東方中文網(wǎng)

　　信息在哪些渠道泄露？

　　據(jù)中國互聯(lián)網(wǎng)協(xié)會發(fā)布的《中國網(wǎng)民權(quán)益保護調(diào)查報告2016》，54%的網(wǎng)民認為個人信息泄露嚴重，其中21%的網(wǎng)民認為非常嚴重，84%的網(wǎng)民親身感受到了由于個人信息泄露帶來的不良影響。

　　個人信息泄露的情況如此普遍，那么信息到底是在哪些渠道被泄露？360安全專家萬仁國稱，衣食住行、生老病死，這每一個環(huán)節(jié)，個人信息都可能被泄露。具體來說，一個人出生后在醫(yī)院登記信息，采集之后上報到計生部門、公安部門以及和生活所聯(lián)系的銀行、工作單位等，中間每一個環(huán)節(jié)的流通都可能存在信息被泄露的風險。

　　這種風險一方面來自系統(tǒng)本身可能存在漏洞導致信息泄露，例如被黑客攻擊竊取信息，另一方面來自系統(tǒng)內(nèi)部的風險，例如企業(yè)內(nèi)部員工售賣信息。

　　財新記者查閱相關(guān)的法律文書發(fā)現(xiàn)，企業(yè)或者相關(guān)部門內(nèi)部售賣信息的情況并不少見。武漢市洪山區(qū)一地稅局工作人員涂某某就曾將地稅網(wǎng)上的共計28萬條的企業(yè)信息以及法定代表人信息通過QQ賣給他人。通過電子郵箱購買涂某信息的徐某曾購買4600條包含有法定代表人手機號碼的工商企業(yè)信息，后通過支付寶支付信息費4150元人民幣，徐某又通過QQ群轉(zhuǎn)賣給其他人。

　　萬仁國稱，內(nèi)部員工盜取買賣數(shù)據(jù)的概率相對于黑客來說更低一些，如果沒有黑客的話，信息泄露可能不是那么容易，黑客可以通過系統(tǒng)、植入木馬等方式，去盜取公民信息，這種情況更為普遍。

　　北京航空航天大學法學院院長龍衛(wèi)球認為，信息在互聯(lián)網(wǎng)企業(yè)和電信運營商這一環(huán)節(jié)中的泄露更加值得重視，泄露情況也更嚴重，企業(yè)和電信運營商的系統(tǒng)可能被外部攻擊，且其中可能存在著信息倒賣行為。

　　龍衛(wèi)球稱，除此內(nèi)部倒賣信息外，個人信息的泄露還和其他一些內(nèi)部管理漏洞相關(guān)，比如有些安全等級很高的信息卻有很多人都可以接觸到，而使用這些信息的人保護意識可能也不強。

　　信息采集、流通缺乏統(tǒng)一規(guī)范

　　信息每經(jīng)一次流轉(zhuǎn)，就有可能被泄露，而對于信息在很多環(huán)節(jié)的采集，目前并無統(tǒng)一的規(guī)范，尤其在商業(yè)交易活動中，對于商家可以收集哪些信息，目前還沒有明確的統(tǒng)一標準。

　　據(jù)媒體此前報道，全國信息安全標準化技術(shù)委員會秘書長高林曾于今年五月透露，目前信息數(shù)據(jù)采集方面的標準已經(jīng)在報批過程中，這為企業(yè)標明了底線，但不具有強制性。

　　趙占領(lǐng)律師告訴記者：“根據(jù)相關(guān)的法律規(guī)定，收集個人信息方面應(yīng)當經(jīng)過用戶的知情和同意，收集的信息應(yīng)該是與提供服務(wù)相關(guān)的，有些信息是有必要收集的，還有一些應(yīng)用收集的信息可能是無關(guān)的，超出了正當性和必要性的范圍，在使用時應(yīng)該告知確切的使用范圍。但目前只有必要性的原則規(guī)定，而沒有辦法細化，因為不同企業(yè)所需要的信息不同，細化的標準很難制定。”

　　據(jù)上海交通大學信息安全工程學院教授陳恭亮介紹，在商家層面，目前的信息管理還是平面的，這樣就導致公民信息經(jīng)過更多人手，這也導致了信息被暴露的風險增加。以移動支付為例，目前國外的做法是建立獨立的第三方信息管理機構(gòu)，不參與交易過程，買家通過第三方機構(gòu)獲得認證來進行交易，這就建立了立體的認證規(guī)范，但目前國內(nèi)這方面的措施還沒起步。

