根治信息泄露顽疾还需跨过几座“山”

无星无杠

根治信息泄露顽疾还需跨过几座“山”

来源：经济参考报

根治信息泄露顽疾还需跨过几座“山”

　　信息收集红线亟须划定 制度震慑作用亟须强化 重点领域亟须立法

　  《经济参考报》记者调研了解到，当前，我国个人信息泄露呈现出“问题频出——公安打击——安全平稳期——问题再次复现”的往复循环的态势，个人信息泄露问题日趋常态化。

　　几乎每个人都被信息泄露带来的问题困扰，信息泄露为何屡禁不止？接受记者采访的专家指出，根治顽疾还需跨过几座“山”，加大处罚力度的同时，亟须划定信息收集红线、强化制度震慑作用，加强重点领域立法补齐监管短板。

　　过度索权“套路多”信息收集要划定底线红线

　　“每次安装一个新的APP，都要勾选同意一整页的隐私政策，我根本就都读不下来，但是不勾选还不能使用”、“明明只是一款音乐APP，却一定要读取我的位置、相册和通讯录。”……互联网时代，人们在享受着大数据带来的便捷的同时，个人信息不可避免地被收集、使用。每一次交易、浏览、通信，都会留下痕迹。在此过程中，个人信息的超范围收集及由此带来的泄漏和滥用等问题越来越常态化。

　　业内人士表示，随着各类新应用、新技术层出不穷，各类机构过度索取个人信息为信息泄露埋下隐患，而整治个人信息泄露乱象必须从治理信息违规和过度收集开始。

赵乃育 绘

　　多项调研结果显示，移动互联网平台读取和收集用户信息的边界尚不清晰，造成用户的个人信息常常被过度收集。业内指出，APP强制、频繁、过度索取权限，欺骗误导用户提供个人信息等问题受到社会广泛关注，特别是近期APP过度索取“麦克风”、“相册”、“通讯录”等权限问题，用户反映强烈。

　　中国电子信息产业发展研究院网络安全所所长刘权直言，“相比日新月异、快速更迭的人工智能、大数据等信息技术，我国监管制度滞后于技术及应用场景的发展。”他说，借助互联网平台和技术，各个应用程序和网站门户极易在用户无感知的状态下，采集并处理用户大量个人信息，比如肆意调取手机摄像头权限、复制剪贴板内容、读取操作相册图片、强制读取通讯录等。另外，为满足监管要求，一些APP制定的隐私政策冗长复杂，用户常因难以理解而舍弃阅读，从而导致“收集用户信息需经用户同意”成为了一项无法落实的“摆设”。

　　刘权表示，无论在线上应用还是线下活动，都要在收集个人信息时，做到合法、正当、必要，并且与其提供的服务有关联。

　　中国司法大数据研究院社会治理研究中心主任李俊慧对《经济参考报》记者表示，越是在业务开展中具有收集个人信息需要的行业，越是个人信息泄露或不当买卖最为集中的领域。因此，一方面，要明确各类企业或平台收集个人信息的边界，尤其是在何种情况下不得或不必收集个人信息，另一方面，对于收集了个人信息的企业或平台，也需要综合采取技术、管理及惩戒等措施或手段，加强对此类企业或平台个人信息保护能力的评估和动态监管。

　　这一问题已经开始引发相关监管部门的关注。近期，工信部持续加大对违法违规收集使用个人信息行为发现、曝光和处置力度，开展专题整治，对违规APP依法依规予以约谈、警告、下架、处罚等。3月22日，国家网信办、工信部等四部门也联合发布《常见类型移动互联网应用程序必要个人信息范围规定》，为包括地图导航、网络约车、即时通信等39种常见APP划出了“必要个人信息范围”。

　　违法成本过“低廉”制度震慑作用亟待加强

　　中国司法大数据研究院对2016年至2020年全国各级人民法院一审审结的涉侵害个人信息犯罪案件分析发现，近几年涉侵害个人信息犯罪案件呈快速增长的趋势。2016年至2020年，全国各级人民法院一审审结涉侵害个人信息犯罪且裁判文书已公开的案件共计4443件。其中，2016年审结12件，2017年审结113件，同比上升841.67%，2018年审结388件，同比上升243.36%，2019年审结1723件，同比上升344.07%，2020年审结2207件，同比上升28.09%。

