數據黑產調查

劉以秦+周源+謝麗容

你或你公司的數據如何被泄露、被利用，誰因此發財致富？這個地下數據產業如何運轉、進化，新出臺的嚴刑峻法能否將其遏制？

2017年6月1日之后，一群做大數據地下產業的數據采集者和數據掮客常常聚在一起討論兩條最新出臺的法規，惶惶不可終日。

6月1日，中國網絡領域的基礎性法律《中華人民共和國網絡安全法》（下稱《網安法》）和與之配套的《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（下稱《兩高個人信息司法解釋》）開始生效實施。

新法規對倒賣個人信息數據的懲罰幾乎已經達到了“一刀切”的程度，入罪門檻極低：非法獲取、出售或提供行蹤軌跡信息、通信內容、征信信息、財產信息50條以上的即入罪。

“近期確實抓得很嚴，我周圍不少人進去了，其中有一個人年收入十幾個億的。”一位數據掮客告訴《財經》記者。這名掮客曾在運營商和一家大型互聯網公司從事數據相關工作，由于工作經歷，他認識不少數據的買賣雙方，經常攢局非法交易數據。

在他組的各種局里，主要議題是如何換數據、洗數據、做數據補全。但明面上，他是一家創業公司的核心成員。

另一位在地下數據產業周旋超過十年、目前是一家大數據公司創業者的人士對《財經》記者說，“我知道有一批數據公司要完蛋，包括新三板上市公司，和一些地方政府視為座上賓的公司，它們主要的數據渠道是黑色產業，一些高管已經進去了。”

據不完全統計，國內個人信息泄露數達55.3億條左右，平均每人就有四條相關的個人信息泄露，這些信息最終的命運，是在黑市中反復倒手，直至被榨干價值。

其中，80%的數據泄露自企業內鬼，黑客僅占20%。

一位大數據產業的企業家對《財經》記者說，從企業到方方面面，對大數據安全都有一個認識過程，這給了大數據地下產業滋生的空間。

《網安法》頒布已有數月，相關細則也在陸續出臺。7月下旬，中央網信辦聯合四部門開展互聯網隱私條款專項工作。微信和微博作為首批測評對象，分別在9月中旬更新了用戶隱私條款，規范了用戶數據使用辦法。

監管的口子越收越緊，但大數據地下產業的冬天真的來了嗎？

內鬼猖獗

《網安法》生效后，仍然有大量渠道可以進行地下數據交易。這個“地下黑網”日交易額可達上億元，整體規模難以估測

7月底，《網安法》頒布快兩個月時，一家針對商務人士的培訓公司市場負責人孟先生在幾家面對高端讀者的媒體上投放廣告，但此后一個星期，沒有接到一通打來咨詢的電話。

多方打聽之后，他換了一種渠道，去購買一些目標用戶的個人信息數據，嘗試“精準營銷”。

7月24日晚，他在南京的一家網站上留言，希望購買一些個人信息數據，并留下了聯系方式。

第二天一早，電話就打過來了。這個電話將他一步步帶入數據地下產業。

打電話過來的人是該公司的銷售人員，針對孟先生想要高凈值人群信息的需求，他提出，可以提供經常出入別墅、高端酒店和高爾夫球場等場景的個人信息數據，包括手機Mac地址和Imei地址。

Mac是Media Access Control的縮寫，是手機網卡的身份證號，用來定義網絡設備的位置，具有全球唯一性。Imei是International Mobile Equipment Identity的縮寫，是由15位數字組成的電子串號，一個號碼對應一臺移動電話機，具有全球唯一性。

通過Mac地址和Imei地址可以直接進行網絡營銷，被獲取手機地址的人，只要打開網站，就能收到相關推送，而不是通過個人搜索行為來進行廣告推送——這是目前多數大數據營銷的正常手段。

