你一定經(jīng)常接到這樣的推銷(xiāo)電話(huà)或者詐騙短信，對方不僅能叫出你的名字，還知道你的住址、工作，甚至知道你最近準備買(mǎi)房、上了醫院、去過(guò)哪里旅游……一種“信息裸奔”的尷尬時(shí)不時(shí)向你襲來(lái)，讓你驚悸莫名、氣急敗壞而又無(wú)可奈何。

誰(shuí)偷走了我們的信息?誰(shuí)又在轉賣(mài)和利用我們的信息?半月談?dòng)浾咄ㄟ^(guò)深入采訪(fǎng)，為你揭開(kāi)這一條長(cháng)長(cháng)的黑色產(chǎn)業(yè)鏈。

一次售賣(mài)，動(dòng)輒數千萬(wàn)條

“本人大量求購個(gè)人理財信息，數量上不封頂，越多越好!”2016年5月，安徽馬鞍山市一個(gè)名為“outman”的網(wǎng)民在多個(gè)QQ群里大肆求購公民個(gè)人信息，特別是馬鞍山本地公民資料，內容涉及銀行、保險、理財等方面。

很快一個(gè)名叫“云”的網(wǎng)民與“outman”聯(lián)系上，通過(guò)一番網(wǎng)上溝通，便傳給“outman”一個(gè)文件夾，里面竟存放著(zhù)10000條馬鞍山市民的投資理財類(lèi)個(gè)人信息。

萬(wàn)條公民個(gè)人信息，何以就這樣輕易在網(wǎng)上被陌生人交易?安徽馬鞍山市含山縣警方發(fā)現這一異常后，迅速展開(kāi)偵查，很快鎖定了買(mǎi)家和賣(mài)家，并由此順藤摸瓜，一個(gè)環(huán)環(huán)相扣的公民信息販賣(mài)網(wǎng)絡(luò )浮出水面。

原來(lái)“outman”是馬鞍山一家理財公司的員工，公司老板要求找路子獲取馬鞍山市特定人群資料，方便其拉客戶(hù)。而“云”是一家國企員工，也是個(gè)人信息販賣(mài)的中間商，他的數據來(lái)源于名為“專(zhuān)業(yè)電銷(xiāo)”的網(wǎng)民。而“專(zhuān)業(yè)電銷(xiāo)”的信息則來(lái)自一個(gè)叫伍某的專(zhuān)業(yè)信息批發(fā)商。

從買(mǎi)家“outman”到中間商“云”和“專(zhuān)業(yè)電銷(xiāo)”再到批發(fā)商伍某，一條信息販賣(mài)的三級利益鏈浮出水面。警方查明，這個(gè)犯罪鏈條共計瘋狂買(mǎi)賣(mài)公民個(gè)人信息達1.25億條。其中伍某從800元購買(mǎi)10000條公民個(gè)人信息起家，僅用一年時(shí)間，就通過(guò)非法交換、轉賣(mài)等方式建立起自己的專(zhuān)業(yè)數據買(mǎi)賣(mài)網(wǎng)站和數據庫，售賣(mài)信息動(dòng)輒一次就數千萬(wàn)條。

這不過(guò)是販賣(mài)公民個(gè)人信息的冰山一角。如果說(shuō)含山案只暴露出信息批發(fā)商的環(huán)節，那么此后不久，公安部和安徽蚌埠警方披露了一起近50億條公民信息盜販案，則揭開(kāi)了信息販賣(mài)利益鏈最頂端的蓋子。

公安部門(mén)偵查發(fā)現，黑客鄭某某與何某某，通過(guò)應聘方式潛入互聯(lián)網(wǎng)公司核心部門(mén)，或利用入侵國內外知名互聯(lián)網(wǎng)公司服務(wù)器等手段，大肆竊取公民個(gè)人信息等核心數據，相互交換、出售獲利。

