一个提议
诈骗“年产值”超千亿 个人信息保护法,该有了!
电话、网络诈骗犯不是一个人在战斗!有多少骗子正在无孔不入地精准掌握我们个人信息?一个可怕的数据可以说明问题。据北京市公安局网络安全保卫总队去年底发布的《现代网络诈骗产业链分析报告》初步统计,在我国,从事网络诈骗产业的人数至少有160万人,“年产值”超过1100亿元。
诈骗,已俨然成为了“社会癌”。在个人信息成为一种商品被违法人员进行买卖的时候,我们已经成了“透明人”。在贩卖个人信息的犯罪链条中,既有源头的供给人员,也有促成交易的中间商,还有下游个人信息的购买方,其中就包括诈骗分子。各个环节自成一体,互不见面交易,给警方侦破电信诈骗案件带来极大的难度。
全国人大常委会委员、农工党中央副主席、南京邮电大学校长杨震曾于去年向大会提出建议,呼吁尽快制定个人信息保护法,让泄露或出卖信息者受到法律惩处,2016年全国两会期间,杨震进一步提出了启动个人信息保护法的立法议案。
如今看来,个人信息保护法,该提上日程了!
山东临沂18岁寒门女孩徐玉玉因学费被诈骗,心脏骤停失去生命的悲剧,让众多人既心碎又愤怒。
徐玉玉事件之后,又曝出多位大学生惨遭电话诈骗。昨晚,徐玉玉在山东理工大学读书的老乡,也因同样的遭遇猝死,令人既震惊又恐惧。
徐玉玉们的悲剧,引发网友热议。有网友表示,高中刚毕业的学生,报考高校程序已完成、大学也没报到,处于“三不管”状态;这些准大学生在这段空档期中面临的风险,应该被重视。也有网友提问:“诈骗电话不显示来电地址,运营商是否有责任?”更有网友质疑:“现在私人信息泄露防不胜防,到底哪里出了问题?”
那么,究竟是谁,在泄露学生的个人信息;究竟是谁,在贩卖我们普通人的联系方式;究竟是谁,在我们房屋一装修、一购物、甚至是买了一只新的股票后迅速向我们发来各种垃圾信息?我们先来听听不同人群对此的看法。
A信息生意
贩子叫嚣:“全国半数学校数据我都有”
据报道,由于普遍不具备经济能力,且资金不充裕,学生群体并非电话网络诈骗的重灾区。但这并非意味着学生群体安全系数高。事实上,在媒体接触的多类群体中,学生信息堪称“最没有安全保障”的一类。
价值
新鲜数据每条1至2元
二手数据低于1毛
最近,媒体接触到数个倒卖用户数据的业内人士,其中3人告诉记者:“只要你听说过的学校,不论大学、中学、小学,(它们的数据)都有。”
其中一位人士展示的上海某知名大学数据,包含了学生姓名、学号、性别、年龄、身高、体重、联系方式、专业等详尽信息。此外,该人士表示可以拿到“全国中小学生学籍信息管理系统”,包括学籍号、学校、入学方式、住址、家庭成员等等。该人士表示,“国内学校,有一半数据我都有。即使手头没有的,只要你告诉我名字,我也都能拿到。”
全国中小学生学籍信息管理系统,是由教育部在2012年开始实施上线的系统,旨在对全国范围内的学生注册、学生信息维护、毕业升级、学籍异动实施信息化管理,全国超过1.4亿名中小学信息存储在该系统上。
根据多位人士报价,“新鲜出炉”、“没有卖过”的一手学生数据,售价约1到2元每条,大量采购还有优惠。而二手的数据,基本低于1毛,如果批量购买,1万条二手数据约300-500元。在整个数据黑色产业领域,学生数据售价偏低,相比之下,一些电商平台流出的一手数据,售价在3-5元以上,高峰期售价一度达到20-30元/条。除此之外,在数据黑产中,电商、银行、股市、车辆交易等数据应有尽有。在上述业内人士看来,“买数据的,都是拿来骗人的,学生基本骗不到钱,数据卖不上价,乡镇之类学校的数据都卖不出去。”
生意
高分学生数据不值钱
分数低的才值钱
10年前,学生数据要比现在值钱。一位北京某学校教师告诉记者:“倒卖生源数据的漏洞长期存在。很多民办大学会借合法专业的名义搞非法成教、网教来招生。每年高考之后,他们就从各省买考生数据,当时一个省考生数据售价几十万元。每年卖出十多万的名单。”
对于开设成教、网教教育的学校而言,“高分学生数据不值钱,都是白送,分数低的才值钱。拿到数据之后,学校安排话务组开始打电话,几天就能招50-60人。”该教师告诉记者:“有的学校每年因此盈利上亿元,2006年左右,吃这碗饭的人粗略估计有20多万。”