　　信息泄露为何屡禁不止？业内人士表示，治理个人信息泄露乱象，必须要完善顶层制度建设，加大对泄露和滥用个人信息的处罚力度，让犯罪者付出沉重代价。

　　“当前我国对个人信息泄露事件的处罚低，不能起到足够的震慑作用，这也让企业不愿在安全防护上做更多投入，即使出了问题，处罚金额还比不上安全防护的投入成本。”一位信息安全从业人员坦言。

　　法律人士指出，违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

　　2020年7月公开征求意见的数据安全法草案提出，在开展数据活动的组织、个人不履行数据安全保护义务或者未采取必要的安全措施的，由有关主管部门责令改正，给予警告，可以并处一万元以上十万元以下罚款，对直接负责的主管人员可以处五千元以上五万元以下罚款；拒不改正或者造成大量数据泄露等严重后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

　　实际上，在国际范围内，企业信息泄露的处罚金额高昂。例如，2020年，因Facebook违反用户隐私保护策略，美国对其处以50亿美元巨额罚款；爱尔兰也就个人信息非法跨境传输问题，对Facebook处以了高达28亿美元的罚款。通过提高单笔处罚金额等惩罚措施，倒逼数据控制者加强个人信息安全保护，是打击违法违规行为的有效手段。

　　违法成本太低可能造成企业对数据安全保障投入严重不足。“数据安全有别于传统网络安全，它是特别强调跨学科的，需要法律和技术的融合互补才能找到最佳的风险解决方案。”中国信息通信研究院安全研究所数据安全研究部主任陈湉对记者表示，数据安全工作往往涉及多个部门，但法务部门不理解技术，安全部门不了解业务，业务部门更关注业务发展，这就很难形成一套体系化的完整的内部数据合规架构。

　　事实上，还有部分社会责任意识薄弱的企业将商业利益凌驾于社会利益之上，不愿履行个人信息保护的相关责任，甚者还借助监管漏洞对个人信息进行违规收集。

　　对外经济贸易大学数字经济与法律创新研究中心执行主任许可指出，由于缺乏顶层基本法律框架，现有个人信息保护规定散见于各类法律中，并以部门规章及规范性文件居多，法律位阶低且适用效力有限，震慑作用还需加强。

　　新技术引发新问题重点领域亟须立法补齐监管短板

　　记者了解到，个人信息保护的顶层法律框架正在紧锣密鼓地推进完善中。继网络安全法与民法典这两部重要的法律文件落地之后，令人关注的个人信息保护法、数据安全法也落地在即。目前，个人信息保护法草案已提请全国人大常委会审议。3月19日，在国新办发布会上，国家互联网信息办公室副主任杨小伟也表示，数据安全法、个人信息保护法在加紧制定出台。

　　法律专家表示，作为个人信息保护领域基本法律框架，个人信息保护法位阶更高，综合性更强，将从保护公民隐私的角度来看待数据安全问题，该法规有望理顺各个信息主体之间的关系，并针对个人信息的收集、存储、使用、共享等多个方面做出规定。而数据安全法则有望从国家安全、公共安全的角度出发，对先前法规中一些尚不明确的部分进行限定。

　　不过，专家也表示，两部立法草案还缺乏配套的下位法，部分问题处于模糊地带，需进一步出台配套法律法规，针对具体问题制定相应解决措施。

　　此外，由人脸识别技术等新技术滥用带来的问题，也为防范信息泄露带来了新的挑战。近年来，人脸识别技术被广泛用于城市安防、支付转账等领域，伴随这一技术加速落地应用的同时，信息泄露风险大、安全漏洞难消除等问题也日益凸显。

