“出全球數(shù)據(jù)”“無上限收數(shù)據(jù)”——言狂意妄的數(shù)據(jù)黑市“料商”,正持續(xù)受到監(jiān)管的嚴厲打擊。
1月19日,國家發(fā)展改革委等九部門聯(lián)合發(fā)布《關于推動平臺經(jīng)濟規(guī)范健康持續(xù)發(fā)展的若干意見》,明確嚴厲打擊平臺企業(yè)超范圍收集個人信息、超權限調(diào)用個人信息等違法行為。從嚴管控非必要采集數(shù)據(jù)行為,依法依規(guī)打擊黑市數(shù)據(jù)交易、大數(shù)據(jù)殺熟等數(shù)據(jù)濫用行為。
這是時隔一周政策再次強調(diào)打擊數(shù)據(jù)黑市——1月12日正式發(fā)布的《“十四五”數(shù)字經(jīng)濟發(fā)展規(guī)劃》提出,嚴厲打擊數(shù)據(jù)黑市交易,營造安全有序的市場環(huán)境。
業(yè)界專家在接受《證券日報》記者采訪時測算,我國數(shù)據(jù)黑市交易的市場規(guī)模已經(jīng)超過1500億元。數(shù)據(jù)在黑市中價值幾何、如何流轉(zhuǎn)運作……《證券日報》記者通過多日深入調(diào)查,揭開數(shù)據(jù)黑市產(chǎn)業(yè)鏈的一角。
數(shù)據(jù)被明碼標價售賣
近年來,數(shù)據(jù)泄露事件時有發(fā)生。在監(jiān)管持續(xù)打擊下,數(shù)據(jù)黑市交易行為有所收斂。近期,《證券日報》記者用業(yè)內(nèi)“黑話”諸如“買料(買數(shù)據(jù))”“料商(販賣數(shù)據(jù)的人)”等在網(wǎng)上搜索發(fā)現(xiàn),相關QQ群、貼吧等的活躍度都有所降低,部分關鍵詞被屏蔽。而此前,該類信息可以在網(wǎng)上檢索獲得。
然而,數(shù)據(jù)黑市交易并未真正銷聲匿跡,而是轉(zhuǎn)入更“隱秘的角落”。記者通過特殊關鍵詞搜索找到了幾個相關QQ群,通過多天“蹲點”發(fā)現(xiàn),有“料商”喊出了“出全球數(shù)據(jù)”“無上限收數(shù)據(jù)”的口號,甚至有從業(yè)者表示,“只要在網(wǎng)頁上看到的都可以批量爬”“一切需求皆可爬”。
例如,一位自稱“料商”的網(wǎng)友發(fā)消息稱,“每天更新一手固話老人資源、股民、醫(yī)療、電信網(wǎng)、博彩、信用卡、網(wǎng)貸、醫(yī)生、教師、海外留學生、海外華僑、寶媽、碩士研究生、醫(yī)護、保險單、車主、購物等數(shù)據(jù)?!睘樵囂狡鋽?shù)據(jù)真實性,記者以買家身份提出測試,但對方十分謹慎地表示“測試的免談”。
記者觀察發(fā)現(xiàn),這些QQ群大多打著數(shù)據(jù)“交流”“學習”的名義,實則做著數(shù)據(jù)“黑色交易”。例如,不少群里都會發(fā)布“出一手精準料,長期合作”“高質(zhì)量歐盟數(shù)據(jù)、美國數(shù)據(jù),需要聯(lián)系”等消息。同時,買方也較為活躍,可以經(jīng)??吹健笆諢o風險郵箱”“無限收信用卡數(shù)據(jù)”“大量收人臉密正”“誰能采集國際郵箱數(shù)據(jù)”等消息。
在多數(shù)人眼里,數(shù)據(jù)的經(jīng)濟價值難以明確量化。不過,在數(shù)據(jù)黑市里,數(shù)據(jù)卻被“明碼標價”。比如,在某QQ群里有人發(fā)布消息稱,“爬外賣App商家數(shù)據(jù)的撈一個,報價為3分/條,一次性收北京地區(qū)全部外賣店鋪?!?/p>
在記者調(diào)查過程中,一位網(wǎng)友小雷(化名)稱,自己可精準獲得數(shù)據(jù)資源,并主動添加記者為好友詢問是否需要。對于記者“想要北京地區(qū)媽媽群體的電話號碼數(shù)據(jù)”的需求,小雷表示,“現(xiàn)成的數(shù)據(jù)沒有,得現(xiàn)爬,0.1元/條,絕對保真?!辈l(fā)來一張爬數(shù)據(jù)的網(wǎng)站截圖。談及是否有家庭地址數(shù)據(jù),小雷稱,“可以有,0.3元/條”,最快兩天內(nèi)可以搞定。
值得注意的是,除了QQ群,境外加密聊天軟件也成為數(shù)據(jù)黑市交易的聯(lián)絡平臺。例如,通訊軟件Telegram因提供用戶匿名、信息端對端加密、聊天信息定時銷毀、“閱后即焚”等功能,被大量“料商”所采用。
《證券日報》記者通過微信添加了一位“料商”小九(化名),對方十分謹慎,一直使用暗語交流。在得知記者想幫公司買手機號做推廣后,小九發(fā)來了一個“飛機”的表情符號,而該表情指的就是Telegram。隨后,記者請國外的朋友下載Telegram與小九交流,但對方警惕性極高,仍一直使用暗語,在發(fā)現(xiàn)記者的朋友聽不懂暗語后,便不再回復任何信息。
黑市數(shù)據(jù)從何而來?
