你的隐私正在被明码标价

　　你的隐私数据正在裸奔，而这背后，则是一个庞大的产业链：一个身份证，可以让你所有的个人信息都暴露出来，随后数据进入一环环的链条……

　　作者 |陶婷

　　编辑 | 孙春芳

　　隐私数据是什么？

　　热播韩剧《黑暗荣耀》中，有一个片段是这样的：为了复仇，女主人公文东恩，让孙明悟帮她拿到了李莎拉的买毒品账单，还有崔惠廷拼命想搞定的金龟婿的背景。买货账单、个人背景，诸如此类信息，便是隐私数据。

　　现实生活中，隐私数据被偷窥，被分析，然后被推销，被骚扰的情况层出不穷。2021年3月15日，央视“3·15”晚会曝光了倒卖简历现象：你只需要花费7元，就可以在网上购得求职者简历。简历上，求职者的姓名、性别、年龄、照片、联系方式、工作经历、教育经历等信息一应俱全。

　　两年后的2023年3月15日，央视3·15晚会又出手了。这一次，是部分破解版App，违法违规收集用户个人信息的问题。尽管破解App能够免费使用一些功能，但一些破解版APP被额外嵌入第三方插件，即SDK软件包。只要运行该破解版App，SDK包便能盗取用户手机里的个人信息。

　　这仅仅是隐私数据泄露的冰山一角。针对“是否遇到过信息泄露”这一话题，有媒体还调研了880名车主。

　　其中，有41.8%的车主遭遇了“购车或办理汽车金融业务后收到关联推销信息、电话”的烦恼，有22%车主的个人信息被导购平台泄露，有17.3%的车主“在未被告知的情况下被人脸识别，个人信息被录入4S店或直营店系统”。

　　对于平台、商家和数据收集机构来说，这一条条只是数据，但对于被诈骗被骚扰者来说，这是一个又一个的大坑。

　　“老同学”坑了他50万

　　瑞东（男）并不是一个购物狂。这些年，他的消费都很克制，以至于各大购物平台中，瑞东常用的也只有京东和淘宝两家。但最近，他将淘宝App卸载了。

　　令他做出如此举动的，是一个陌生女人的来电。对方在电话中，不仅准确说出瑞东在淘宝上，什么时候买的什么牌子的花露水，价格是多少，就连他的姓名、手机号、收货地址都说得准确无误。

　　瑞东差点就相信了。因为，那个女人说的所有信息，与他的真实情况完全吻合。但好在，这个女人的骗术并不高明。她告诉瑞东，他已成为花露水的经销商，需要缴纳一定数目的保证金。

　　当瑞东斩钉截铁地说“自己并没有这样做”后，这个女人话锋一转，称是瑞东的亲戚用他的信息，帮他注册成为经销商的。在瑞东看来，亲戚会借用自己的信息？这根本不可能。眼看一计、二计都不成，该女子恼羞成怒，破口大骂起来。

　　意识到自己的隐私数据被泄露了，且很有可能跟购物平台有关后，瑞东卸掉了淘宝App。

　　思甜（女）就没那么好运了。她接到了一个陌生男人的电话，对方自称是支付宝工作人员。该男子称，“现在国家在管控大学生的网贷政策，所以需要您更改花呗、借呗的学生身份信息，不然会影响征信”。令思甜卸下防备的，是对方准确说出了她的身份信息，支付宝绑定的几张银行卡的尾数，以及花呗的开通时间。

　　这些数据，即便是思甜自己都要翻查银行卡才能知道，所以她对该名“工作人员”的“支付宝学生账户清零”一说深信不疑。所谓把“支付宝学生账户”清零，是将“借呗”里的贷款额度借贷出去，转成现金。思甜并不知道的是，诈骗分子是以此为障眼法，为的是掌握电话一端的用户，到底能借贷多少钱。

　　对方说，让思甜将“借呗”的钱借出来，放到自己的银行卡，转到他提供的自称银保监会的人的账号里面。他说“借呗”清零了之后，自称银保监会的人，会马上就把钱返回我的支付宝“借呗”里面。

　　于是，令思甜至今都后悔的事发生了：在对方的指引下，她脑子像懵了一样，通过支付宝借呗，借了两笔钱共计两万八。秒到账的这笔钱，又被思甜用手机银行，转账到所谓“银保监会”的账户上。

　　此时，思甜仍没有意识到不对劲，直到对方对她说“你还有登记其他网贷平台（微信的微粒贷、京东的网贷平台）吗”时，思甜才恍然大悟：这就是一个彻头彻尾的骗局。

　　思甜很确定，自己根本没有登记过其它网贷平台，甚至连京东账户都没有申请过。醒悟过来后，思甜一边与诈骗者斡旋，一边给银行打电话中断转账，但为时已晚。无奈之下，思甜选择了报警处理。

　　“警方说，这些人一般都是境外作案，很难被抓到。被骗的两万八，可是我加班熬夜，用肝脏、心血赚回来的钱啊！也不敢让爸妈知道，不想让他们操心。为什么骗子知道我这么多信息？”思甜伤心地追问道。