　　对此，业内指出，针对医疗、生物识别等个人特殊敏感信息的专项立法也需要不断推进。刘权介绍，例如日本、美国等国家偏向于针对不同特征的个人信息采取精细化治理和保护模式，日本采用“基本法+专门法”的双重规制架构保护个人医疗信息安全；美国在各州及联邦层面均出台专项法案保护个人生物识别信息安全。他认为，我国可考虑借鉴相关做法，对医疗、生物识别、地理位置等特殊敏感信息进行分类专项保护。

　　许可表示，在大数据时代，信息技术的变化日新月异，个人信息泄露的新问题也会层出不穷，法律细则需要不断完善以面对个人信息保护新的场景与新的问题。金融、医疗健康、通信等专业领域也需要单独立法强化个人信息保护，国家的强制性标准、行业性的标准也需要进一步完善。

　　据悉，在金融领域，针对一些科技公司利用市场优势，过度采集、使用企业和个人数据，甚至盗卖数据的行为，监管部门正在研究制定金融数据安全保护条例，构建更加有效的保护机制，防止数据泄露和滥用。（记者张超文 李佳鹏 孙韶华 张莫 梁倩 郭倩）

无星无杠

信息泄露黑灰产业链滋生巨大非法获利空间

来源：经济参考报

黑客内鬼致个人成“透明人” 信息泄露渠道“无孔不入”

　　信息泄露黑灰产业链滋生巨大非法获利空间

　　

    “李女士，您所购买的小区最近正在交房，您家装修公司选好了吗？”

　　“您好，我们银行最近有装修贷产品做活动，利率很优惠，您有需求吗？”

　　“您家房本快下来了，您有考虑卖房吗？”

　　……

　　自从李女士买了房，她的生活就像被跟踪一般，装修公司、银行、中介的各种推销电话每天各种轰炸。大多数人都有过和李女士类似的经历。究其原因，正是信息泄露让我们无形中变身“透明人”。

　　《经济参考报》记者调查发现，从上游个人信息被非法获取、到中游数据在各种黑市交易平台被转手和出售、再到下游各种隐私数据被用于诈骗、勒索，个人信息泄露背后已然形成了一条完整的黑灰产业链，滋生着巨大的非法获利空间，严重威胁着个人、企业甚至国家安全。

赵乃育 绘

　　“黑客”难躲“内鬼” 频现泄露渠道“无孔不入”

　　个人信息究竟是怎么被泄露的呢？在诸多的信息泄露案背后，不乏“黑客”和“内鬼”的身影。

　　奇安信数据安全子公司负责人姚磊对《经济参考报》记者表示，黑客可利用在线系统漏洞拖库、利用社工库或者弱口令等撞库，此前出现的QQ群、163邮箱、天涯、万豪、华住等数据泄露事件，均和黑客攻击有关。“部分黑客也可利用移动终端操作系统漏洞、公共WIFI网络漏洞、终端旧设备数据删除不完全等，攻击终端企业数据，造成个人隐私数据泄露。”他说。

　　除了“黑客”难躲，“内鬼”也频现。北京市朝阳区人民检察院检察官助理陈莹璐告诉记者，就犯罪主体来看，单位内部员工或离职人员，利用职务或工作便利，非法获取或贩卖公民个人信息案件时有发生。她举例称，被告人方某在某网络公司任职期间，非法复制获取公司系统服务器中的公民个人信息10万余条，并出售获利。后该公司在排查中发现该员工账户使用异常，下载大量包含用户信息姓名、身份证、电话等公民个人信息，故报案。据方某供述，其在公司利用爬虫软件获取了数十万条公民个人信息，经筛选、删除敏感信息后，留下姓名、手机号，存入移动硬盘，后从移动硬盘中找信息卖出。

　　值得注意的是，现实生活中，一些信息泄露途径十分隐秘，无形之中我们就已然变身为“透明人”。

　　无处不在的摄像头已经成为获取个人生物信息的重要渠道。业内专家表示，个人生物特征数据具有唯一性和不可再生性，一旦被窃取，无法追回和变更，将对个人隐私保护带来极大的、不可逆的风险。人脸信息明文传输，每次刷脸解锁均会反复上传，很容易发生泄露，且识别可靠性差，使用翻拍照片即可轻易破解。

