因為一個影片,微信再次被置於“監測使用者聊天記錄”的烤火架上。
最近,微信官方透過“謠言過濾器”推文,澄清“微信監聽使用者聊天記錄”的謠言。該謠言起於某短影片聲稱微信正在監聽使用者的聊天記錄,並傳授“關閉微信監聽的訣竅”。雖然其內容實際上是指導使用者如何關閉微信個性化廣告,但事關個人隱私,甚至是個人聊天資訊的安全,有關“個人資訊保安”這一話題,挑動了廣大網際網路使用者的敏感神經。
歷年兩會上關於“加快個人資訊保護立法”的提案都會被熱議,但個人資訊權益的複雜性和法律的嚴肅性,使得個人資訊保護法一直難產,反倒是一件件侵犯個人資訊權益的案件不斷髮生。銀行員工私打客戶交易流水、販賣客戶資訊牟利、各種APP非法收集資訊……
“大資料時代,人人都在裸奔”成為網民的一句口頭禪。在我們看見的、看不見的地方,個人資訊黑產規模在不斷的擴大著,資訊“裸奔”的時代,瞭解個人資訊保護尤為重要。
你的資訊是如何洩露的?
如果我們將任何一種透過“獲取資訊牟利”的行為定義為一種詐騙行為,那麼一個典型的“詐騙組織”可以分為兩個部分:社工庫(基礎資料庫)和欺詐獲利。
“社工”的意思是社會工程,在駭客圈指一種駭客攻擊以獲取情報和資訊的方法。而“社工庫”就是詐騙組織把透過社工竊取的資訊全部儲存起來整合成的一個數據庫。
看起來比較複雜,總結起來就一句話:社工庫是透過各種手段收集資訊所組成的一個數據庫。
資料庫中集合了海量的資訊,包括但不侷限於姓名、出生日期、身份證號、手機號、各類網站的賬號、密碼、安全問題、家庭住址、家庭親戚關係、收貨資訊、交易資訊等。而社工庫也會因詐騙的規模、技術的高低等因素各有不同。
社工庫資料的個人資訊來源主要有三種:第一種是駭客非法入侵,透過盜號、木馬等方式盜取大量資訊;第二種是能夠接觸到個人資訊的內部工作人員盜取出售資訊;第三種是網路爬蟲等方式非法爬取的資料資訊。
駭客會透過入侵、拖庫、製作木馬、製作釣魚網站、製作欺詐主控系統等技術手段,僱傭大量“馬仔”進行社工、使用木馬、使用釣魚網站,而馬仔們得到駭客技術方面的支援後,更容易獲取有價值的資訊。
例如,2017年,某大型國際高階酒店就曾發生大規模資訊洩露,涉及的銀行卡資訊超過幾十萬,損失高達幾千萬。
而透過內部工作人員盜取資訊則顯得更加“高效”,也更加容易獲取更有價值的個人資訊。例如近期曝光的某銀行員工私自販賣個人客戶資訊的行為。
至於透過爬蟲等技術方式獲取資訊的行為,隨著監管行為的更加嚴格和反爬蟲技術的發展,正在慢慢減少。
變現其實是個“技術活”
有了龐大資料量和詳細資訊的社工庫,詐騙組織就有了一個獲利的基礎,將這些資訊“變現”也就不成問題了。
一種獲利方式是資訊倒賣,簡單粗暴。詐騙組織透過馬仔在QQ群、論壇、暗網等各種渠道出售有價值的資訊,馬仔們又透過各種渠道僱傭成百上千個半職業的詐騙分子,同時各個人員之間又存在資訊倒賣的關係。這就導致一個沒有任何資源、技術的“新人”,可以輕鬆透過求購資料、求購技術,進入詐騙組織進行獲利。這種資訊倒賣方式多以資訊數量計價,因此不可避免的充斥了各種假資料和無效資料。
當然,各種資訊的價格也會有所不同,在黑市,一個普通人的身份證資訊也許可以賣到20元,一個博士的學歷資訊則有可能賣到50元。更值錢的資訊則是“銀行賬戶流水”,力壓“酒店開房資訊”,成為個人資訊黑產中的“鑽石級資訊”。理由也很簡單,銀行流水包含眾多調查線索,用途多多,“池子訴某銀行”事件便是一個血淋淋的例子。
另一種獲利方式則顯得更有技術含量。詐騙組織透過盜用賬戶、盜用銀行卡、個人詐騙、企業詐騙、套現、洗錢等方式,把社工庫的資訊變現。相對來說,這種方式對於資訊的要求更“成套”,也就是說需要同時具備姓名、身份證號、銀行卡號、預留手機號等資訊。有了這些資訊,詐騙組織中的“技術工種”就可以透過尋找銀行網上支付、第三方快捷支付、無卡裸扣等支付漏洞,將盜取的銀行卡資訊在網上進行盜刷或轉賬了。
很顯然,相比於簡單的資訊倒賣,這種方式更加需要技術實力和成體系的組織,因而危害也更大。
我的資訊我做主?
