资料照片。
参考消息网3月13日报道如果您曾接到推销电话或诈骗电话,无论是否“上钩”,很遗憾地告诉您,您的个人信息可能已经泄露。随着信息技术飞速发展,“个人信息泄露”问题变得愈发严重。
3月10日,一系列“50亿信息泄露案嫌疑犯系京东内部员工”的报道,让京东处于舆论的风口浪尖。警方通报的犯罪嫌疑人郑某鹏的身份被知情网友扒出,系京东安全的前网络工程师郑海鹏,其利用职务之便,越权非法获取大量京东用户信息,然后将之售卖给地下黑产。值得注意的是,新加坡《联合早报》介绍,郑某鹏长期与盗卖个人信息的犯罪团伙合作,将从所供职公司盗取的个人信息数据进行交换,并通过各种方式在互联网上贩卖。
京东举报泄密内鬼
近年来,个人信息泄露影响到了很多人的生活。
就郑某鹏的案件,《联合早报》援引专案组民警的话报道,目前公民个人信息泄露从源头上主要有两种,一种是黑客通过入侵计算机信息系统非法获取;二是员工利用职务之便出售自己掌握的信息。
在以往大众的认知当中,这些内鬼可能是原本正常的员工受到利益的诱惑才和地下黑产勾结,但“职业卧底”这一身份的出现,开始让人们意识到,公众信息保护并没有那么简单。
网络安全的“无间道”大戏正在上演,每一家拥有公众信息的企业、机构都在参演,而最终的受害者将是每一个公民。
据介绍,一般来说,在整条个人信息交易“黑色产业链”上,有四类角色,分别是使用信息者、中转人(既使用、又传播)、高级中转人(多是由使用者转变,会有互换)以及“内鬼”。
而“内鬼”多在服务行业,如房地产公司、金融机构、物业公司、汽车4S店、高档商场、学生培训机构等,以工作行为收集信息,是公民个人信息泄露的开端。也就是说,在任何会留下个人信息的地方,都有可能是犯罪的“源泉”。
参考消息网-出海记记者从京东了解,此案系京东与腾讯联合打击倒卖个人信息黑色产业链的行动中所发现,并第一时间向警方提供了线索。
京东表示,在腾讯与京东联合打击信息安全地下黑色产业链的日常行动中,发现2016年6月底入职京东、尚处于试用期的网络工程师郑某鹏系黑产团伙的重要成员,并立即向公安机关提供了线索。
说到个人信息等隐私,彭博新闻社的报道认为,中国的互联网用户堪称是世界的“局外人”。2013年,只有50%的人认为,在网络上分享个人信息时必须保持高度的警惕,而在美国,这一比例是83%。与此同时,中国互联网用户也在与全球网民面临的众多的网络威胁做斗争。
然而,比受到广告骚扰更可怕的,是由于信息泄露而遭受经济损失。中国互联网协会发布的《中国网民权益保护调查报告2016》显示,中国网民因为垃圾信息、诈骗信息、个人信息泄露等遭受的总体经济损失约915亿元。特别是随着移动支付在中国的迅速发展,无现金支付也在加速普及。关于无现金的电子支付的好处除了方便,电子化的支付还可以最大化地实现数据的价值。但正如硬币有两面一样,无现金化的电子支付,也有其弊端。英国《金融时报》认为,无现金支付真正的挑战来自于个人隐私方面的考虑。
正是因为有利可图,围绕个人信息泄露“掘金”已经成了一门不小的生意。腾讯公司董事会主席兼首席执行官马化腾援引公安部门数据称,当前我国网络非法从业人员已超过150万,黑产市场规模已达到千亿元级别。
国外的个人信息保障是法律
与中国后发居上的互联网金融不同的是,国外的信用卡体系发展时间长,与信用卡信息相关的泄露事件也时有发生。2016年,雅虎公司遭黑客盗走了其至少5亿用户的个人信息,这是互联网时代规模最大的数据泄密事件之一,遭窃的数据包括姓名、电邮地址、电话号码、出生日期和加密的密码。亚马逊也曾发生过客户信息泄露,消费者的订单信息和个人信息可以轻易获取成为诈骗利器。
2015年有研究数据显示,2014年全球银行和商户因欺诈交易损失163亿美元,而仅美国一国就损失将近一半,达到80亿美元。美国的信用卡不设交易密码。在实体店刷卡消费时,50元以下的小额交易通常无需签字。即使大额消费需要持卡人签字甚至出示有头像的身份证件,考虑到美国移民众多,签名使用的文字五花八门,收银员能否辨认也值得怀疑。
实体店尚且如此,网上消费风险更加突出。美国的网上消费没有类似国内U盾或口令卡等安全认证,大多只需填写信用卡号、信用卡安全码和持卡人账单地址即可完成。报刊、婴儿奶粉和纸尿裤等还时常推出订购项目,选择订购的消费者预留信用卡信息后,商家会定期自动从信用卡扣费。
