网络空间安全攻防战①： 谁在窥视你的个人信息？

轰动全国的“徐玉玉案”，终于尘埃落定。

8月24日，山东临沂罗庄区法院一审宣判：19岁“黑客”杜天禹，犯侵犯公民个人信息罪，判处有期徒刑6年，并处罚金6万元。9月7日，上诉期限届满，杜天禹服判不上诉，一审判决生效。

2016年4月初，这位四川宜宾少年利用网络漏洞工具，非法入侵山东省2016年普通高等学校招生考试信息平台网站，非法获取高考生个人信息64万余条，并向陈文辉等人出售10万余条。后者利用这些信息实施电信诈骗，造成高考生徐玉玉死亡。

距案发尚有一个月，徐玉玉就将成为南京邮电大学计算机系2016级新生。但这位青春永远定格在18岁的山东农村女孩，根本未预料到虚拟的网络背后竟如此险恶。

如果没有意外，徐玉玉将成为南京邮电大学计算机系2016级新生

徐玉玉的悲剧尽管极端，却是个人信息泄露的真实缩影。在网络新时代，每个人无时无刻不在生产的数据，正清晰地成为善意或恶意的他人，通向我们个人的路标——透明的时代已然到来。

光缆尽头潜伏着无数的窥探者。一个严峻而现实的命题是，我们的个人信息到底该如何保护？

谁在“窥探”我们

截至2016年12月，中国网民规模已达到7.51亿人，这一数字几乎和整个欧洲的总人口相等。而随着网络技术的迅猛发展，我们的生活被笼罩在巨大的网络空间之内。

每一个清晨，从我们拿起手机的一刻起，当我们通过手机阅读资讯时，使用智能穿戴设备时，使用共享经济和物流网络时，上传照片和视频时，数据就被我们不断地生产和记录。

数字生活无处不在

这些数据汇聚成信息的浩瀚海洋后，大数据云计算就开始发挥作用——所行所思、消费习惯、行程安排、关系网络，数字巨头比我们更了解我们自己。每个人都变得更加透明，自己不再是个人信息和隐私的唯一所有者。

网络安全风险于是开始大量滋生，公民个人信息遭受侵害令人触目惊心。来自中国互联网协会的调查报告显示，有63.4%网民的通讯记录、网上购物记录等信息遭到泄露。

《中国个人信息安全和隐私保护报告》亦指出，在对全国100多万份调查问卷进行分析研究后发现，超过70%的人认为个人信息泄露问题严重；81%的人收到过熟知个人信息的陌生来电；53%的人因网页搜索、浏览泄露了个人信息；因租房、购房、购车、考试和升学等泄露个人信息后，受到营销骚扰或诈骗的高达36%。

据看看新闻Knews记者调查，目前导致大规模个人信息泄露的源头主要有两个：一是黑客攻击，虽不掌握信息资源，但利用“流氓软件”获取并泄露大量信息；二是握有大量个人信息的相关企业、单位、平台“内鬼”。

数据引来贪婪的窥探者

“对于绝大多数黑客而言，普通用户没有秘密可言。”碁震KEEN公司创始人、国内知名黑客王琦告诉看看新闻Knews记者，目前还不存在没有安全漏洞的系统，“如果发现漏洞之后，没有报告，甚至利用漏洞盗取信息，这样的黑客就极易沦为网络犯罪黑手。”

公安部网络技术研发中心主任许剑卓公开表示，目前对公民个人信息泄露危害最大的主要是银行、教育、工商、电信、快递、证券、电商等行业。由于这些行业掌握大量个人信息，内部人员更容易泄露数据。

2016年全国公安机关共侦破网络侵犯公民个人信息案2100多起，查获公民个人信息500多亿条。在5000多犯罪嫌疑人中，属于各行业内部的人员有450多人。

庞大的个人信息数据流向了哪里？据看看新闻Knews记者综合多方信息：购买个人信息最多的是那些需要推销广告信息、出售假冒发票和垃圾信息发布源头的人。其中，房地产中介、理财公司、保险公司、母婴及保健品企业、教育培训机构等日渐兴盛的产品推销和服务企业，是对个人信息趋之若鹜的核心群体。

