本文共字，预计阅读时间。

用户数据遭泄露，网络订单被修改，场景化诈骗令人防不胜防，个人数据“黑市”交易猖獗，“裸奔”的信息该如何安放？，解码新金融，为您解读。

本期嘉宾：

葛健： 360手机卫士安全专家

李继泉：北京市君邦律师事务所创始合伙人 

以下为文字实录：

网络交易平台的数据是怎么被泄露出去的？葛健：个人信息泄露已经成为诈骗的重要利用手段之一，这种诈骗的途径有以下几点。第一，所有可能跟用户信息相关的公司对数据的监管不严，通过所谓的公司内部人员随意把数据拷贝出来进行贩卖。第二，很多网站对用户信息进行保护时，技术方面没有做到对数据的加密，网站存在漏洞，被专门做网站攻击的黑客利用。黑客攻击这些网站后，可以拿到网站所有的用户信息然后贩卖。第三，木马窃取隐私。现在不论是在电脑还是手机上，很多木马恶意程序盯着用户的个人隐私，比如有些木马专门窃取用户的短信或者通讯录，称为短信窃取码；还有一种木马专门窃取账号，比如它会模仿银行或第三方交易支付平台，在用户打开时让用户填写登录的账户信息，比如账号密码，甚至是虚假账号的填写交易。

第四，与用户的日常使用习惯相关。例如，在公众场合出现模仿公众WiFi的恶意WiFi，用户连接后，用户在网络的访问、进行的交易、账户信息都会被窃取。用户在参加一些活动时，下载或者是注册的时候，都会需要填写个人信息，比如账户、手机号，甚至有些要求更多，在数据时代诈骗人员只要获取了这些信息就可以追踪到用户的其他相关信息。这其实是用户在平时容易疏忽的一点。

骗子是怎么进入到电商平台主页修改订单信息的？葛健：骗子利用官网，诱导用户到他专门修改的页面里去看。修改页面就是个人编辑，只要登录用户的账户任何人都可以进行编辑。在编辑过程中，页面中原来是地址内容的部分，骗子填上其他的信息让用户看到。在诈骗过程中，用户看到的联系客服，订单存在的问题，客服号、手机号，需要访问的网页，转账等信息都在这里生成，由骗子填写。当用户点入骗子提供的网页就进入了钓鱼网站，钓鱼网站要求用户填写银行卡号、支付密码、预留手机号，骗子掌握这些信息后就可以任意修改。随后，骗子会让用户填写随机数，也就是用户需要输入的短信验证码，这是诈骗里的一个重要环节，当随机数填写上去后这个交易就完成了。

网络交易平台是否该担责？李继泉：判断电商是否有责任，首先要判断平台在用户数据的泄露，被侵入订单和修改客户，客服的信息是否存在着过错，或者是不当的行为。具体来讲，侵权的网络用户在利用网络服务实施侵权行为的时候，被侵权人是否把这个消息通知到了网络服务的提供者，作为网络提供人是否采取了删除、屏蔽、或者断开连接等必要的措施。如果网络服务提供人接到通知后没有采取必要的措施，造成扩大部分的损失，这时网络服务提供人和侵权者就扩大的这部分损失有一个承担连带责任的风险。网络服务提供人如果采取了必要的措施，是不需承担责任的。在这种情况下，网络提供人其实还有一种责任，侵权人在利用其网络实施侵害他人的财产权、名誉权、隐私权等民事权益行为时，网络提供人知晓但没有采取措施，则需要和侵权人承担一个连带责任。那怎么来确定？就存在着举证责任的划分问题，如何来划分这个举证责任，作为网络交易平台来讲，要对个人的信息采取一种严格的保密，不得篡改，不得泄露，不得毁损，不得出售，不得非法向他人提供。消费者权益保护法也有明文规定，经营者和他的工作人员在搜集到消费者信息的时候要做到严格保密，不得泄露。在这件事情上就要断定是否是由网络提供人泄露用户信息，或者他提供了用户信息给他人。

