谁泄露了我的考研信息
法治周末见习记者 李含
“2014年12月份研究生名单,要得M(私密聊天)”“去年只有55万条,这次总共130万条”“15000元打包卖,单卖1条信息1毛钱”……
距离今年考研还有一个月左右的时间,有人开始在QQ群中叫卖考研学生的个人信息。
2014年已经步入尾声,今年以来备受关注的信息安全问题,未来依旧是重头戏。
130万考研信息15000卖
“数据包一共有130万条信息,全部是今年报名参加考研的学生,覆盖全国范围。打包卖15000元,这已经是转手几次的价格了,要是独家卖的话,肯定不是这个价。”考研信息卖家在群中这样介绍。
为了证明数据库中数据的真实性,考研信息“卖家”贴出了部分考研学生信息的截图。从截图中可以看到,除了考生姓名、性别外,能够买到的信息还包括手机号码、座机号码、身份证号、家庭住址、邮编、学校、报考专业等敏感信息,非常详细。至于这些信息是从何而来,卖家并不愿多说。
近期网上有关考研信息泄露的消息引发关注后,有人将矛头指向了中国高等教育学生信息网(以下简称“学信网”),认为只有学信网才能拥有如此详细的考生信息。
据了解,学信网是由教育部下属的全国高等学校学生信息咨询与就业指导中心主办,接入了集高校招生、学籍学历、毕业生就业和全国高校学生资助信息一体化的大型数据仓库。
法治周末记者致电学信网客服,询问了有关考研学生信息泄露的相关情况。客服人员表示:“确实看到有相关报道反映此事,学信网对此事也正在核实中。学信网对外不会泄漏考生的个人信息,官方目前对此也没有相关消息公布,建议您以教育部官方的告知为准。”
尽管目前泄露信息的来源并无准确消息,但这些信息的泄露确实为部分考生造成了现实的困扰。
“从泄露的考研信息中,可以知道相关考生的联系方式,报考的城市、学校、专业等资料。根据这些资料,不法分子可以利用来进行精准营销、推送有针对性得到广告,比如针对不同城市、特定学校和专业的考验培训班、复习资料等。更有甚者,还有人会提供代考、假文凭等违法犯罪活动。”重庆大学法学院教授齐爱民说。
“我验证过卖家提供的一些考生信息,打电话过去后,对方确实是今年正在准备考研的考生。这些考生反映,已经接到了非常多的骚扰电话,都是卖考研资料、推销考研培训的。”一名长期接触信息贩卖黑色产业的互联网安全工作人员李乐(化名)表示,“这些考生也很疑惑,为什么打骚扰电话来的人非常清楚他们的报考学校和专业?这些信息他们很少对外人说。实际上,他们的这些详细资料,早就在网上被转手卖了好几次了。”
庖丁解牛般的信息解构
中国政法大学副教授朱巍告诉法治周末记者,网络个人信息分为三种大类型,一是身份信息,即用户姓名、联系方式、住址、IP地址、银行卡号等;二是注册信息,即用户在使用网络服务时依据服务或产品类型,按照“网民协议”提交网站的除身份信息外的其他资料;三是行为信息,即用户网络所有行为的数据。
“近年来,涉及泄密的信息大都是第一类信息和第二类信息,第三类数据是大数据范围,一般不在泄露之列。这些数据被广泛使用在特性化服务、精准营销、针对性广告、商业性推荐等方面。”朱巍说。
金山毒霸反病毒工程师李铁军表示,网民只要在网络上使用过相关服务,都会在网上留下相关信息,一旦泄漏出去就会非常麻烦:“举个例子,有网上购物习惯的网民,身份证号、手机号、银行卡号这些信息在网上都会留存。当信息泄露达到一定程度的时候,不法分子就可以利用网上泄露的这些信息、运用技术手段去将银行卡关联的手机号更改,进而通过一系列验证程序,盗取银行卡上的钱财。”
齐爱民介绍,看似简单的个人信息,实际上能够反映很多内容,比如一个人的经济阶层、消费能力、消费习惯、消费偏好等;数据公司能够对个人信息进行分析、解构,如同庖丁解牛一般,利用个人信息将一个人“定位”,进而结合其联系方式,被各种利用。
“从商业利用的角度上看,各类营销机构会利用这些信息开展营销活动,从而对信息所有者造成骚扰,比如收到各种信息、电话、邮件,打扰生活的安宁。”齐爱民说,“而更严重的影响,在于一旦这些泄露的信息被犯罪分子掌握,就会威胁到信息所有者的人身财产安全,比如因信息泄露而诱发的诈骗、勒索、强奸、绑架案件,在当下都已经不算是新闻了。”
信息泄露存在行业差别
130万考研信息的泄露,只是当下信息安全问题的一个缩影。在国内最大的漏洞发布平台乌云网上,法治周末记者发现,涉及用户信息泄露的相关报告非常多;最近比较引人关注的,还有智联招聘86万份简历信息泄露、东方航空公司大量用户订单信息泄露等。
为何当下信息泄露事件频发?
