焦点访谈丨谁动了我的“个人信息”
如果你刚在购物平台上买了东西,过了几天你接到电话,对方说你买的东西有质量问题,要对你进行赔偿,你将信将疑吧?可是他准确地说出了你姓什么叫什么名字,买了什么,花多少钱买的,你相信了吗?
这样的电话很多人都接到过,包括我。有些人就真信了,上了诈骗分子的钩。而他们之所以会相信,不是说他们没有警惕性,而是诈骗分子掌握了他们详细的个人信息,说得跟真的似的,很有迷惑性。那么在购物平台上消费的这些个人信息怎么会到了诈骗分子手里呢?
从去年下半年开始,一种冒充购物平台客服的新型诈骗手段,让很多消费者上当受骗。张女士、刘先生都是在某知名购物平台购买了商品,收到货没多久就接到了自称购物平台售后客服打来的电话。开始,两人都是将信将疑。
受害人刘先生说:“第一时间打电话说出我姓氏,而且知道我买了什么,并准确说出我的订单、说出我的价格的时候,让我觉得就是平台的,要不不可能知道我这么全的信息。”
受害人张女士说:“他很详细说出我的姓名、电话、家庭住址以及订单号,什么时间下单买的都说出来了,所以我就信他了,如果不是他们平台,其他人怎么能知道我的信息呢。”
不是客服又怎么能知道自己买了什么商品、单号是多少、多少钱买的呢?所以很快就相信了对方。对方以工商部门查出所购商品某种成分超标、质量不合格为理由,主动提出购物平台会给予加倍赔偿。
张女士说:“期间我把电话挂掉了,给平台打电话,但一直没有打通,我打了3个电话都没有打通,一直是处于人工繁忙,还有50多位在等,我没有联系上购物平台客服,不法分子又给我打来电话了。”
于是,按照对方要求,加了QQ号,在指定网页填写了个人信息和银行卡号,并按照对方要求,输入了验证码。当所有操作完成后,两人银行卡上的钱,全部被诈骗分子转走。类似的受害者,还有很多很多。
出问题的不止这一家购物平台公司,个人信息的泄露也不仅仅发生在购物平台。去年12月,北京第三中级人民法院通报涉及公民个人信息犯罪案件审理情况。酒店、快递公司、外卖平台等企业成为个人信息泄露的重灾区,数量呈现爆炸式增长态势。其中,快递物流环节由于汇聚了海量的公民个人信息,被犯罪团伙视为获取诈骗线索的肥肉。
那么,在物流环节,公民个人信息是如何被泄露出去的呢?前不久,河北邯郸永年区公安局就破获了一起非法窃取个人信息的案件。
河北邯郸市永年区公安局反诈中心指导员杨鑫鹏说:“当时案发是快递公司自己有一个风控系统,监测到自己的员工账号进行了异常登录,然后到我们单位进行报警,当时永年的工号在河南异地登录,对8000多条信息进行了查询,外县的几个工号也进行了异地查询。”
快递员都是负责自己本区域的快递业务,为什么他的工号会在异地登录系统?警方迅速找到了这名快递员。
杨鑫鹏说:“员工说有两个年轻人到他的门市上,说要租用他的工号,查一下走件的流程用于淘宝刷单这些东西,租成了一天给他500块钱。”
什么人在租用快递员的工号?租用后到底做了什么?警方通过蹲守,找到了租工号的人,经过讯问,他们也是中间人,租来的工号另有人在使用。
杨鑫鹏说:“据他们供认,有人让他去租快递公司的工号,然后供他们进行查询窃取公司内部客户信息,窃取完客户信息之后,把信息换成钱卖给境外诈骗组织。”
此时案情已经很明确,这是一起通过非法手段窃取公民个人信息用于电信诈骗的案件。经过大量摸排和侦查工作,警方抓获了犯罪嫌疑人吕某。吕某,没有正当工作,才20岁,怎么就能与境外诈骗团伙搭上关系?又是怎么窃取公民信息的呢?
