我们在这篇文章里列举的案例,法院都以侵犯公民个人信息罪判刑,但并未对数据确权有过明确的表述,到底侵犯了谁的数据?这些数据的产权属于谁?在《民法总则》中,对数据权的定性悬而未决,谨慎而笼统地表述为“法律对数据、网络虚拟财产的保护有规定的,依照其规定”以及“自然人的个人信息受法律保护”。

这种数据权的不确定,也体现对犯罪者的审判上,当企业里的个人侵犯公民个人信息时,究竟是谁在犯罪?

自称数据第一股的北京“数据堂”,2014年挂牌新三板。2017年7月山东公安上门时,这家公司日均传输公民个人信息1亿3000万余条,累计传输数据压缩后约为4000G。数据堂案件一审判决时,数据堂首席运营官柴银辉、营销产品部副总裁胡晓敏都被判有期徒刑三年,两人都不服,以“数据堂公司系单位犯罪”理由提起上诉,终被驳回。依据来自《最高人民法院关于审理单位犯罪案件具体应用法律有关问题的解释》第二条,“个人为进行违法犯罪活动而设立的公司、企业、事业单位实施犯罪的,或者公司、企业、事业单位设立后,以实施犯罪为主要活动的,不以单位犯罪论处。”

之后,“数据堂”正常运行。这存在一个很难的局面,犯罪的个人会被持续打击,但获利的公司仍会存在。

世界前十大互联网公司中,谷歌、Facebook和腾讯,都是经营数据的公司,其目的主要是营利。在数据的产生过程中,企业和个人投入了资本与劳动力,在数据未能确权的情况下,它们更多的是一种资源再分配和风险再配置的问题,当我们提供个人信息交换服务便利,资源的分配达成,而当数据泄露时,遭殃的却是个人,风险配置的天平,明显倾斜向个人一方。

如今看来,数据确权,更多地让步于难以定性的权属和互联网产业的发展。

05

当数据风险不可避免存在,我们能不能选择被遗忘?

2010年3月,西班牙人Costeja Gonzalez向西班牙资料保护局提出一项申请:命令西班牙媒体《先锋报》关于他的报道移除或更改;命令谷歌移除或者隐藏指向《先锋报》的相关链接。

事情缘起于1998年,《先锋报》刊登了冈萨雷斯因无力偿还债务而遭拍卖物业的公告,当其债务还清后,他希望媒体和谷歌删除这些可能带有误导性的负面信息。

2010年7月,西班牙资料保护局批准了冈萨雷斯对谷歌的申请,驳回了对《先锋报》的申请。

四年后,欧盟最高法院于2014年5月裁定,允许用户从搜索引擎结果页面中删除自己的名字或者相关历史事件,即所谓"被遗忘的权利"。

2018年,欧盟《一般数据保护条例》(GDPR)》出台。GDPR规定,数据主体有要求数据控制者删除与其相关的个人数据及避免其数据被传播的权利。它的一大特征是,用户对自己数据拥有自主控制权,从产生到携带转移、删除,和司法救济等一系列的程序中,法律都给予了支持。GDPR从法律层面正式确立“被遗忘权”。

金融层面,GDPR让欧盟的用户,在法理上有权控制自己的账户,而不是被银行机构控制着。对包括银行业在内网络安全、数字经济提出了严格的监管和禁区。

在美国,“被遗忘权”一直被否定,个人信息可以被收集和处理,除非法律特别禁止,美国因为宪法第一修正案确立了言论自由和出版自由,认为“被遗忘权”与之相冲突而一直持反对态度。而欧盟则将隐私视为公民理应享有的基本人权。

这种情况导致了欧洲和日本的互联网发展缓慢,而美国和中国的互联网产业发展迅速。

问题是,我们是要的欧盟GDPR,无视利益集团、牺牲科技革新和互联网产业发展的速度,将科技进步控制在可理解的天花板里,还是赞成美国,个人隐私一定程度上让步于数据收集、处理带来的便利化,让互联网产业快速发展?

更悲哀的是,“被遗忘”已几无可能,在强大的监控者和AI技术面前,描绘一个人的立体画像越来越容易。

舟车往来、书信有无的日子已经过去,个人不可藏匿,只见裸露。

本文转载目的在于知识分享,版权归原作者和原刊所有。如有侵权,请及时联系我们删除。

展开全文
相关阅读
资讯查询取消