“学校、教师、教育局、招生办,能拿到学生数据的部门太多了,很多人都可能成为泄露数据的源头。不光卖学生数据,学校教师的数据也都被卖出去了,老师天天都接好多推销电话”,该人士回忆称:“2008年之后,主管部门发文明确倒卖生源数据是违法行为,但也没有控制住。后来,因为生源减少,公立专业都招不满,民办的招不到生源,这个生意才淡下来。”
漏洞
学校信息漏洞
敲几下回车分分钟攻破
行业内市场衰落,行业外的电信诈骗、广告推销市场则开始兴起,而大量的学生数据流入黑色产业。
“数据流入黑产的途径有三种,”数据库安全企业安华金和的安全专家告诉记者,“一种是接触到数据的工作人员泄露数据,一种是黑客入侵目标获取数据,还有一种是第三方IT系统服务公司在提供服务时获取数据并泄露。”
一位教育信息化资深人士告诉记者:“学生数据存放在很多地方,学校、招生办、教育机构等等。目前中小学数据教育部会提供统一平台,但大学数据,则存储在各个大学自己手中。”数据存储渠道的多样,增加了接触数据人员的数量,也无限放大了内部人员泄密的风险。
另一方面,多位来自信息安全领域的权威人士表示:“教育行业的信息安全能力普遍极低。”在某补漏洞平台上,最近两年内提交的相关教育机构的漏洞超过1100条,“实际上远比这多,主要是教育机构漏洞太多。随便一个入门的黑客,都能搞定绝大多数学校系统,几乎不耗时间,甚至只需要敲几下回车就可以。”
一位信息安全资深人士对某部委直属大学做了测试,仅用几分钟即发现了该大学的漏洞,目前该大学已经修复该漏洞。此外,近年来,因为“套号学历”、“学历造假”等事件,教育部指定的学历查询唯一网站学信网被屡次质疑,不过,教育部多次回应中强调“学信网安全”、“没有漏洞”。
前述教育信息化行业人士告诉记者:“从这两年分析的结果来看,信息安全,是一个全社会都漠视的问题,需要所有企业、机构去提高重视程度,靠公民提高安全意识,根本没用。”
B谁在泄密
全国人大代表:信息泄露源头肯定在学校和教育部门
全国人大代表陈伟才一直比较关注电信诈骗事件,他曾向全国人大提交议案,呼吁加强电信诈骗事件的监管和侦办。
对于徐玉玉因接陌生电话被骗万元学费而身亡,在陈伟才看来,高考信息泄露的问题非常严重,“源头肯定在学生登记过信息的学校和教育部门,这个不可否认。”
“靠老百姓每个人都成为防范电信诈骗的专家是不可能的,对于诈骗的治理,关键要看运营商和银行两方面,必须要从源头治理、解决,他们要负起应该承担的社会责任和法律责任。”陈伟才说。
北京典谟律师事务所主任律师王誓华则分析说,在徐玉玉被精准诈骗事件中,出现了考生和家长的电话信息,甚至家庭信息的泄露问题,“一定是在教育系统,这是这类信息的源头。”在他看来,从法律层面上,这侵犯了公民的个人隐私权。
C专家建议
“破案难,不代表不能破案”
据新华社报道,很多网友、学生平时常受到诈骗电话、短信的骚扰,电信诈骗已引众怒。对此,不少专家表示,应从电信监管、公安、教育、法律等多个角度进行反思,严惩电信诈骗行为。
北京大成(济南)律师事务所梁珊律师认为,为加强对公民个人信息安全的保护,《中华人民共和国刑法修正案(九)》专门新设了“侵犯公民个人信息罪”,犯罪嫌疑人最高可判7年。这虽然起到了严厉的震慑作用,但保障个人信息安全的过程漫长而复杂,“我们自己应树立安全防范意识,不给不法分子可乘之机。”
不少业内人士表示,教育主管部门、高中和大学方面,更需要及时提醒准大学生以及其他在校生,提高警惕,增强自我保护意识。
临沂市罗庄区教育体育局学生资助管理中心主任吕文表示,学生接到任何资助电话或短信后,一定要先冷静,通过同学或老师确认其真伪;要保管好身份信息、银行卡等,确保信息不外泄,要谨记“不听、不信、不转账、不汇款”。
中国人民大学法学院教授刘俊海说:“仅靠公众个人提高警惕与自我防范,远不能彻底铲除电信诈骗。”有业内人士表示,目前电信诈骗成本低、效率高,而警方应接不暇、效率偏低;且涉及公安、通信、银行等多部门,没有形成区域共建、部门及企业联防联治的管理平台,破案较难。
“破案难不代表不能破案,监管难不代表无法监管”,刘俊海表示,虚拟运营商并不虚拟,相关部门应该长期跟踪、顺藤摸瓜,清理隐藏在虚拟运营商背后的骗子团伙。
有专家建议,应在国内虚拟运营商行业全面建立警企合作反通信网络诈骗的合作机制,加强信息交流,及时发现处置诈骗案件涉及的号码、号段。虚拟运营商也必须先自律,要不断完善运营体系,严格整肃违法违规行为,推动行业有序健康发展。