編者按：本文來(lái)自微信公眾號(hào)蘇寧金融研究院，作者黃大智，創(chuàng)業(yè)邦經(jīng)授權(quán)轉(zhuǎn)載。

因?yàn)橐粋€(gè)視頻，微信再次被置于“監(jiān)測(cè)用戶聊天記錄”的烤火架上。

最近，微信官方通過(guò)“謠言過(guò)濾器”推文，澄清“微信監(jiān)聽(tīng)用戶聊天記錄”的謠言。該謠言起于某短視頻聲稱微信正在監(jiān)聽(tīng)用戶的聊天記錄，并傳授“關(guān)閉微信監(jiān)聽(tīng)的訣竅”。雖然其內(nèi)容實(shí)際上是指導(dǎo)用戶如何關(guān)閉微信個(gè)性化廣告，但事關(guān)個(gè)人隱私，甚至是個(gè)人聊天信息的安全，有關(guān)“個(gè)人信息安全”這一話題，挑動(dòng)了廣大互聯(lián)網(wǎng)用戶的敏感神經(jīng)。

歷年兩會(huì)上關(guān)于“加快個(gè)人信息保護(hù)立法”的提案都會(huì)被熱議，但個(gè)人信息權(quán)益的復(fù)雜性和法律的嚴(yán)肅性，使得個(gè)人信息保護(hù)法一直難產(chǎn)，反倒是一件件侵犯?jìng)€(gè)人信息權(quán)益的案件不斷發(fā)生。銀行員工私打客戶交易流水、販賣客戶信息牟利、各種APP非法收集信息……

“大數(shù)據(jù)時(shí)代，人人都在裸奔”成為網(wǎng)民的一句口頭禪。在我們看見(jiàn)的、看不見(jiàn)的地方，個(gè)人信息黑產(chǎn)規(guī)模在不斷的擴(kuò)大著，信息“裸奔”的時(shí)代，了解個(gè)人信息保護(hù)尤為重要。

你的信息是如何泄露的？

如果我們將任何一種通過(guò)“獲取信息牟利”的行為定義為一種詐騙行為，那么一個(gè)典型的“詐騙組織”可以分為兩個(gè)部分：社工庫(kù)（基礎(chǔ)數(shù)據(jù)庫(kù)）和欺詐獲利。

“社工”的意思是社會(huì)工程，在黑客圈指一種黑客攻擊以獲取情報(bào)和信息的方法。而“社工庫(kù)”就是詐騙組織把通過(guò)社工竊取的信息全部存儲(chǔ)起來(lái)整合成的一個(gè)數(shù)據(jù)庫(kù)。

看起來(lái)比較復(fù)雜，總結(jié)起來(lái)就一句話：社工庫(kù)是通過(guò)各種手段收集信息所組成的一個(gè)數(shù)據(jù)庫(kù)。

數(shù)據(jù)庫(kù)中集合了海量的信息，包括但不局限于姓名、出生日期、身份證號(hào)、手機(jī)號(hào)、各類網(wǎng)站的賬號(hào)、密碼、安全問(wèn)題、家庭住址、家庭親戚關(guān)系、收貨信息、交易信息等。而社工庫(kù)也會(huì)因詐騙的規(guī)模、技術(shù)的高低等因素各有不同。

社工庫(kù)數(shù)據(jù)的個(gè)人信息來(lái)源主要有三種：第一種是黑客非法入侵，通過(guò)盜號(hào)、木馬等方式盜取大量信息；第二種是能夠接觸到個(gè)人信息的內(nèi)部工作人員盜取出售信息；第三種是網(wǎng)絡(luò)爬蟲(chóng)等方式非法爬取的數(shù)據(jù)信息。

黑客會(huì)通過(guò)入侵、拖庫(kù)、制作木馬、制作釣魚(yú)網(wǎng)站、制作欺詐主控系統(tǒng)等技術(shù)手段，雇傭大量“馬仔”進(jìn)行社工、使用木馬、使用釣魚(yú)網(wǎng)站，而馬仔們得到黑客技術(shù)方面的支持后，更容易獲取有價(jià)值的信息。

