近年來，隨著數據安全法、個人信息保護法等一系列法律法規相繼出台實施，我國資訊安全事業取得長足發展。但是，一些掌握大量用戶數據的機構在網路安全防護中措施不足，導致用戶數據被不法分子竊取。不法分子將獲取的用戶數據分門別類打上標籤，再以諸如“婚戀報告”“風險報告”等形式對外出售，破壞網路安全生態。

相較於過去“打包販賣”使用者敏感數據的方式，當前網路黑市以買家實際需求為導向，以“生成報告”的形式出賣個人資訊。為什麼我們的個人隱私總能被不法分子“輕易”獲取？記者就此展開調查。

網路安全形勢仍不容樂觀

“提供身份證號，可查指定人徵信、戶籍資訊。”“婚姻狀態可查，USDT（一種虛擬貨幣）、微信、支付寶均可支付。”剛剛加入某境外通訊軟體的聊天群，就有群成員迫不及待發來招徠私信。

在一位賣家發來的“個人信用報告”的預覽版中，除姓名、性別、手機號等資訊外，還細緻記錄了每個人的工作崗位、公積金和社保繳納記錄、借貸額度等高度隱私內容。“這些報告可用於精準電話行銷。”該賣家說。

來自奇安信的數據顯示，2024年全年境內政企機構共發生個人資訊洩露風險事件112起，涉及個人信息數據266.9億條，儘管這一數據較2023年減少54.5%，但是海量的數據洩露問題反映出政企機構的網路安全形勢仍不容樂觀。

個人信息數據的頻繁洩露，不僅嚴重侵害公民隱私，帶來網路詐騙風險，還可能對國家安全帶來威脅。“大量個人信息數據的彙聚、關聯和再組織，可以形成精準的人物畫像，還可以將人與人之間的關係網路描繪出來。這就讓不法分子更容易鎖定目標群體、找到突破口。”奇安信安全專家裴智勇說。

此外，一些黑灰產還利用大數據和人工智慧等技術，抓取和匹配個人的隱私圖片和視頻。有不法分子聲稱“只要一張照片就能查詢你的另一半有沒有外遇”，以此牟取不法利益。“通過網路爬蟲技術獲取一些網站上的公開視頻和圖片資料，再進行人臉識別比對，這實際上侵害了當事人的隱私權。”中國科學技術大學網路空間安全學院教授左曉棟說，不法分子有可能利用泄露的個人資訊和肖像進行惡意匹配，由此形成的所謂“婚戀報告”也觸及法律紅線。

不法分子利用“數據介面”等管道竊取數據

在落實網路安全主體責任過程中，過去常見的“拖庫”漸漸少了，取而代之的是利用數據介面等渠道進行“螞蟻搬家”式的個人信息竊取。

姓名、身份證號、手機號、常用位址……在中國電子技術標準化研究院網安中心的一例安全測評中，測試人員發現有6萬份訂單數據有可能來自某平台的數據介面洩露。

所謂數據介面，就是機構傳輸、共用數據時輸入和輸出數據的對接口，也就是數據出入的“大門”。“如果把這扇門看住了，來來往往的數據就都能被調閱。”中國電子技術標準化研究院網安中心測評實驗室副主任何延哲告訴記者，一些機構在設置數據介面時缺少身份認證、訪問控制等安全措施，導致駭客能夠隨時“劫持”介面並獲取實時數據。

在何延哲及其技術團隊以往隨機測試的數據介面中，存在安全問題的不在少數。“相較於‘陳年數據’，通過數據介面獲取的實時數據更新，在黑灰產上售賣的價格也會更高。”何延哲說。

在某不法論壇網站中，有人開設了專門群組用以分享各類數據介面。通過其所分享的數據介面，不法分子可獲取指定人員的社保資訊、生育資訊、車險購買資訊等敏感數據。

各類機構在打造數字化平臺時缺乏網路安全思維，部分敏感數據缺乏高等級保護，而通過數據介面竊取數據等不法操作並不需要多高的技術門檻。“有的平臺存在安全問題的數據介面長期‘暴露’在外，掌握一些基礎攻擊手段的駭客就能通過不安全的數據介面直接獲取平臺最新用戶數據。”何延哲說，把數據介面“保護起來”並非難事，不過由於缺乏對數據介面的安全風險監測，機構在大多數情況下難以意識到自己的數據介面可能已經被網路黑灰產惡意利用了。

此外，合作夥伴和機構“內鬼”也是數據洩露的重要管道之一。2020年7月，某快遞企業員工私自向不法分子有償出借工作帳號，致使超過40萬條公民個人信息洩露。“各類機構在獲取用戶數據后，往往會和合作夥伴共用，以獲取數據的最大利用價值。”裴智勇說，在數據共享過程中，部分合作夥伴未完全遵守網路安全協定，進而導致用戶數據洩露。同時，一些網路黑灰產和機構“內鬼”相勾結，倒賣用戶數據。“在互聯網知識共用平台上發生的數據洩露事件中，這兩種方式佔比超過一半”。

一些機構在源頭端過度收集用戶數據，導致敏感數據過度集中。國內知名個人信息保護專家、清華大學法學院教授勞東燕認為，部分資訊收集機構以包括“提升服務體驗”在內的各種理由要求用戶或消費者“一攬子授權”，是造成數據洩露的根本原因。2021年，個人信息保護法正式實施，其中明確規定“收集個人資訊，應當限於實現處理目的的最小範圍，不得過度收集個人資訊”。“這個‘最小範圍’的解釋權目前看仍然在收集數據的機構，而不是在使用者或者消費者手上”。

徹底斬斷伸向個人隱私的黑手

隨著法律法規的日益完善，近年來我國打擊涉公民個人資訊犯罪工作成效顯著，一批以兜售公民個人資訊牟利的不法分子受到法律嚴懲。

2024年，四川成都警方偵破侵犯公民個人資訊、非法控制計算機資訊系統等網路犯罪案件1201起，依法採取刑事強制措施1116人；山西長治警方在2024年輾轉多地，成功打掉一個特大侵犯公民個人資訊及掩飾、隱瞞犯罪所得犯罪團夥，抓獲犯罪嫌疑人10名，扣押涉案資金500余萬元；同年，安徽合肥警方偵破特大侵犯公民個人資訊案，抓獲犯罪嫌疑人11名，查獲涉案金額120余萬元，保護了公民個人資訊百萬余條……

提升機構網路安全防護能力，構築數據安全防火牆。裴智勇等專家建議，政企機構應進一步完善網路安全的制度建設，確保責任到崗、到人。在出現網路安全事件後，及時向國家有關部門報告，盡可能減少因數據洩露給用戶和社會帶來的損失。

減少前端數據收集，從源頭降低數據泄露風險。“比如點外賣，有手機號、有位址，確保外賣能送到，就不應該獲取其他資訊。”勞東燕建議，根據個人信息保護法等法律法規要求，數據收集應遵循“最低要求原則”，有關部門可根據數據實際使用場景，明確相應的數據收集範圍，為“最小必要”設定標準。

強化隱私保護意識，對過度收集、濫用數據等行為說“不”。何延哲建議，機構和網路平臺等應從用戶和消費者角度出發，更加重視個人信息保護，決不能為了蠅頭小利出讓個人信息權益。對明顯存在過度收集使用者信息和潛在的侵犯公民個人資訊的違法犯罪線索，網路用戶可及時向互聯網管理部門和公安部門舉報。

據新華社