這家南京公司的報價是Mac地址0.2元一條，Imei地址0.25元一條。

孟先生覺得這種方式效率還是太低。他詢問對方能否直接提供目標人群的手機號，對方猶豫了，表示最近抓得很緊，手機號這類個人信息比較敏感，風險太高。

不過，這位銷售人員提供了另外一條路徑。

他說自己的公司與一家號稱是上海聯通呼叫平臺的公司有合作。孟隨即與之聯系，呼叫平臺相關人員告訴孟先生，他們可以通過南京公司提供的Imei地址定位到具體的手機號。

呼叫平臺工作人員告訴孟先生，由于近期風聲緊，他們只接大單，目前上海本地的訂單已經不接了，低于100萬元的訂單也不能接了，但是這類小訂單還可以通過合作平臺來接，一個號碼收費10元。但他強調，如果訂單量夠大，可以把價格降到一半以下。

用這樣的方式進行電話營銷，需要孟先生提供一個8位數的聯通座機號碼，信息被賣掉的手機號機主接到電話時均顯示此號碼。為了增加通話率，降低投訴率，他們還能提供閃信服務，在撥通電話前添加企業名片。

閃信在十幾年前就出現了，是一種免費的短信服務，發送給用戶的信息可直接顯示在其手機屏幕上，閱讀后信息不自動保存。但是由于通過閃信發送的騷擾信息太多，不少手機廠商已經開啟了閃信屏蔽功能。

呼叫平臺人員向孟先生強調，可以直接通過他們的標簽來找目標人群，不需要先從南京公司那邊購買Imei地址再給他們轉成手機號，他們自己就可以通過聯通用戶的數據，比如地理位置、軌跡，以及通信費用占比，甚至包括交通工具等信息，來判斷目標人群的收入和喜好來進行用戶畫像。

僅靠聯通的數據會相對單一，上述呼叫平臺工作人員透露，他們也在做數據整合優化的工作，正在與銀聯、學信網（高校學生信息網站）進行數據整合，這樣可以讓用戶畫像更加精準。這意味著，銀聯、學信網也出現了“內鬼”，而且他們之間達成了合作。

下了訂單之后，前期流程包括審核客戶的營業執照、預估項目大小、準備好確認的座機號碼等工作，確認具體需求之后，只需要兩天時間就能調出所有的數據和手機信息，通過他們提供的外呼平臺就可以撥打電話。

呼叫平臺人員還向孟先生強調，他們也接過銀行的訂單，但是營銷效果如何他并未跟進，也未透露具體的客戶信息。

《財經》記者聯系了上海聯通相關負責人，上海聯通反饋，該公司呼叫中心的用工均為外包，招標入圍后簽訂業務外包合同，坐席簽訂安全保密協議責任書。目前供應商有三家。上海聯通相關負責人向《財經》記者強調，聯通對倒買倒賣用戶數據零容忍。

另一位從事數據交易超過十年的從業者告訴《財經》記者，由于體量龐大，外包公司和經銷商過于分散，大型企業這樣的問題很難根治。

浙江一位開發運營商核心軟件的公司負責人告訴《財經》記者，《網安法》給他們帶來了新的商機，南方一些運營商已經開始上馬數據安全項目。

“過去一些運營商的數據庫內部人能直接訪問，現在要求內外網隔離，生產庫查詢庫隔離，堡壘機審計，就是為了避免內鬼往外倒騰數據。”他說。

一位圈內頗有名氣的前黑客，現國內某安全公司負責人告訴《財經》記者，雖然黑客聽上去“神奇又神秘”，但是80%的數據泄露是企業內鬼所為，黑客和其他方式僅占20%。

黑客生態

一線黑客多是學歷低下、沒有固定工作的年輕人，賺來的黑錢大半被“師父”拿走，而“師父”之上還有“師父”

內鬼、黑客、爬蟲以及手握數據的公司與個人之間的數據互換，是構成地下數據交易的主要來源，這些數據再經過清洗、分類，可以從不同的渠道銷售出去。數據用途主要是精準營銷，也包括身份認證和詐騙。

除了公司內部和外包公司，另一個容易出問題的是經銷商。

今年6月，廣東蒼南警方稱，他們在今年1月發現有蘋果公司國內員工涉嫌以非法手段獲取蘋果手機關聯的個人信息。涉案的22人中有20人在蘋果國內直銷公司及蘋果外包公司工作。警方沒有披露余下兩人的相關信息。

遭售賣的信息包括蘋果手機關聯的手機號碼、姓名、Apple ID等，警方未提到這些信息中是否包含密碼和信用卡卡號這樣的金融信息，如果此類信息也遭售賣，就表明這些犯罪嫌疑人能夠獲取蘋果內部數據，后果也更加嚴重。