負責偵辦此案的蚌埠市公安局刑警支隊支隊長(cháng)楊慶介紹，此案由公安部督導，安徽省公安廳指揮，涉案地區達全國14個(gè)省市，抓獲涉案人員79人，繳獲電子數據1.4Tb，獲取數據近50億條。“黑客是盜取大量個(gè)人信息的重要源頭。這些被泄露的公民個(gè)人信息涉及國內知名的上市互聯(lián)網(wǎng)公司，數據巨大，涉及面廣，堪稱(chēng)震驚互聯(lián)網(wǎng)信息安全的行業(yè)大事件。”

專(zhuān)業(yè)化、社群化的產(chǎn)業(yè)鏈條

半月談?dòng)浾卟稍L(fǎng)發(fā)現，犯罪團伙中，有人專(zhuān)門(mén)負責竊取公民的相關(guān)信息;有人通過(guò)技術(shù)手段對這些信息整理、建庫;有人將數據出售、交換、變現。

含山縣警方繪制的一張侵犯公民個(gè)人信息犯罪圖顯示，信息侵犯共分四級，第一級是黑客或內鬼盜取公民個(gè)人信息;第二級是信息批發(fā)商，他們從黑客手中獲取大量信息，并通過(guò)互相交換，像滾雪球一樣不斷增加自己的信息數據庫;第三級是信息購買(mǎi)人或者中間商，他們從批發(fā)商那里購買(mǎi)各種數據，再根據需要轉手賣(mài)給他人;第四級是信息使用者，包括業(yè)務(wù)推銷(xiāo)、詐騙盜竊等人員，他們拿到信息后，進(jìn)行電話(huà)營(yíng)銷(xiāo)，或者利用偽基站實(shí)施電信詐騙。

一位涉案黑客翁某告訴半月談?dòng)浾?，通過(guò)技術(shù)入侵網(wǎng)站盜取公民個(gè)人信息對他這樣的黑客來(lái)說(shuō)并不難，少則幾天多則幾月，一般都會(huì )成功。至今他已經(jīng)入侵網(wǎng)站達幾百家，從未被管理員發(fā)現。在他們黑客圈子里，大家有個(gè)默契，入侵網(wǎng)站獲取權限和信息后，都會(huì )互相交換數據、互通有無(wú)，讓盜取的公民個(gè)人信息庫越來(lái)越大。

涉案的另一名黑客鄭某說(shuō)，大家最開(kāi)始入侵網(wǎng)站是為了攀比技術(shù)，盜取信息后有的甚至放到網(wǎng)上免費供人下載。漸漸隨著(zhù)需求的增加、利益的驅使，開(kāi)始有人專(zhuān)門(mén)為了錢(qián)而去盜取信息。

據了解，大量個(gè)人信息被黑客盜取和賣(mài)給批發(fā)商后，一般要進(jìn)行三步操作。

一是撞庫，即黑客或信息批發(fā)商用手中掌握的A網(wǎng)站的用戶(hù)信息去登錄B網(wǎng)站C網(wǎng)站等，一旦用戶(hù)是多個(gè)賬號共用一個(gè)密碼，那么個(gè)人網(wǎng)上信息便會(huì )如多米諾骨牌一樣被瞬間破解;二是洗庫，在撞庫后，黑客或信息批發(fā)商就會(huì )對獲得的大量信息進(jìn)行合并梳理歸類(lèi)，比如分理財、醫療、公務(wù)員、車(chē)險等多個(gè)種類(lèi)，為下一步售賣(mài)做準備;三是脫庫，即售賣(mài)數據或從中拿出部分數據進(jìn)行精準推送。

采訪(fǎng)中，半月談?dòng)浾吡私獾?，這些侵犯公民信息安全的黑客和販賣(mài)者，往往都是線(xiàn)下有正規的工作，線(xiàn)上通過(guò)QQ群組結識聚合成為網(wǎng)上好友，密切配合沆瀣一氣的。

