你的个人信息是如何被“偷”的?
公民的个人信息是如何被“偷”走的?不法分子又究竟如何获取这些信息?带着公众的疑问,《法治周末》记者通过回顾2021年以来披露的数十起相关案件,厘清了个人信息的主要泄露途径
《法治周末》记者 王京仔
“2024年全年,公安机关共侦破侵犯公民个人信息犯罪案件7000余起。”3月18日,公安部透露的这一数据表明了我国个人信息保护的成果。然而,这一数字也反映出当前信息泄露问题的严峻性。
百度副总裁谢广军女儿被指“开盒”网友,央视“3·15”晚会曝光获客软件疯狂窃取用户信息……近期的一系列事件,引发公众对于个人信息泄露的持续关注与担忧。
近年来,随着数据安全法、个人信息保护法等法律法规相继出台实施,我国信息安全工作取得长足发展的同时,过度收集信息、盗取信息、倒卖信息等现象仍屡屡发生。
公民的个人信息是如何被“偷”走的?不法分子又究竟如何获取这些信息?带着公众的疑问,《法治周末》记者通过回顾2021年以来披露的数十起相关案件,厘清了个人信息的主要泄露途径。
平台过度收集个人信息
“看个小说,还要提供个人资料,这不是过度收集信息吗?”今年2月,李青(化名)用手机号在某网络小说平台注册了一个账号,在充值了6元获得点币后,却发现无法正常订阅小说,平台提示“网络环境风险高”。他询问客服,被告知需要先进行账号实名认证才能解决相关问题。
“我充值时,为什么不提示‘网络环境风险高’?退一步说,注册账号时没说要实名认证,其他用户也可以不用实名认证就看小说,我这个问题一定要提交个人资料才能解决吗?”李青对此充满疑虑。
当前,为了注册使用某款APP,快速输入手机号等信息、火速勾选《隐私政策》《用户协议》……已经成为用户再熟练不过的操作。但这番操作背后,一些APP往往暗藏强迫或超范围收集个人信息的问题。
北京市的张倩(化名)为了了解更多的网络流行语,下载了一款宣称“玩梗达人必备网络流行语”的词典APP。下载完成后,张倩发现注册该APP时无需用户点击同意,系统会自动勾选“已阅读并同意服务条款和隐私政策”的选项,且《隐私政策》中显示,一旦注册完成,APP将会自动收集用户的设备信息、地理位置、用户行为等信息。
张倩尝试取消“同意”勾选,则APP会自动退出,导致无法完成注册使用该词典APP。她只能按照要求,填写手机号并同意了《隐私政策》,进而完成了注册。
“使用一段时间后,因为APP一直收集我的个人信息,便想着停用。”张倩想撤回允许该APP处理其信息的同意,但是却发现APP并未提供撤回同意的途径。交涉无果后,张倩将APP的开发运营者某科技公司告上了法庭。
2024年4月,北京市第四中级人民法院审结了此案,认定涉案APP存在侵犯公民个人信息权益的情形,涉案词典APP的运营公司被判删除收集的张女士个人信息,并向张女士赔礼道歉、赔偿其合理开支3080元。
法院认为,涉案APP的《隐私政策》被默认勾选“同意”,并未让张女士主动自愿作出同意的选择,不符合个人信息保护法第十四条“自愿”“明确”的要求;该APP也未按个人信息保护法第十五条第一款的规定,“个人信息处理者应当提供便捷的撤回同意的方式”,侵犯了用户的个人信息权益。
尽管相关部门对于APP侵害用户权益的现象进行了多次打击,但超范围收集个人信息以及APP强制、过度索取权限等过度收取个人信息的现象仍然存在,成为了公民信息泄露的一大途径。
《法治周末》记者查阅了工信部2024年披露的10批《关于侵害用户权益行为的APP(SDK)通报》发现,在共计297款被通报的APP及SDK中,涉及“超范围收集个人信息”“强制、频繁、过度索取权限”的就有156款,占比达约52.5%。
多途径骗取个人信息
除了平台过度收集个人信息,一些商家或不法分子还会利用推广、假冒身份等手段,收集或骗取公民个人信息。
自2021年数据安全法、个人信息保护法相继实施以来,个人信息保护一直是公众关注的话题。记者发现,近5年来,除了2024年,央视“3·15”晚会每年都会曝光个人信息安全相关乱象。
2021年的“3·15”晚会,央视就曝光科勒卫浴、宝马、Max Mar多家知名商家安装人脸识别摄像头,并且没有明确告知顾客。在未征得用户同意,甚至用户根本不知情的情况下,自己的人脸信息等生物识别信息就被商家偷偷抓取,并生成编号存档。
相较于商家“不问自取”个人信息,一些不法分子会以免费抽奖、免费送鸡蛋等礼物直接向公民骗取个人信息,而老年人群体成了受骗的“重灾区”。
今年1月,陕西省西安市75岁的张凤(化名)照常在菜市场买菜,扫码支付时却发现微信无法支付,提示银行卡被冻结。询问银行后,被告知因为她被起诉,银行按照法院要求冻结其银行卡。在向法院了解情况后,张凤才知道自己的身份信息下有开设一家网店,该网店因出售冒名产品被起诉,她因此成了被执行人。
