数据安全四大典型问题及事件梳理

朱梅胤
本文对数据贩卖、数据垄断、数据窃取、数据泄露等典型问题进行完整梳理。

编者按:滴滴上市以及引发的一系列监管事件,映射着近年来国内互联网平台存在数据安全漏洞、滥用数据等乱象。数字技术促使数据应用场景和参与主体日益多样化,数据安全的外延不断扩展,数据安全治理面临多重棘手困境。
 
结合当下备受瞩目的数据安全问题,零壹智库将完整梳理中国数据安全的现状、监管政策及趋势,并对数据安全问题相关的一些关键产业和技术领域,包括网络安全、隐私计算、征信等领域进行发展脉络、对策和机遇解读。

摘要
 
√ 目前,数据贩卖已成为大数据产业的灰色地带,个人信息倒卖黑市猖獗,对个人人身财产甚至是生命安全都造成了极大危害。
 
√ 各个互联网平台利用数据在追求利益最大化的同时,也引发了个人信息滥采滥用程度加重、数据垄断乱象频发的数据安全风险。
 
√ 随着信息技术的迅速发展,获取违法数据的技术手段逐渐提高以及获取工具的革新,门槛也相应降低,给予了很多不法人员对于数据窃取的可乘之机。
 
√ 各种网页、应用要求访问及获取的数据信息过多,同样会为不法分子提供机会,带来数据泄露的问题。
 
√ 目前在数据安全这个领域,无论是企业还是监管机构有还有很大的发展空间。

出品 | 零壹智库
作者 | 朱梅胤 
 
一、数据贩卖:大数据产业的灰色地带
 
随着信息技术的发展,个人数据变得愈加重要,对自己来说个人数据就如同本人身份识别,但也很有可能成为被他人利用的武器。在纪录片《监视资本主义:智能陷阱》中提到:“如果你没有为某个产品付费,那你自己本身就是产品”。换而言之,现如今使用者在享受科技时代的各种产品时,却不知自己的身份正在被“贩卖”。
 
目前,数据贩卖已成为大数据产业的灰色地带,个人信息倒卖黑市猖獗,对个人人身财产甚至是生命安全都造成了极大危害。
 
2020年11月,圆通速递被曝出有多位“内鬼”有偿租借员工账号,导致40万条公民个人信息被泄露事件。新京报记者从知情人士获悉,涉案的为五位圆通员工,被泄露的信息中包括发件人地址、姓名、电话以及收件人电话、姓名、地址。随后,圆通发布声明进行道歉,并表示此次案件,再次敲响了信息安全风险的警钟,将持续完善信息安全风控系统和个人数据安全防护。
 
实际上,数据贩卖问题,甚至早已形成一条地下黑色产业链。2020年5月份,江苏破获了一起特大贩卖公民个人信息案,涉案金额2100多万元,涉及公民个人信息5万多条。其中,某建行员工在这条数据贩卖黑色链条中发挥重要作用,自2019年6月份起开始,利用职务便利开始将相关银行卡使用人的身份信息、电话号码、余额甚至交易记录,售卖给下家,从而进行谋利。据这名员工供述,每查询一条银行卡相关信息,即可获利80至100元不等的报酬。
 
此前,公安部于京召开新闻发布会,发布会透露2020年全国公安机关破获窃取、贩卖人脸数据案件22起。此外,据2021年315晚会曝光,多地商家装有具有人脸识别的摄像头,在客户毫无知觉的情况下,偷偷收集海量顾客人脸信息,涉及万店掌、悠络客、雅量科技、瑞为等公司;智联招聘、前程无忧、猎聘网等多个招聘平台业存在泄露求职者简历并被贩卖的现象,进而形成 “黑色产业链”。
 
数据贩卖问题持续增加,但并非是近两年才出现。2017年3月,京东与腾讯的安全团队联手协助公安部破获的一起特大窃取贩卖公民个人信息案,其主要犯罪嫌疑人乃京东内部员工,盗取个人信息50亿条,通过各种方式在网络黑市贩卖。
 