例如，2017年，某大型國(guó)際高端酒店就曾發(fā)生大規(guī)模信息泄露，涉及的銀行卡信息超過(guò)幾十萬(wàn)，損失高達(dá)幾千萬(wàn)。

而通過(guò)內(nèi)部工作人員盜取信息則顯得更加“高效”，也更加容易獲取更有價(jià)值的個(gè)人信息。例如近期曝光的某銀行員工私自販賣個(gè)人客戶信息的行為。

至于通過(guò)爬蟲(chóng)等技術(shù)方式獲取信息的行為，隨著監(jiān)管行為的更加嚴(yán)格和反爬蟲(chóng)技術(shù)的發(fā)展，正在慢慢減少。

變現(xiàn)其實(shí)是個(gè)“技術(shù)活”

有了龐大數(shù)據(jù)量和詳細(xì)信息的社工庫(kù)，詐騙組織就有了一個(gè)獲利的基礎(chǔ)，將這些信息“變現(xiàn)”也就不成問(wèn)題了。

一種獲利方式是信息倒賣，簡(jiǎn)單粗暴。詐騙組織通過(guò)馬仔在QQ群、論壇、暗網(wǎng)等各種渠道出售有價(jià)值的信息，馬仔們又通過(guò)各種渠道雇傭成百上千個(gè)半職業(yè)的詐騙分子，同時(shí)各個(gè)人員之間又存在信息倒賣的關(guān)系。這就導(dǎo)致一個(gè)沒(méi)有任何資源、技術(shù)的“新人”，可以輕松通過(guò)求購(gòu)數(shù)據(jù)、求購(gòu)技術(shù)，進(jìn)入詐騙組織進(jìn)行獲利。這種信息倒賣方式多以信息數(shù)量計(jì)價(jià)，因此不可避免的充斥了各種假數(shù)據(jù)和無(wú)效數(shù)據(jù)。

當(dāng)然，各種信息的價(jià)格也會(huì)有所不同，在黑市，一個(gè)普通人的身份證信息也許可以賣到20元，一個(gè)博士的學(xué)歷信息則有可能賣到50元。更值錢的信息則是“銀行賬戶流水”，力壓“酒店開(kāi)房信息”，成為個(gè)人信息黑產(chǎn)中的“鉆石級(jí)信息”。理由也很簡(jiǎn)單，銀行流水包含眾多調(diào)查線索，用途多多，“池子訴某銀行”事件便是一個(gè)血淋淋的例子。

另一種獲利方式則顯得更有技術(shù)含量。詐騙組織通過(guò)盜用賬戶、盜用銀行卡、個(gè)人詐騙、企業(yè)詐騙、套現(xiàn)、洗錢等方式，把社工庫(kù)的信息變現(xiàn)。相對(duì)來(lái)說(shuō)，這種方式對(duì)于信息的要求更“成套”，也就是說(shuō)需要同時(shí)具備姓名、身份證號(hào)、銀行卡號(hào)、預(yù)留手機(jī)號(hào)等信息。有了這些信息，詐騙組織中的“技術(shù)工種”就可以通過(guò)尋找銀行網(wǎng)上支付、第三方快捷支付、無(wú)卡裸扣等支付漏洞，將盜取的銀行卡信息在網(wǎng)上進(jìn)行盜刷或轉(zhuǎn)賬了。

很顯然，相比于簡(jiǎn)單的信息倒賣，這種方式更加需要技術(shù)實(shí)力和成體系的組織，因而危害也更大。

我的信息我做主？

在知道了你的信息是如此的值錢后，也許你對(duì)“自己的身體才是最值錢的”這句話有了新的認(rèn)知（個(gè)人體貌特征等都是個(gè)人信息）。但是既然值錢，那就不可避免涉及歸屬和處置的問(wèn)題，也就是說(shuō)：所有和我有關(guān)的信息，都是屬于我、可以由我處置么？