分類信息網站58同城在今年3月遭遇的信息泄露事件，則是典型的爬蟲問題。有需求的個人或公司，只需在淘寶上支付700元購買一種爬蟲軟件，用賣家提供的賬號登錄后就能不斷采集應聘者的相關信息，該軟件每小時可以采集數千份用戶數據。

事件曝光后，58集團立即回應，稱將追查并加固信息安全系統，提升防爬蟲技術手段，進一步區隔個人信息物理存檔。

但到了8月，《財經》記者發現，淘寶上仍在出售能夠扒到58平臺個人信息的爬蟲服務。如果直接購買成型的信息數據，只需要提供一個分類網址，例如，北京地區提供家教服務的列表，短時間內就能提供所有發布信息用戶的姓名和手機號碼。

具體的價格是，簡單清洗去重的數據1000條售價50元，可議價，大量購買價格更優惠。

58集團書面回復《財經》記者稱，這屬于惡意抓取，58已全面升級用戶隱私保護，對用戶的敏感信息進行加密處理，提供電話隱私能力。

黑客竊取數據是傳統方式。由于黑客行業的隱秘性質，國內的黑客多以口口相傳的方式來發展新隊伍。目前真正“奮戰”在一線的黑客大多以學歷低下，沒有固定工作的年輕人為主，他們或經人介紹，或在逛論壇時偶然結識一個提供黑客軟件的“師父”，簡單學習之后，加入黑客隊伍。

“師父”之上還有“師父”，這樣一條自上而下的體系直接導致了黑客體系里嚴重分贓不均，前述經驗超過十年的地下數據從業者就曾是一個小黑客，起初他對自己的技能頗為自豪，慢慢他發現，“師父”通過給他的那個軟件，完全掌控他獲得的數據，再加上他沒有成熟銷售渠道，每個月能賺到的錢少得可憐。

一開始，他會黑一些網站的信息數據，例如教育局內網里的學生信息數據，轉手賣給需要這類數據的公司。隨著技術越來越嫻熟，業務越來越多，大學期間他開始連續創業，做了幾個沒什么收入的項目，他也多以“創業者”身份示人，但他的另一只手仍在操縱數據地下交易的生意。

“創業公司不賺錢，只有一個員工的地下數據項目，就能養活有30多個人的創業團隊。”他對《財經》記者說。

從目前的行情來看，上述案例中，疑似聯通呼叫平臺有標簽的用戶信息10元一條，屬于低價數據，這位資深人士手里的精準用戶信息，可以賣到1000元一條。

從黑客到中介，從數據挖掘到數據清洗，地下數據產業鏈條的每個環節，這位人士都熟知，據他透露，如果有運營商的內部關系，加上一定的渠道資源，賺錢并不難。

但今年6月1日之前，他就嗅到了危險的氣息，趕緊把風險較大的業務全部停掉，清除痕跡，戴上了“白帽子”。不過，他并未完全放棄這攤生意，而是將自己的數據交易公司用CRM的方式管理起來，保證每個數據源頭都查不到任何破綻。現在，他只做大公司的生意，這些大客戶要求嚴格，不會接受任何違法數據。

但他沒想到，有一天他會栽在“同行”手里。

今年早些時候，通過客戶反饋，他發現自己的公司也出現了“內鬼”，一名公司員工將客戶資料賣給了競爭對手公司，直接導致他丟掉一個200萬元的單子。

他很生氣，威脅將這名員工告上法庭，最終得到一大筆賠償金。事后，他將公司整個CRM系統重新整合，現在即使是他也看不到客戶的手機號，所有的短信和電話都通過系統的內置功能來進行。不僅如此，所有員工的行為都會被自動記錄，哪個賬號查看了用戶資料，哪個客服拉取的數據量高于其他人，或是搜索其他客戶經理的資料，都會被調出來仔細排查。

黑產進化

傳統地下數據產業人士稱這些大數據公司為“簡單粗暴的暴發戶”，“他們太有錢了，本來我們都是小作坊的模式，他們一進來，把我們的生意全都擠沒了。”