如今随着数据安全防护等级提升,企业花费巨额资金保护数据不被外部盗取,然而因内部人员盗窃数据而导致损失的风险也不容小觑。此外,地下数据交易的暴利以及企业内部管理的失序诱使企业内部人员监守自盗,盗取贩卖用户数据的行为也应引起重视。
 
二、数据垄断:间接引起数字权利滥用
 
随着数据安全内涵的延伸和扩大,对数据合法合规的收集使用也成为了数据安全的重要组成部分。当前,由于各互联网平台的业务大都由数据驱动,商业推广、精准营销、产品迭代等业务都离不开个人数据收集这个核心。各个平台利用数据在追求利益最大化的同时,也引发了个人信息滥采滥用程度加重、数据垄断乱象频发的数据安全风险。
 
2019年2月6日FCO(德国联邦卡特尔局,德国的反垄断监管机构)对Facebook涉嫌滥用市场支配地位行为做出处罚。在这起案件中,德国联邦卡特尔局认为Facebook通过用户协议条款,迫使Facebook用户同意公司收集和使用用户在其他平台(包括WhatsApp、Instagram平台以及嵌入Facebook插件的第三方网络平台或手机APP)的数据,构成垄断行为。并要求Facebook在未来四个月内调整其服务条款和数据处理活动,提交FCO并接受检查监督。如果Facebook打算继续从社交网络外部收集数据并在未经用户同意的情况下将其合并到用户账户中,则严格控制采集的数据的处理活动,随后Facebook提出上诉。案件最终在2020年6月23日,德国最高法院做出裁定,支持FCO对Facebook滥用市场支配地位的认定以及限制其对个人数据进行处理的相关决定。
 
不仅仅是Facebook,如今越来越多的APP出现强制授权、过度索权等数据垄断行为。同时基于数据垄断优势进行“二选一”、“大数据杀熟”等,侵犯消费者权益的行为也层出不穷。
 
2019年3月27日,随着北京市消协召开“大数据杀熟”问题调查结果新闻发布会,关于大数据“杀熟”的问题终于白纸黑字被正式搬上权威台面。随着大数据“杀熟”体验调查名单的公布,飞猪、去哪儿网等平台存在不同程度的“大数据杀熟”情况。
 
随着类似案例与投诉的增加,2020年“大数据杀熟”、“二选一”事件再次将各互联网平台推向风口浪尖,而后市场监管总局等相关监管部门联合对美团、拼多多等平台企业进行约谈。此外,网信办与市场监管总局、税务总局联合召开互联网平台企业行政指导会,指出信息泄露、强迫实施“二选一”,进行“大数据杀熟”等问题必须严肃整治,并要求各平台向社会公开《依法合规经营承诺》。
 
为预防和制止平台经济领域垄断行为,2021年2月7日,国务院反垄断委员会制定发布《国务院反垄断委员会关于平台经济领域的反垄断指南》,强调反垄断法及配套法规规章适用于所有行业,对“二选一”、“大数据杀熟”等数据垄断问题也做了相关界定。
 
数据垄断将会间接引起数字权利滥用的问题,或将威胁到国家安全。因此,应当将进一步通过高额惩罚等手段对其进行约束。
 
三、数据窃取:网络爬虫相关的违法案例大增
 
2018年8月份,浙江绍兴侦破一起特大流量劫持案,涉案的新三板挂牌公司北京瑞智华胜科技股份有限公司,涉嫌非法窃取用户个人信息30亿条,涉及百度、腾讯、阿里、京东等全国96家互联网公司产品。用户在网上搜了什么、去哪儿、买了什么等这些隐秘信息,均被该犯罪团伙掌握,进而投放广告等用于商业目的,据了解,仅投放广告该公司每个月至少获利100万元。最终,在阿里巴巴安全部举报线索并全力协助下,警方一举将此案破获,2019年法院公开宣判处罚罚金人民币1000万元,7名被告人分别判处3年6个月至2年不等刑期,并处罚金。
 
