网购订单有13种泄露可能，有的一手信息每条卖7元

追踪电信诈骗黑色链条（经济聚焦）

翟桂溪绘（新华社发）

　　近日，多地电信诈骗事件引发广泛关注。记者调查发现，电信诈骗之所以容易得手，首先是通过高校、政府平台以及商业活动中的各个环节，大量个人信息被肆意买卖，另一方面是虚假的来电显示号码具有极强的欺骗性。

　　业内专家称，目前的网络侦查技术已经足够应对个人信息泄露、电信诈骗等案件。工信部相关负责人表示，将对虚假诈骗电话进行重点源头整治，要求电信企业确保主叫号码的合法性和真实性，及时中止和阻断不法信息的传播。

　　高校信息泄露严重，企业泄露的个人信息与个人资产结合最紧密

　　在不少业内人士看来，互联网技术发展至今，个人信息特别是身份证号、住址、电话等基础信息，在流动过程中的多个环节均有泄露。“我们也许早就成了信息‘透明人’。”一位网络安全专家说。

　　“个人信息泄露严重的当属高校。”猎豹移动安全专家李铁军说，有些部门和单位自身又因数据管理意识薄弱或数据库安全防范较弱，很容易泄露信息。一旦黑客发现一个漏洞，便可以利用这个漏洞攻击所有同类型网站，造成大面积信息泄露。

　　因管理人员意识薄弱引起的泄露，在大学表现得特别突出。其中，QQ群可以说是最没有技术含量但“有效”的渠道。记者通过QQ聊天软件输入“艺术”等院系简称，未受到任何阻拦，便直接加入一个名为“12级艺术设计”的QQ群，从群内信息看，该群属于烟台大学。

　　记者在群内找到3份直接标明“名单”的文档，在“建筑特困和助学贷款毕业生名单”中，姓名、毕业院校、身份证号、手机号、贷款金额等详细信息暴露无遗。另一份毕业生还款确认名单中，还能找到同一个人的还款金额、疑似还款日期等。

　　企业泄露的个人信息也不可小觑，这些数据与个人资产结合得更紧密。如京东、淘宝等购物平台掌握客户网购订单，中航信等公司掌握航班机票信息，各种手机理财APP拥有个人金融账号等。哪怕只有一条信息被诈骗分子利用成功，都会造成财产损失。

　　深圳前海征信公司信息安全总监戴鹏飞曾梳理网购订单的4大环节，发现有13种信息泄露的可能，包括商家环节的内部倒卖、病毒攻击、信息被监听，用户环节的账号被盗，物流环节的内鬼倒卖，电商平台环节的内部倒卖、系统漏洞等。

　　记者8月20日在百度贴吧中搜索数据相关的贴吧，发现不少疑似交易个人信息的帖子。记者随后在“数据资源”吧中随意加了两个QQ号码，对方均表示，可以交易网购订单等各种数据。记者从一个卖家手中获取了300个一周前的订单后，确认是真实发生过的网购订单。

　　以“对诈骗是否有帮助”为定价标准，百元以下的生意不屑做

　　“泄露的个人信息大多用于诈骗。”李铁军说，黑客或内鬼拿到最新数据后，会通过QQ群、论坛等途径倒卖给使用者，或经过掮客注水加工后，倒卖给下游的诈骗者或其他使用者，已经形成了“黑产业链”。

　　记者向数据倒卖者询价发现，个人信息会以“对诈骗是否有帮助”为标准定价：一手的、隔夜的京东网购订单数据可卖到每条7元以上，但10天后只能卖每条3角钱，“时间久了，货都到客户手里了，就没法行骗了”。

　　“个人身份证、住址等基础信息最不值钱，有时打包出售的几千万条身份信息，平均一条只需几厘钱。”李铁军说，这些基础信息可以从不同渠道获得，泄露得多，被转卖得也多，很多基础的信息甚至可以在网上搜索到并打包下载。