在知道了你的資訊是如此的值錢後,也許你對“自己的身體才是最值錢的”這句話有了新的認知(個人體貌特徵等都是個人資訊)。但是既然值錢,那就不可避免涉及歸屬和處置的問題,也就是說:所有和我有關的資訊,都是屬於我、可以由我處置麼?
目前,我國關於個人資訊保護相關的法律規定,散落在《民法通則》、《網路安全法》、《消費者權益保護法》等各法律中,尚且還沒有統一的《個人資訊保護法》出臺,也缺乏對於“個人資訊權”的準確界定。
但是,歐盟的《統一資料保護條例(GDPR)》給了我們非常好的參考。GDPR在個人資訊保護領域的嚴厲性和廣泛適用性給了全球其他國家非常好的示範。
GDPR將個人資料保護納入人權範疇,以人權至上為保護原則。根據有關條款,資料主體作為資料的權利人,有以下幾種權利:
第一,知情權,即資料的控制者(如各網站和APP)必須得簡單明瞭的告訴使用者,使用者們的資料是如何被收集處理的。
第二,訪問權,即使用者可以瀏覽、確認自己在該網站(APP)上的個人資料。例如使用者可以檢視在購物網站上的瀏覽“足跡”,且資料控制者不能因此項服務對使用者收費。
第三,反對權,使用者有權拒絕資料控制者基於其合法利益處理個人資料,也有權拒絕基於個人資料的營銷行為。也就是說,理論上如果使用者反對,企業不能透過對使用者的分析進行“精準推送或營銷”。
第四,限制處理權,當用戶提出投訴時(例如針對資料的準確性),可以限制資料控制者不再對該使用者資料繼續處理。
第五,反自動化決策,若資料控制者和處理者透過自動化處理(包括畫像)作出決策影響了使用者時,使用者可進行拒絕。
第六,資料被遺忘權(刪除權),即使用者有權要求刪除有個人有關的留存資訊。放在網際網路語境下,就是要允許使用者登出、刪除各種賬戶。
第七,資料可攜帶權,使用者將其個人資訊從一個資訊服務提供者轉移至另一個資訊服務提供者。例如,使用者可以將其Facebook中的各種照片和資料轉移到Instagram上,而在這個過程中,Facebook不僅不能干涉,還要配合使用者提供服務。
當然,以上這些僅僅是簡要的解釋,實際中還會有一些例外情況。同時,GDPR號稱“最嚴資料保護條例”,其他國家包括我國在對個人資訊保護立法中,並非是對GDPR保護條例的照搬,而是作為參考。
絕對嚴格的監管帶來的是企業合規成本的飆升,GDPR透過複雜的連鎖反應,對歐盟數字經濟產生了重大的影響。事實上,資料嚴監管的負面效應已經顯現,中國信通院釋出的《全球數字經濟新圖景(2019年)》顯示,2018年美國數字經濟規模達到12.34萬億美元,中國保持第二大數字經濟體地位,規模達到4.73萬億美元,其他各國則顯著落後於中美。可以看到,歐盟在這波數字經濟浪潮中,已經顯著落後於中美。
儘管如此,安永的一份調查報告顯示,亞太區金融機構普遍都預計各國會像GDPR看齊,調整相關法律法規。從這個方面來講,即便國內現在沒有法律對上述資訊主體權利作出規定,也有希望在未來真正實現“我的資訊我做主”。
先保護自己的身份免遭盜用
鑑於個人資訊的保護如此重要,每個人都希望找到一些簡單又行之有效的方式,以避免自己成為被盜用身份的受害者。但是事實上,在個人資訊的使用上,安全和便捷歷來是此消彼長的狀態,技術的發展可以帶動兩者的同步提升,卻無法消除兩者之間的矛盾。
在我們享受到如此便利的網際網路服務時,就必然會一定程度上讓渡個人資訊的安全。公共討論中的“網際網路時代,隱私已死”其實一定程度上是“用便利換隱私”的結果。
但是當網際網路成為一種公共服務,每個人都缺少不了的時候,顯然需要政府(立法)出面解決資訊過度使用的局面。最小採集理念在發達國家已經被普遍採納,國內的公權力機構和企業如何遵守這一底線,顯然是一個值得思考的問題。
但是對於個人而言,當我們身處這樣一個既定的資訊時代中,最起碼可以先注重自己的行為,保護身份資訊免遭盜用。
首先,不要把明顯的各類紙質資訊隨意丟棄,例如銀行單據、快遞資訊等。保管好所有和自己有關的檔案記錄,當不要的時候,要及時銷燬。
其次,牢記所有賬號密碼,儘量不要所有平臺用統一的賬號密碼登入。如果實在難以記住,可以試著透過可加密的方式記錄。
最後,每年至少去央行徵信中心或銀行等機構查詢一次自己的徵信報告,確保自己沒有“被貸款”或“被法人”。
參考書目:1、陸強華、楊志寧著,《深度支付》,中國金融出版社,2018;2、David Montague著,易寶支付譯,《風控及未來》,中國金融出版社,2016;3、David Lawrence著,張宇譯,《消費金融真經:個人貸款業務全流程指南》,機械工業出版社,2017;4、謝遠揚,《個人資訊權利的侵權法保護》,中國法制出版社,2016;
本文源自蘇寧金融研究院