关于删除用户操作日志的问题，首先作为平台的用户本身来讲，他们之间要形成一个相对的纠纷机制，他是否能够证明这个平台删除了他的日志。如果用户证明不了，根据现在法律上的民事责任原则——举证倒置，由对方提交证据，证明其是否有侵权行为存在。

个人信息“黑市”交易为什么猖獗？葛健：“黑市”交易有多个环节，有专门的洗料人，也就是去窃取信息的人，然后再过手到中间商环节，再从中间商过手，环节涉及很多。这些环节互相没有交集，参与人员并不认识，都是在互联网上进行。这些产业链，在流通环节抓获很难，获取到信息后，追查其账户也非常难，多数是虚假信息，造成其身份隐藏很好不易暴露，所以造成现在“黑市”交易非常猖獗。李继泉：其实现在最重要一个原因是网络发展非常迅速，作为立法或者是执法层面来讲，第一个就牵涉到监管主match体，谁来去具体做这个事情，谁有执法权，包括办案权由谁去做，同样还是缺乏一些操match作的细节，应该从行政法规还是行政法的角度，还是民事的角度分析，具体措施有点相对滞后，导致现在个人信息的交易虽然非常猖獗，却有点束手无策。

如何甄别“钓鱼网站”？葛健：做假的网站，比如钓鱼网站，首先从网址域名识别，比如亚马逊这个域名，一般假的网站尤其这个事件里假网站的域名非常明显，链接不一样，这是非常直接的。但是现在骗子也会在链接上做手脚，比如冒充银行或者运营商，通过伪基站发送短信；或者在购物的网站域名上做一些手脚，比如10086的网站，可能在“1“”改成大写的“L”，“0”改成“O”，这些不仔细看识别不出来。页面同样也会被做手脚，骗子做假网站都有模板，从外面看这些假的退款网站或直接网购交易的网站和真的差不多，做的越来越细，其实是在页面中加了一段代码，用这段代码套取用户的账户信息。识别网站时不要只看网站的整体布局，还要看它需要获取的信息。钓鱼网站一般通过让用户填写账号、密码套取信息，我们知道真正的官方网站不会支付时需要用户支付密码，因此，如果遇到退款或者其他相关的，需要用户登录账号，包括银行卡相关信息的时候，一定是有问题的，因为这些信息都是官方网站知道而骗子不知道的。另外，交易时，判断是否为“钓鱼网站”，注意是不是官方收款的账户，如果跳转到个人账户，这种来源的网址一定要注意。

如何把握个人信息公开的度？葛健：首先要看提供这个信息在用户的使用上是不是必要的。比如说参加一个活动，可能只要填写姓名、手机号就可以了。但是如果还要让用户提供身份证号，甚至下载应用绑定银行卡号，这时就要谨慎。在个人公开权限的时候，有些信息可能真的是在使用时必须提供的，但我们要把这个度把握好。在钓鱼网站里，它就是会需要我提供帐号、密码，有些比较小的网站不安全，可能就明文保存，在用户提供了之后，这些信息全都会给泄露出去，这时用户可以找一些不常用的号码，把个人信息做一个等级划分，例如金融交易，涉及到钱的，不管帐号或者密码，设置称高级别。

如何防止个人信息泄露？李继泉：大数据飞速发展，法律相对滞后，而且它总是归纳出一些规律后形成规则。一方面，其实作为商业数据的用户数据获取者其实主要是平台，作为平台来讲要提高对于数据的安全性和使用性的审慎性。新的网络安全法有规定，比如基础数据、金融数据、国家安全数据，牵扯到国际民生的数据，这些数据都不能轻易地作迁移、扩散，或者是允许别人使用。另一方面，作为用户在数据的被获取或者有偿使用，无偿使用数据的时候，也要考虑到牵扯别人隐私，或者单位生死攸关的数据，在运用数据的时候，要保持现有的法律框架体系内的服从和遵守。

[Source]

本文系未央网专栏作者发表，属作者个人观点，不代表网站观点，未经许可严禁转载，违者必究！