網(wǎng)易郵箱賬號(hào)遭公開叫賣，個(gè)人信息“裸奔”到何時(shí)？

一只“黑手”正悄悄伸向湖北宜昌人李慧勤。

一年前，她在“天天征婚網(wǎng)”注冊(cè)信息被人公開叫賣，讓她飽受騷擾電話困擾。人民網(wǎng)創(chuàng)投頻道調(diào)查時(shí)發(fā)現(xiàn)在賣家發(fā)來(lái)數(shù)十條驗(yàn)證信息中，包含注冊(cè)名、手機(jī)號(hào)碼、微信號(hào)和ID。人民網(wǎng)創(chuàng)投頻道試圖添加多人微信，兩人通過(guò)驗(yàn)證后，證實(shí)外泄的信息屬實(shí)。“天天征婚網(wǎng)”回復(fù)稱，經(jīng)核查，數(shù)據(jù)是早期部分?jǐn)?shù)據(jù)。

互聯(lián)網(wǎng)市場(chǎng)快速生長(zhǎng)，信息外泄事件不時(shí)出現(xiàn)。

在某交流平臺(tái)，有人公開叫賣網(wǎng)易郵箱賬號(hào)，百萬(wàn)郵箱售價(jià)僅50元。賣家自稱可向這些郵箱發(fā)送營(yíng)銷信息，并展示了據(jù)說(shuō)包含有百萬(wàn)個(gè)郵箱賬號(hào)的文件。人民網(wǎng)創(chuàng)投頻道發(fā)送數(shù)百條郵件測(cè)試，反饋信息顯示，僅有6個(gè)郵箱發(fā)送失敗。網(wǎng)易郵箱內(nèi)部人士證實(shí)，如果沒(méi)有退回，證明網(wǎng)易郵箱賬號(hào)中心存在這個(gè)賬號(hào)，也就是說(shuō)賬號(hào)真實(shí)存在。

這是個(gè)暴利行業(yè)。賣家自稱曾一天賺過(guò)能買一臺(tái)iphone7的錢，且稱通過(guò)爬蟲軟件爬取郵箱并不犯法。但大成律師事務(wù)所高級(jí)合伙人張宏認(rèn)為，從賣家獲取數(shù)據(jù)方式來(lái)看，涉及抓取用戶數(shù)據(jù)和個(gè)人買賣信息，可以認(rèn)定這屬于法律明令禁止的范疇，且賣家行為涉嫌違法層級(jí)較高。

某知名互聯(lián)網(wǎng)安全技術(shù)工程師王怡表示，如今，信息交易黑市已經(jīng)出現(xiàn)數(shù)據(jù)定制服務(wù)和一條龍服務(wù)，信息外泄原因主要是平臺(tái)服務(wù)器安全措施等級(jí)低，很容易被黑客入侵；黑客通過(guò)軟件漏洞進(jìn)行攻擊；公司內(nèi)部人販賣用戶信息。

百萬(wàn)郵箱售價(jià)50元

市面上，個(gè)人信息的售價(jià)普遍很低。

賣家李娜自稱擁有海量網(wǎng)易郵箱用戶數(shù)據(jù)，量大且價(jià)低。一番討價(jià)還價(jià)，人民網(wǎng)創(chuàng)投頻道花費(fèi)50元，看到其販賣的100萬(wàn)條郵箱賬號(hào)信息。

對(duì)于為何只售賣網(wǎng)易郵箱，李娜毫不避諱地說(shuō)，客戶喜歡網(wǎng)易郵箱，用戶數(shù)量龐大，只要網(wǎng)易不倒閉，她就有生意。

自1997年成立起，網(wǎng)易郵箱已經(jīng)走過(guò)了22個(gè)年頭，旗下?lián)碛邪舜笙到y(tǒng)(163、126、yeah、vip163、vip126、188、專業(yè)企業(yè)郵箱、免費(fèi)企業(yè)郵箱)。截至2016年9月，網(wǎng)易郵箱用戶總數(shù)達(dá)8.9億，網(wǎng)易郵箱在中國(guó)市場(chǎng)占有率自2003年起至今，一直高居全國(guó)第一。

