但是,社科院法学所研究员周汉华说,《刑法》和《侵权责任法》都属于事后救济,在网络时代要对网络安全以及个人信息进行全流程的监管才更为有效。
个人信息安全法未入立法程序
《个人信息安全法》并非从未尝试破冰。
工业和信息化部副部长杨学山回忆,2003年的4月,国务院信息化办公室专门对个人信息立法研究课题进行部署,2005年《个人信息保护法》专家意见稿已经提交。不过这项立法建议一直未能进入正式的立法程序。
参与此次专家意见稿的梅绍祖说,当时文本已从国务院信息化办公室上报到国务院法制办,此次未能进入正式立法程序的原因很复杂,主要是“从紧迫性上讲还没太关注这个问题”。
梅绍祖承认,凡事总有轻重缓急,有关部门会综合考虑,但考虑到目前我国发生的个人信息泄露和被盗、个人隐私侵犯以及个人信息交易的事件愈演愈烈的现实,再发展下去可能会影响到整个社会经济活动,“我觉得紧迫性早就有了,可能各个层面感觉不一样,有人觉得没那么紧迫”。
工信部副部长杨学山力主加快立法。
他说,个人信息保护实行面广,一定要从法的角度规范,才能使这项工作在法律上有依据。
“这几年我们和大家一起在个人信息立法尽快进入正式程序正在努力。”杨学山说,在大家的努力下,“尤其是在今天个人信息保护已经成为社会迫切的问题,立法的进程就会加快”。
一万个账号50元 可免费试用
接到莫名其妙的推销电话,邮箱、甚至网银密码被盗……到底是谁出卖了我们的信息?我们的个人信息通过什么渠道扩散的?在互联网日益发达的今天,我们时不时产生这样的疑问。其实在一个特殊的群体看来,个人信息的买卖早已是家常便饭。有人编程、有人攻击网站盗取个人信息,有人网上叫卖,有人从中进行倒卖。成千上万的个人信息就这样无声地流动着,并为这些人带来滚滚财富。这个特殊的群体中间既有黑客,也有专门的公司从事这项业务。近日,记者接近了这个特殊的群体,了解个人信息交易背后的一些真相。
1 黑客
分工合作按约定分成
“拖库”,是指从数据库导出数据,这个名词以前只是在程序员中间被熟知,但在去年CSDN用户数据泄露事件以后,“拖库”作为威胁互联网安全的最大隐患,也为普通网友所熟知。
360公司网络工程师小雷告诉记者,有能力通过攻击服务器“拖库”的“黑客”,分“黑帽”和“白帽”,黑帽就是利用网络漏洞制作攻击病毒获利的这部分人。“他们一般不直接露面,也不直接攻击网站,主要是卖技术。”一位网名为Ferry的知情人士告诉记者,现在网络黑客基本是通过拖库、挂黑链(简单地说,就是在被黑网站上链接自己指定的网站)赚钱。他们平时主要聚集在论坛,通过网络进行交易。
Ferry告诉记者,因为有利可图才会有人干这行。卖力的“黑帽”,一个月就靠卖“黑链”、卖恶意代码,多的可以获利十几万,赚上万元则是很普遍的。
圈子内把黑客不法获利的组织结构比喻成海星状。Ferry说,这些交易往往见不得光,交易隐蔽性非常强。有的“黑帽”采取团队合作。他们从网上论坛建立联系,分工合作,获利后按照约定分成。越高级的技术人员分得越多。“一个团队可能来自全国各地,也可能从境外潜入,一般的网站很难防御。”
而这些人之间的合作,基本上用的是虚拟的身份,有一套固定的交易模式,一般人无法渗透其中,也难以掌握这些合作者的真实身份。“也许干完一次,就转服务器换IP,这也是网络安全部门执法中常遇到的困难。”
2 脚本小子
用别人的病毒攻击网站
360公司网络工程师小雷说,对于大型有组织的攻击,一个人无法完成,需要大规模的合作。拖库、扫描漏洞、交易数据库等等,他们分工明确。其中人数最多的一类被称作“脚本小子”,他们并不真正掌握编写病毒技术,主要用别人编好的工具去攻击网站。掌握这些手法很容易,在很短的时间里上网拜师或者从地下论坛购买工具就能操作。 若以具体比例估计,每1000名黑客对应的脚本小子会超过10万人。