黑市交易的數(shù)據(jù)到底從何而來?記者了解到,目前在網(wǎng)絡黑產(chǎn)平臺流轉(zhuǎn)的數(shù)據(jù),來源可以大概歸納為“內(nèi)鬼”泄露和外部攻擊兩大方式。
所謂的“內(nèi)鬼”泄露,即部分公司或信息擁有者的內(nèi)部人員,與不法分子勾結(jié)泄露數(shù)據(jù),這也是目前數(shù)據(jù)泄露的主要渠道。原點安全業(yè)務拓展總監(jiān)張乃乾告訴記者,“內(nèi)鬼作祟”導致的數(shù)據(jù)信息泄露可以占到85%,這主要涉及內(nèi)部管理問題。
廣州白云法院于2021年4月份公布的一起裁決,就揭露了“內(nèi)鬼”泄露數(shù)據(jù)的“升級版本”。自2020年6月份起,蔣某、巫某、彭某、王某、劉某在廣州市尖彭路某公寓A1115房,由蔣某擔任老板,向他人購買某招聘網(wǎng)站的賬號,由劉某、王某使用上述賬號在該網(wǎng)站發(fā)布大量虛假招聘信息收集應聘者的公民個人信息,再由蔣某、巫某、彭某將收集的信息販賣牟利。蔣某等人非法獲取、銷售含姓名和電話號碼的公民個人信息數(shù)量合計42790條。
而外部攻擊,則是指黑客攻擊或滲透。記者在數(shù)據(jù)交易QQ群里也注意到,不少人發(fā)布“接滲透”的消息。對此,張乃乾表示,所謂“滲透”,是專業(yè)的網(wǎng)絡安全術語,不法分子通過非法手段將病毒植入系統(tǒng)中,從而竊取數(shù)據(jù)。
針對黑客攻擊的手段,360數(shù)科知微實驗室安全專家對《證券日報》表示,一般黑客會通過攻擊企業(yè)的相關后臺、數(shù)據(jù)庫等獲取數(shù)據(jù),這種方式有時也被黑產(chǎn)從業(yè)者稱為“爬蟲”,但并非通常意義上的“爬蟲”。此類數(shù)據(jù)價格不定,單條最高能賣到15元,不過,真假混雜,大部分為虛假或偽造信息。
“當前黑市交易的短信和SDK(軟件開發(fā)工具包)數(shù)據(jù),因信息真實性較高、質(zhì)量較好,是黑市流轉(zhuǎn)的主流數(shù)據(jù),在黑產(chǎn)高質(zhì)量數(shù)據(jù)類型中分別占比67%、22%,尤其是短信類數(shù)據(jù),在黑市最‘吃香’。”360數(shù)科知微實驗室安全專家表示,短信類數(shù)據(jù)的主要泄露源頭為各類不合規(guī)或管理不規(guī)范的代理商平臺,泄露途徑包括平臺被黑客攻擊、滲透或內(nèi)部泄露等。
“黑市”規(guī)模估計已超1500億元
雖然單條數(shù)據(jù)看似價格便宜,但據(jù)《證券日報》記者了解,數(shù)據(jù)非法交易已經(jīng)發(fā)展出一條成熟的產(chǎn)業(yè)鏈條,在數(shù)據(jù)獲取、加工、販賣、流通等各環(huán)節(jié)都擁有詳細的團隊分工和各類自動化工具,規(guī)模較為龐大。
