东方中文网

　　信息在哪些渠道泄露？

　　据中国互联网协会发布的《中国网民权益保护调查报告2016》，54%的网民认为个人信息泄露严重，其中21%的网民认为非常严重，84%的网民亲身感受到了由于个人信息泄露带来的不良影响。

　　个人信息泄露的情况如此普遍，那么信息到底是在哪些渠道被泄露？360安全专家万仁国称，衣食住行、生老病死，这每一个环节，个人信息都可能被泄露。具体来说，一个人出生后在医院登记信息，采集之后上报到计生部门、公安部门以及和生活所联系的银行、工作单位等，中间每一个环节的流通都可能存在信息被泄露的风险。

　　这种风险一方面来自系统本身可能存在漏洞导致信息泄露，例如被黑客攻击窃取信息，另一方面来自系统内部的风险，例如企业内部员工售卖信息。

　　财新记者查阅相关的法律文书发现，企业或者相关部门内部售卖信息的情况并不少见。武汉市洪山区一地税局工作人员涂某某就曾将地税网上的共计28万条的企业信息以及法定代表人信息通过QQ卖给他人。通过电子邮箱购买涂某信息的徐某曾购买4600条包含有法定代表人手机号码的工商企业信息，后通过支付宝支付信息费4150元人民币，徐某又通过QQ群转卖给其他人。

　　万仁国称，内部员工盗取买卖数据的概率相对于黑客来说更低一些，如果没有黑客的话，信息泄露可能不是那么容易，黑客可以通过系统、植入木马等方式，去盗取公民信息，这种情况更为普遍。

　　北京航空航天大学法学院院长龙卫球认为，信息在互联网企业和电信运营商这一环节中的泄露更加值得重视，泄露情况也更严重，企业和电信运营商的系统可能被外部攻击，且其中可能存在着信息倒卖行为。

　　龙卫球称，除此内部倒卖信息外，个人信息的泄露还和其他一些内部管理漏洞相关，比如有些安全等级很高的信息却有很多人都可以接触到，而使用这些信息的人保护意识可能也不强。

　　信息采集、流通缺乏统一规范

　　信息每经一次流转，就有可能被泄露，而对于信息在很多环节的采集，目前并无统一的规范，尤其在商业交易活动中，对于商家可以收集哪些信息，目前还没有明确的统一标准。

　　据媒体此前报道，全国信息安全标准化技术委员会秘书长高林曾于今年五月透露，目前信息数据采集方面的标准已经在报批过程中，这为企业标明了底线，但不具有强制性。

　　赵占领律师告诉记者：“根据相关的法律规定，收集个人信息方面应当经过用户的知情和同意，收集的信息应该是与提供服务相关的，有些信息是有必要收集的，还有一些应用收集的信息可能是无关的，超出了正当性和必要性的范围，在使用时应该告知确切的使用范围。但目前只有必要性的原则规定，而没有办法细化，因为不同企业所需要的信息不同，细化的标准很难制定。”

　　据上海交通大学信息安全工程学院教授陈恭亮介绍，在商家层面，目前的信息管理还是平面的，这样就导致公民信息经过更多人手，这也导致了信息被暴露的风险增加。以移动支付为例，目前国外的做法是建立独立的第三方信息管理机构，不参与交易过程，买家通过第三方机构获得认证来进行交易，这就建立了立体的认证规范，但目前国内这方面的措施还没起步。

　　与信息采集类似的是，在例如学校、政府的部门，公民信息流通过程中的规范力度也不够。陈恭亮举例，例如个人信息在学校流通过程中，很多时候学校只是信息转达的部门，信息经过太多人手，导致被泄露的风险增加，而在这过程中也缺乏相应的技术规范来保护信息安全。专家指出，在相关部门参与信息的采集、存储和流转过程中，应该签保密协议，一旦发生信息泄露，则应加以惩处。

　　信息买卖的产业链

　　财新记者查询资料发现，大量泄露的信息通过不同的渠道被转卖， QQ、邮箱以及一些其他在线平台都可能成为个人信息交易的场所。从信息买卖再到电信诈骗，已经形成了一条完整的产业链条，而信息买卖本身，也已经形成了一条地下产业链。

　　此前据媒体报道，信息贩卖过程中有大量的二道贩子在中间赚取差价，因为每个人拿到的价格可能都不一样，不同的信息还有不同的售卖方式，有的是批量售卖，有的是按条卖。同时，相比于被多次利用过的数据，一手数据的价值更高。

　　据万仁国介绍，这些被泄露的信息被收集汇总后经过中间商大部分被卖给广告商，也有一小部分则被卖给了电信诈骗分子。而依据所获得的不同类型的信息，诈骗分子也设计了不同类型的诈骗套路。如果仅是通过发短信来诈骗，那么获得大量的电话号码就可以；如果是电话诈骗，则需要考虑电话的归属地、不同的人群分类等各种问题；如果是假冒不同的身份诈骗，则需要获取更多不同类型的信息。

　　从信息泄露到电信诈骗再到将钱洗白转走，也同样形成了一个完整的产业链条。万仁国告诉记者，这个链条上，有贩卖公民个人信息的，有提供伪基站、改号软件等诈骗工具的，最后才可能是去实施诈骗的打电话、发短信的人。除了实施诈骗外，还有隐藏的洗钱环节，有人制作全套银行卡，因为国内银行需要实名绑定手机号。这些钱首先会打到一个卡里，而后迅速分散到几十张甚至几百张卡里，经过多次转移之后，洗钱的人迅速在ATM机上把钱取出来。

　　监管与立法的欠缺

　　龙卫球认为：“信息泄露甚至电信诈骗的大量存在，与立法方面存在大量空白有关，从目前国家层面来说，需要尽快制定《个人信息保护法》，还未出台的《网络安全法》无法完全解决个人信息保护问题，同时在基础设施建设上应当加强。至于企业层面，个人信息的保护，有赖于明确经营者和从业者的责任。”

　　龙卫球强调，企业层面的义务一定要落实到具体方面，比如要建立什么样安全标准的信息收集和存储规范，按照不同的级别来承担不同的保障义务。这些要通过立法建立，但目前是大量的空白，很大程度上依赖企业自律。

　　立法的欠缺，也导致公民个人信息受到侵害后的维权并不容易。赵占领律师称，个人信息泄露后，在没有造成经济损失的情况下，很多人不会选择维权，即使造成损失后个人也很难有充分证据来证明。“泄露途径有多个，需要提供证据来证明是某个渠道泄露的信息，但目前用户个人举证能力有限。”他表示，信息泄露的违法成本低而维权成本高的现状如果不改变，徐玉玉的悲剧只会不断重演。