　　與信息采集類似的是，在例如學校、政府的部門，公民信息流通過程中的規(guī)范力度也不夠。陳恭亮舉例，例如個人信息在學校流通過程中，很多時候?qū)W校只是信息轉(zhuǎn)達的部門，信息經(jīng)過太多人手，導致被泄露的風險增加，而在這過程中也缺乏相應(yīng)的技術(shù)規(guī)范來保護信息安全。專家指出，在相關(guān)部門參與信息的采集、存儲和流轉(zhuǎn)過程中，應(yīng)該簽保密協(xié)議，一旦發(fā)生信息泄露，則應(yīng)加以懲處。

　　信息買賣的產(chǎn)業(yè)鏈

　　財新記者查詢資料發(fā)現(xiàn)，大量泄露的信息通過不同的渠道被轉(zhuǎn)賣， QQ、郵箱以及一些其他在線平臺都可能成為個人信息交易的場所。從信息買賣再到電信詐騙，已經(jīng)形成了一條完整的產(chǎn)業(yè)鏈條，而信息買賣本身，也已經(jīng)形成了一條地下產(chǎn)業(yè)鏈。

　　此前據(jù)媒體報道，信息販賣過程中有大量的二道販子在中間賺取差價，因為每個人拿到的價格可能都不一樣，不同的信息還有不同的售賣方式，有的是批量售賣，有的是按條賣。同時，相比于被多次利用過的數(shù)據(jù)，一手數(shù)據(jù)的價值更高。

　　據(jù)萬仁國介紹，這些被泄露的信息被收集匯總后經(jīng)過中間商大部分被賣給廣告商，也有一小部分則被賣給了電信詐騙分子。而依據(jù)所獲得的不同類型的信息，詐騙分子也設(shè)計了不同類型的詐騙套路。如果僅是通過發(fā)短信來詐騙，那么獲得大量的電話號碼就可以；如果是電話詐騙，則需要考慮電話的歸屬地、不同的人群分類等各種問題；如果是假冒不同的身份詐騙，則需要獲取更多不同類型的信息。

　　從信息泄露到電信詐騙再到將錢洗白轉(zhuǎn)走，也同樣形成了一個完整的產(chǎn)業(yè)鏈條。萬仁國告訴記者，這個鏈條上，有販賣公民個人信息的，有提供偽基站、改號軟件等詐騙工具的，最后才可能是去實施詐騙的打電話、發(fā)短信的人。除了實施詐騙外，還有隱藏的洗錢環(huán)節(jié)，有人制作全套銀行卡，因為國內(nèi)銀行需要實名綁定手機號。這些錢首先會打到一個卡里，而后迅速分散到幾十張甚至幾百張卡里，經(jīng)過多次轉(zhuǎn)移之后，洗錢的人迅速在ATM機上把錢取出來。

　　監(jiān)管與立法的欠缺

　　龍衛(wèi)球認為：“信息泄露甚至電信詐騙的大量存在，與立法方面存在大量空白有關(guān)，從目前國家層面來說，需要盡快制定《個人信息保護法》，還未出臺的《網(wǎng)絡(luò)安全法》無法完全解決個人信息保護問題，同時在基礎(chǔ)設(shè)施建設(shè)上應(yīng)當加強。至于企業(yè)層面，個人信息的保護，有賴于明確經(jīng)營者和從業(yè)者的責任。”

　　龍衛(wèi)球強調(diào)，企業(yè)層面的義務(wù)一定要落實到具體方面，比如要建立什么樣安全標準的信息收集和存儲規(guī)范，按照不同的級別來承擔不同的保障義務(wù)。這些要通過立法建立，但目前是大量的空白，很大程度上依賴企業(yè)自律。

　　立法的欠缺，也導致公民個人信息受到侵害后的維權(quán)并不容易。趙占領(lǐng)律師稱，個人信息泄露后，在沒有造成經(jīng)濟損失的情況下，很多人不會選擇維權(quán)，即使造成損失后個人也很難有充分證據(jù)來證明。“泄露途徑有多個，需要提供證據(jù)來證明是某個渠道泄露的信息，但目前用戶個人舉證能力有限。”他表示，信息泄露的違法成本低而維權(quán)成本高的現(xiàn)狀如果不改變，徐玉玉的悲劇只會不斷重演。