目前，我國(guó)關(guān)于個(gè)人信息保護(hù)相關(guān)的法律規(guī)定，散落在《民法通則》、《網(wǎng)絡(luò)安全法》、《消費(fèi)者權(quán)益保護(hù)法》等各法律中，尚且還沒(méi)有統(tǒng)一的《個(gè)人信息保護(hù)法》出臺(tái)，也缺乏對(duì)于“個(gè)人信息權(quán)”的準(zhǔn)確界定。

但是，歐盟的《統(tǒng)一數(shù)據(jù)保護(hù)條例（GDPR）》給了我們非常好的參考。GDPR在個(gè)人信息保護(hù)領(lǐng)域的嚴(yán)厲性和廣泛適用性給了全球其他國(guó)家非常好的示范。

GDPR將個(gè)人數(shù)據(jù)保護(hù)納入人權(quán)范疇，以人權(quán)至上為保護(hù)原則。根據(jù)有關(guān)條款，數(shù)據(jù)主體作為數(shù)據(jù)的權(quán)利人，有以下幾種權(quán)利：

第一，知情權(quán)，即數(shù)據(jù)的控制者（如各網(wǎng)站和APP）必須得簡(jiǎn)單明了的告訴用戶，用戶們的數(shù)據(jù)是如何被收集處理的。

第二，訪問(wèn)權(quán)，即用戶可以瀏覽、確認(rèn)自己在該網(wǎng)站（APP）上的個(gè)人數(shù)據(jù)。例如用戶可以查看在購(gòu)物網(wǎng)站上的瀏覽“足跡”，且數(shù)據(jù)控制者不能因此項(xiàng)服務(wù)對(duì)用戶收費(fèi)。

第三，反對(duì)權(quán)，用戶有權(quán)拒絕數(shù)據(jù)控制者基于其合法利益處理個(gè)人數(shù)據(jù)，也有權(quán)拒絕基于個(gè)人數(shù)據(jù)的營(yíng)銷行為。也就是說(shuō)，理論上如果用戶反對(duì)，企業(yè)不能通過(guò)對(duì)用戶的分析進(jìn)行“精準(zhǔn)推送或營(yíng)銷”。

第四，限制處理權(quán)，當(dāng)用戶提出投訴時(shí)（例如針對(duì)數(shù)據(jù)的準(zhǔn)確性），可以限制數(shù)據(jù)控制者不再對(duì)該用戶數(shù)據(jù)繼續(xù)處理。

第五，反自動(dòng)化決策，若數(shù)據(jù)控制者和處理者通過(guò)自動(dòng)化處理（包括畫(huà)像）作出決策影響了用戶時(shí)，用戶可進(jìn)行拒絕。

第六，數(shù)據(jù)被遺忘權(quán)（刪除權(quán)），即用戶有權(quán)要求刪除有個(gè)人有關(guān)的留存信息。放在互聯(lián)網(wǎng)語(yǔ)境下，就是要允許用戶注銷、刪除各種賬戶。

第七，數(shù)據(jù)可攜帶權(quán)，用戶將其個(gè)人信息從一個(gè)信息服務(wù)提供者轉(zhuǎn)移至另一個(gè)信息服務(wù)提供者。例如，用戶可以將其Facebook中的各種照片和資料轉(zhuǎn)移到Instagram上，而在這個(gè)過(guò)程中，F(xiàn)acebook不僅不能干涉，還要配合用戶提供服務(wù)。

當(dāng)然，以上這些僅僅是簡(jiǎn)要的解釋，實(shí)際中還會(huì)有一些例外情況。同時(shí)，GDPR號(hào)稱“最嚴(yán)數(shù)據(jù)保護(hù)條例”，其他國(guó)家包括我國(guó)在對(duì)個(gè)人信息保護(hù)立法中，并非是對(duì)GDPR保護(hù)條例的照搬，而是作為參考。

