京东“泄密门”背后：地下买卖不绝信息泄露不止

扫描分享

本文共字，预计阅读时间。

爆发在“双十二”之前的京东“泄密门”，还很难说是京东的又一次躺枪，还是有人刻意为之，尽管京东随后也做了回应声明，但其背后反映出互联网安全漏洞的问题，值得深思。

刚刚过去的周末，京东被曝有12G的用户数据在黑市被交易。而曝光的所谓京东被交易的数据，在当事人——京东的声明中，已言明是源于2013年的一起互联网企业大范围的信息泄露。

一时间，该曝光事件的网络热度迅速飙升，不管事件最终处理情况如何，但对每个用户来说，更多的是担心自己的个人信息是否被卖，账户是否安好。

人人都在网络中“裸奔”用隐私换取便利

伴随着京东“泄密门”的发生，近日还有媒体曝光的另一个事件，令人十分关注。该媒体记者在网上只花700元就买到了同事的所有隐私信息，包括开房记录、名下资产、乘坐航班，甚至网吧上网记录信息，只要付钱，就可以轻易被查到，而且声称7天×24小时不间断服务。更可怕的是，竟然有第三方软件为这样的服务提供担保，整个交易已跃升到了“平台化”的地步。

客观来看，在目前开放的互联网环境下，每个用户想保护自己的隐私是比较困难的。互联网和智能设备已经改变了我们连接社会的生活方式，我们的吃穿住用行，几乎都通过手机登陆各种APP来完成，如果完全舍弃互联网，对于绝大多数人来说是不可能的。

从某种意义上说，我们用自己的个人隐私信息，换取了互联网生活的便利。在遭遇黑客攻击或者互联网平台内部有人泄露信息时，我们的个人信息就会被扒掉“皇帝的新衣”，呈现在别人面前。可惜的是，像支付宝、京东这样的互联网企业都难以避免用户信息泄露，那些新兴的互联网金融平台的系统安全就更加令人忧心。

今年上半年，有互联网安全平台发布了《2016年第一季度互联网金融行业网络安全报告》（以下简称“报告”），其中指出，通过采样336家互联网金融平台，发现样本中，网络安全良好率为54%，刚刚过半。有业内人士表示，信息泄露风险、薅羊毛和拒绝服务等问题成互联网金融行业主要安全风险。其中信息泄露风险包括平台域名未进行隐私保护，使得任何人都可公开查询到用户信息，以及第三方平台发布的安全漏洞和经常受到web攻击。报告指出，在报告制作期间，近90天内共发现208条第三方安全社区上的安全漏洞记录，平均每个公司30天内被披露1.5个漏洞。

黑色利益链条催热数据买卖

在动物保护领域，有句著名的广告语叫“没有买卖就没有杀害”，套用到互联网用户信息泄露上就是“没有需求就没有买卖”。遗憾的是，地下市场对用户个人信息的需求，有增无减，这就使得信息买卖不仅屡禁不止，反而愈演愈烈。

深8君周围的朋友，有一天突然收到某共享单车平台发来的促销短信。朋友疑惑，自己从未登陆或者下载过该平台的网站或者APP，没有发送过自己的个人信息给这个平台，平台又是从哪得到自己的手机号的呢？

类似这样的事情，早已屡见不鲜。黑客或者企业“内鬼”盗取的数据不会自己直接用来盗取用户资金，而是转卖，并因此形成庞大的黑色利益链条。

例如今年10月，“某上海第一阵容互联网金融公司数据，超百万份客户资料，打包价95万元”的消息在业内各大微信圈转发，引起关注。据广州互联网金融协会会长方颂透露，随着互联网金融的高速发展，我国互联网金融用户人数已经超过5亿，这5亿的用户信息除了自然人姓名、出生日期、身份证件号码、住址等外，还涉及到用户手机、银行账号、资金流转的个人关键财务信息，互金企业的用户信息商业价值更加直接，已成为盗取倒卖用户信息不法分子伸手的重地，并已形成黑色利益链。

盗取来的信息，去处大致有三类：电信欺诈、商业推销、大数据公司。前两类大家都不陌生，上面朋友遇到的情况就是个人信息被卖给了那家共享单车平台，其它如保险推销、理财产品、房产推销，以及向老人推销保键品等，大家都不陌生。而大数据公司，因为不会与普通人产生直接关联，人们很难有直观的感受。

目前有一些所谓的大数据公司，可以通过各种渠道获得用户数据，再通过数据拼接，形成大数据库，然后封装成查询接口向外出售，而这都是有着合法的外衣的。业内人士介绍，数据在经过这些大数据公司拼接之后，形成了一个威力更加强大的数据库，能够把一个人关联拼接出一个宽表，而这个宽表可能会涉及当事人多项隐私数据，从收入到房产、社保、亲属关系、照片、银行卡余额、贷款记录、近期活动位置、常用手机设备、家庭详细住址、网购记录、账号密码。然后分开或完整出售单条数据，每条售价可达几百元。这个收入十分惊人，而且每条数据都可重复出售，定期更新出售。

数据是核心取之需有道

正是有着强烈的需求，用户信息泄露才会愈加猖獗。

互联网时代，一切皆可数据化，而数据即核心竞争力，也成为互联网公司的共识。对互金企业来说，大数据不仅关乎平台规模的增长，更关系着平台风控的成效。

互联网企业获取数据需要合规合法，一切通不合法途径获得的用户数据，将涉嫌刑事犯罪。2015年，《刑法修正案（九）》第十七条将刑法第二百五十三条之一修改为“侵犯公民个人信息罪”。该法条规定：

违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。

窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。

单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。

国家有关部门对公民个人信息买卖行为进行立法约束，为维权提供了法律依据。但在具体实践中，由于很多数据交易是地下进行，监督起来并不容易，而受害人的维权过程又十分漫长。所以，想要不因个人信息泄露而蒙受损失，一方面，我们自己要提高安全意识，少登陆注册不明网站、APP，以减少个人信息泄露的风险，另一方面，则是寄希望于掌握大量用户信息和对数据有需求的企业，守住道德底线，通过合法途径收集、整理、调研数据，切忌侵害公民个人信息，防止刑事法律风险。

本文系深8互联网金融作者原创，微信号shenbahujin