个人信息流向的另一个终端则是诈骗团伙。当他们通过各种途径获取大量个人信息后，盗窃、电信诈骗、绑架、敲诈勒索等刑事犯罪也随之而来，比如“徐玉玉案”。

网名叫“法师”的黑客杜天禹，在非法获取山东高考考生信息后，将其中10万余条以14100元价格卖给福建陈文辉为主犯的诈骗团伙。陈则通过这些信息，组织多人实施电信诈骗活动，拨打诈骗电话1万余次，骗取他人钱款共计20余万元，其中山东临沂考生徐玉玉被诈骗9900元。今年7月19日，陈文辉被临沂市中级人民法院一审宣判无期。

巨大的网络黑色产业

我们很多人早已习惯通过支付宝进行消费。这些交易的数据循着无线网络，出现在杭州市中心一栋大厦内的一张特殊的世界地图上。如流星一般在地图上不断飞行的曲线，代表着支付宝在全球各地的实时交易。

支付宝的实名注册用户超过4.5亿，每24小时全世界通过支付宝完成的交易超过一亿笔。阿里巴巴集团旗下的蚂蚁金服公司，已将四分之一的人力投入到这些交易的安全监控上。

该公司安全管理部总监邵晓东的神经一直紧绷。蚂蚁金服的服务器每天都承受着来自外部的攻击，安全人员平均每一分半钟就会发现一次对支付宝的攻击请求。“这些攻击大多数瞄准的是用户的支付宝账户和密码，每天被安全人员识别的可疑账户超过2000个。”

在北京的百度公司总部，安全事业部总经理马杰的神情同样高度专注、紧张。他每天的工作是带领团队为中国超过六亿名百度用户，识别出可能存在风险的网页，避免账户遭窃。他告诉看看新闻Knews记者，他们每天会检查30亿个网页是否安全，“这30亿次检查里大概有1000万次以上被判定有问题，涉及窃取个人隐私而被拦截下来。”

网页潜藏被攻击的风险

2017年5月15日，仅仅半天时间百度用户被攻击次数近十万次。工程师冯景辉负责对外部攻击进行实时监测，他发现攻击除了来源于网站外，“风险WIFI”亦是主要的信息泄露渠道，逐渐成为不法分子们窃取财富的“隐形后门”。

“你在公共场合连接一些不安全的WIFI，可能导致你的个人信息泄露，包括在网购或支付时信用卡账号的泄露；也有可能导致你的手机客户端被中上木马病毒，成为黑客的攻击源。”冯景辉说。

2017年5月14日，在香港附近的公海上，“云顶梦”号邮轮内聚集了来自全球的顶尖黑客，被称为黑客奥运会的“极棒嘉年华”正在进行。女黑客TYY半小时不到，就当场攻破小鸣单车的防御系统——用户的历史骑行路径、GPS定位、账户余额等信息一一展现在观众眼前，而用户浑然未觉。

找出漏洞，控制网络，侵入系统，窃取机密⋯⋯黑客在人们心目中是一种神秘又无所不能的存在。但现实中，黑客却有好坏之分：“白帽黑客”和“黑帽黑客”。二者都研究系统漏洞，但白帽黑客的最终目的是解决安全问题，黑帽黑客则可能利用漏洞作恶，沦为网络黑产犯罪链条的其中一环。

巨大的利益是最好的动力。《安全简史》作者、北京邮电大学教授杨义先表示，当黑客的利润达到100%的时候，黑客就敢践踏任何法律；当利润超过300%的时候，黑客是任何风险哪怕杀头坐牢他也认为值得冒，“而黑客攻击的利润远远不止300%。”

“不但叫得出你的名字，还说得出你别的信息，甚至能说得出你的家人信息。”百度安全事业部总经理马杰表示，网络黑色产业链对数据的利用，从最简单原始的电话、身份证信息，早已过渡到个人更完整的数据，更上升到数据关联性的分析层面了。

