不少购车者曾有疑惑,为何自己刚下订单不久,就有电话打进来推销车险,买车的消息怎么不胫而走的?也曾有少数车主接到过“违章诈骗”电话,对方甚至可以精确地报出你的车牌号、年检记录等等。
你的个人敏感信息,很可能早已变成excel里的一行数据,被以1到5块钱不等的价格变卖于信息数据交易的黑市上。
2015年4月28日,互联网安全漏洞报告平台乌云网“白帽子”(平台漏洞发现者)就发现国内各省市的车主信息在互联网被公然售卖,其中的信息包括车主姓名、手机号、身份证号、家庭住址、车牌号码、汽车型号等。
数据依据详细程度、时间、地区等被赋予不同的价位:当天更新的车主购车订单信息每条3块,一周内的2块,一个月内的1块,特定地区的车主信息则要到了4块一条。
“黑市”车主信息贩卖肆虐
乌云网ID为李旭敏的“白帽子”(互联网漏洞发现者)告诉《消费者报道》记者,他从2013年开始发现网络上的车主信息交易有泛滥势头。这些交易大多以QQ群为平台,买卖双方通过平台碰面,然后再私下完成交易。
这些QQ群大多集结着两三百个QQ帐号,个别活跃的QQ群人数已经要接近两千。与其他QQ群不同的是,这些群共同的特征是没有任何群上的交流。卖方总是各自以小广告的形式在群上刷屏吸引买方私聊。偶有买方提出购买“数据要求”,再由卖方主动找上门。
从不同卖方提供的数据格式看来,车主信息的泄露来自不同的渠道。
网名叫“一手数据”的贩子声称自己有非常详尽的车主数据。在他提供的样例数据中,除了车主常见的个人信息外,甚至包含汽车型号、发动机号、年检时间、上证时间和一些汽车的技术参数。另一个叫“淘二郎”的贩子手上的数据为全国各地的混搭,可以查看到同时安装的GPS型号、保险单号和赔付限额等。
李旭敏曾和这些贩子打过交道,他告诉记者:“贩子拿到的车主信息渠道是多方面的,车企、车载GPS或者一些第三方的打车软件,都可能导致车主信息泄露。当然也有小部分贩子提到自己有‘内线’在获取数据,但真实情况还需考证。”
另一个叫“奔跑啊阿米”的贩子更是直言,其信息是由“技术”从车管所平台上扒下来的,他手上有大多数北方城市的数据。为了验证其所言,他提供了哈尔滨市5月1日“选号”的车主的手机截图,除时间外,该图片还包含着车主姓名、车牌、车型、住址等信息。这些车主的信息依据时间、地区、详细程度、售前售后的不同划分,最低一块起价,最贵的可以一条卖到五块。
个人信息保护法停摆十年
2015年3?15,中消协发布的《2014年度消费者个人信息网络安全报告》显示,网络针对消费者个人信息“窃取”和“非法使用”的黑色产业链呈现爆发性增长态势。有2/3的消费者在接受调查时明确表示,过去一年内个人信息曾被泄露或窃取,而1/3的受访者称,曾遭受过经济损失和人身伤害。
据悉,中国最早的个人信息的立法程序始于2003年,国务院当年委托有关专家开始起草《个人信息保护法》,2005年专家建议稿已经完成,并提交国务院审议。但自此之后该法律即停摆十年,再无下文。
中国互联网协会信用评价中心法律顾问赵占领认为该法停摆的原因很复杂。“2008年后国家大部制改革,国务院信息化办公室并入工信部后,没有相关的部门来接手督促立法。可能与这个原因有关。”
在基本的法律缺位之前,中国个人信息保护体系如何?
“我国关于个人信息保护的法令散见在200多部法律、法规包括地方性法规中,但语焉不详,既缺乏全面系统的规定,又缺乏保护机制和执法机制”,中国政法大学传播法研究中心研究员朱巍接受《消费者报道》记者采访时提到自己的担忧。
2012年12月28日,全国人大常委会通过《关于加强网络信息保护的决定》后,较为明确地为网络个人信息保护提供了法律依据。
“但该法律最大的弱点是,它只规定了主动侵权所应承担的责任,却没有规定被动侵权的部分”。朱巍认为,网站主动收集用户信息,并用于非法用途,肯定要承担侵权责任。如果网站被黑客攻破,造成用户信息泄露,则属于过失泄露,它应当承担的责任很难界定。依据司法实践中会采用过错推定原则确定侵权责任,企业首先要举证自己尽到了安保责任。
信息泄露一旦发生,追责将会很困难。赵占领指出:“民事赔偿最困难的是举证问题,网络来源渠道那么广,车主难以证明信息泄露的渠道来自于哪里。受限于网监等执法力量尚属薄弱,刑事处罚和行政处罚目前的案例也是极其少的。”
由此,朱巍认为:掌握有一定规模个人信息的公司都应该设立“首席安全官”的行政或者技术职位,确立责任人制度,可以明确信息泄露后果的责任主体。同时,企业也会投入更多的资金和精力在自己的信息安全防护上。