朱巍认为,用户个人信息的泄密原因主要在于三点:“首先,技术性原因,网站作为信息储存者在安全防护技术上存在漏洞;其次,制度上原因,网站缺乏对用户信息保存有效监管制度,缺乏应急机制,内部人员管理存在混乱;最后,法律上的原因,我国仍没有个人信息保护法,现有其他法律规定过于抽象,缺少对大数据背景下个人信息保护的针对性规定,缺乏数据合理使用范围界定。同时,现行法律对侵害个人信息处罚力度过低,违法成本小于违法收益。”
李铁军表示,还有一个很重要的原因在于,民众自己保护个人信息的意识不强,很多信息都是网民自己泄露出去的:“非常多的网民不太关注个人信息保护,一个不好的习惯就是,在网上遇到填表的时候,一股脑全部填入自己的个人真实信息,完全没有防范意识。”
而从另一个角度,在李铁军看来,信息泄露的安全风险,在传统行业与互联网行业之间,存在着明显的行业性差别:“中国的互联网企业,在经历一些安全事件之后,安全意识提高了一些;但是传统企业在接触互联网时、在企业的互联网化过程中,往往将互联网仅当作一种发挥作用的工具,却忽视了互联网上的安全风险。这与传统企业在接触网络时的安全防范经验不足、意识不足有关。”
齐爱民坦言,我国信息泄漏事件层出不穷,确实是我国当下的一大信息安全问题;但我们也应当认识到,即便是再发达的国家、再先进的软硬件水平,都存在信息泄露的风险,“美国、英国、德国等西方发达国家,也经常会曝出信息泄露事件,很多时候是由于黑客入侵造成的”。
个人信息保护法出台迫在眉睫
无论信息泄露的原因是什么,都会造成一定危害。除了上文提到的对信息所有者的影响外,在齐爱民看来,信息泄露事件的发生,对于相关企业也存在着负面影响。
“信息泄露事件对于企业的信誉影响很大,任何一个单位都不愿意被曝出信息大量泄露;特别是对于互联网公司来说,这可谓是一个命门。”齐爱民表示。
如何防范信息安全风险?齐爱民认为,从公民、企业、国家三个层面,都应当有所作为。
在齐爱民看来,公民个人的意思和行为规范不断提高,是防范信息泄露的第一道阀门:“任何一个社会中,个人权利的保障首先在于自己。如果自己的保护意识和手段都不够,如何仅仅依靠外部力量来实现个人信息的保护呢?这是不现实的。因此,公民应当尽量避免盲目对外提供个人的真实信息,从自身开始提高意识、注意风险。”
而从企业层面上,齐爱民认为,企业应该提供符合行业通行标准的安全措施,并且对于信息的存储、提供、传输等方面建立信息伦理制度:“简单来说,就是什么人能够接触什么这些信息,能接触多少信息,通过什么制度信息才能对外提供,能够提供给什么人,都需要企业内部完善相应的规章制度。另外,企业也可以考虑采取合同的方式,对能够接触到这些信息的员工进行约束,在发生违规情况时进行惩处。”
齐爱民还提到,应当考虑建立互联网信息安全协会,让互联网公司在我国相应立法没有出台之前,通过行业自律设立业界通行的安全标准,对相关网站信息安全的各项指标(软硬件功能、信息伦理制度、操作规程、合同规范等方面)进行认证,从而让网民能够选择信任的公司去接受服务。
“从国家层面上来说,个人信息保护法的推出时不我待、刻不容缓,没有法律对个人信息保护明确标准、对个人信息泄露行为苛以责任,保护力度就永远跟不上。比如以法律的形式明确企业应当履行的信息保护安全措施标准后,就可以以此来衡量企业是否尽到相应义务、是否应当对发生的信息泄露事件承担责任。如果企业已经尽到义务、存储信息的服务器依然被黑客攻破而导致信息泄露,这个责任就应当由非法入侵者承担。”齐爱民说。
李铁军表示,面对当前的环境,企业应当增加在信息系统有关网络信息安全防范的投入,建立专门的安全团队;如果自身缺乏相关的专业人员来维护,就应当将网络安全维护外包给专业的安全公司去做。
“最后,还需要对普通网民提个醒:在上网过程中,除了使用账户名、密码来验证身份外,尽量增加动态密码的验证过程,即采取两步验证措施,这样上网的安全性会提升很多;另外,很多网民虽然在不同网站上有不同账号,但往往都使用同一个密码,一旦发生信息泄露,就有可能导致与其关联的所有账号被盗的风险。网民应当避免这种重复使用密码的情况发生。”李铁军说。