　　另外，电信运营商、短信通道、第三方平台等也已经成为近些年来不可忽视的泄露渠道。“用户访问客户网站/App的记录被运营商泄露、用户数据被第三方工具或平台泄露、企业下发给用户的短信被第三方短信通道泄露等，都时有发生。”业务情报安全企业永安在线产品经理邹洪志表示。

　　他对记者说，永安在线最近协助某证券公司发现了一条数据资产泄露渠道，该证券公司的数据并不存在直接泄露，但与其客户相关的资产数据在暗网或Telegram群被持续出售。

　　“黑灰产人员可以获取到访问过该证券公司官网的用户手机号码，有些还可以获取到用户姓名、运营商、省份、城市等相关数据。”他说，运营商能拿到用户的上网流量，可以通过用户手机号-设备-流量（访问网址）对应上，然后通过内鬼或者某个接口泄露到第三方“大数据营”公司之类去卖。邹洪志说，一些数据卖家明确表示只支持某一家电信运营商，也从侧面证明这些卖家是与运营商合作的。

图片来源：永安在线

　　专家指出，实名制的深入实施让个人信息常与设备、账号绑定，进一步放大了信息泄露的风险。360集团手机安全研究员俞奎表示，某种程度上，身份信息、支付等校验的是设备、账号，而不是本人，即谁掌握了他人的信息，即可实现身份冒充。如果平台遭受黑客攻击，或有内鬼泄露，那么用户交付出去的个人信息用途并不可控。

　　层层加密无法追踪 暗网等平台成信息买卖“大本营”

　　在一些隐秘的角落，有关个人信息的非法交易“无时无刻”都在进行。“传统的泄露数据大都在QQ、微信以及地下论坛等交易。然而，随着国家对网络空间治理和打击力度的加大，越来越多的泄露数据在‘暗网’这种匿名、匿踪的黑市交易平台出售。”姚磊说。

　　陈莹璐表示，“暗网”被称为“隐藏的服务器”，其域名数量达到表层网络的400-500倍，运营环节具有全方位的程序保护和复杂的登录方式。犯罪分子借助暗网匿名、无法追踪等特点，并使用赌博平台、虚拟货币进行交易，层层加密为游走在“暗网”的犯罪分子提供了技术上的“保护色”。

　　《经济参考报》记者从业内人士了解到，“暗网”提供各种“查档”、“定位”服务，“查档”指查询公民的住宿、出行、户籍、车辆、犯罪记录、学籍等各种隐私信息。“定位”则是指可查询各种App位置信息。

　　记者通过有关渠道获取到一张“暗网”发布帖子的截图。发帖人称，“全国幼儿园至高中、职校以及相关教育机构教师数据，一手出新74800条，数据内容非常详细”。该截图显示，这些个人信息包括教师姓名、手机、邮箱、毕业院校、任教学科、任教学校、教龄等共16个维度的数据。记者随机挑选了两位教师的信息，经电话求证，信息均为其个人真实信息。该帖子发布于2021年1月9日，截至3月25日，该定价为99美元的数据包已有4单成交。

　　实际上，“暗网“已成个人信息买卖“大本营”。姚磊介绍，2020年以来，在“暗网”出售的部分重要数据包括：2021年1月，印度支付公司Juspay超1亿用户的借记卡、信用卡信息在“暗网”上销售；2020年8月，黑客在“暗网”出售美国1.86亿选民数据；2020年4月，超50万Zoom用户账户在暗网出售；2020年3月，5.38亿条微博用户信息在“暗网”出售，包括用户ID、微博数、粉丝数、关注数、地理位置、手机号等。

　　滋生诈骗、勒索 信息泄露成“精准”犯罪“助推器”

　　陈莹璐表示，随着经济的快速发展和信息网络的广泛普及，公民个人信息的经济价值日益凸显，导致侵犯公民个人信息的犯罪屡打不绝，且成为了滋生电信网络诈骗、绑架、敲诈勒索等下游犯罪的源头，社会危害日益突出并多发，已经史无前例地成为影响个人甚至国家安全的重要问题。