2021年6月河南商丘公开了一份判决书,显示商丘市某本科生自2019年11月起,就对淘宝实施了长达八个月的数据爬取并盗走大量用户数据。在阿里巴巴注意到这一问题前,已经有超过11.8亿条用户信息遭到窃取。另外的同伙利用这些信息建了1100个微信群,每个群90-200人不等,每天用机器人在群里发淘宝优惠券,赚取返利。
 
非法获取信息数据自互联网诞生以来便一直存在,“黑客”、不法人员通过技术手段入侵不同网站等数据源以获取信息数据,用于违法目的,甚至涉及到人身安全。随着信息技术的迅速发展,获取违法数据的技术手段逐渐提高以及获取工具的革新,门槛也相应降低。尤其是这几年“爬虫”技术的广泛应用,给予了很多不法人员对于数据窃取的可趁之机。
 
网络“爬虫”简单说,就是利用程序的运行实现自动的、高效的读取、收集网络数据。但由于数据性质的不同,就会造就非法爬取数据的可能。而这两年,非法爬取数据的案例大幅增长。
 
2017年“头条视频”的前总经理宋某、视频技术负责人侯某与新东家张某合谋,利用网页爬虫技术来获取今日头条的视频数据库。该案件也是全国首例“爬虫”技术非法获取计算机信息系统数据刑事案件,于2019年由北京市海淀区人民法院最终审结。
 
2019年3月份,北京警方侦破巧达科技非法获取计算机信息系统数据案,这家企业通过非法爬取用户简历并用于在网络上售卖。巧达前员工曾表示,巧达在多个网站上,建立了上千个企业账户,每天模拟人工操作访问智联招聘、猎聘等网站百万次。据悉,巧达科技非法获取的简历超过2亿条,而爬取的违法数据为巧达科技带来了过亿的收入。数量之大、牟利之巨,令人咋舌。最终公司法人等36人被检察机关依法批准逮捕。
 
实际上,关于网络爬虫数据窃取的违法案例远不止如此。以国内案件为范围,在通过北大法宝司法案例库全文搜索“爬虫”关键词,一共检索到案例与裁判文书604份;若以 “爬虫技术”关键词搜索,共检索到124份;若以“网络爬虫”全文搜索,共检索到案例与裁判文书88份。
 
以“爬虫技术”作为检索关键词为例,近年来的案例数量明显增多,审结年份截至2020年末,每年相关案例数量如下表所示。
 
表1 2013-2020年以“爬虫技术”关键词搜索的案例数(个)
数据来源:零壹智库、北大法宝司法案例库
 
同样以“爬虫技术”作为检索关键词,其案例和裁判文书按照其不同案由区分,具体数据如下。
 
表2 2013-2021年以“爬虫技术”关键词搜索的案例分类
数据来源:零壹智库、北大法宝司法案例库
 
网络爬虫获取数据最终是否构成数据窃取,主要取决于数据的合法性以及公开性。对于非法爬取网络数据的行为,也应当在政策上与技术上加强安全防护。
 
四、数据泄露:2020年全球数据泄露的数量超过过去15年的总和
 
2021年7月14日,在第二十届中国互联网大会数据安全论坛上,中国信息通信研究院安全所信息安全部主任魏薇表示,有研究机构统计,2020年全球数据泄露的数量超过过去15年的总和。这些数据安全的风险影响范围已经从个人、企业逐步辐射到产业甚至是国家,数据安全风险隐患非常突出。
 
当下科技与互联网氛围,各种APP、网页、应用内嵌小程序,都要求访问用户的位置、身份等不同信息。要求访问及获取的数据信息过多,同样会为不法分子提供可趁之机,带来数据泄露的问题。
 
2020年3月19日,有用户发现5.38亿条微博用户信息在暗网出售,其中,1.72亿条有账户基本信息。涉及到的账号信息包括用户ID、账号发布的微博数、粉丝数、关注数、性别、地理位置等。主要是自2019年起,微博相关个人用户数据一直遭到泄露。
 