2019年2月份，某媒體記者問(wèn)丁磊，“如果以對(duì)社會(huì)的推動(dòng)為標(biāo)準(zhǔn)排名，你認(rèn)為網(wǎng)易產(chǎn)品中排名前三的是哪三款產(chǎn)品？”

丁磊說(shuō)，第一是網(wǎng)易郵箱，這個(gè)產(chǎn)品是1997年開始做的。網(wǎng)易堅(jiān)持做郵箱20年，促進(jìn)了互聯(lián)網(wǎng)用戶的通訊效率，特別是海外通訊。

眾所周知，丁磊最初靠的是郵箱、門戶網(wǎng)站業(yè)務(wù)等發(fā)展壯大，而后登陸美國(guó)納斯達(dá)克。

李娜也挖掘到網(wǎng)易郵箱的商機(jī)。她說(shuō)，幾年前，她主要銷售手機(jī)號(hào)碼，每條3分錢，后來(lái)發(fā)現(xiàn)網(wǎng)易郵箱商機(jī)，現(xiàn)在她將郵箱賣給不同商戶，每天都有資金入賬，盈利模式穩(wěn)定。“我賺的最多的時(shí)候，一天掙了買一臺(tái)iphone7的錢。”據(jù)多家電商平臺(tái)官方顯示，一臺(tái)iphone7售價(jià)在幾年前高達(dá)數(shù)千元。

隨后，李娜提供的截圖顯示，一名賣家花1000元，向她購(gòu)買500萬(wàn)條數(shù)據(jù)，已支付500元訂金，約定當(dāng)晚交貨。“只要你能付得起錢，我能提供足夠數(shù)據(jù)，能賣的數(shù)量能讓你‘傾家蕩產(chǎn)’。”

另一名賣家在某社交平臺(tái)公開叫賣“天天征婚網(wǎng)”用戶信息，他自稱手上有該網(wǎng)站七萬(wàn)人注冊(cè)用戶數(shù)據(jù)，售價(jià)1000元，并稱多名客戶要購(gòu)買，但具體用途并不知，“有人單獨(dú)要女性信息，也有人要男性信息。”

這名賣家表示，客戶事先給客戶提供“天天征婚網(wǎng)”的鏈接，他獲得后臺(tái)權(quán)限后，便能“竊取”用戶注冊(cè)信息，7萬(wàn)條注冊(cè)用戶數(shù)據(jù)，售價(jià)在2000元以上。

推銷詐騙？

倒賣數(shù)據(jù)的暴利，曾讓王怡心動(dòng)不已。

他說(shuō)，有段時(shí)間，他思考過(guò)是否參與數(shù)據(jù)盜取的生意，覺(jué)得太賺錢了。他認(rèn)識(shí)一些朋友，通過(guò)買賣數(shù)據(jù)，每年會(huì)有幾十萬(wàn)收入，而且只是利用工作外的額外時(shí)間。

王怡說(shuō)，個(gè)人信息外泄已經(jīng)涉及到衣食住行四大領(lǐng)域，包括開房記錄、名下資產(chǎn)、乘坐航班，網(wǎng)吧上網(wǎng)記錄。此外，手機(jī)實(shí)時(shí)定位、手機(jī)通話記錄，被當(dāng)作最為容易獲取的數(shù)據(jù)，從而進(jìn)行販賣，甚至每周7×24小時(shí)不間斷服務(wù)。“只要有人付錢，就可輕易被查到。”

王怡透露，這樣信息并不屬于昂貴的數(shù)據(jù)類型，即使是針對(duì)某個(gè)人，他獲取這些信息，也僅僅花費(fèi)不到千元。

王怡表示，如今，信息交易黑市已經(jīng)出現(xiàn)數(shù)據(jù)定制和一條龍服務(wù)，這說(shuō)明互聯(lián)網(wǎng)黑產(chǎn)對(duì)個(gè)人隱私的侵害行為越來(lái)越明顯。

