黑市車主信息販賣猖獗

｜本刊見(jiàn)習(xí)記者/李少展

黑市車主信息販賣猖獗

｜本刊見(jiàn)習(xí)記者/李少展

你的個(gè)人敏感信息，很可能早已變成excel里的一行數(shù)據(jù)，被以1到5元不等的價(jià)格變賣于信息數(shù)據(jù)交易的黑市上。

不少購(gòu)車者曾有疑惑，為何自己剛下訂單不久，就有電話打進(jìn)來(lái)推銷車險(xiǎn)，買車的消息怎么不脛而走的？也曾有少數(shù)車主接到過(guò)“違章詐騙”電話，對(duì)方甚至可以精確地報(bào)出你的車牌號(hào)、年檢記錄等等。

你的個(gè)人敏感信息，很可能早已變成excel里的一行數(shù)據(jù)，被以1到5元不等的價(jià)格變賣于信息數(shù)據(jù)交易的黑市上。

2015年4月28日，互聯(lián)網(wǎng)安全漏洞報(bào)告平臺(tái)烏云網(wǎng)“白帽子”（平臺(tái)漏洞發(fā)現(xiàn)者）就發(fā)現(xiàn)國(guó)內(nèi)各省市的車主信息在互聯(lián)網(wǎng)被公然售賣，其中的信息包括車主姓名、手機(jī)號(hào)、身份證號(hào)、家庭住址、車牌號(hào)碼、汽車型號(hào)等。

這些數(shù)據(jù)依據(jù)詳細(xì)程度、時(shí)間、地區(qū)等被賦予不同的價(jià)位：當(dāng)天更新的車主購(gòu)車訂單信息每條3元，一周內(nèi)的2元，一個(gè)月內(nèi)的1元，特定地區(qū)的車主信息則要4元一條。

一條信息一塊錢

烏云網(wǎng)ID為李旭敏的“白帽子”告訴《消費(fèi)者報(bào)道》記者，他從2013年開(kāi)始發(fā)現(xiàn)網(wǎng)絡(luò)上的車主信息交易有泛濫勢(shì)頭。這些交易大多以QQ群為平臺(tái)，買賣雙方通過(guò)平臺(tái)接洽，然后再私下完成交易。

這些QQ群大多集結(jié)著兩三百個(gè)QQ帳號(hào)，個(gè)別活躍的QQ群人數(shù)接近兩千。與其他QQ群不同的是，這些群共同的特征是沒(méi)有任何群內(nèi)交流。賣方總是各自以小廣告的形式在群上刷屏吸引買方私聊。偶有買方提出購(gòu)買“數(shù)據(jù)要求”，再由賣方主動(dòng)找上門。

從不同賣方提供的數(shù)據(jù)格式看來(lái)，車主信息的泄露來(lái)自不同的渠道。

網(wǎng)名叫“一手?jǐn)?shù)據(jù)”的販子聲稱自己有非常詳盡的車主數(shù)據(jù)。在他提供的樣例數(shù)據(jù)中，除了車主常見(jiàn)的個(gè)人信息外，甚至包含汽車型號(hào)、發(fā)動(dòng)機(jī)號(hào)、年檢時(shí)間、上證時(shí)間和一些汽車的技術(shù)參數(shù)。另一個(gè)叫“淘二郎”的販子手上的數(shù)據(jù)為全國(guó)各地的混搭，可以查看到車主GPS型號(hào)、保險(xiǎn)單號(hào)和賠付限額等。

李旭敏曾和這些販子打過(guò)交道，他告訴記者：“販子拿到的車主信息渠道是多方面的，車企、車載GPS或者一些第三方的打車軟件，都可能導(dǎo)致車主信息泄露。當(dāng)然也有小部分販子提到自己有‘內(nèi)線’在獲取數(shù)據(jù)，但真實(shí)情況還需考證?！?/p>

另一個(gè)叫“奔跑啊阿米”的販子更是直言，其信息是由“技術(shù)”從車管所平臺(tái)上扒下來(lái)的，他手上有大多數(shù)北方2015年城市的數(shù)據(jù)。為了驗(yàn)證其所言，他提供了哈爾濱市2015年5月1日“選號(hào)”車主的手機(jī)號(hào)碼截圖，除時(shí)間外，該圖片還包含著車主姓名、車牌、車型、住址等信息。這些車主的信息依據(jù)時(shí)間、地區(qū)、詳細(xì)程度、售前售后的不同劃分，最低1元起價(jià)，最貴的可以一條賣到5元。