　　“吴添源，老同学找你有事。”正是看到这句话，吴添源才通过对方的微信好友请求。在吴添源的认知里，既然知道自己的真实姓名，且通过手机号添加的微信，对方必定是他的熟人。

　　随后，吴添源被“老同学”拉入一个群。在一顿“猛于虎”的洗脑中，他先是听所谓的“大师”讲课，再跟着“大师”炒股。但一夜暴富的神话并没有到来，吴添源的50万本金反而不翼而飞了。最终吴添源才搞明白：所谓的老同学，就是一个骗子；那个炒股App，根本就是假的。

　　追根溯源下，“正是一个真实的姓名，一个真实的手机号，一个说认识我的‘老同学’，把我坑进这个炒股骗局中。我的信息不知道哪个环节被泄露了。”吴添源向市界抱怨道。

　　光明和黑暗往往都是共生的。科技为人们带来便利的同时，也带来危机。不知从何时起，数据泄露就像家常便饭一样，渗透于生活的方方面面，给人们带来了巨大损失。

　　中国互联网络信息中心报告显示，截至 2021 年 12 月，有 22.1% 的网民遭遇个人信息泄露。

　　这些个人信息泄露后，用户轻则被骚扰电话困扰，重则可能会遭遇电信诈骗、套路贷、敲诈勒索等恶性事件，导致人身财产安全受到侵害。

　　那么，隐私数据到底是怎么被泄露的？

　　1份信息表让他毛骨悚然

　　冯峰是一名资深营销人。因工作原因，这十多年来，他一直跟各种信息和数据打交道。为了解竞争对手的项目信息，冯峰不仅翻过对方的垃圾桶，还安排卧底到竞争对手那里拿资料。为了拓客，他也曾运用各种市场调研手段，搜集潜在客户数据。冯峰也很明白，一些信息就是隐私数据，自己可能在法律的边缘疯狂试探。

　　真正令冯峰对隐私数据泄露，感到毛骨悚然的，是多年前他拿到了一份北京白领信息表。表上数据量之大，信息之详细，远超冯峰想象。“大概有上百万的白领，信息涉及年龄、单位、职务、电话、住址、身份证等个人信息。”冯峰告诉市界。

　　为导出这份庞大的数据，冯峰的电脑一度“瘫痪”。也正是因为这件事，冯峰意识到，“这玩意（隐私数据）就像雷一样，指不定什么时候会炸。并且，数据量太大，处理起来太麻烦，就删除了。”更重要的是，从国家政策来看，泄露隐私数据是违法的。

　　自此之后，冯峰变得谨小慎微起来。“不轻易在网上填手机号和身份证号；遇到办信用卡送礼物这样的活动，一概不参与；工作中对相关数据表格进行加密；涉及客户信息的文件悉数销毁。”冯峰向市界坦言。

　　即便小心到这个地步，冯峰的隐私数据，也还是被泄露了。在一次买了新车后，冯峰接到各种推销车险的电话，这令他不胜其烦。

　　冯峰还发现，一些软件还会“监听”。“我平时从来不买床，也不会搜这些东西。但有一天晚上，我移动床，然后谈了关于买床的事情。第二天，在一些视频软件上，我就看到相关推荐。”

　　隐私数据泄露可谓无处不在，那么，隐私数据的来源到底有哪些？

　　从目前来看，隐私数据分为三种。一是用户自愿提供的，如微博发表的各种言论及照片、向一些网站、App注册提交的信息等。

　　二是被观测到的数据，即用户在使用信息设施或者软件时，被记录和观察到的一系列行为数据，如上网记录、购物记录、搜索记录等。

　　第三种是被推断的数据，即根据用户的各种信息推测的个人数据，如个人信用评级、消费需求、购物偏好等。

　　有研究指出，在大数据技术的背景下，绝大部分泄露的数据，来自于用户自愿提供。除了微博、网站上的正常信息外，一些用户进行网络购物、下载“山寨”App、分享带有个人信息的订单、连接安全系数低的公共WIFI时，都暗藏风险。

　　根据近些年信息安全大事件来看，数据泄露的方式主要有三种：特权滥用、系统入侵、社会工程攻击。

　　特权滥用，即员工利用自己的职务之便，获取数据库内的信息，并将这些数据泄露出去。

　　系统入侵，即企业可能遭遇爬虫攻击，也可能被植入木马，也可能被黑客利用漏洞攻克了数据库。如2021年，蔚来汽车的一些隐私数据，就被不法分子窃取了。

　　社会工程攻击，即利用人的弱点，通过电话、短信、网页中的各种诱惑或存在威胁的信息，引导人按照攻击者的意愿去行动，从而达到攻击者的目的。最常见的有电信诈骗、网络钓鱼等。

