黑市車主信息販賣猖獗

｜本刊見習(xí)記者/李少展

黑市車主信息販賣猖獗

｜本刊見習(xí)記者/李少展

你的個人敏感信息，很可能早已變成excel里的一行數(shù)據(jù)，被以1到5元不等的價格變賣于信息數(shù)據(jù)交易的黑市上。

不少購車者曾有疑惑，為何自己剛下訂單不久，就有電話打進來推銷車險，買車的消息怎么不脛而走的？也曾有少數(shù)車主接到過“違章詐騙”電話，對方甚至可以精確地報出你的車牌號、年檢記錄等等。

你的個人敏感信息，很可能早已變成excel里的一行數(shù)據(jù)，被以1到5元不等的價格變賣于信息數(shù)據(jù)交易的黑市上。

2015年4月28日，互聯(lián)網(wǎng)安全漏洞報告平臺烏云網(wǎng)“白帽子”（平臺漏洞發(fā)現(xiàn)者）就發(fā)現(xiàn)國內(nèi)各省市的車主信息在互聯(lián)網(wǎng)被公然售賣，其中的信息包括車主姓名、手機號、身份證號、家庭住址、車牌號碼、汽車型號等。

這些數(shù)據(jù)依據(jù)詳細程度、時間、地區(qū)等被賦予不同的價位：當(dāng)天更新的車主購車訂單信息每條3元，一周內(nèi)的2元，一個月內(nèi)的1元，特定地區(qū)的車主信息則要4元一條。

一條信息一塊錢

烏云網(wǎng)ID為李旭敏的“白帽子”告訴《消費者報道》記者，他從2013年開始發(fā)現(xiàn)網(wǎng)絡(luò)上的車主信息交易有泛濫勢頭。這些交易大多以QQ群為平臺，買賣雙方通過平臺接洽，然后再私下完成交易。

這些QQ群大多集結(jié)著兩三百個QQ帳號，個別活躍的QQ群人數(shù)接近兩千。與其他QQ群不同的是，這些群共同的特征是沒有任何群內(nèi)交流。賣方總是各自以小廣告的形式在群上刷屏吸引買方私聊。偶有買方提出購買“數(shù)據(jù)要求”，再由賣方主動找上門。

從不同賣方提供的數(shù)據(jù)格式看來，車主信息的泄露來自不同的渠道。

網(wǎng)名叫“一手?jǐn)?shù)據(jù)”的販子聲稱自己有非常詳盡的車主數(shù)據(jù)。在他提供的樣例數(shù)據(jù)中，除了車主常見的個人信息外，甚至包含汽車型號、發(fā)動機號、年檢時間、上證時間和一些汽車的技術(shù)參數(shù)。另一個叫“淘二郎”的販子手上的數(shù)據(jù)為全國各地的混搭，可以查看到車主GPS型號、保險單號和賠付限額等。

李旭敏曾和這些販子打過交道，他告訴記者：“販子拿到的車主信息渠道是多方面的，車企、車載GPS或者一些第三方的打車軟件，都可能導(dǎo)致車主信息泄露。當(dāng)然也有小部分販子提到自己有‘內(nèi)線’在獲取數(shù)據(jù)，但真實情況還需考證?！?/p>

另一個叫“奔跑啊阿米”的販子更是直言，其信息是由“技術(shù)”從車管所平臺上扒下來的，他手上有大多數(shù)北方2015年城市的數(shù)據(jù)。為了驗證其所言，他提供了哈爾濱市2015年5月1日“選號”車主的手機號碼截圖，除時間外，該圖片還包含著車主姓名、車牌、車型、住址等信息。這些車主的信息依據(jù)時間、地區(qū)、詳細程度、售前售后的不同劃分，最低1元起價，最貴的可以一條賣到5元。

手機號碼截圖

個人信息保護法停擺十年

2015年3月15日，中消協(xié)發(fā)布的《2014年度消費者個人信息網(wǎng)絡(luò)安全報告》顯示，網(wǎng)絡(luò)針對消費者個人信息“竊取”和“非法使用”的黑色產(chǎn)業(yè)鏈呈現(xiàn)爆發(fā)性增長態(tài)勢。有2/3的消費者在接受調(diào)查時明確表示，過去一年內(nèi)個人信息曾被泄露或竊取，而1/3的受訪者稱，曾遭受過經(jīng)濟損失和人身傷害。

據(jù)悉，中國最早的個人信息保護立法程序始于2003年，國務(wù)院當(dāng)年委托有關(guān)專家開始起草《個人信息保護法》，2005年專家建議稿已經(jīng)完成，并提交國務(wù)院審議。但自此之后該法律即停擺十年，再無下文。

中國互聯(lián)網(wǎng)協(xié)會信用評價中心法律顧問趙占領(lǐng)認(rèn)為該法停擺的原因很復(fù)雜?！?008年后國家大部制改革，國務(wù)院信息化辦公室并入工信部后，沒有相關(guān)的部門來接手督促立法?？赡芘c這個原因有關(guān)?！?/p>

在基本的法律缺位之下，中國個人信息保護體系如何？

“我國關(guān)于個人信息保護的法令散見在200多部法律法規(guī)中，但語焉不詳，既缺乏全面系統(tǒng)的規(guī)定，又缺乏保護機制和執(zhí)法機制”，中國政法大學(xué)傳播法研究中心研究員朱巍接受本刊記者采訪時提到自己的擔(dān)憂。

2012年12月28日，全國人大常委會通過《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》后，較為明確地為網(wǎng)絡(luò)個人信息保護提供了法律依據(jù)。

“但該法律最大的弱點是，它只規(guī)定了主動侵權(quán)所應(yīng)承擔(dān)的責(zé)任，卻沒有規(guī)定被動侵權(quán)的部分”。朱巍認(rèn)為，網(wǎng)站主動收集用戶信息，并用于非法用途，肯定要承擔(dān)侵權(quán)責(zé)任。如果網(wǎng)站被黑客攻破，造成用戶信息泄露，則屬于過失泄露，它應(yīng)當(dāng)承擔(dān)的責(zé)任很難界定。依據(jù)司法實踐中會采用過錯推定原則確定侵權(quán)責(zé)任，企業(yè)首先要舉證自己盡到了安保責(zé)任。

信息泄露一旦發(fā)生，追責(zé)將會很困難。趙占領(lǐng)指出：“民事賠償最困難的是舉證問題，網(wǎng)絡(luò)來源渠道那么廣，車主難以證明信息泄露的渠道來自于哪里。受限于網(wǎng)監(jiān)等執(zhí)法力量尚屬薄弱，刑事處罰和行政處罰目前的案例也是極其少的?！?/p>

由此，朱巍建議：掌握有一定規(guī)模個人信息的公司都應(yīng)該設(shè)立“首席安全官”的行政或者技術(shù)職位，確立責(zé)任人制度，可以明確信息泄露后果的責(zé)任主體。同時，企業(yè)也會投入更多的資金和精力在自己的信息安全防護上。