對上述地下數據產業人士而言，政策法規收緊只是促使他轉型的因素之一，更重要的原因是，他發現這池水越來越渾了——新型大數據公司入局，打破了傳統的地下數據交易網絡。

芝麻數據并不直接交易涉及到公民身份的信息（包括手機號、身份證號等），不完全屬于“地下”，但公司的觸角已經伸到了地下。這樣的大數據公司是數據地下世界的新人。

今年5月31日，《網絡安全法》施行前夕，新三板上的大數據公司數據堂（831428）被傳因泄露用戶信息公司高管被帶走調查。原因是涉嫌給一家理財營銷公司提供大量個人隱私數據，包括身份信息、消費信息等。

根據公開資料，數據堂成立于2011年，于2014年12月在新三板上市，并在中美兩地建立了4家子公司和5個數據處理中心。

數據堂公司官網稱，其商業模式是“依托自身的數據資源、技術研發優勢及豐富的市場運營經驗，打通數據獲取、數據處理、數據服務環節，融合和盤活各類數據資源，推動相關技術、應用和產業的創新，實現數據價值最大化”。

但多位大數據人士告訴《財經》記者，數據堂的商業模式是通過網絡爬蟲、公共領域共享等方式獲取數據，對數據進行清洗、分類處理之后，向客戶提供定制化數據服務來獲取收益。這是一條完整的數據交易鏈。相對于過去分散的數據交易模式，這是一條全新的、進化版的交易鏈條。

5月23日，數據堂的下游客戶公司發現，數據堂提供的一些數據接口突然斷了，詢問如何解決時，得到的回應是：“在調整，等消息。”

有媒體曾經質疑數據堂，為何未公告其高管被調查，影響了部分業務線一事？數據堂今年5月的回應是：“目前還沒有出最終的調查結果。”

數據堂董秘朱文杰對《財經》記者表示，確實有一些數據經過脫敏處理變成標準化數據在網上交易，但是，這些標準化數據帶來的業務收入只占數據堂收入的5%不到。

朱文杰強調：“數據堂不是一家數據交易公司，而是基于人工智能技術提供定制化的數據服務。”

另一位大數據公司高管告訴《財經》記者，哪怕是在兩三年前，地下數據交易的量都不大，規模普遍維持在數百條信息的量級。“做得沒那么明目張膽，外面也沒人去扯這些小事兒。”

但他說，隨著需求被放大，整個地下數據產業開始變成半公開化了。

蘇州的一家大數據公司成立于2011年底，2013年就已經開始盈利，2016年注冊用戶60萬，年營收過億元。其市場優勢是數據全面、價格便宜。

這家公司頂著明星創業公司的光環，不僅拿到巨額融資，還是蘇州工業園區的重點引進項目。

不過，有地下數據產業資深人士透露，能做到數據全面且便宜的原因在于這家公司整合了大量購買數據的小渠道，這些渠道大多不合法。其中包括各種黑客、內鬼，他們通過QQ群、微信群出售數據，還包括以暗網為主的非法網站，他們大量搜刮數據，重新整理后低價出售。

上述地下數據產業資深人士將這些大數據公司稱為“簡單粗暴的暴發戶”，“他們太有錢了，本來我們都是小作坊的模式，這樣的公司一進來，把我們的生意全都擠沒了。”

《財經》記者聯系了這家公司，對方相關人士回應，他們的商業模式是提供API接口，并不涉及數據交易，《網安法》對于他們來說也沒有任何影響，對于數據安全相關的問題，他不予置評。

該公司官網上最熱門的幾類數據里包含二代身份證認證與銀行卡信息認證，但目前中國有資格進行身份證信息驗證的公司只有國政通一家。

這家蘇州公司為何能夠擁有如此高端精準的個人信息認證體系？一位了解該公司的人士透露，因為他買通了一家國政通的合作公司，通過該合作公司發到國政通進行認證。

當《財經》記者致電這家合作公司的客服人員時，該客服人員表示，他們的身份證認證信息是對接了公安部的數據，而銀行卡信息認證是通過銀聯的數據來對接。多位業內人士向《財經》記者表示，從未聽說過這樣的接口可以對外開放。