絕對(duì)嚴(yán)格的監(jiān)管帶來(lái)的是企業(yè)合規(guī)成本的飆升，GDPR通過(guò)復(fù)雜的連鎖反應(yīng)，對(duì)歐盟數(shù)字經(jīng)濟(jì)產(chǎn)生了重大的影響。事實(shí)上，數(shù)據(jù)嚴(yán)監(jiān)管的負(fù)面效應(yīng)已經(jīng)顯現(xiàn)，中國(guó)信通院發(fā)布的《全球數(shù)字經(jīng)濟(jì)新圖景（2019年）》顯示，2018年美國(guó)數(shù)字經(jīng)濟(jì)規(guī)模達(dá)到12.34萬(wàn)億美元，中國(guó)保持第二大數(shù)字經(jīng)濟(jì)體地位，規(guī)模達(dá)到4.73萬(wàn)億美元，其他各國(guó)則顯著落后于中美?？梢钥吹?，歐盟在這波數(shù)字經(jīng)濟(jì)浪潮中，已經(jīng)顯著落后于中美。

盡管如此，安永的一份調(diào)查報(bào)告顯示，亞太區(qū)金融機(jī)構(gòu)普遍都預(yù)計(jì)各國(guó)會(huì)像GDPR看齊，調(diào)整相關(guān)法律法規(guī)。從這個(gè)方面來(lái)講，即便國(guó)內(nèi)現(xiàn)在沒(méi)有法律對(duì)上述信息主體權(quán)利作出規(guī)定，也有希望在未來(lái)真正實(shí)現(xiàn)“我的信息我做主”。

先保護(hù)自己的身份免遭盜用

鑒于個(gè)人信息的保護(hù)如此重要，每個(gè)人都希望找到一些簡(jiǎn)單又行之有效的方式，以避免自己成為被盜用身份的受害者。但是事實(shí)上，在個(gè)人信息的使用上，安全和便捷歷來(lái)是此消彼長(zhǎng)的狀態(tài)，技術(shù)的發(fā)展可以帶動(dòng)兩者的同步提升，卻無(wú)法消除兩者之間的矛盾。

在我們享受到如此便利的互聯(lián)網(wǎng)服務(wù)時(shí)，就必然會(huì)一定程度上讓渡個(gè)人信息的安全。公共討論中的“互聯(lián)網(wǎng)時(shí)代，隱私已死”其實(shí)一定程度上是“用便利換隱私”的結(jié)果。

但是當(dāng)互聯(lián)網(wǎng)成為一種公共服務(wù)，每個(gè)人都缺少不了的時(shí)候，顯然需要政府（立法）出面解決信息過(guò)度使用的局面。最小采集理念在發(fā)達(dá)國(guó)家已經(jīng)被普遍采納，國(guó)內(nèi)的公權(quán)力機(jī)構(gòu)和企業(yè)如何遵守這一底線，顯然是一個(gè)值得思考的問(wèn)題。

但是對(duì)于個(gè)人而言，當(dāng)我們身處這樣一個(gè)既定的信息時(shí)代中，最起碼可以先注重自己的行為，保護(hù)身份信息免遭盜用。

首先，不要把明顯的各類紙質(zhì)信息隨意丟棄，例如銀行單據(jù)、快遞信息等。保管好所有和自己有關(guān)的文件記錄，當(dāng)不要的時(shí)候，要及時(shí)銷毀。

其次，牢記所有賬號(hào)密碼，盡量不要所有平臺(tái)用統(tǒng)一的賬號(hào)密碼登錄。如果實(shí)在難以記住，可以試著通過(guò)可加密的方式記錄。

最后，每年至少去央行征信中心或銀行等機(jī)構(gòu)查詢一次自己的征信報(bào)告，確保自己沒(méi)有“被貸款”或“被法人”。

本文為專欄作者授權(quán)創(chuàng)業(yè)邦發(fā)表，版權(quán)歸原作者所有。文章系作者個(gè)人觀點(diǎn)，不代表創(chuàng)業(yè)邦立場(chǎng)，轉(zhuǎn)載請(qǐng)聯(lián)系原作者。如有任何疑問(wèn)，請(qǐng)聯(lián)系editor@cyzone.cn。