“地下征信”黑色产业链起源
据央视新闻报道,警方发现这起“地下征信”黑色产业链最初源于一起主动投案。
2018 年 4 月,江苏淮安警方在网上巡查时发现,有人非法购买公民个人信息,后嫌疑人高某主动到警方投案。高某交代,他花 500 块钱从网名叫“过去、将来”的人手里购买了 317 条公民个人信息,这些信息包括手机号、姓名、身份证号和家庭地址。他买这些信息的目的是给网络小贷公司拉客户,警方通过对QQ、微信等资料的综合研判,锁定贩卖个人信息的“过去、将来”位置在河南焦作,随即出动警力,将犯罪嫌疑人申某在家中抓获。
“地下征信”黑色产业链浮现
在申某的电脑里,警方查获公民个人信息 7 万多条,这些信息包括公民姓名、身份证号、地址、电话以及芝麻信用分等,很多信息显示推广来源为“花钱无忧”“借点钱”等小贷平台。
另一个通过向申某贩卖公民个人信息的是广东一个网名叫“叮咚叮咚”的人,警方发现,“叮咚叮咚”在微信群中大肆贩卖公民个人信息。
有迹象表明,“叮咚叮咚”是广州诺涵科技公司的员工,他贩卖公民信息并非个体行为。
淮安警方发现,广州诺涵科技公司不只贩卖公民个人信息,更主要的是在进行小额贷款并进行软暴力催收,这是一个组织严密、分工明确、涉案人数众多的犯罪团伙。
在涉案的广州诺涵公司贩卖的公民个人信息里,甚至还出现了公民身份证照片信息。
警方测试后发现,返回的是带网纹的二代身份证彩色照片,这样极度隐私的个人信息他们从哪儿获取的呢?
“地下征信”黑色产业链抓获
警方审讯得知,九象公司黑爬虫网站的“身份核验返照”业务端口来自北京黑格科技有限公司,而黑格公司是从北京考拉征信服务有限公司等四家公司购买的查询接口。
经查,北京考拉征信服务有限公司从上游公司获取接口后又违规将查询接口出卖,并非法缓存公民个人身份信息,供下游公司查询牟利,从而造成公民身份信息包括身份证照片的大量泄露。
淮安公安分局网络大队中队长顾明表示:“违规缓存相当于把公民个人信息复制了一份,下游公司再向它通过数据接口调取数据的时候,它就不需要再向上游调取,也是节省了开支,这个是违法的。”
2015 年 3 月以来,北京考拉公司非法提供查询返照 9800 余万次,获利3800 余万元,在公司服务器中查获并收缴被非法获取、存储的公民姓名、身份证号、相片近 1 亿条。个人信息这些及其隐私的数据被一些公司包装成为个人数据产品进行贩卖,严重侵害了个人隐私,部分涉案人员因侵犯公民个人信息罪已经被法院判处了相应的刑罚。
淮安市公安局称,有人把这些非法获取的公民身份证照片PS成灵堂照片或者淫秽色情照片,发给贷款人本人进行威胁,甚至发给亲友同事,毁坏贷款人声誉,另外还用于电信诈骗中的通缉令诈骗,把带有身份证照片的通缉令发给受害人。
数据隐私泄露背后
事实上,类似的数据隐私泄露事件并不在少数。
2018年 3 月曝光的Facebook数据泄露事件中,有 5000 万用户的个人资料,被用来作为向其精准投放政治广告的重要参考,而这些人占据着美国选民人数的四分之一;同年,万豪发布公告称旗下酒店喜达屋 5 亿房客信息被泄露;社交平台陌陌的3000 万用户数据在暗网被销售;问答网站鼻祖Quora的 1 亿用户数据被窃等等,而类似的数据隐私泄露事件还在继续。
目前,数据隐私问题的集中爆发,根源究竟在哪里呢?
北京光之树科技CEO张佳辰认为,根源在于数据的规范化流通逐渐进入正轨,国家加大力度对数据的获取(来龙)和利用(去脉)的乱象进行整治,一系列被“隐藏”的数据隐私问题才会被公众所知,这反而是一件好事。
对于征信公司和第三方数据公司来说,合法合规获取数据将成为行业大势。
企业数据的合法使用
以征信公司为例,整个征信行业的监管需要加强规范化运营,以应对越来越强的监管:
• 第一,注意数据来源,不能全盘接收第三方大数据公司给到的数据,因为这个数据可能是被过度攫取的;
• 第二,注意数据的使用,需要用更为先进的技术手段去合法合规使用数据,确保数据不被滥用,可回溯追责。
• 第三,利用技术,确保公民个人信息不被泄露,且数据不会被缓存,结合区块链和数据标识技术,还可以确保数据确权、流转过程的可追溯可审计,充分发挥数字经济时代”谁贡献谁受益“的优势。
数据隐私人才引进
当然,引进数据隐私的人才是必不可少的环节,任何企业的数据信息都需要有相应分工的数据隐私专员进行把控、分析。
• 隐私法专业领域的律师。
- 保护企业避免受到法律制裁,进行合理客观的企业隐私法评估。
• 具备隐私专业知识的人力资源、信息分析、专员等从业者。
- 协助企业隐私相关工作的正常运作。
• 隐私相关的IT人员、工程师、架构师等技术从业者。
- 控制企业的移动设备软件开发、检测、排查、维护,避免被黑客攻击、盗取信息,从而侵犯消费者隐私。
• 法律法规、专业知识、技术技能等隐私知识都具备的全能管理者。
- 制定隐私策略、方针,协调运营企业隐私工作管理、分配。
国际专业隐私协会IAPP认证
• “CIPP信息隐私专家认证”
CIPP一直被公认为隐私业务的国际杰出证书,主要受益的职业人群有法律法规、信息管理、数据管理和人力资源。CIPP 有四个专项领域,关联各个特定区域,分别是 CIPP/A、CIPP/C、CIPP/E、CIPP/US。
• “CIPM信息隐私管理认证”
CIPM是第一个也是为数不多的国际隐私项目管理认证证书,主要受益的职业人群有运营和管理企业&机构数据隐私的专才。
• “CIPT信息隐私技术认证”
CIPT是为数不多的一个世界级并且符合国际标准认证(ANSI/ISO)的证书,培训专业的 IT 人员从产品设计到产品服务的各个生命周期/发展阶段均能够掌握对用户数据的隐私保护。
作为一名普通的网民,我们在提供任何电子化或书面授权时,仔细阅读并理解相关授权范围以及自愿退出的方式,对于超出必要性范围的数据授权应予以明确拒绝,并在发现自身权利受到侵害时,立刻终止使用,并向当地政府和监管部门投诉。
作为一个企业,合理合法合规的使用并保护好用户的数据隐私是一个企业最根本的道德底线,否则损失的可不是一笔小数目。
可以预见的是,随着数据保护的监管趋严,我们的数据也会得到更加强有力的保障。
那么数据保护立法成为全民共识,也将不远了。
以上图片、部分内容均整理自网络,如有侵权,请联系删除