　　数据掮客还可以反复倒卖个人信息，或注水加工再次出售。据记者了解，1000元买入的批量账户数据，只需倒卖两次，就可以收回成本；不同时间段的老数据注入最新数据列表，便可实现更高回报；不同类型的数据拼在一起，也可以实现更高的价值。

　　记者采访发现，低于百元的生意，数据倒卖者是不屑做的，“还不够麻烦的”。

　　侦查技术足以应对诈骗案，关键是多地多部门协作

　　调查数据显示，仅今年二季度，猎网平台就接到来自全国各地的网络诈骗举报5509起，涉案总金额高达4524.8万元，人均损失8213元。

　　记者调查发现，大量个人信息被售卖后用于诈骗，受害者损失在百万元、千万元的不在少数，如中国裁判文书网今年3月披露的一宗电信诈骗案中，受害者损失达3800万元。

　　工信部信息中心工经所所长于佳宁认为，应尽快出台个人信息保护相关法律，明确个人隐私数据的边界，明确数据存储、处理、查询、使用的规则，明确数据保护的主体责任，明确数据泄露和滥用的处罚方式等。

　　业内人士认为，对于电信诈骗中最常见的虚假来电显示号码应加强监管。据了解，目前，篡改来电显示或虚假电话号码产生的渠道主要包括：一是电信企业开展的语音专线业务对主叫号码未经核验，给不法分子篡改电话号码提供了可乘之机；二是不法分子非法经营VIP电话并提供改号服务，可以随意设置来电显示号码；三是国际来电中的虚假主叫号码；四是通过伪基站发送短信息并随意设置虚假的发送号码。

　　工信部9月6日表示，将对虚假诈骗电话进行重点源头整治，要求电信企业确保主叫号码的合法性和真实性。同时面向全国手机用户提供国际来电的甄别和提示服务，以提高用户防范意识，降低受骗上当的几率。依法加大对利用伪基站等开展电信诈骗等违法犯罪活动的惩戒力度。

　　业内人士认为，防范电信诈骗需要公安、金融、电信、司法等多部门参与，统筹协作，从强化个人信息保护、推进电信卡、银行卡实名管理、规范身份证件使用管理，提升个人防范意识和公安机关侦破能力等方面建立长效机制。

　　“目前的网络侦查技术已经足够应对个人信息泄露、电信诈骗等案件，关键是要多部门、多区域联动。”李铁军说。徐玉玉案中，犯罪嫌疑人在福建，受害者在山东，但经多地、多部门协作，从立案到抓捕犯罪嫌疑人归案，仅用了数天时间。

　　（据新华社北京9月7日电 记者许晟、高亢、邵琨、朱基钗、刘硕）

　　《 人民日报 》（ 2016年09月08日 10 版）

电信诈骗频发，根在网上个人信息保护乏力

信息泄露  谁该挨“板子”

许一凡  张  璁

8月19日，山东临沂“准大学生”徐玉玉被“教育局工作人员”电话骗走9900元，不久后心脏骤停，经医院抢救无效不幸去世。

8月23日，山东临沐县大二学生宋振宁也在遭遇诈骗之后心脏骤停，不幸离世。

8月24日，大二学生小文（化名）被“航空公司客服”以发放改签补偿为由，骗走6100元学杂费。

表面上看，悲剧的矛头直指“电信诈骗”，但究其根源，是受害者的个人信息早已遭泄露。

《中国网民权益保护调查报告（2015）》显示，63.4%的网民通话记录、网上购物记录等活动信息遭泄露；78.2%的网民个人身份信息曾被泄露，包括姓名、家庭住址、身份证号及工作单位等。

究竟谁在贩卖个人信息，个人信息保护为何停滞不前，“板子”该打谁？这些问题值得深究。

泄露源头多  暗结“利益链”

互联网方便了人们的日常生活，但同样增加了信息泄露的风险。

由于互联网的开放性、共享性，网络侵害的后果更不可控。仅在2015年，就有多个数据库被曝存在严重漏洞，用户的个人信息面临威胁。知名快递公司、知名门户网站纷纷“上榜”。甚至有媒体曝光超30个省市的卫生和社保系统有大量高危漏洞，数千万用户的社保信息面临泄露的风险。