据网络工程师小张介绍,在对一个网站攻击前,需要通过扫描了解这个网站安装了什么软件、有什么“后门”、安全性如何。这个步骤大部分就是“脚本小子”来做。常用的工具是一种漏洞扫描器,扫哪个网站有漏洞,可以去攻击它,获取用户个人信息数据。
不过,哼哼(用户名)不希望别人叫他脚本小子,他说,在圈子里这个称呼似乎带有技术歧视性。“我就是黑客,你们的电脑只要我有兴趣就能进去。”今年26岁的他,大学毕业以后,有了正规工作,但每月的收入却不能维持他的生活追求。“我第一次收别人钱是挂黑链。”哼哼还记得,一家卖性药的网站需要提升权重,他开价1000元,后来860元成交。
3 销售
1万个账号可卖50元
哼哼们的电脑连接着的另一端就是庞大的网络信息消费群体。
小雷举例说,按照保守估计,CSDN泄露的600万用户信息,若其中10%有效,那么就有60万网络用户信息被黑客掌握。获取这些信息以后,可以直接侵入别人账号、邮箱获取有用的信息,也可以在网上打包销售。购买者主要会用于网络推销、电信垃圾广告、电商垃圾邮件。
“有客户需要利用微博来刷广告,那么就有人针对微博编写一个程序,只要把数据库套入就能自动批量试。”小张一脸轻松地说,测试成功的就添加成新的库在网上转卖。“其实这个很简单,几乎是零成本。”据一些网络高手曾经测试的结果看,CSDN泄露出来的密码成功登录同一用户的另一个账号,成功概率高达20%。
交易也非常简单,在网络上有专门的地下黑客论坛或者通过网络聊天交易。小张曾经在网站上看到一则消息,有人拿到了300万的数据库销售。他试着与这个黑客取得联系,“1万个账号50元,对方为了让你相信,还会先给你10个免费测试是否好用。”
这种形式贩卖网络用户信息,获利非常大。小张说,别小看这几十块钱的1万个信息,掌握这样库的黑客,手里都有上百万的用户信息,可以多次销售给不同的人。
4 产业
银行商场有人也卖信息
今年27岁的王旭,在沈阳有过一段“话务营销”经历。“话务营销”是业内术语,现在有了更时髦叫法:信息咨询营销。说白了就是买卖个人信息。从网络等途径买到的个人信息,在他们手中成为倒卖的商品。
2005年,他加入了沈阳市一个小型的“话务营销”公司,他主要工作是与“客户”接头交易。他们卖的信息有很多类,既有业主信息、车主信息,甚至还有一些大企业或是政府工作人员的信息。“普通业主信息、车主信息是一般货,卖不了多少钱。如果有某一个行业的管理人员信息、政府人员的信息,这就是‘牛货’,能卖大价。”
王旭所指的“大价”指的是3000元甚至更高,一般信息100到800元不等。
“话务公司”的信息是从哪里来的呢?王旭说,一般“话务公司”在各行业或者企业内部有自己的“线人”。“像银行、商场、4S店,这些企业有很多个人信息。公司会给这些线人钱,让他们透露一些出来。”对于具体的价格,王旭并不清楚,但在他的印象中,应该至少有五位数。
另一个获得信息的渠道是从同行处购买或者交换。“现在的这些公司叫信息咨询公司。这些公司在网络上互相买卖交换各地的个人信息。”由于现在做这个行当的公司很多,信息的价格骤降,10万条信息也就几百块。不过,这个买卖的渠道行内人并不十分看好,因为不能保证“质量”,很多都是假的或者是过时的。王旭回忆,2008年,他所在的公司大多数的收入来自网络销售,部分是线下销售,一家14个人公司,最高的一个月纯利润达到40多万元。“因为现在查的很紧,生意没以前那么好做了。”
从3月中旬至月底,记者试图以买主的身份联系几家北京和外地的信息咨询公司,但是得到的回答都是“风声紧”、“过一段时间再说”的回复
想认识全国各地的创业者、创业专家,快来加入“中国创业圈”
|
