内鬼黑客狂卖个人信息“年产值”上千亿 人均至少被泄露4条(2)

　　个人信息通过内鬼、网络技术、黑客等渠道流入了数据黑市，并进入了大大小小的各层级代理“料商”手中。

　　个人信息明码标价

　　料商，即数据中间商，他们上通数据源头下达数据买家，是地下数据交易市场非常重要的一个角色。个人数据就是通过料商以不同价格在黑市流转。料商甚至还会发展自己的代理商，层级越高的料商数据源越多，数据信息更全。

　　前文提到的销售经理就是行业料商之一，他向记者表示，仅包含个人普通信息比如电话号码、微信、QQ号等，平均拿货成本价每条信息在4毛左右，卖出去的单条价格在7~8毛左右，每条个人信息约赚3~4毛左右。“我每个月销售数据流水大概在40万~50万元，金融、教育、医美等行业都做，这块需求量会比较大。”

　　记者在与多位料商接触采访过程中了解到，上述销售经理并非一级料商，一级料商的进货成本在0.15元/条左右，类似祝经理的二级料商进货成本为0.4元/条左右，三级料商进货成本0.7~0.8元/条，对终端售卖均价在1.2~1.5元/条。

　　上述不过是数据黑市交易中普通隐私数据价格。在数据黑市中，还有料商专门从事“渗透数据”交易，所谓的“渗透数据”就是所有信息都能够被抓取，除了电话号码、微信等基本信息以外，还包含用户的身份证号、出行记录、开房记录、通话记录、家庭成员、工作、婚姻状态、户籍所在地等。

　　有料商甚至在QQ群里直接将“渗透数据”明码标价，查询个人简易信息15元/条，包含姓名、性别、手机号；中级信息50元/条，除了简易信息外，还包含户籍地址、身份证号、照片；高级信息100元/条，在中级信息基础上还包含现住地址、开房记录、车辆信息；VIP客户600元/条。

　　“正常行情价仅通话记录，叫价在1500元左右，开房记录价格在2200~2500元左右，家庭成员信息在300元左右。”网名“风”的料商称。

　　据不完全统计，国内个人信息泄露数达55.3亿条左右。平均算下来，每个人就有4条相关的个人信息泄露，车辆、房产、地址、职业、年龄、电话号码、身份证信息等在黑市上频繁流动。

　　国内知名信息安全团队“雨袭团”去年10月发布报告称，在一年半的时间内，高达8.6亿条个人信息数据被明码标价售卖，个人数据基本处于裸奔状态。

　　灰色产业链庞大

　　“本人求购炒股理财信息，数量上不封顶，有料的找我！”一位买家在QQ群内发布了这样一则消息，很快就有多位料商通过私聊向其推荐手上的数据资源。

　　在经过沟通和比价之后，上述买家告诉记者，他已经从一位料商手中拿到了1万条理财的个人信息，包含了姓名、电话号码和微信，价格为1元/条。记者进一步追问拿到这些数据主要用途，该买家表示，仅仅是为了推销理财产品。

　　综合多方采访，购买个人信息最多的是那些需要推销广告、出售假冒发票和发布垃圾信息，以及从事网贷催收的人。其中房地产、理财公司、保险公司、母婴以及保健品行业、教育培训机构是对个人信息趋之若鹜的核心群体。

　　被盗取的个人信息也不乏用于诈骗。比如保健品用户信息主要针对老年人，专门用来诈骗。

　　记者在与买家接触中发现，他们大部分人都知道买卖数据交易属于黑产，但依然作此举动，一个重要原因在于通过正规渠道打广告，比如百度竞价排名，获客成本在60~80元/左右，而通过地下黑市买用户数据，成本能大幅缩减。

　　从信息收集到信息售卖再到信息利用，每一个交易环节环环相扣，而由此产生的“灰色产业链”让人难以估量。据猎聘网报告，目前中国网络黑产从业者已经超过40万人，依托其进行网络诈骗行业人数至少有160万人，“年产值”在1000亿元以上。

　　数据合规交易痛点

　　海量的个人信息地下市场规模多大，目前没有准确数字统计。但从公安机关的专项打击行动中，可窥一斑。

　　2020年全国公安机关深入推进“净网2020”专项行动，全年共侦办网络犯罪案件5.6万起，抓获犯罪嫌疑人8万余名。其中，侦办侵犯公民个人信息类案件6524起，抓获犯罪嫌疑人1.3万名。

　　但很显然，这并非黑市全貌。贵阳大数据交易所业务经理陈经理向记者表示，“目前通过正规渠道进行数据交易的不多，更多的数据可能还是在黑市交易。”

　　贵阳大数据交易所是国内首家大数据交易所，2015年4月正式挂牌运营，喊出了未来3~5年每天交易量达到100多亿元的口号。如今，交易所成立已经6年，陈经理向记者透露，目前交易所日成交量远远没有达到当时定下的目标。

　　大数据服务商聚立信CEO罗皓以及陈经理都同时提到，数据交易过程中产生的数据确权、数据回溯，交易过程中的安全性、合法性、隐私性保障等问题，迄今为止还没有得到很好的解决。尤其是数据确权，例如数据的采集、加工、采用、交易等环节可能有多个参与方，什么情况下什么类型的参与方可以获得数据的权利，在实践中尚未达成一致共识。

　　目前可见的红线是来源是否合法，以及交易数据是否脱敏（涉及敏感信息进行去个人化，隐私化处理）。但问题在于，在数据的流转过程中，其中掺杂非法来源以及未脱敏数据实际上很难被发现。

　　另外，数据的开放程度还远远不够，导致市面上合法流通的数据品类和数量有限，玩家们难以施展拳脚。

　　像腾讯、阿里这样的互联网巨头，在拥有海量数据的同时本身还能实现大数据云计算闭环，它们更希望是打包成数据产品和服务卖出，比单纯买卖数据更值钱，也更能避免法律风险。这些玩家共享数据的意愿不强，这从腾讯、阿里与贵阳大数据交易所自合同到期再无续约就可窥见。

　　但从技术角度来讲，目前已经有一种技术可以实现B2B之间的数据合规化交易。大数据服务商星云Clustar CTO张骏雪向记者表示，目前公司已经采用了一套“联邦学习”算法。简单理解，就是基于双方现有的数据去共同建立一个坐标体系，这个坐标体系就是所谓的建模，建模完成后，就能较为精准地判断客户处于坐标体系安全的点还是危险的点。但是在建模过程中，双方并不知道彼此的用户资料，不用担心用户隐私被复制泄露。

　　根据张骏雪介绍，上述联邦学习算法目前只是解决了B2B之间的数据合规化交易，且主要还是用于银行金融机构之间的数据交易，且成本较高，并没有被大规模应用。

　　大成律师事务所律师肖飒告诉记者，个人信息的合规使用目前在中国较大程度依赖于公司的自我约束，各大运营商对于用户隐私是否尽到了保护责任，如何在公众隐私保护和商业模式中寻找一个平衡点，在保护个人权益的前提下规范、安全、有序地利用个人数据，释放大数据的红利值得深究。

原文：https://finance.sina.com.cn/chanjing/cyxw/2021-03-24/doc-ikknscsk0473421.shtml