用于精準推銷(xiāo)、精準詐騙

據悉，在侵犯個(gè)人信息案件中，涉及信息主要包括網(wǎng)購數據、車(chē)主數據、保險理財類(lèi)數據、學(xué)生公務(wù)員國企員工等特殊群體數據、醫療住宿出行數據等多種類(lèi)型。這些信息因出賣(mài)次數多少、包含內容多寡決定價(jià)格高低。如果是首次出賣(mài)，信息包含銀行卡號等含金量高的內容，可賣(mài)到一條信息一元的高價(jià)。多次轉賣(mài)，往往就以一兩百元一萬(wàn)條的價(jià)格打包出售。

大量個(gè)人信息被侵犯帶來(lái)了不堪其擾的推銷(xiāo)電話(huà)和短信，還有后果嚴重的電信詐騙。

含山縣公安局網(wǎng)安支隊副大隊長(cháng)王非介紹，被盜取的個(gè)人信息往往被分類(lèi)用于精準推銷(xiāo)、精準詐騙，比如公務(wù)員、教師、國企員工的信息往往被用來(lái)推銷(xiāo)大額信用卡;個(gè)人銀行卡類(lèi)信息，往往被用來(lái)推銷(xiāo)理財產(chǎn)品，或者用于復制銀行卡盜竊資金;學(xué)生信息，則用來(lái)推銷(xiāo)教材和家教信息，或以中、高考加分為借口進(jìn)行詐騙;收藏品、保健品用戶(hù)信息，車(chē)主信息則用來(lái)推銷(xiāo)相應的商品或進(jìn)行專(zhuān)門(mén)詐騙。

防止“信息裸奔”，不能僅靠自己小心

面對信息泄露，公眾往往被提醒要自己小心，提高警惕，保護好自己的信息。這當然是一個(gè)重要方面。然而，在互聯(lián)網(wǎng)高速發(fā)展的大背景下，除非離網(wǎng)生活，否則僅靠公民個(gè)人自我保護，很難保證信息安全。

采訪(fǎng)中一位采訪(fǎng)對象說(shuō)，他曾在房產(chǎn)公司、保險公司工作過(guò)，對于客戶(hù)信息，公司雖有要求不能泄露，但實(shí)際沒(méi)有有效的監管措施。

目前一些網(wǎng)站本身的安全防護水平不高，甚至黑客入侵網(wǎng)站拿走數據后，有的網(wǎng)站仍渾然不覺(jué)。

顯然，保障信息安全，需要各方共同發(fā)力。然而目前來(lái)看，防控信息泄露、打擊信息犯罪還存在諸多難點(diǎn)。

首先，對侵犯公民個(gè)人信息的定罪標準仍不明確。信息的敏感程度、數量、獲取手段、損害后果等都應當是罪刑考量的要素，而現行法律對此還未作出清晰規定，導致對犯罪人員的打擊處理缺乏有力法律支撐，沒(méi)有形成應有的震懾。

其次，機關(guān)、企事業(yè)單位個(gè)人數據保護責任尚未落實(shí)。很多單位沒(méi)有建立完善的信息系統安全管理制度;對于收集到的個(gè)人信息沒(méi)有及時(shí)進(jìn)行匿名或化名處理;一些信息存儲平臺的日常防護能力不足。另外，目前處理的販賣(mài)個(gè)人信息案件中，往往只追究了“內部人員”的法律責任，對相關(guān)單位及其領(lǐng)導的責任很少追究。

第三，公安部門(mén)反映，侵犯公民個(gè)人信息犯罪往往通過(guò)網(wǎng)絡(luò )，涉及全國各地，信息種類(lèi)龐雜，造成犯罪分子追蹤難、信息溯源難，對公安內部的多警協(xié)作要求日益增多，對各部門(mén)的協(xié)調配合要求也日益增多，這些都給案件偵辦提出了新挑戰。

然而不管怎樣，嚴厲打擊信息犯罪，已是人民群眾的共同心聲。面對新形勢，必須加強上下游違法犯罪形態(tài)研究，建立起從源頭到渠道、從平臺到行業(yè)、從企事業(yè)單位到管理部門(mén)的綜合防控體系，推進(jìn)法律適用和落實(shí)執行等配套機制，切實(shí)提升犯罪成本，切實(shí)保障公民信息安全。