《第38次中国互联网络发展状况统计报告》显示，截至2016年6月，中国网民规模达7.10亿，互联网普及率51.7%，手机网民占比92.5%。庞大的网民基数带来海量的信息，随着网站对于注册用户的需求上升，大量用户信息被保存至网站服务器当中。不法分子便借机通过信息购买、数据盗取等形式获取用户个人信息。

近日，不少网友反映，自己在某票务网站的账号信息被盗，导致被冒充“客服”的行骗者骗走大量现金，行骗者准确地报出了受骗用户的姓名、电话号、身份证号。有受骗者表示，自己虽然平时有戒备心，但遇到这种情况还是难以辨别。

据公安部门介绍，不法分子非法获取的公民个人信息种类多样，已经从简单的身份信息、家庭地址等，扩展到手机通讯录、银行账号和密码、出行记录等，任何主体均可能成为个人信息侵权行为的受害者。同时，泄露源头多样，信息盗取技术不断增强，已经形成了“源头—中间商—非法使用人员”的利益链条和黑色产业。

2016年1月，重庆市公安局巴南区分局曾破获一起贩卖公民个人信息案件，抓获犯罪嫌疑人53名。案件涉及信息巨大，包括中小学生及家长信息、重庆各大楼盘业主信息、车主信息、银行客户信息等，各类公民个人信息数千万条，存储量达61.9G。

“问题的根源在于巨大的利益驱动。当前，围绕个人信息的窃取、贩卖以及在此基础上的电信诈骗和电话营销的庞大产业链已经形成。”上海社会科学院信息研究所信息安全研究中心主任惠志斌说。

遗憾的是，多数网民的信息保护意识不强。《我国公众网络安全意识调查报告（2015）》指出，81.64%的网民不注意定期更换密码，80%网民不考虑安全性随意连接WiFi。而在注册不熟悉的网站或下载软件需签署用户信息保护和责任条款时，仅有14.87%的网民会仔细阅读个人信息保护相关内容。

法律出台难  维权成本高

“就个人而言，需要提升信息安全的基本意识和技能，最直接的方式就是要通过用户协议了解平台收集个人信息的合理范围和法律责任。”惠志斌说。

随着近年来由信息泄露导致的诈骗案件频现，个人信息保护不断成为社会关注的焦点。2012年12月，全国人大常委会颁布《关于加强网络信息保护的决定》，将公民个人电子信息保护纳入法律层面；2013年7月，工信部制定出台《电信和互联网用户个人信息保护规定》；去年底开始施行的《中华人民共和国刑法修正案（九）》中也专门新设了“侵犯公民个人信息罪”，对于犯罪嫌疑人的判罚最高可达7年有期徒刑。这些法律法规的制定对于公民个人信息保护起到了一定的积极作用。

“我国目前已经对受保护的个人信息范围作出了具体界定，即‘可识别’身份的个人信息。而不可识别的个人信息则属于大数据范畴。”中国政法大学传播法研究中心副主任朱巍说。

北京安理律师事务所高级合伙人王新锐认为，我国没有专门的《个人信息保护法》，涉及个人信息的相关法律规定较为分散，信息采集、使用缺乏统一规范。普通消费者很难对个人信息保护法律制度有系统的了解，导致个人维权难度加大，维权成本增加。保护公民信息安全，需要统筹协调运营商、服务商、工信、司法等部门在监管体系中的角色，分清责任归属，使法律执行、问责及时、有效。

北京市网信办网络技术安全处处长张越今表示，随着互联网产品的丰富，必须考虑各种不同形态产品的法律共性问题，特别是对于信息安全保护方面的管理规则。网信办下一步将探索运用市场的资源和技术的力量，加大对违法问题的发现力和制约力。

《 人民日报 》（ 2016年09月08日 14 版）