张凤这才意识到,自己的身份信息被泄露用来从事违法活动。
“2023年、2024年,我们一起玩的老太太,经常去各个摊点免费领鸡蛋。”张凤还在摊点加了多个群,群主不仅会告知他们领鸡蛋的时间、地点,还经常发1分、2分的红包,同时,“摊主经常需要我们的身份证,说是要先注册,我不懂,也就给了;有时候还让我们对着手机眨眨眼、摇摇头等”。
而张凤的遭遇并非个例,记者查阅了2021年以来公安部公布的38起侵犯公民个人信息犯罪的典型案例,至少有11起为不法分子骗取公民个人信息。其中,今年3月18日,公安部公布的依法打击侵犯公民个人信息犯罪10起典型案例中,骗取公民个人信息的就有5起。
具体而言,包括伪造工商营业执照,在招聘网站发布虚假招聘信息骗取求职者简历;打着“自媒体工作室”的旗号,以招聘兼职工作人员的名义,骗取应聘人员的个人信息;冒充医保部门工作人员,打着帮助开通“医保电子凭证”的幌子,骗取受害人个人信息;冒充某地图APP工作人员,打着免费帮助商户开通旺铺认证、提高知名度的旗号,骗取个体工商户个人信息,在短视频平台发布免费领红包、游戏皮肤等虚假宣传视频,骗取他人的网络账号信息等。
“骗取这些信息后,除了自用,更多的是出售牟利,出售给下游的诈骗团伙或专门倒卖个人信息的团伙。”一位从事网络安全从业人员告诉记者,这也是海外“社工库”的数据来源之一。另外,通过爬虫等技术窃取信息和“内鬼”倒卖用户数据也是信息泄露的主要途径。
直接窃取及“内鬼”倒卖信息
“2024年,奇安信威胁情报中心累计监测到境内政企机构数据泄露风险事件156起,至少299.5亿条各类数据存在泄露风险。”近日,奇安信发布的《2024中国政企机构数据安全风险研究报告》显示,2024年,全年全球公开报道的重大数据泄露事件共造成至少471.6亿条数据泄露,较2023年的103.8亿条增长354.3%。
“一些平台和企业信息数据保护、技术防护能力不足,使得不法分子通过木马病毒、钓鱼网站、网络爬虫等技术盗取公民个人信息。”上述从业人员表示,随着网络相关技术发展,盗取信息的手段也在进步,海量数据的汇集也会放大泄露后果,“各类机构或平台在获取用户数据后,往往会和相关合作机构共享,在数据共享过程中,如果部分机构未完全遵守网络安全协议,就会导致大量数据泄露”。
近年来,用户数据泄露事件屡屡发生,记者在人民法院案例库中查询发现,至少有41起关于涉及公民个人信息的案件,其中至少7起涉及非法控制计算机系统或非法获取计算机信息系统数据。上述公安部公布的相关典型案例中,也包含多起盗取个人信息案件。
2020年12月以来,以韩某珠、何某航为首的犯罪团伙利用黑客手段非法获取多款停车小程序中的停车数据,并通过安装定位设备方式,为他人提供车辆定位服务并牟利。2024年6月,江苏省徐州市公安机关依法抓获犯罪嫌疑人59名,查扣定位设备33套。
2022年12月以来,以刘某为首的犯罪团伙制作木马程序,组织人员入职目标教培机构,定向投放木马程序非法控制教培机构内部计算机,窃取客户资料等个人信息。2024年9月,北京市海淀区公安机关依法抓获犯罪嫌疑人8名,指导17家受害企业清除木马程序。
“技术滥用让个人信息泄露的风险加大,技术本身没有善恶,但技术工具的确大大降低了不法分子的门槛,提高了不法分子获取个人关键信息,甚至实施诈骗的效率。”工信部信息通信经济专家委员会委员盘和林表示。
而“内鬼”倒卖,也成为用户数据之所以能泄露出去的另一大途径。
3月14日,“程序员盗四川各地学生信息挂外网售卖”的话题冲上微博热搜,犯罪嫌疑人彭某利用维护学生信息平台职务之便,非法窃取多地学生信息70余万条。费某某等人将搜集购买的中小学学生信息,进行整理、分类、测试,并通过邮寄、见面交易等多种方式,以40余万元价格先后将学生信息贩卖给其余“个人信息中间商”23人。
此后,这些“中间商”又将购买的学生信息向陕西、云南、广东等17省市培训机构、招生机构非法出售,涉案金额高达400余万元。
而在公安部公布的上述38起侵犯公民个人信息犯罪的典型案例中,通过勾结快递、教育、法律服务、保险、家政、借贷、房地产等多个行业从业人员,非法获取公民个人信息的就有14起。
“个人信息超范围收集与泄露在技术层面存在着多方面的原因,这些原因导致了个人信息保护与利用之间在技术上的张力。”3月15日,中国网络空间安全协会、中国消费者协会、新华网联合发布的《个人信息超范围收集与泄露问题分析研究报告》指出,在数据收集、存储、使用等各个环节,都存在着技术规范不完善、技术漏洞、不规范操作等问题,这些问题不仅影响了个人信息的安全性和隐私性,也阻碍了个人信息的合理利用和数字经济的健康发展。
责编:肖莎