這也說(shuō)明外泄的個(gè)人數(shù)據(jù)有市場(chǎng)需求。王怡看來(lái)，如今，數(shù)據(jù)處理技術(shù)已經(jīng)非常完善，僅用一臺(tái)電腦，就可以將看似雜亂的數(shù)據(jù)進(jìn)行深度分析，了解數(shù)據(jù)擁有者的具體收入，是否有房，是否單身，是否有私家車，喜歡什么顏色等，這為騙子創(chuàng)造了更多行騙的機(jī)會(huì)，因?yàn)橥ㄟ^(guò)定向推送進(jìn)行詐騙比通過(guò)垃圾廣告詐騙有效的多。

在柬埔寨從事中國(guó)地下博彩生意的張力認(rèn)為，在東南亞，超萬(wàn)家不同規(guī)模的博彩公司，他們就需要大量靠譜數(shù)據(jù)。經(jīng)過(guò)交流，博彩公司之間形成了信息的交換渠道，比如某家公司會(huì)用100個(gè)客戶的數(shù)據(jù)與另外一家公司的100個(gè)客戶數(shù)據(jù)進(jìn)行交換。“通過(guò)數(shù)據(jù)交換，大家可以對(duì)不同客戶實(shí)現(xiàn)開發(fā)利用。”

張力表示，在博彩行業(yè)，它帶有鮮明特點(diǎn)，不同人會(huì)參與多種類型的博彩活動(dòng)，因此某個(gè)客戶信息可以多次利用，他們會(huì)在不同博彩公司消費(fèi)。“一名優(yōu)質(zhì)‘客戶’的相關(guān)信息，售價(jià)在5000元左右。”

“你不要認(rèn)為價(jià)格高，如果一個(gè)數(shù)據(jù)敢賣這個(gè)價(jià)格，那就說(shuō)明它可以給買家創(chuàng)造數(shù)倍收益，這也讓大批人鋌而走險(xiǎn)。”

張力表示，他曾經(jīng)有個(gè)合作伙伴，對(duì)方手上掌握大量有效數(shù)據(jù)，這些數(shù)據(jù)能夠?yàn)槭袌?chǎng)擴(kuò)展提供強(qiáng)力保障，對(duì)方曾對(duì)他說(shuō)，這些數(shù)據(jù)是他在大公司工作的親戚提供的。

“市場(chǎng)上遇到類似的交易，這也是無(wú)法避免的。”張力說(shuō)，對(duì)于公司而言，它必須有相應(yīng)制度和管理規(guī)范預(yù)防信息數(shù)據(jù)泄露，但從實(shí)際情況看，諸多中小型公司只能滿足最基本的數(shù)據(jù)保護(hù)。

內(nèi)鬼操作？

但在張力看來(lái)，在不考慮黑客因素下，公司內(nèi)部人員數(shù)據(jù)泄露尤為普遍。

這種說(shuō)法也得到王怡贊同。他說(shuō)，類似金融產(chǎn)品明細(xì)、用戶賬戶等安全級(jí)別相對(duì)較低的信息，少部分信息可以通過(guò)爬蟲程序直接抓取。但從技術(shù)的角度看，大部分平臺(tái)是沒(méi)有辦法通過(guò)爬蟲軟件獲取用戶電話、賬戶和其他明細(xì)。

王怡稱，爬蟲軟件是模擬人的操作，直接登錄抓取頁(yè)面等常規(guī)操作。如果互聯(lián)網(wǎng)上沒(méi)有這些數(shù)據(jù)，那就需要從公司后臺(tái)數(shù)據(jù)庫(kù)直接抓取信息，這是沒(méi)法使用爬蟲程序的。

在王怡看來(lái)，通過(guò)爬蟲軟件就能夠獲得數(shù)據(jù)，說(shuō)明安全級(jí)別并不高，如果直接獲得安全級(jí)別高的數(shù)據(jù)，那就需要一定技術(shù)。

王怡表示，一般而言，獲取公司數(shù)據(jù)庫(kù)內(nèi)部數(shù)據(jù)有三種方法，這也是市面上最常使用的方式。一是對(duì)方平臺(tái)服務(wù)器的安全措施等級(jí)低，技術(shù)手段進(jìn)入對(duì)方系統(tǒng)，獲取操作權(quán)限。二是黑客通過(guò)滲透測(cè)試工具，通過(guò)軟件漏洞進(jìn)行攻擊。三是內(nèi)外勾結(jié)，公司內(nèi)部人進(jìn)行信息販賣。

