鍾睒睒等企業家手機號遭泄露,數字時代如何應對個人信息“裸奔”風險?

21世紀經濟報道 記者鍾雨欣 北京報道

5月14日,據媒體報道,探客查、勵銷雲兩家平臺大規模出售企業家個人信息,包括農夫山泉創始人鍾睒睒、蜜雪冰城實控人張紅甫等,且銷售人員聲稱數據來源與三大運營商合作。

隨後,中國移動、中國聯動、中國電信均否認售賣用戶個人信息。14日下午,探客查已顯示服務異常。15日,21世紀經濟報道記者以個人手機號註冊勵銷雲賬號,隨後收到其工作人員來電介紹業務,當被詢問到企業家個人信息數據來源是否合規時,該工作人員表示“數據肯定是合規的,是從公開網站上搜集的”。

受訪律師表示,平臺大規模蒐集、售賣企業家電話號碼的行爲可能面臨民事責任和行政處罰。此外,從刑事角度看,涉嫌構成侵犯公民個人信息罪。公開的數據來源不代表授權爬蟲爬取,如果是以非法爬蟲、非法撞庫等手段獲取個人信息,還可能構成破壞計算機信息系統罪。

多位企業家個人信息遭泄露,980元包年可查

探客查官網介紹稱,其是“利用大數據技術幫助銷售快速覈驗企業關鍵人(公司法人、董事、股東、經理等高管身份)精準獲客的企業數據系統”。據媒體報道,該平臺宣稱擁有“2億+企業數據庫”和“10億+線索聯繫方式”,提供包年服務980元,每月可查詢5000條企業信息,按最大查詢量計算,每條企業家信息售價爲0.016元。

農夫山泉創始人鍾睒睒、蜜雪冰城實控人張紅甫、蔚來汽車聯合創始人秦力洪等多位企業家的個人信息,均能夠在探客查平臺查詢到。目前,該網站已無法提供服務。

勵銷雲官網顯示,其能夠提供“找客—篩客—管客再到沉澱數字資產”服務,號稱“擁有3億+企業數據,3000萬+日更新數據,企業信息完善度95%以上”。此外,勵銷雲還強調了其爲“騰訊戰略投資企業”。

根據騰訊方面的迴應,騰訊對勵銷雲佔股不到 9%,不參與公司的日常運營,對兜售行爲並不知情。

記者關注到,2023年5月,上海數據交易所微信公衆號發文稱,勵銷雲在上海數據交易所完成了“勵銷搜客寶”系列共7個數據產品掛牌。爲企業提供“企業工商全景查詢”“企業經營詳情查詢”等數據。文中還提到,“勵銷搜客寶”數據來源均爲國內網站公開數據。

5月15日,記者以個人手機號註冊勵銷雲賬號,隨後收到勵銷雲工作人員來電介紹業務,當被詢問到企業家個人信息數據來源是否合規時,該工作人員表示“數據肯定是合規的,是從公開網站上搜集的”。

據媒體報道,探客查和勵銷雲的銷售人員提及,在數據來源方面與三大電信運營商有合作。對此,中國移動迴應稱不會售賣任何用戶個人信息,一直以來高度重視客戶個人信息保護工作。中國聯通表示,絕對不存在對外泄露或出售企業家手機號的行爲,公司管理制度嚴禁泄露個人信息。中國電信迴應稱,經覈查,未發現與探客查、勵銷雲有數據合作。

浙江墾丁律師事務所合夥人李晉沅在接受記者採訪時表示,上述平臺大規模蒐集、售賣企業家電話號碼的行爲可能面臨民事責任和行政處罰。此外,從刑事角度看,可能違反刑法第二百五十三條之一規定,涉嫌構成侵犯公民個人信息罪。從數據來源看,公開的數據來源不代表授權爬蟲爬取,如果爲人工整理,需要有相應的證據。如果是以非法爬蟲、非法撞庫等手段獲取個人信息,還可能構成破壞計算機信息系統罪。