　　中国司法大数据研究院社会治理研究中心主任李俊慧对《经济参考报》记者表示，通常而言，买卖个人信息，从购买一方来看，一定有特殊用途，不论是进行业务推广，或是实施诈骗犯罪等。因此，个人信息不当泄露或非法买卖一定会给下游犯罪提供帮助。他举例称，在一起个人信息非法买卖案件中，不法分子成立了一家信息咨询公司，通过QQ购买股民电话号码，进行虚假股票营销牟利。公安机关在该公司现场查获股民电话号码约12万条。

　　“囿于违法所得金额的限制，对于涉公民个人信息犯罪违法所得的追缴与罚金的财产性处罚，却远不足以填平公民个人信息泄露造成的次生危害。”北京市第三中级人民法院副院长辛尚民表示。实践中，行为人利用非法获取的公民个人信息实施的犯罪主要有诈骗罪，比如向不特定对象发送“中奖”信息；合同诈骗罪，比如利用某些理财软件漏洞骗取财物；敲诈勒索罪，比如利用酒店开房记录等住宿信息对相关人员进行勒索。

　　值得注意的是，数据泄露及贩卖正从单纯的交易数据演变到交易数据访问权限。网络犯罪分子已将注意力从个人信息转移到了更庞大的数据库——工业企业数据库。黑客利用漏洞窃取企业核心数据，并通过勒索软件加密企业相关设备。随后，这些数据将被进行“双重勒索”，如果不支付赎金不予解锁，同时会泄露被盗数据。尤其是在制造业智能化程度大幅提高的背景下，智能化工控系统（ICS）已成为黑客攻击的目标。

　　闪捷信息安全战略研究中心发布的《2020年度数据泄漏态势分析报告》显示，2020年受勒索攻击而造成数据泄露事件占所有数据安全事件的15%，成为常态化的数据安全事件。

　　据此前江苏省南通市警方通报，在“净网 2020”行动中，成功侦破一起由公安部督办的特大制作、使用勒索病毒破坏计算机信息系统从而实施网络敲诈勒索的案件，非法获利的比特币折合人民币500余万元。

　　华顺信安的创始人、CEO赵武表示，黑客已单纯索取数据行为转向勒索，通过勒索病毒对企业关键信息库加密的方式索要高额虚拟货币，可以短时间获得暴利，又因虚拟货币的匿名性而保护身份不暴露。“企业不同于个人，企业不支付赎金，黑客便泄露企业敏感数据、窃取其知识产权。极端情况下，最严重的攻击可能对制造商工厂和设备造成永久性损失，对企业影响难以估量。”赵武说。（记者 张超文 李佳鹏 孙韶华 张莫 梁倩 郭倩）

无星无杠

隐私信息“裸奔” 泄露规模呈“指数级”增长

　　数十亿条个人信息明码标价 “潜规则”盛行售卖泛滥成灾

来源：经济参考报

隐私信息“裸奔” 泄露规模呈“指数级”增长

　　数十亿条个人信息明码标价 “潜规则”盛行售卖泛滥成灾

　　2020北京重点中学家长学生数据10万条；

　　私人银行理财百万、千万级高净值富人10万条；

　　飞机乘客个人信息80万条；

　　宝妈精准数据16万条；

　　网贷数据12万条；

　　……

　　通过业内人士登录Telegram、暗网，《经济参考报》记者看到，上亿条各类别的个人精准信息映入眼帘，正在被公开售卖。包括个人的行踪轨迹信息、征信信息、财产信息、住宿信息、通信记录，甚至是面部活体信息，只要点击支付就可轻易获取，贩卖猖獗，信息量和交易量之大触目惊心。

　　《经济参考报》记者深入调查发现，随处可见的身份绑定、过度索权加大了App等渠道的个人信息泄露风险。更加值得关注的是，虚拟货币加持下，不可控的暗网论坛、Telegram等社交平台正成为信息贩卖的主要渠道。

　　“暗网不暗”

