本文来自公众号:苏宁金融研究院(ID:SIF-2015),作者:黄大智,题图来自:IC photo
因为一个视频,微信再次被置于“监测用户聊天记录”的烤火架上。
最近,微信官方通过“谣言过滤器”推文,澄清“微信监听用户聊天记录”的谣言。该谣言起于某短视频声称微信正在监听用户的聊天记录,并传授“关闭微信监听的诀窍”。虽然其内容实际上是指导用户如何关闭微信个性化广告,但事关个人隐私,甚至是个人聊天信息的安全,有关“个人信息安全”这一话题,挑动了广大互联网用户的敏感神经。
历年两会上关于“加快个人信息保护立法”的提案都会被热议,但个人信息权益的复杂性和法律的严肃性,使得个人信息保护法一直难产,反倒是一件件侵犯个人信息权益的案件不断发生。银行员工私打客户交易流水、贩卖客户信息牟利、各种APP非法收集信息……
“大数据时代,人人都在裸奔”成为网民的一句口头禅。在我们看见的、看不见的地方,个人信息黑产规模在不断的扩大着,信息“裸奔”的时代,了解个人信息保护尤为重要。
你的信息是如何泄露的?
如果我们将任何一种通过“获取信息牟利”的行为定义为一种诈骗行为,那么一个典型的“诈骗组织”可以分为两个部分:社工库(基础数据库)和欺诈获利。
“社工”的意思是社会工程,在黑客圈指一种黑客攻击以获取情报和信息的方法。而“社工库”就是诈骗组织把通过社工窃取的信息全部存储起来整合成的一个数据库。
看起来比较复杂,总结起来就一句话:社工库是通过各种手段收集信息所组成的一个数据库。
数据库中集合了海量的信息,包括但不局限于姓名、出生日期、身份证号、手机号、各类网站的账号、密码、安全问题、家庭住址、家庭亲戚关系、收货信息、交易信息等。而社工库也会因诈骗的规模、技术的高低等因素各有不同。
社工库数据的个人信息来源主要有三种:第一种是黑客非法入侵,通过盗号、木马等方式盗取大量信息;第二种是能够接触到个人信息的内部工作人员盗取出售信息;第三种是网络爬虫等方式非法爬取的数据信息。
黑客会通过入侵、拖库、制作木马、制作钓鱼网站、制作欺诈主控系统等技术手段,雇佣大量“马仔”进行社工、使用木马、使用钓鱼网站,而马仔们得到黑客技术方面的支持后,更容易获取有价值的信息。
例如,2017年,某大型国际高端酒店就曾发生大规模信息泄露,涉及的银行卡信息超过几十万,损失高达几千万。
而通过内部工作人员盗取信息则显得更加“高效”,也更加容易获取更有价值的个人信息。例如近期曝光的某银行员工私自贩卖个人客户信息的行为。
至于通过爬虫等技术方式获取信息的行为,随着监管行为的更加严格和反爬虫技术的发展,正在慢慢减少。
变现其实是个“技术活”
有了庞大数据量和详细信息的社工库,诈骗组织就有了一个获利的基础,将这些信息“变现”也就不成问题了。
一种获利方式是信息倒卖,简单粗暴。诈骗组织通过马仔在QQ群、论坛、暗网等各种渠道出售有价值的信息,马仔们又通过各种渠道雇佣成百上千个半职业的诈骗分子,同时各个人员之间又存在信息倒卖的关系。这就导致一个没有任何资源、技术的“新人”,可以轻松通过求购数据、求购技术,进入诈骗组织进行获利。这种信息倒卖方式多以信息数量计价,因此不可避免的充斥了各种假数据和无效数据。
当然,各种信息的价格也会有所不同,在黑市,一个普通人的身份证信息也许可以卖到20元,一个博士的学历信息则有可能卖到50元。更值钱的信息则是“银行账户流水”,力压“酒店开房信息”,成为个人信息黑产中的“钻石级信息”。理由也很简单,银行流水包含众多调查线索,用途多多,“池子诉某银行”事件便是一个血淋淋的例子。
另一种获利方式则显得更有技术含量。诈骗组织通过盗用账户、盗用银行卡、个人诈骗、企业诈骗、套现、洗钱等方式,把社工库的信息变现。相对来说,这种方式对于信息的要求更“成套”,也就是说需要同时具备姓名、身份证号、银行卡号、预留手机号等信息。有了这些信息,诈骗组织中的“技术工种”就可以通过寻找银行网上支付、第三方快捷支付、无卡裸扣等支付漏洞,将盗取的银行卡信息在网上进行盗刷或转账了。
很显然,相比于简单的信息倒卖,这种方式更加需要技术实力和成体系的组织,因而危害也更大。
我的信息我做主?