據(jù)360數(shù)科知微實驗室安全專家介紹,在獲取環(huán)節(jié),產(chǎn)業(yè)鏈中存在不少規(guī)?;\作的數(shù)據(jù)提供公司,主要販賣DPI、SDK、微信好友等信息,他們擁有自己的官網(wǎng),有至少5個客戶群組、1萬個以上賬號關注;在販賣環(huán)節(jié),數(shù)據(jù)販賣商會開發(fā)專門的后臺軟件,用于各下游代理商下載相關數(shù)據(jù)。
正義網(wǎng)于2021年12月份公布的一則消息,就揭露了這條黑色產(chǎn)業(yè)鏈的冰山一角。2019年,田某在通過“暗網(wǎng)”購買了其他黑客非法獲取的某科技公司賬戶數(shù)據(jù)庫后,不斷完善該數(shù)據(jù)庫,再通過“暗網(wǎng)”以加密通訊工具聯(lián)絡、比特幣結(jié)算的方式多次販賣牟利。據(jù)悉,該數(shù)據(jù)庫包含公民個人信息6億余組。
公安部近期公布的一批2021年侵犯個人信息典型案例,也揭露了不法分子從數(shù)據(jù)獲取到出售獲利的全流程。其中一個案例顯示,犯罪嫌疑人何某利用為相關單位、企業(yè)建設信息系統(tǒng)之機,非法獲取醫(yī)療、出行、快遞等公民個人信息數(shù)十億條,搭建對外提供非法查詢服務的數(shù)據(jù)庫,通過“暗網(wǎng)”發(fā)布廣告招攬客戶,出售牟取不法利益。
數(shù)據(jù)黑產(chǎn)不僅有一條自己的完整產(chǎn)業(yè)鏈,還常常作為其他黑產(chǎn)的上游。
“擁有身份信息的數(shù)據(jù)是黑市買賣的目標,而數(shù)據(jù)黑市的形成主要是因為個人隱私信息蘊藏著巨大的價值,包括個人的喜好信息、社會關系等?!惫ば挪啃畔⑼ㄐ沤?jīng)濟專家委員會委員、中南財經(jīng)政法大學數(shù)字經(jīng)濟研究院執(zhí)行院長盤和林在接受《證券日報》記者表示,通過對個人偏好和隱私的解讀,既可以實現(xiàn)精準營銷,也可以針對用戶個體進行更加精準的詐騙。
對于當前數(shù)據(jù)黑市的規(guī)模,觀研天下首席研究員方孫維對《證券日報》記者表示,根據(jù)統(tǒng)計,2017年我國數(shù)據(jù)黑市黑產(chǎn)人員規(guī)模就已經(jīng)達到150萬人,雖然國內(nèi)出臺了相關政策嚴厲打擊數(shù)據(jù)黑市,每年都有大量違法人員被抓捕,但由于進入門檻低、收入可觀,其規(guī)模仍較大,估計2021年我國數(shù)據(jù)黑市黑產(chǎn)人員規(guī)模接近200萬人,相關產(chǎn)業(yè)主要集中在我國西南地區(qū),尤其是緬甸和我國云南交界處。
“隨著近年來我國互聯(lián)網(wǎng)滲透率越來越高,網(wǎng)絡流量不斷增長,尤其是以智能手機為代表的移動互聯(lián)網(wǎng)數(shù)據(jù)流量保持高速增長,2021年我國移動互聯(lián)網(wǎng)流量已經(jīng)超過2000億GB,同比增長30%以上。數(shù)據(jù)流量的不斷增長,也加速了數(shù)據(jù)黑產(chǎn)的規(guī)模擴張,由此估計2021年我國數(shù)據(jù)黑色交易的市場規(guī)模已經(jīng)超過1500億元?!狈綄O維表示。
數(shù)據(jù)黑市交易為何屢禁不止?