　　数十亿条个人信息明码标价售卖猖獗

　　近期，记者在Telegram上一个名为“社工机器人&闲鱼担保交易查档数据某认证群”的社交群上看到，大量的包括户籍、手机号、定位、查人查档、财产调查、开房记录、流水等在内的用户信息被公开售卖，十分猖獗。

　　“由于目前泄露信息的量比较多，有的黑客就将各种数据做了大数据集合，命名为社工机器人。你只需在其中输入相应的需求，系统会自动将相关信息搜索出来。”一位业内人士说。

　　不仅仅是Telegram，《经济参考报》记者了解到，暗网中的数据交易量更为庞大。哈工大（深圳）—奇安信数据安全研究院执行院长刘川意告诉记者，每年在暗网平台出售的各类泄露数据多达上万起，每年泄露的数据总量高达数十亿条，交易金额超10亿元人民币。这些泄露出来公开出售的信息，包括政府机构公民信息，银行、证券等金融机构的客户信息，各大电信运营商的机主以及互联网、快递、酒店、房地产、航空、医院、学校等各行各业的客户、用户信息。

　　而这样大量详细的真实数据，标价却非常廉价。“查一条信息搜索平均也就几毛钱。”一位业内人士告诉记者。

　　记者在暗网上看到，一份标称刚出库的某辅导机构全国高校93万学生身份数据售卖，打包价格为30美元。发帖者称，数据是网站记录的2016年到2018年的注册数据，里面包括姓名、手机号、学校、住址等信息。目前该数据包显示已有18次成交。

　　某快消品牌官方旗舰店销售信息数据则报价16美元。发帖者表示，数据包共有15623条该品牌2020年中销售数据信息，包括购买人、购买信息、价格、购买时间，同时还有购买者的电话和地址。

　　此外，身份证正反照、手持半身照也被打包售卖。从发帖者给出的附件截图显示，可以看到相关照片不仅有当事人身份证正反面，同时还有当事人单人照以及手持身份证照四张照片。而这样的照片共有1500套，数据包售价为20美元。

　　与个人隐私信息售价低廉不同的是，含赌博类会员的信息价格直线上涨。有帖主表示，某体育足球类App邮箱泄露VPN账号密码，除了新增2020年4月1日到2020年8月8日的注册信息外，还更新了红单推介会员数据，增量190万条。值得注意的是，该数据包售价高达2000美元，已有2单成交。

　　此外，一份3月份第一批提取的18万条棋牌数据包，里面包括电话、运营商、地区、访问次数、抓取地址、抓取平台、时间等具体信息，交易单价300美元。

　　腾讯守护者计划安全专家张文涛表示，目前网络黑产已呈现国际化、公司化、智能化、匿名化的特点趋势。“黑灰产团伙开始通过利用暗网、Telegram等境内外多种工具平台，实施数据的窃取、流转、整合和交易。同时根据一些典型案例可以看到，部分黑灰产利用公司化的外衣，从事数据交易的不法行为，并且存在黑产人员将多渠道获取的数据进行数据清洗整合，自动化对外提供服务。”

　　“黑客最青睐”

　　金融行业成信息泄露“重灾区”

　　据刘川意介绍，泄露在“暗网”的个人信息60%以上来自金融行业，金融业已经成为黑客最青睐的攻击目标。

　　《经济参考报》记者获得某证券机构资金50万以上优质股民信息页面截图。页面显示，25969条数据，标价168美元，拥有姓名、开户证件号、性别、年龄、籍贯、手机号、浮动盈亏等9个数据维度。发帖者表示：“姓名、身份证号码、手机号码等信息可自行验证，数据不多，贵在真实。”该数据自2021年1月17日发布，显示已成交3单。

　　另一个在售的数据包为某证券公司多达16万的客户信息，标价368美元。发帖者表示，该数据为2021年最新一手客户数据，内部渠道流出，暗网首发。“数据一共16.5万条，已去重，实号率95%以上，数据保真。”