實(shí)際上，這已不是網(wǎng)易郵箱出事。

對(duì)此，網(wǎng)易免費(fèi)郵箱當(dāng)時(shí)稱，用戶對(duì)信息安全的重視，網(wǎng)易感同身受，并一向注重對(duì)用戶隱私的保護(hù)。網(wǎng)易郵箱一天處理約2億封郵件，不存在任何個(gè)人參與窺探用戶隱私的可能性。網(wǎng)易現(xiàn)在和將來(lái)都不存在、也不會(huì)容忍收集用戶隱私用于商業(yè)目的的行為。同時(shí)，網(wǎng)易郵箱將對(duì)銷售部門進(jìn)行規(guī)范，避免因夸大宣傳，引起誤導(dǎo)。

華為資深工程師張合表示，如果網(wǎng)易出現(xiàn)郵箱賬號(hào)泄露，不管是否參與交易，網(wǎng)易都應(yīng)承擔(dān)責(zé)任，“保護(hù)用戶的數(shù)據(jù)隱私是平臺(tái)最起碼的責(zé)任。”

“網(wǎng)易應(yīng)該承擔(dān)責(zé)任。”張宏也說(shuō)，網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保其收集的個(gè)人信息安全，防止信息泄露、毀損、丟失。在發(fā)生或者可能發(fā)生個(gè)人信息泄露、毀損、丟失的時(shí)候，應(yīng)當(dāng)立即采取補(bǔ)救措施。但是，這次網(wǎng)易郵箱賬號(hào)泄露，尚未證實(shí)由網(wǎng)易內(nèi)部人士所為。

買賣數(shù)據(jù)不違法？

在賣家李娜看來(lái)，通過(guò)爬蟲技術(shù)獲取網(wǎng)易郵箱并進(jìn)行交易不違法，“爬蟲程序是我男朋友做的，爬取的是網(wǎng)絡(luò)上公開信息，不涉及違法行為。”

“爬取數(shù)據(jù)的合法性其實(shí)很窄，只有不妨害網(wǎng)站的正常運(yùn)行、嚴(yán)格遵守網(wǎng)站設(shè)置的robots協(xié)議，不強(qiáng)行突破網(wǎng)站的反爬措施，這才是真正合法的數(shù)據(jù)爬取行為。”張宏表示，從法律角度來(lái)看，雖然數(shù)據(jù)的爬取是從公開數(shù)據(jù)當(dāng)中進(jìn)行數(shù)據(jù)抽查，但如果使用不當(dāng)，也會(huì)突破法律的邊緣。

《網(wǎng)絡(luò)安全法》第四十二條規(guī)定，網(wǎng)絡(luò)運(yùn)營(yíng)者不得泄露、篡改、毀損其收集的個(gè)人信息；未經(jīng)被收集者同意，不得向他人提供個(gè)人信息。但是，經(jīng)過(guò)處理無(wú)法識(shí)別特定個(gè)人且不能復(fù)原的除外。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保其收集的個(gè)人信息安全，防止信息泄露、毀損、丟失。在發(fā)生或者可能發(fā)生個(gè)人信息泄露、毀損、丟失的時(shí)候，應(yīng)當(dāng)立即采取補(bǔ)救措施，按照規(guī)定及時(shí)告知用戶并向有關(guān)主管部門報(bào)告。

另外，《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》第十條規(guī)定，電信業(yè)務(wù)經(jīng)營(yíng)者、互聯(lián)網(wǎng)信息服務(wù)提供者及其工作人員對(duì)在提供服務(wù)過(guò)程中收集、使用的用戶個(gè)人信息應(yīng)當(dāng)嚴(yán)格保密，不得泄露、篡改或者毀損，不得出售或者非法向他人提供。

2017年6月1日，《“兩高”關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問(wèn)題的解釋》規(guī)定了較低的入刑門檻——該司法解釋將個(gè)人信息根據(jù)敏感度的高低分為三檔，非法出售的數(shù)量分別達(dá)到50條、500條、5000條，或違法所得達(dá)5000元以上即可定罪，如果是在履行職責(zé)、提供服務(wù)過(guò)程中“監(jiān)守自盜”的，標(biāo)準(zhǔn)減半。