這家公司的身份證認證的價格為30萬元100萬次，據行業人士透露，該公司會進行數據截留，截取其他的信息，然后再進行處理，二次售賣。

這些處于灰色地帶的大數據公司的主要客戶來自互聯網金融行業。

金融行業的獲客成本普遍高于其他行業，2013年互聯網金融行業開始火爆，模式比傳統金融機構更輕，規模擴張也更快。

競爭壓力之下，互聯網金融公司的獲客需求量激增，同時，也需要更快速進行用戶身份驗證以及貸款資格審查，這些都在一定程度上刺激了灰色大數據公司的發展。

前述數據掮客對《財經》記者表示，金融公司通過購買目標用戶信息來進行電話營銷，成功率可能高達10%，遠超普通營銷渠道。

這樣的模式無疑進一步刺激了地下數據交易，也導致了大數據行業“劣幣驅逐良幣”的現象。如果保證數據獲取合法，那么在價格上根本無法與從地下獲取數據匹敵，這讓很多干凈的數據公司幾乎毫無競爭力可言。

“就算只有一家云服務廠商碰了客戶的數據，我們所有人都會在客戶那里失去信任。”北京北森云計算股份有限公司CEO紀偉國對《財經》記者說。這家公司提供人才管理云服務。

硬幣的另一面是，數據地下產業的快速進化，冒出大型公司，反倒讓監管變得更容易下手。

在中關村大數據產業聯盟常務秘書長張濤看來，大數據公司對監管機構而言是一個“抓手”，如果沒有它們，監管機構在探查詐騙數據來源時，面對的就是一片汪洋大海。

接近權威部門的人員透露，監管部門對非法數據交易和買賣一直都非常重視，但囿于數據價值無法量化評估、交易過程隱蔽等問題，之前沒有用一刀切的方式進行監管。

嚴刑峻法

地下數據交易幾乎每筆都不低于50條個人信息，這意味著數據地下從業者只要被抓就可能被刑責

今年6月1日頒布的《網絡安全法》，是中國第一部全面規范網絡空間安全管理的基礎性法律，它將之前僅停留在政策規章層面的數據安全問題法律化了。例如，企業現在收集個人信息必須征得用戶同意，否則就是違法。

配套出臺的《兩高個人信息司法解釋》則從刑法層面進一步明確了侵犯公民個人信息行為的定罪量刑標準，為執法掃清障礙。

7月，由網信辦、工信部、公安部、國家標準委等四部門共同組織實施了“隱私條款專項工作”，首批審批對象包括新浪微博、淘寶、微信、京東商城、滴滴等十多款熱門網絡產品。

9月，包括京東、微博、微信在內的多家平臺都已經發布新調整的用戶隱私條例，明確了會獲取用戶的哪些信息，以及獲取前提（用戶同意）。

某大型互聯網公司法務人士告訴《財經》記者，之前這些平臺都是默認用戶同意，改成強提示的方式能讓用戶更清晰地了解具體情況。

與《網安法》相比，《兩高個人信息司法解釋》更令人膽寒，因為它制定了極低的入罪門檻——非法獲取、出售或提供行蹤軌跡信息、通信內容、征信信息、財產信息50條以上的即可入罪，如果將公民個人信息出售或者提供給他人是公司行為，標準減半，25條即可入罪。

根據《刑法修正案（九）》，“侵犯個人信息罪”的適用刑罰包括兩檔，第一檔量刑為“處三年以下有期徒刑或者拘役，并處或者單處罰金”，第二檔量刑為“三年以上七年以下有期徒刑，并處罰金”。

現實中的地下數據交易，幾乎每筆都不低于50條個人信息。某專業人士認為，這意味著，數據地下產業從業者只要被抓，就可能被刑責。

相比之下，日本最高處刑六個月，加拿大和愛爾蘭僅處以罰金，美國刑罰雖然和中國差不多重，但僅限于醫療行業，甚至還有部分國家并沒有就個人信息保護設立專門的刑事責任體系。歐洲推崇行政監管，美國倚重民事救濟。

深圳市刑警大隊近期針對違法數據交易展開四次行動，與騰訊、360兩家互聯網公司提供的手機管家服務合作，一旦出現用戶標記“推銷”、“詐騙”等標簽超過50次的手機號碼，就會立即出動調查。