2020年4月27日,联邦法院正式批准美国联邦贸易委员会(FTC)和Facebook之间的用户个人隐私问题和解协议,Facebook认罚50亿美元。2019年7月,FTC在对Facebook和剑桥分析公司滥用用户数据事件进行长期调查后,就相关问题达成了和解协议。
 
此次事件主要是因为Facebook的监管失误,使得内嵌于Facebook的剑桥研究员某个APP大量收集用户以及他们朋友的数据信息,最后利用这些数据信息,用于不法商业途径和政治途径。
 
而50亿美元的罚款是有史以来对侵犯隐私、泄露数据等行为对科技公司的最高罚款,或许用户数据信息在未来将会变得更“值钱”。
 
李彦宏曾说过“中国人为了方便,会原意牺牲一些个人隐私”。虽然用“中国人”来表达似乎有些以偏概全,但也能从侧面反映出目前用户端对信息的不重视,以及各应用对于用户信息数据收集的无理程度。
 
保证数据信息严密不被泄露是当下互联网企业不可忽视的一个环节,除了要求能够保证数据的全流程监控,加强目前现有风控体系之外,引入更多的新技术,打造更智能、更安全的风控系统也是必不可少的。
 
数据安全所存在的问题远不止如此,数据跨境流通、数据滥用、数据权归属、过度收集用户隐私等各种问题近年来在大大小小的案例中都有所体现。可以说,目前在数据安全这个领域,无论是企业还是监管机构有还有很大的发展空间。

相关阅读

1、5年政策梳理:数据安全的监管路径与体系建设
2、
数据安全监管升级:中概股的影响、挑战和应对
3、
数据安全治理背景下征信业发展

END.

剩余 50% 未读,点击登录,阅读全文

加关注 消息
文章:33 粉丝:2 总阅读数:253.4k
点击阅读更多内容

零壹智库研究报告

2013年至今,零壹智库累计发布超过40部新金融专业书籍、200份专题报告500份数据报告,并为数十家机构和政府部门提供了专业的新金融咨询服务;举办了超过30场行业峰会、20000多业内人士到现场交流,超过40场高端闭门会、1500余位业内高管 和专家参与探讨。零壹智库会员体系将在原有机构会员服务的基础上,推出个人VIP会员服务,旨在为新金融行业决策者、从业者和投资者提供专业化的知识、业务交流水平和资源开拓的能力。

报告需求或合作请联系: 132-6199-0570 marketing@01caijing.com 智库Pro报告购买与咨询: 请加客服小壹微信:lycj002


热门报告

TOP1
免 费
医疗科技案例|镁信健康:如何讲好“互联网+医+药+险”生态闭环的故事

医疗科技案例|镁信健康:如何讲好“互联网+医+药+险”生态闭环的故事

TOP2
免 费
海外创新案例 | Chime:美国价值最高的金融科技独角兽

海外创新案例 | Chime:美国价值最高的金融科技独角兽

TOP3
免 费
人工智能案例 | 地平线机器人:资本力捧的自动驾驶芯片独角兽

人工智能案例 | 地平线机器人:资本力捧的自动驾驶芯片独角兽

TOP4
付 费
零壹金融科技人才招聘系列报告(2021年Q2)

零壹金融科技人才招聘系列报告(2021年Q2)


相关推荐

全球保险科技独角兽及案例报告(完整版)
会 员

全球保险科技独角兽及案例报告(完整版)

海外创新案例 | Aurora:深耕无人驾驶领域,成立仅四年冲刺IPO
免 费

海外创新案例 | Aurora:深耕无人驾驶领域,成立仅四年冲刺IPO

“零售新王”平安银行2.0时代:AUM近3万亿,手机银行贡献度下滑
免 费

“零售新王”平安银行2.0时代:AUM近3万亿,手机银行贡献度下滑

海外创新案例 | Ualá:有实体卡的阿根廷“支付宝”
免 费

海外创新案例 | Ualá:有实体卡的阿根廷“支付宝”


耗时 145ms