钟睒睒等企业家手机号遭泄露,数字时代如何应对个人信息“裸奔”风险?

21世纪经济报道 记者钟雨欣 北京报道

5月14日,据媒体报道,探客查、励销云两家平台大规模出售企业家个人信息,包括农夫山泉创始人钟睒睒、蜜雪冰城实控人张红甫等,且销售人员声称数据来源与三大运营商合作。

随后,中国移动、中国联动、中国电信均否认售卖用户个人信息。14日下午,探客查已显示服务异常。15日,21世纪经济报道记者以个人手机号注册励销云账号,随后收到其工作人员来电介绍业务,当被询问到企业家个人信息数据来源是否合规时,该工作人员表示“数据肯定是合规的,是从公开网站上搜集的”。

受访律师表示,平台大规模搜集、售卖企业家电话号码的行为可能面临民事责任和行政处罚。此外,从刑事角度看,涉嫌构成侵犯公民个人信息罪。公开的数据来源不代表授权爬虫爬取,如果是以非法爬虫、非法撞库等手段获取个人信息,还可能构成破坏计算机信息系统罪。

多位企业家个人信息遭泄露,980元包年可查

探客查官网介绍称,其是“利用大数据技术帮助销售快速核验企业关键人(公司法人、董事、股东、经理等高管身份)精准获客的企业数据系统”。据媒体报道,该平台宣称拥有“2亿+企业数据库”和“10亿+线索联系方式”,提供包年服务980元,每月可查询5000条企业信息,按最大查询量计算,每条企业家信息售价为0.016元。

农夫山泉创始人钟睒睒、蜜雪冰城实控人张红甫、蔚来汽车联合创始人秦力洪等多位企业家的个人信息,均能够在探客查平台查询到。目前,该网站已无法提供服务。

励销云官网显示,其能够提供“找客—筛客—管客再到沉淀数字资产”服务,号称“拥有3亿+企业数据,3000万+日更新数据,企业信息完善度95%以上”。此外,励销云还强调了其为“腾讯战略投资企业”。

根据腾讯方面的回应,腾讯对励销云占股不到 9%,不参与公司的日常运营,对兜售行为并不知情。

记者关注到,2023年5月,上海数据交易所微信公众号发文称,励销云在上海数据交易所完成了“励销搜客宝”系列共7个数据产品挂牌。为企业提供“企业工商全景查询”“企业经营详情查询”等数据。文中还提到,“励销搜客宝”数据来源均为国内网站公开数据。

5月15日,记者以个人手机号注册励销云账号,随后收到励销云工作人员来电介绍业务,当被询问到企业家个人信息数据来源是否合规时,该工作人员表示“数据肯定是合规的,是从公开网站上搜集的”。

据媒体报道,探客查和励销云的销售人员提及,在数据来源方面与三大电信运营商有合作。对此,中国移动回应称不会售卖任何用户个人信息,一直以来高度重视客户个人信息保护工作。中国联通表示,绝对不存在对外泄露或出售企业家手机号的行为,公司管理制度严禁泄露个人信息。中国电信回应称,经核查,未发现与探客查、励销云有数据合作。

浙江垦丁律师事务所合伙人李晋沅在接受记者采访时表示,上述平台大规模搜集、售卖企业家电话号码的行为可能面临民事责任和行政处罚。此外,从刑事角度看,可能违反刑法第二百五十三条之一规定,涉嫌构成侵犯公民个人信息罪。从数据来源看,公开的数据来源不代表授权爬虫爬取,如果为人工整理,需要有相应的证据。如果是以非法爬虫、非法撞库等手段获取个人信息,还可能构成破坏计算机信息系统罪。

值得一提的是,据媒体报道,两个平台在展示企业家手机号对应的姓名时,均隐藏了相关字段,如显示为“钟**”“秦**”,销售人员表示以此“规避法律风险”。但结合支付宝转账等方式,仍能够查询到对应的实名信息。

“将手机号与姓名在一起展示的行为,本身就不足以实现所谓的‘规避法律风险’。”李晋沅结合个人信息保护法、网络安全法和民法典相关规定指出,现行匿名化的法律标准可总结为两点,其一,匿名化处理后无法识别到特定主体;其二,匿名化后的数据不可被复原。

“即使是经过匿名化处理的个人信息,也可能通过与其他信息相联结或者应用新兴识别技术而再次连接至特定个人,即再识别风险。随着社会发展和时间推移,能够与匿名信息相结合的公开信息将不断增加,再识别风险是难以回避的,且发生的概率会日益增加。”李晋沅提示。

数字时代下,如何避免个人信息“裸奔”?

不少人担忧,数字时代下,个人信息面临“裸奔”风险。而曝光度大、常处于聚光灯中的名人,则更容易被人“盯上”。例如,乒乓球运动员樊振东、艺人杨迪都曾发文称自己遭遇了个人信息泄露,自己或家人收到了大量电话骚扰。

2023年12月,浙江杭州公安通报了一起“倒卖明星网红身份信息”案件,侵犯公民个人信息的黑客韦某19岁,依据境外社交平台提供的“个人信息库”源代码接口,自制可以自动进行收费交易的“机器人”以大量转发至各类社交群。警方查获公民个人信息80余万条(包含大量明星、网红信息),冻结资金5万余元。据了解,韦某半年时间已经获利50多万元。

2023年8月,广东佛山市南海区人民法院通报,自2019年起,陈某等5名高铁站员工利用职务便利,查询及出售演艺明星搭乘高铁的行程信息或者乘客居民身份证号码等个人信息,林某等3人则将这些信息加价转售,共获利56万多元。最终该院以侵犯公民个人信息罪,判处8名被告人有期徒刑九个月至三年八个月不等。

绿盟科技解决方案部高级总监施岭表示,黑灰产目前已经逐步形成了一条完整的产业链,窃取个人信息的手段层出不穷。比如,通过钓鱼信息获取个人信息。伪造受害者常用网站或者常用APP,并且诱导其点击或者登录,从而获取账户密码以及其他数据。

同时,“内鬼”成为了个人信息泄露源头。在通信、外卖、快递、房地产等关键行业中,“内鬼”可能借职务便利非法获取客户手机号码和验证码再出售。此外,黑灰产团队还可能利用网站或系统本身存在的漏洞盗取个人信息。

“个人信息处理者应当采取相应的措施防止个人信息泄露、篡改和丢失。”施岭举例,个人信息处理者可以将原始数据通过特定的算法转换成一段不可读的代码,即密文,只有拥有相应密钥的用户才能解密并读取原始数据。这种转换过程能有效防止未经授权的访问和数据泄露。此外,匿名化、去标识化也是常见的技术手段。

“在数字时代,公众更应在日常生活中提高个人信息保护意识。”施岭提示,比如,“剪刀手”等照片可能泄露指纹信息,不应在社交平台上随意发布。虽然目前的指纹提取条件较为苛刻,相机的分辨率、成像角度、拍照的光线都有一定的影响,但是通过照片盗取指纹在技术上是可行的。而指纹信息可制作成指纹膜进行身份识别,用于指纹解锁、指纹支付等实施诈骗。

另外,使用家庭智能摄像头、公共Wi-Fi时也应谨慎,不法分子可能利用智能摄像头安全漏洞窃取隐私、利用“免费Wi-Fi”设置成诱饵窃取个人信息。