在無錫數(shù)字經(jīng)濟研究院執(zhí)行院長吳琦看來,數(shù)據(jù)黑市通過“內(nèi)鬼”、網(wǎng)絡技術、黑客等多種渠道完成數(shù)據(jù)流入、進行不法交易,技術豐富、途徑多變,給執(zhí)法部門的監(jiān)管帶來了巨大困難。
實際上,打擊數(shù)據(jù)黑市交易,兩個核心問題就是個人信息保護與數(shù)據(jù)安全。圍繞這兩個問題,我國不斷完善相關法律法規(guī),最早可追溯至2013年的《征信業(yè)管理條例》《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》,此后陸續(xù)有《中華人民共和國網(wǎng)絡安全法》《中華人民共和國電子商務法》《App違法違規(guī)收集使用個人信息行為認定方法》等。
在剛剛過去的2021年,我國相繼頒布、施行了多項相關法律法規(guī)。從年初施行的《民法典》到年底的《中華人民共和國個人信息保護法》,其間還有《征信業(yè)務管理辦法》《常見類型移動互聯(lián)網(wǎng)應用程序必要個人信息范圍規(guī)定》《中華人民共和國數(shù)據(jù)安全法》《最高人民法院關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規(guī)定》等數(shù)部法律法規(guī)。此外,還有《網(wǎng)絡數(shù)據(jù)安全管理條例(征求意見稿)》。
北京市京師律師事務所律師孟博對《證券日報》記者直言,非法數(shù)據(jù)交易的犯罪成本低、獲益高,是數(shù)據(jù)黑市交易屢禁不止的一個重要原因。因此,從司法角度而言,要依照《中華人民共和國刑法》相關規(guī)定,加大對非法獲取、非法提供、非法買賣公民個人信息等犯罪行為的打擊力度,提升犯罪分子的犯罪成本,形成有效震懾。
業(yè)界:對合法數(shù)據(jù)需求建立渠道
應該如何有效防范數(shù)據(jù)泄露?360數(shù)科知微實驗室安全專家表示,“由于數(shù)據(jù)流通使用涉及多環(huán)節(jié)、多合作機構(gòu),企業(yè)需要有效落實法律相關要求,在注重自身數(shù)據(jù)安全管理的同時,也要把控好第三方合作和管理,完善數(shù)據(jù)全鏈路監(jiān)控和管理體系,積極與監(jiān)管機構(gòu)、公安等合作,打擊治理數(shù)據(jù)黑灰產(chǎn)。”
從企業(yè)層面來說,上海申倫律師事務所律師夏海龍在接受《證券日報》記者采訪時表示,企業(yè)可制定更嚴格的數(shù)據(jù)管控制度、對涉嫌犯罪的員工及時移送司法、采取更高層級的技術保護措施等,避免數(shù)據(jù)泄露。
孟博表示,電信業(yè)務經(jīng)營者、互聯(lián)網(wǎng)信息服務提供者等應當嚴格遵守相關法律法規(guī)的規(guī)定,切實落實主體責任,對所收集的用戶信息嚴格保密,并建立健全用戶信息保護制度。
值得一提的是,多家互聯(lián)網(wǎng)企業(yè)已采取實際行動履行信息保護義務。去年7月6日,阿里巴巴開放平臺發(fā)布《依法加強消費者訂單中敏感信息保護的公告》稱,將啟動訂單處理鏈路的消費者敏感信息保護方案,對涉及消費者個人敏感信息采取加密、去標識化等安全技術措施;隨后在7月9日,京東發(fā)布《JD用戶訂單隱私安全方案》,京東商家開放平臺將對訂單中的手機號和座機號進行脫敏。
對于普通用戶而言,為防范平臺側(cè)的數(shù)據(jù)泄露,360數(shù)科知微實驗室安全專家建議,需要牢記密碼安全三原則:一是密碼需要包含字母、數(shù)字和符號;二是避免多賬號使用同一密碼;三是定期更換密碼。另外,為防范電信詐騙,下載App和訪問網(wǎng)站時要認準官方渠道,不要誤點可疑鏈接和不明來路的二維碼。