手機(jī)號(hào)碼截圖

個(gè)人信息保護(hù)法停擺十年

2015年3月15日，中消協(xié)發(fā)布的《2014年度消費(fèi)者個(gè)人信息網(wǎng)絡(luò)安全報(bào)告》顯示，網(wǎng)絡(luò)針對(duì)消費(fèi)者個(gè)人信息“竊取”和“非法使用”的黑色產(chǎn)業(yè)鏈呈現(xiàn)爆發(fā)性增長(zhǎng)態(tài)勢(shì)。有2/3的消費(fèi)者在接受調(diào)查時(shí)明確表示，過(guò)去一年內(nèi)個(gè)人信息曾被泄露或竊取，而1/3的受訪者稱，曾遭受過(guò)經(jīng)濟(jì)損失和人身傷害。

據(jù)悉，中國(guó)最早的個(gè)人信息保護(hù)立法程序始于2003年，國(guó)務(wù)院當(dāng)年委托有關(guān)專家開(kāi)始起草《個(gè)人信息保護(hù)法》，2005年專家建議稿已經(jīng)完成，并提交國(guó)務(wù)院審議。但自此之后該法律即停擺十年，再無(wú)下文。

中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)信用評(píng)價(jià)中心法律顧問(wèn)趙占領(lǐng)認(rèn)為該法停擺的原因很復(fù)雜。“2008年后國(guó)家大部制改革，國(guó)務(wù)院信息化辦公室并入工信部后，沒(méi)有相關(guān)的部門來(lái)接手督促立法?？赡芘c這個(gè)原因有關(guān)?！?/p>

在基本的法律缺位之下，中國(guó)個(gè)人信息保護(hù)體系如何？

“我國(guó)關(guān)于個(gè)人信息保護(hù)的法令散見(jiàn)在200多部法律法規(guī)中，但語(yǔ)焉不詳，既缺乏全面系統(tǒng)的規(guī)定，又缺乏保護(hù)機(jī)制和執(zhí)法機(jī)制”，中國(guó)政法大學(xué)傳播法研究中心研究員朱巍接受本刊記者采訪時(shí)提到自己的擔(dān)憂。

2012年12月28日，全國(guó)人大常委會(huì)通過(guò)《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》后，較為明確地為網(wǎng)絡(luò)個(gè)人信息保護(hù)提供了法律依據(jù)。

“但該法律最大的弱點(diǎn)是，它只規(guī)定了主動(dòng)侵權(quán)所應(yīng)承擔(dān)的責(zé)任，卻沒(méi)有規(guī)定被動(dòng)侵權(quán)的部分”。朱巍認(rèn)為，網(wǎng)站主動(dòng)收集用戶信息，并用于非法用途，肯定要承擔(dān)侵權(quán)責(zé)任。如果網(wǎng)站被黑客攻破，造成用戶信息泄露，則屬于過(guò)失泄露，它應(yīng)當(dāng)承擔(dān)的責(zé)任很難界定。依據(jù)司法實(shí)踐中會(huì)采用過(guò)錯(cuò)推定原則確定侵權(quán)責(zé)任，企業(yè)首先要舉證自己盡到了安保責(zé)任。

信息泄露一旦發(fā)生，追責(zé)將會(huì)很困難。趙占領(lǐng)指出：“民事賠償最困難的是舉證問(wèn)題，網(wǎng)絡(luò)來(lái)源渠道那么廣，車主難以證明信息泄露的渠道來(lái)自于哪里。受限于網(wǎng)監(jiān)等執(zhí)法力量尚屬薄弱，刑事處罰和行政處罰目前的案例也是極其少的?！?/p>

由此，朱巍建議：掌握有一定規(guī)模個(gè)人信息的公司都應(yīng)該設(shè)立“首席安全官”的行政或者技術(shù)職位，確立責(zé)任人制度，可以明確信息泄露后果的責(zé)任主體。同時(shí)，企業(yè)也會(huì)投入更多的資金和精力在自己的信息安全防護(hù)上。