在知道了你的信息是如此的值钱后,也许你对“自己的身体才是最值钱的”这句话有了新的认知(个人体貌特征等都是个人信息)。但是既然值钱,那就不可避免涉及归属和处置的问题,也就是说:所有和我有关的信息,都是属于我、可以由我处置么?
目前,我国关于个人信息保护相关的法律规定,散落在《民法通则》、《网络安全法》、《消费者权益保护法》等各法律中,尚且还没有统一的《个人信息保护法》出台,也缺乏对于“个人信息权”的准确界定。
但是,欧盟的《统一数据保护条例(GDPR)》给了我们非常好的参考。GDPR在个人信息保护领域的严厉性和广泛适用性给了全球其他国家非常好的示范。
GDPR将个人数据保护纳入人权范畴,以人权至上为保护原则。根据有关条款,数据主体作为数据的权利人,有以下几种权利:
第一,知情权,即数据的控制者(如各网站和APP)必须得简单明了的告诉用户,用户们的数据是如何被收集处理的。
第二,访问权,即用户可以浏览、确认自己在该网站(APP)上的个人数据。例如用户可以查看在购物网站上的浏览“足迹”,且数据控制者不能因此项服务对用户收费。
第三,反对权,用户有权拒绝数据控制者基于其合法利益处理个人数据,也有权拒绝基于个人数据的营销行为。也就是说,理论上如果用户反对,企业不能通过对用户的分析进行“精准推送或营销”。
第四,限制处理权,当用户提出投诉时(例如针对数据的准确性),可以限制数据控制者不再对该用户数据继续处理。
第五,反自动化决策,若数据控制者和处理者通过自动化处理(包括画像)作出决策影响了用户时,用户可进行拒绝。
第六,数据被遗忘权(删除权),即用户有权要求删除有个人有关的留存信息。放在互联网语境下,就是要允许用户注销、删除各种账户。
第七,数据可携带权,用户将其个人信息从一个信息服务提供者转移至另一个信息服务提供者。例如,用户可以将其Facebook中的各种照片和资料转移到Instagram上,而在这个过程中,Facebook不仅不能干涉,还要配合用户提供服务。
当然,以上这些仅仅是简要的解释,实际中还会有一些例外情况。同时,GDPR号称“最严数据保护条例”,其他国家包括我国在对个人信息保护立法中,并非是对GDPR保护条例的照搬,而是作为参考。
绝对严格的监管带来的是企业合规成本的飙升,GDPR通过复杂的连锁反应,对欧盟数字经济产生了重大的影响。事实上,数据严监管的负面效应已经显现,中国信通院发布的《全球数字经济新图景(2019年)》显示,2018年美国数字经济规模达到12.34万亿美元,中国保持第二大数字经济体地位,规模达到4.73万亿美元,其他各国则显著落后于中美。可以看到,欧盟在这波数字经济浪潮中,已经显著落后于中美。
尽管如此,安永的一份调查报告显示,亚太区金融机构普遍都预计各国会像GDPR看齐,调整相关法律法规。从这个方面来讲,即便国内现在没有法律对上述信息主体权利作出规定,也有希望在未来真正实现“我的信息我做主”。
先保护自己的身份免遭盗用
鉴于个人信息的保护如此重要,每个人都希望找到一些简单又行之有效的方式,以避免自己成为被盗用身份的受害者。但是事实上,在个人信息的使用上,安全和便捷历来是此消彼长的状态,技术的发展可以带动两者的同步提升,却无法消除两者之间的矛盾。
在我们享受到如此便利的互联网服务时,就必然会一定程度上让渡个人信息的安全。公共讨论中的“互联网时代,隐私已死”其实一定程度上是“用便利换隐私”的结果。
但是当互联网成为一种公共服务,每个人都缺少不了的时候,显然需要政府(立法)出面解决信息过度使用的局面。最小采集理念在发达国家已经被普遍采纳,国内的公权力机构和企业如何遵守这一底线,显然是一个值得思考的问题。
但是对于个人而言,当我们身处这样一个既定的信息时代中,最起码可以先注重自己的行为,保护身份信息免遭盗用。
首先,不要把明显的各类纸质信息随意丢弃,例如银行单据、快递信息等。保管好所有和自己有关的文件记录,当不要的时候,要及时销毁。
其次,牢记所有账号密码,尽量不要所有平台用统一的账号密码登录。如果实在难以记住,可以试着通过可加密的方式记录。
最后,每年至少去央行征信中心或银行等机构查询一次自己的征信报告,确保自己没有“被贷款”或“被法人”。
参考书目:
1、陆强华、杨志宁著,《深度支付》,中国金融出版社,2018;
2、David Montague著,易宝支付译,《风控及未来》,中国金融出版社,2016;
3、David Lawrence著,张宇译,《消费金融真经:个人贷款业务全流程指南》,机械工业出版社,2017;
4、谢远扬,《个人信息权利的侵权法保护》,中国法制出版社,2016。