為進一步杜絕數(shù)據(jù)的黑市交易,廣東格林律師事務所合伙人封蕓律師在接受《證券日報》記者采訪時表示,從法律層面來看,首先,要加強個人法律意識。通過立法與普法的方式,樹立公民對個人信息、數(shù)據(jù)安全等的保護意識。其次,加強對接觸、管理電子數(shù)據(jù)的第三方的監(jiān)管,App、商家及相關管理部門應當合法合理的取得電子數(shù)據(jù),減少不必要個人信息電子數(shù)據(jù)的采集;同時,第三方有責任和義務管理好采集的電子數(shù)據(jù),包括從技術、制度及管理等方面完善數(shù)據(jù)安全系統(tǒng)。此外,從政府職責來看,要持續(xù)加強相關立法、嚴格執(zhí)法等。
盤和林則從另一個角度給出了建議,在他看來,打擊數(shù)據(jù)黑市,不僅要加強對非法數(shù)據(jù)和個人隱私信息獲取行為的打擊,也要對合法數(shù)據(jù)需求建立渠道,并強化監(jiān)管。
安全服務需求快速增長
2021年11月30日,工信部印發(fā)的《“十四五”大數(shù)據(jù)產(chǎn)業(yè)發(fā)展規(guī)劃》指出,“十三五”時期我國大數(shù)據(jù)產(chǎn)業(yè)取得了重要突破,但仍然存在一些制約因素。其中包括“安全機制不完善,數(shù)據(jù)安全產(chǎn)業(yè)支撐能力不足,敏感數(shù)據(jù)泄露、違法跨境數(shù)據(jù)流動等隱患依然存在”。同時,文件還明確了“十四五”時期六大任務,其中之一是“筑牢數(shù)據(jù)安全保障防線”。
1月12日正式發(fā)布的《“十四五”數(shù)字經(jīng)濟發(fā)展規(guī)劃》進一步提出,“建立健全數(shù)據(jù)安全治理體系,研究完善行業(yè)數(shù)據(jù)安全管理政策”,同時要“進一步強化個人信息保護,規(guī)范身份信息、隱私信息、生物特征信息的采集、傳輸和使用,加強對收集使用個人信息的安全監(jiān)管能力”。
有機構(gòu)預計,我國數(shù)據(jù)安全市場規(guī)模有望在2023年達到97.5億元。盤和林認為,在此背景下,數(shù)據(jù)收集、數(shù)據(jù)處理(涉及清洗、打包、脫敏等)、數(shù)據(jù)使用(AI和數(shù)據(jù)分析)以及數(shù)據(jù)安全公司等,將在未來有更好的發(fā)展機遇。
“數(shù)據(jù)備份、加密、訪問控制、密碼等基礎數(shù)據(jù)安全產(chǎn)品的需求有望持續(xù)提升,相關領域上市公司或?qū)⒂瓉硐掠涡枨蟮目焖僭鲩L?!狈綄O維表示。
目前A股市場上已有不少網(wǎng)絡安全相關上市公司,包括深信服、安恒信息、奇安信、綠盟科技、啟明星辰、美亞柏科、拓爾思等。
《證券日報》記者以投資者身份與美亞柏科投資者業(yè)務部門工作人員進行交流,對方表示,公司有專門聚焦數(shù)據(jù)安全研究的業(yè)務,一方面,主要布局央企、國企、政府單位的數(shù)據(jù)安全,進行數(shù)據(jù)安全防護;另一方面,將數(shù)據(jù)安全作為重點完善的方向,著力于將大數(shù)據(jù)和人工智能技術應用于為更多行政執(zhí)法部門開展網(wǎng)絡空間社會治理提供產(chǎn)品和服務。
安恒信息近期也在投資者互動平臺上表示,數(shù)據(jù)安全是保障信息技術應用穩(wěn)定發(fā)展的前提和關鍵,是公司布局的戰(zhàn)略方向之一,目前公司通過智能化管理平臺,在技術層面實現(xiàn)了風險核查能力、數(shù)據(jù)梳理能力、數(shù)據(jù)保護能力以及數(shù)據(jù)威脅監(jiān)控預警能力等四大核心能力的建設,在業(yè)務層面,實現(xiàn)對數(shù)據(jù)采集、傳輸、存儲、處理、交換、銷毀等全生命周期的管理。
吳琦建議,在數(shù)據(jù)要素市場建立健全的過程中,數(shù)據(jù)安全及數(shù)據(jù)治理公司應當抓住機會,結(jié)合政策,探索發(fā)展出一條安全可靠的數(shù)據(jù)交易機制。
(責任編輯:柯曉霽)