四次大規模行動之后，深圳警方明顯感覺到此類舉報電話少了很多，而在新法規出臺前，接到舉報電話也不知道該如何處理。

中國信息通信研究院法律研究中心原副主任、現騰訊研究院資深研究員王融分析，事后重刑與事前預防相結合的好處在于，既利于在全社會建立對個人信息的收集、利用基本規范，也回歸了法律救濟的應有之義。這正是《網安法》的價值所在。

新形勢下，一些曾游走在灰色地帶的企業將腳收了回來。

《財經》記者獲悉，在招聘行業有一家以“簡歷大數據”為賣點的創業公司曾飽受同行指責，因為該公司為快速發展大量使用灰色手段，例如不經用戶同意就把其簡歷發送給各用人單位。《網安法》出臺后，該公司專門設置了呼叫中心，以電話形式一一確認簡歷用戶的需求。

還有一些公司開始依照新法進行合規性檢測。匯業律師事務所高級合伙人黃春林表示，今年6月之后，涉及個人信息處理的企業紛紛找上門來，他所在的律師事務所業務量大幅增長。匯業的主業是企業數據規范。

企業主動規范數據使用，這是新法壓力下的重大進步。

根據《網安法》，企業有責任確保其收集的個人信息的安全。

如果用戶個人信息丟失，企業必須通知用戶，用戶有權追責；所有企業都需要一個網絡安全負責人，此人不應是技術人員，而是創始人或高管等對企業有支配能力的人。

這和歐盟模式類似。歐盟的《一般數據保護條例》規定，在個人數據被廣泛使用的情況下，例如被超過250名雇員的企業使用、或者個人數據在特定目的下被持續和系統地收集監控，那么進行數據處理或控制的企業或組織應該任命有專門數據保護知識的數據保護官（Data Protection Officer，DPO）。

數據保護官的任職期限至少為兩年，并向公眾及監管機構通報其姓名及詳細的聯系方式。在出現問題時，還需要承擔相應法律責任。

歐盟規定，對于以數據處理為核心業務，或日常運營中處理敏感數據的企業，例如互聯網、電信、金融、征信、醫療、教育等行業的公司，它們的目標不應只停留在滿足合規性要求，還應建立一套相對堅固的防御體系。

王融認為，許多數據泄露是公司內鬼或黑客所為，這種情況不可能禁絕，但公司若有證據顯示自己已設立比較完善的數據安全管理體系，相關刑罰就有可能減免。

相對于水面下的見不得光的產業，立法面對的另一個大問題是企業和企業、企業和用戶之間的數據確權。

8月4日，華為和騰訊的數據爭議曝光。騰訊稱，華為正在通過其榮耀Magic智能手機收集微信用戶活動信息，以為其AI提供訓練數據，例如使手機能夠基于用戶的短信內容推薦餐廳。

騰訊認為，華為的做法奪取了騰訊的數據，侵犯了微信用戶的隱私。華為則表示，自己只有在用戶授權的情況下才會收集用戶活動信息，這些信息包括微信聊天信息。

不過，對于微信聊天信息這樣的私密數據，是否獲得用戶授權就有權抓取用戶信息，目前法條并沒有一個明確的界定。

對于這種大型公司之間、沒有明確法律規范的事件，監管部門過去罕有公開表態。一位接近監管部門的資深人士告訴《財經》記者，在有關部門的推動下，這件事情已經由華為騰訊自行協商解決。

四個月前的順豐、菜鳥互斷物流數據接口事件，也是在國家郵政局介入下，協商解決。

無論是華為、騰訊之爭，還是順豐、菜鳥之爭，都是數據確權風暴來臨前的預警。在數據已經成為核心資產的今天，彌補數據產權的立法缺失刻不容緩。

中央網信辦網絡安全協調局負責人近期透露，《網安法》的配套法規正在抓緊制定中，包括關鍵信息基礎設施保護辦法、個人信息和重要數據出境安全評估辦法、網絡關鍵設備、網絡安全專用產品目錄和個人信息安全規范等。

業內共識，后續立法執法將決定數據地下產業的走向。一位大型互聯網公司法務人士告訴《財經》記者，目前的立法大方向兼顧技術商業創新和用戶利益，缺點是“不細”。一位仍然游走在灰色地帶的人則告訴《財經》記者：“我們都在等新法后的第一個大案，看看怎么判。”