吕某说,他的上家是福建的,不知道真实姓名,只有QQ上的名字,他在百度贴吧上找到收料、收快递信息的帖子,然后加为好友。
吕某做过两个月快递员,知道如何在快递公司系统内查询个人信息,现在有了这样一个销售渠道,吕某就动员了几个同样无所事事的年轻人,以刷单或者跟踪邮件动态的名义,以每天租金500元的高价,先后租来五个快递公司员工的登录账号,从快递公司系统内窃取公民个人信息。
吕某把窃取来的公民信息打包卖给他的上线,再由上线直接卖给境外诈骗团伙,对于这个上线,警方还在继续侦查追捕当中。但是,仅就这个案件来说,以吕某为首的几个无所事事的年轻人,也不是什么电脑黑客或者高手,怎么就轻易盗取了快递公司系统内的个人信息呢?
中国科学院大学教授荆继武说:“一般情况下,信息泄露跟单位和平台管理个人信息的制度、技术手段、规则以及员工的教育都有关系,很多大量信息是从管理者、员工或者信息系统泄露出来的。”
吕某案件的侦破,对一些快递公司来说,应当敲响警钟。首先是对内部员工的教育和监管。一些快递员被每天500元的额外收入所诱惑,就轻易把自己的登录账号给了陌生人使用。
作为一名快递员,他所负责和管理的,应该是自己寄送快递的社区信息,可是此案中一个普通快递员的系统登录账号,只要稍作手脚,就可以查询到系统内全国各地公民的快递信息。
荆继武说:“根据相关法律来判断,比如说规定收集的信息不能太多,只能收集必要的信息,按照道理是最小信息原则。作为快递员能访问的信息应该是有限的,不能给他巨大的权力访问所有人的信息,这是平台的责任,而且必要的时候有些信息应该要隐藏,都是XXXX的,或者电话号码都是隐蔽的。”
河北邯郸市公安局反诈中心张津金说:“以公安方面为例,一是通过数字证书等等,每个人开通账户权限,定期检查后台登录日志,确保数据没有泄露、不存在泄露的嫌疑,即使之后出现了异常行为可以立即进行倒查。”
对于企业来说,除了对储存海量个人信息的系统数据应该严加管理,对于数据之外的实体单据,同样应该防范信息泄露隐患。在邯郸市永年区,记者随便找到一个垃圾回收站,这里到处都是快递邮件废弃的外包装箱。很多快递公司的标签上,都清晰地打印着收件人姓名、住址、电话号码,没有任何的保护措施。说明在快递公司系统后台,对这些个人信息也没有做保护处理。
公民个人信息既包括姓名、身份证号、手机号、住址等静态信息,也包括征信、定位、行踪轨迹、住宿、房屋产权等等很多动态信息。越来越多的个人信息被越来越多的单位、企业所使用,如果缺少了技术上、管理上的制度和措施,都可能因为信息泄露给公民个人造成难以挽回的损失。
刘先生和张女士分别是在今年的1月和2月被电信诈骗团伙所欺骗,可是同样的案件,早在去年10月已经出现,不断有人上当受骗。
掌握和使用公民个人信息,就要对个人信息的保护担起相应的责任。前不久,全国人大法工委发布了《个人信息保护法(草案)》,草案大幅提高了个人信息违法成本。企业出现违法行为可对其处以5000万元以下或者上一年度营业额5%以下的罚款,并可责令暂停相关业务、停业整顿、吊销相关业务许可证或营业执照,同时要对直接责任人员处10万元以上100万元以下的罚款。而另一方面,我们每一个人也应该对自己的个人信息提高保护意识。
河北邯郸市永年区公安局副局长杨庆社说:“尽量不要把自己的信息,像是身份证、电话透露给陌生人,收到快递公司的货物,一定要把自己的姓名、手机号、家庭地址、二维码和条形码撕掉了之后再把外包装扔掉,不要随意透露出去,给自己造成不必要的麻烦。”
个人信息某种程度上也可以说是自己的无形资产。在垃圾回收站,我们随便翻一翻,就可以在快递外包装上看到大量的个人信息标签,很少有人会把这些标签销毁。
有人说在大数据时代,我们就是用隐私换便捷,但是这并不是科技发展的初衷,也不是我们想看到的现象,出现的问题也不能完全让科技背锅。当我们把信息交给商家,默认的前提条件是我们的信息能够得到保护,也应该得到保护。当科技和服务的创新让我们的生活变得越来越便捷,通过预防性制度来确保这种创新与应用的安全边界,也同等重要。目前国家正在加紧制定出台《数据安全法》、《个人信息保护法》,在法律层面为数据安全和个人隐私保护提供法律保障。而我们自己,也要对此有足够的重视。