过于便利的消费文化也带来不少风险。同卡片本身相比,商户系统存在的技术漏洞可能引发更严重的后果。2014年9月,美国家装巨头家得宝公司的数据系统受到攻击,约5600万张银行卡的数据被盗,其中部分信息流入黑市出售。2013年11月至12月正值节日购物旺季,塔吉特百货公司的数据系统失陷,约4000万张银行卡的信息被盗。两桩事件在美国均震惊一时。而肇事者窃取信息的手段都是在消费者刷卡的交易终端安装恶意软件。
不过,虽然美国信用卡盗刷猖獗,但持卡人通常不会蒙受重大损失,这是因为有法律保障。根据美国联邦法律,不管欺诈交易如何发生,消费者因信用卡欺诈交易承受的损失不得超过50美元。通常情况下,发卡的金融机构选择先行相信持卡人,全额勾销主张的盗刷金额。
此外,发卡机构还实时监测持卡人账户活动,如发现异常,则通过电话或电邮及时告知,甚至可能暂时冻结账户,防患于未然。各金融机构也在尝试以新兴技术为消费者提供更有效的安全验证方式。据报道,万事达信用卡国际公司推出的“自拍付”服务,网上购物的消费者结账时可以通过万事达卡移动应用自拍,确认交易。为避免照片冒充真人,服务使用者自拍时需要找准角度,而且可能被要求眨眼或转动。
相比面部识别,其他生物识别技术已先行推广并受到欢迎。金融服务公司USAA就提供拇指指纹扫描和声音识别等移动应用登录方式。事实上,在美国针对个人及商业机构的信息风险形形色色。个人不会因信用卡盗刷蒙受重大损失的重要原因之一在于,欺诈交易大多发生在美国境内,追责也相对容易。而对于往往有着跨国背景的电邮或电话诈骗,情况就远没有这么乐观。
在欧洲,也是有相关的法律保护个人信息的商业用途。2016年3月1日,欧盟公布新的《欧美隐私盾牌》协定内容中写道,用于商业目的的个人数据从欧洲传输到美国后,将享受与在欧盟境内同样的数据保护标准。美国政府部门郑重承诺将严格履行协定中的要求,保证国家安全部门不会对这些个人数据采取任意监控或大规模监控措施。
美国还向欧盟承诺,将在美国国务院内设立一个独立于国家安全部门之外的监察专员岗位。这个监察专员将负责处理来自欧盟公民就个人数据问题的投诉与问询,并提供相关信息。美国还将要求相关企业在45天内必须解决投诉。若投诉未能及时解决,欧盟公民可向本国的数据保护部门提出请求,由他们出面与美国联邦贸易委员会沟通解决。美国表示,这些承诺都将写入美国的联邦公报中。
此外,欧美双方还提出建立年度联合审查机制,由欧盟委员会和美国商务部联合实施,用来监督该协定的实施情况。在此基础上,欧盟委员会将向欧洲议会和欧盟理事会提供进展报告。
“内鬼”、黑客都要防
而目前在中国,我国个人信息保护法尚属空白。中国人民大学法学院教授石佳友介绍,在个人信息泄露这个问题上,我国行政法、刑法、民法等都有规定,刑法修正案也增加了打击信息泄露犯罪方面的内容。
个人信息泄露比较复杂,牵涉到几乎所有行业,需要多管齐下。目前的立法虽然很多,但是总体分散。“需要有一部法律来明确个人信息保护的主体机构与协调机构,并赋予特定机构执法权,让它有能力牵头执法。”石佳友说。
而目前阶段,作为电子商务公司本身在保护用户个人信息方面也需要有担当,可以提高自身的隐私标准,尤其是通过限制自己对用户个人数据的分享和采用更安全的通讯协议(例如HTTPS)。
2月24日,由京东集团倡议,联合腾讯、百度、沃尔玛中国等知名企业以及中国人民大学刑事法律科学研究中心,在京共同发起成立了“阳光诚信联盟”。联盟将通过建立失信信息共享等方式,借助互联网进行反腐败、反欺诈、反假冒伪劣,打击信息安全犯罪,提升内控能力和员工职业道德建设。
京东与腾讯的安全负责人表示,作为紧密的战略合作伙伴,京东与腾讯自2015年起就在多个信息安全领域开展了深度合作,并建立了一整套的协同互助机制。双方曾联手在打击手机木马、保障互联网金融安全、打击个人信息泄露等领域开展了多个专项行动。
除了企业间的合作外外,易观研究中心高级分析师蔡利丽认为,目前我们的个人信息都是存储在云端,所以在技术上黑客是一个比内鬼还夸张的数据泄露的方式。所以在技术上,电商平台公司还需要防备这样的情况,提高防范技术。而随着中国企业走出去,也将会面临同样的黑客问题,在黑客更加泛滥的国外,这是电子商务企业值得注意的问题。
由京东集团倡议,联合腾讯、百度、沃尔玛中国等知名企业共同发起成立了“阳光诚信联盟”。