“這說(shuō)明，所有的條件都必須是共同存在，才可以保證最終的合法性，但凡有一個(gè)條件違反了，就是違法行為。據(jù)我所知，大量程序員在從事數(shù)據(jù)的爬取過(guò)程中，或多或少都有違法的嫌疑。”張宏說(shuō)。

在張宏看來(lái)，企業(yè)若要實(shí)現(xiàn)數(shù)據(jù)合法獲取，必須滿足兩個(gè)條件。一是互聯(lián)網(wǎng)企業(yè)只能收集其提供服務(wù)所必需的個(gè)人信息，非必需信息一概不得收集；二是企業(yè)必須明示收集、使用的目的、方式和范圍，并征得用戶的同意，最常見(jiàn)的形式是平時(shí)注冊(cè)賬號(hào)前需要打勾的“隱私協(xié)議”。

如何保護(hù)數(shù)據(jù)隱私？

近年來(lái)，在互聯(lián)網(wǎng)市場(chǎng)快速成長(zhǎng)的背景下，個(gè)人信息保護(hù)不力的事件屢見(jiàn)不鮮。

3月27日，上海市消保委發(fā)布了針對(duì)39款網(wǎng)購(gòu)、旅游、生活類常用手機(jī)APP涉及個(gè)人信息權(quán)限的評(píng)測(cè)結(jié)果。結(jié)果顯示，25款A(yù)PP存在數(shù)據(jù)問(wèn)題，尤其關(guān)于“日歷”權(quán)限的過(guò)度申請(qǐng)和隨意授權(quán)更令人擔(dān)憂。

這也就是說(shuō)，這些APP申請(qǐng)了發(fā)送短信、錄音、撥打電話、讀取聯(lián)系人、監(jiān)控外撥電話、重新設(shè)置外撥電話的路徑、讀取通話記錄等敏感權(quán)限，卻未在應(yīng)用中進(jìn)行使用。

張合向人民網(wǎng)創(chuàng)投頻道表示，在市場(chǎng)中，侵權(quán)行為俯拾即是，有顯性的，也有隱性的。

所謂顯性，就是數(shù)據(jù)泄露已經(jīng)影響市民生活。商家通過(guò)電話、郵件等方式對(duì)市民狂轟濫炸發(fā)送廣告，甚至開展詐騙行為。

所謂的隱形數(shù)據(jù)泄露最簡(jiǎn)單也是最常見(jiàn)的表現(xiàn)形式是，當(dāng)你在搜索軟件進(jìn)行搜索的時(shí)候，關(guān)于你的數(shù)據(jù)已經(jīng)傳播至其他軟件公司，任何公司都能夠根據(jù)用戶需求，提供相應(yīng)產(chǎn)品，然后以機(jī)票、新聞、商戶等推薦形式展現(xiàn)。

“這是令人不寒而栗的。”張合說(shuō)，人的記憶并不可靠，每個(gè)人都對(duì)自己沒(méi)有絕對(duì)的理解，但是互聯(lián)網(wǎng)數(shù)據(jù)是固定的，互聯(lián)網(wǎng)會(huì)比你更了解你自己，如果不加以控制，任何人都沒(méi)有隱私。

在我國(guó)，隨著《網(wǎng)絡(luò)安全法》及《“兩高”關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問(wèn)題的解釋》等政策的實(shí)施，配合既有的法律、法規(guī)、規(guī)章，已形成刑事、行政、民事三位一體的法律保護(hù)體系。

張宏認(rèn)為，從懲戒力度上看，在我國(guó)侵犯隱私的行為入刑門檻低、刑罰重，但行政處罰力度不及歐盟，民事訴訟也較難取得大額賠償；相較之下，歐洲更為推崇行政監(jiān)管，美國(guó)則倚重民事救濟(jì)，體現(xiàn)了各國(guó)政府選擇治理手段上的不同側(cè)重。

(文中李慧勤、李娜、張合、王怡均為化名)