值得一提的是,據媒體報道,兩個平臺在展示企業家手機號對應的姓名時,均隱藏了相關字段,如顯示爲“鍾**”“秦**”,銷售人員表示以此“規避法律風險”。但結合支付寶轉賬等方式,仍能夠查詢到對應的實名信息。

“將手機號與姓名在一起展示的行爲,本身就不足以實現所謂的‘規避法律風險’。”李晉沅結合個人信息保護法、網絡安全法和民法典相關規定指出,現行匿名化的法律標準可總結爲兩點,其一,匿名化處理後無法識別到特定主體;其二,匿名化後的數據不可被複原。

“即使是經過匿名化處理的個人信息,也可能通過與其他信息相聯結或者應用新興識別技術而再次連接至特定個人,即再識別風險。隨着社會發展和時間推移,能夠與匿名信息相結合的公開信息將不斷增加,再識別風險是難以迴避的,且發生的概率會日益增加。”李晉沅提示。

數字時代下,如何避免個人信息“裸奔”?

不少人擔憂,數字時代下,個人信息面臨“裸奔”風險。而曝光度大、常處於聚光燈中的名人,則更容易被人“盯上”。例如,乒乓球運動員樊振東、藝人楊迪都曾發文稱自己遭遇了個人信息泄露,自己或家人收到了大量電話騷擾。

2023年12月,浙江杭州公安通報了一起“倒賣明星網紅身份信息”案件,侵犯公民個人信息的黑客韋某19歲,依據境外社交平臺提供的“個人信息庫”源代碼接口,自制可以自動進行收費交易的“機器人”以大量轉發至各類社交羣。警方查獲公民個人信息80餘萬條(包含大量明星、網紅信息),凍結資金5萬餘元。據瞭解,韋某半年時間已經獲利50多萬元。

2023年8月,廣東佛山市南海區人民法院通報,自2019年起,陳某等5名高鐵站員工利用職務便利,查詢及出售演藝明星搭乘高鐵的行程信息或者乘客居民身份證號碼等個人信息,林某等3人則將這些信息加價轉售,共獲利56萬多元。最終該院以侵犯公民個人信息罪,判處8名被告人有期徒刑九個月至三年八個月不等。

綠盟科技解決方案部高級總監施嶺表示,黑灰產目前已經逐步形成了一條完整的產業鏈,竊取個人信息的手段層出不窮。比如,通過釣魚信息獲取個人信息。僞造受害者常用網站或者常用APP,並且誘導其點擊或者登錄,從而獲取賬戶密碼以及其他數據。

同時,“內鬼”成爲了個人信息泄露源頭。在通信、外賣、快遞、房地產等關鍵行業中,“內鬼”可能借職務便利非法獲取客戶手機號碼和驗證碼再出售。此外,黑灰產團隊還可能利用網站或系統本身存在的漏洞盜取個人信息。

“個人信息處理者應當採取相應的措施防止個人信息泄露、篡改和丟失。”施嶺舉例,個人信息處理者可以將原始數據通過特定的算法轉換成一段不可讀的代碼,即密文,只有擁有相應密鑰的用戶才能解密並讀取原始數據。這種轉換過程能有效防止未經授權的訪問和數據泄露。此外,匿名化、去標識化也是常見的技術手段。

“在數字時代,公衆更應在日常生活中提高個人信息保護意識。”施嶺提示,比如,“剪刀手”等照片可能泄露指紋信息,不應在社交平臺上隨意發佈。雖然目前的指紋提取條件較爲苛刻,相機的分辨率、成像角度、拍照的光線都有一定的影響,但是通過照片盜取指紋在技術上是可行的。而指紋信息可製作成指紋膜進行身份識別,用於指紋解鎖、指紋支付等實施詐騙。

另外,使用家庭智能攝像頭、公共Wi-Fi時也應謹慎,不法分子可能利用智能攝像頭安全漏洞竊取隱私、利用“免費Wi-Fi”設置成誘餌竊取個人信息。