　　如生物一样，数据也有着长长的生命周期，环节包括收集、传输、存储、使用、流转、销毁等。在如此长的生命周期当中，任何一个环节出现纰漏，都可能导致数据安全问题出现。

　　很多人不知道的还有：隐私数据被掏空背后，一些“网络黑手”，正磨刀霍霍向“牛羊”。

　　一条个人信息标价100元

　　“无利不起早，贩卖信息能产生巨大利益，才会让黑产越来越猖狂。”信息安全从业者江浩告诉市界。

　　被泄露的隐私数据，通过境外网站等平台进行非法交易，形成一条黑色产业链。各种灰色数据，藏匿在百度贴吧、淘宝、闲鱼、QQ等平台上。这些数据都是明码标价的。

　　证券时报曾如此报道：包含电话号码、微信、QQ号等的个人信息被层层贩卖。一级料商（即数据中间商）的进货成本在0.15元/条左右，二级料商进货成本为0.4元/条左右，三级料商进货成本0.7-0.8元/条，终端售卖均价为1.2-1.5元/条。

　　“渗透数据”则贵得多。所谓渗透数据，即所有信息都能够被抓取，除了电话号码、微信等基本信息外，还包含身份证号、出行记录、开房记录、家庭成员、工作、婚姻状态、户籍所在地等。

　　这些信息在交易中被分了级。查询个人简易信息15元/条，包含姓名、性别、手机号；中级信息50元/条，除了简易信息外，增加了户籍地址、身份证号、照片；高级信息100元/条，在中级信息基础上增加了现住地址、开房记录、车辆信息。

　　隐私数据的集散地，主要来源于两个地方。一是常规搜索引擎搜索不到的暗网。很多人看中了暗网“绝对隐形”的特性，在上面干着现实生活中干不了的事情，这其中就包括隐私数据贩卖。

　　2018年6月，圆通快递10亿条快递数据，被公然在暗网上售卖；同年7月，3亿顺丰用户数据在暗网售卖；2023年3月上旬，美国数百名议员及其家人的敏感信息被放到了暗网上出售。

　　另一个是社工库。它是黑客们将泄露的用户数据整合分析，然后集中归档的一个地方。社工库上的数据，一方面来自黑客攻击网站后窃取的用户数据库，另一方面来自一些会出卖用户数据的小网站。

　　尽管在中国，私自用社工库调查他人，涉嫌侵犯个人信息权和隐私权，且在中国进入暗网也同样属于违法行为，但在利益的驱使下，一些人还是铤而走险起来。

　　购买隐私数据的人中，有的是为发展业务，有的拿来搞诈骗。行骗者拿到信息后，是怎么做的呢？以身份证号为例，其算法规则是公开的。通过一张身份证，就能搞清该人的性别、年龄、籍贯、家庭住址等等。

　　根据身份证继续查询下去，行骗者还能得到主人的全家户口信息。大部分情况下，还能查到对方的常用密码，而很多人社交平台的密码是通用的。在此基础上，不法分子再搜罗各大平台动态，这个人的地址、工作单位、收入水平等，都一清二楚。一张较为简略的“用户画像”，就出来了。

　　如果再深入一点，行骗者还可以利用一些手段，得到你的人际关系网，你的用户画像，就会越来越清晰。拿着如此全面的信息，行骗者就开始钓鱼了。这显然超出很多人的认知。于是，就有千千万万个像思甜一样的受害者出现了。

　　不过，近些年来，我国已经形成了《个人信息保护法》《数据安全法》《网络安全法》三大数据保护的防护网。3月16日，针对央视“3·15”晚会报道的部分破解版APP违法违规收集用户个人信息问题，工信部表示，立即组织核查，并依据《个人信息保护法》《电信和互联网用户个人信息保护规定》等有关法律法规要求进行严厉查处。

　　在国家严厉打击违法行为下，冯峰发现，直接购买隐私数据的渠道的确变少了。不过，相对应地，市场上涌现出一些服务公司，它们宣称提供精准人群服务，其背后通常有海量的数据。“这些数据，从哪里来？”冯峰追问道。

　　北京大成律师事务所肖飒律师告诉市界，“如果这些服务公司的数据来源不正当，那必定属于违法行为。在实际案例中，这些数据若认定是商业秘密，那么服务公司就有可能构成侵犯商业秘密罪；若被认定为是个人信息，就有可能触犯侵犯公民个人信息罪，上下游人员还有可能构成帮助信息网络犯罪活动罪。”

　　尽管思甜也担心自己的隐私信息会被滥用，但令她矛盾的一点是：在面临商家提供的优惠账单时，她还是会选择向商家提供个人信息以换取优惠。这也是大多数人的心理。因此，肖飒认为，单纯强调让个人提高隐私保护的意识，显然是苍白且不切实际的。

　　最重要的是，“如何让个体在让渡个人隐私获得利益的同时，充分知晓自己将面临的后果（个人信息不会泄露给第三者），这又涉及到企业合规的问题了。所以企业与个人对于隐私数据的态度，实际上是缺一不可的。”肖飒说。

　　而在深受伤害的思甜看来，企业能不能保护个人信息，不是她能掌控的，她能做的，就是像爱护眼睛一样爱护自己的个人信息，不轻易泄露。

　　（文中思甜、冯峰、瑞东为化名。）

（声明：本文仅代表作者观点，不代表新浪网立场。）