这在杨义先看来，就是大数据挖掘的力量，“他能够把很多无害的东西组合出来，可能就是对当事人非常有害的东西。从现在开始到今后相当长时期里，数据对老百姓来说意味着比钱还重要。”

信息的泄漏提高了诈骗的成功率。由北京市公安局网络安全保卫总队和360互联网安全中心联合发布的报告显示，全国从事网络诈骗产业的人数估计超过160万人。

2016年2月，上海建立了全国最大的反网络电信诈骗犯罪中心，仅仅一年就侦破各类电信网络诈骗案件4800多起，抓获犯罪嫌疑人1900人。

瞩目的“被遗忘权”

与个人信息被动失窃相比，更应当引起重视的，是我们使用网络时主动让渡的隐私信息。这些信息被采集者们掌握，将被如何处理，谁又能制约这些数据搜集者呢？这是一个极其严肃的问题。

早在1890年12月，美国法律人塞缪尔·沃伦和路易斯·布兰代斯在《哈佛法学评论》第4期上发表《隐私权》，被认为是探讨隐私权问题最早的和最全面的论述。然而在数字时代，隐私这种权利正在受到越来越多的冲击。

英国伦敦大学皇家霍洛威学院，是全球首个开设信息安全专业硕士课程的大学，其网络安全创新中心执行主任罗伯特·卡罗里一直关注个人信息的安全保障。他注意到，相较于网络攻击，来自公司企业对于个人信息的截留和二次使用，同样会对个人带来伤害。

截留和保存用户的信息并进行二次利用，几乎已成互联网公司们的潜规则。2014年5月13日，一位名叫马里奥·冈萨雷斯的西班牙公民打破个体的沉默，对这种潜规则提出了挑战。

起因是1998年，有报纸刊登了冈萨雷斯因无力偿还债务而遭拍卖物业的公告，但当他债务还清后，只要通过谷歌搜索冈萨雷斯的名字，仍能看到这些负面信息。愤怒的冈萨雷斯起诉谷歌，要求删除这些链接，被称为“被遗忘权第一案”。

牛津大学教授、著名网络伦理学专家弗洛里迪，是该案的全球顾问委员会委员。他向看看新闻Knews记者解释称冈萨雷斯案件最具价值的争论在于，企业到底有没有权利对个人数据进行二次处理。事实是，在互联网行业，类似谷歌这样的公司正是通过处理无数个冈萨雷斯的个人信息而持续获利。

2014年5月，欧盟法院作出终审判决：谷歌公司删除包含冈萨雷斯个人信息的网络链接。这起案件的胜诉，意味着此后每一位欧洲公民都有权要求网站“遗忘”那些不适合继续存在的个人信息。此后，对于个人隐私信息的保护在欧洲占据主流。

2016年4月，在被称为欧洲心脏的比利时首都布鲁塞尔，欧盟议会表决通过了《通用数据保护条例》，其中最让人瞩目的正是“被遗忘权”。

欧盟《通用数据条例》发言人接受专访

《通用数据保护条例》被认为是现今最严苛的保护个人信息、限制公司行为的规定——如果公司保护个人信息不力，最高可处以公司全球营业额4%的罚金。

如同速度越快，刹车所需要的阻力也就越大的道理一样，经营者们总是认为，类似“被遗忘权”这样的规定会限制企业的利润空间。公司不会自断财路，治理必须依靠强有力的规则。如今，全球的大部分国家有了自己的互联网法规，自觉维权和公正执法被提上议事日程。

2017年6月1日，《中华人民共和国网络安全法》正式出台。这是一部用以构建中国网络空间管辖规则的基本法，它亦高度重视个人信息保护。

其第四十一条规定，“网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。”“网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。”

“在现代社会，任何一个行业不可能完全靠行业自身的约束力来规范，一定要靠国家法律来规范其行为和发展。”北京邮电大学教授杨义先说。

（看看新闻Knews记者：邓全伦 曹翔 记者 陈瑞霖 王者风 刘水 姜涛 徐敦华 对本文亦有贡献 实习编辑：黄丽文）