　　此外，某商业银行的银行卡、理财信息等多项泄露出来的数据被售卖。交易编号为41884的帖子表示，该数据包拥有2021年某商业银行客户数据48566条，内含详细个人信息、银行卡号、银行卡种类多项信息。

　　交易编号为41847的帖子显示，其拥有前述商业银行理财客户数据48800条。“该数据为内鬼带出，首次在暗网发布，每份售价168美元。”发帖者称。

　　记者查看该发帖者提供的可自行验证数据看到，该数据内容详实，包括理财认购人姓名、身份证号、手机号、产品名称、认购金额、预期收益率、期限以及该认购人具体住址信息。记者登录上述银行官方网站，可以看到多个目前在售理财产品与被泄露信息一致。

　　除了黑客等技术人员盗取批量信息之外，也有一些“内鬼”直接参与其中。交易编号为40046的帖子显示:“只要提供身份证和姓名信息，便可代查名下所有银行卡具体信息，不带余额1100美元，结果带余额需2200美元，1-5个工作日即可出结果。”值得注意的是，该贴自2020年8月24日发布以来，目前已交易多达360单。

　　中国司法大数据研究院社会治理研究中心主任李俊慧表示，2016年至2020年，全国各级人民法院一审审结涉侵害个人信息犯罪且裁判文书已公开的案件中，从所涉个人信息数据来源行业来看，金融行业占比为39.10%，位列第一。

　　“金融、中介、招聘等服务行业由于严重依赖电话、短信等途径进行营销，为了提升营销的针对性、有效性，买卖公民个人信息已成了行业‘潜规则’。”北京市朝阳区人民检察院检察官助理陈莹璐说。

　　记者了解到，金融行业信息泄露不仅发生在中国。在境外，金融行业数据也是暗网“常客”。2020年4月9日，价值近200万美元的韩国和美国支付卡信息在暗网出售。位于新加坡的网络安全公司Group-IB检测到一个数据库，其中包含韩国、美国的银行和金融组织将近40万张支付卡记录的详细信息，并且这些信息已于2020年4月9日上载到暗网。

　　信息贩卖成“潜规则”

　　泄露规模呈“指数级”增长

　　几乎我们每个人都有如下类似的经历：刚买了房子，就有装修公司打来电话；生完小孩没多久，就有早教中心来联系；买完车刚一年，就有保险公司来推销车险……推销人员借助“隐私信息”无孔不入。个人信息泄露规模到底有多大？

　　业务情报安全企业永安在线产品经理邹洪志对《经济参考报》记者表示，永安在线数据泄露监测平台从2018年正式开始运营至今，已发现数据泄露事件超70000起，影响人数超过2亿。

　　事实上，数据泄露在全球都处于高发态势。近日，据外媒报道，WizCase安全团队在扫描国际在线外汇交易平台FBS服务器时发现了严重的数据泄露事件。此次数据泄漏多达20TB，包括超过160亿条记录。泄漏信息包括姓名、电话、邮件、护照号、个人照片、驾驶执照等个人基础信息。同时，存款金额、货币、交易ID、交易日期、余额、股本等用户财务数据也在其内。

　　根据ForgeRock《消费者身份信息违规报告》最近公布的数据，网络犯罪分子在2019年暴露了超过50亿条数据记录。尽管2020年第一季度数据泄露事故数量下降了57%，但从泄露量来看，只增未减，泄露了多达16亿条记录，比2019年同期增加了9%。

　　“被侵犯的公民个人信息数量从‘倍数级’进阶至‘指数级’爆炸式增长。”北京市第三中级人民法院副院长辛尚民此前在介绍涉公民个人信息犯罪案件审理情况时指出，随着信息技术的发展，可利用的信息数量日益庞大，从过去的姓名、身份证号、手机号、住址等传统静态信息，增加了征信信息、定位信息、行踪轨迹信息、住宿信息、房屋产权信息等多方面多维度信息。同时，储存信息的载体从传统的U盘、硬盘等变为储存量更大的云盘，也让存储成本和难度大幅度降低。（记者 张超文 李佳鹏 孙韶华 张莫 梁倩 郭倩）