摘要:3月17日,百度安全负责人陈洋在对“百度副总裁谢广军13岁女儿开盒事件”作出回应时称,该事件所涉个人信息泄露源头并非百度。百度内部已对数据进行匿名化处理,设置了权限分离,谢广军没有相关数据库的任何权限。并且在海外的Telegram电报群里面,很多社工库中可以轻
《法治周末》记者 吕静
3月17日,百度安全负责人陈洋在对“百度副总裁谢广军13岁女儿开盒事件”作出回应时称,该事件所涉个人信息泄露源头并非百度。百度内部已对数据进行匿名化处理,设置了权限分离,谢广军没有相关数据库的任何权限。并且在海外的Telegram电报群里面,很多社工库中可以轻易找到大量微博用户的个人信息,且很多信息是免费的。
社工库成个人信息泄露重灾区
“开盒”类似于“人肉”搜索,是指通过非法手段搜集他人隐私信息,并在网络上公开曝光他人隐私的行为,被“开盒”者的个人信息一旦被曝光,可能遭遇骚扰、谩骂、造谣等。
浙江理工大学数据法治研究院副院长郭兵告诉《法治周末》记者,“开盒”行为显然构成民事侵权,无论是否承担行政或刑事责任,都需承担民事责任。“开盒”行为根据具体情节可能面临治安管理处罚的行政违法责任。若情节严重,如达到刑法中的侵犯公民个人信息罪程度,则可能涉嫌犯罪,需承担刑事责任。
郭兵还指出,我国民法典对隐私权和个人信息保护有专章规定,由于“开盒”往往侵害众多或不特定个人的信息权益,一些地方正针对此问题提起公益诉讼。
记者调查发现,海外社工库暗藏着一条巨大的隐私贩卖黑产。社工库是一个海外社交媒体群,其利用机器人、人工客服和积分体系提供“一键开盒”服务,只需要一个手机号或名字就可以获取更多个人相关的隐私内容,包括名下车房、快递外卖地址、开房记录及同住记录、个人户籍及家人户籍等。
记者打开这个海外社工库,发现有多个交流群组与社区,比如,巨人社工库、日月社工库、TapSGK·万人社区、小丑社工库等。
随后,记者进入一个名为“日月社工库”的交流群,在这个群组中,记者观察到,仅一小时内,就有数百条“开盒”信息被发布。其中,有一条“开盒”信息尤为引人注目,它不仅包含了被“开盒”者的身份证号、手机号、工作单位以及职位,还有几十位相关同事的个人信息(同事身份证号与手机号)。
查询规则是什么呢?普通人进群完成注册后,可以首先使用系统赠送的免费积分进行体验。注册时会获得10个积分,每次查询会消耗5个积分。为了增加积分,用户每天可以通过签到获得3个积分,此外,成功邀请10人加入群组还可以额外获得10个积分。当免费积分使用完毕后,用户可以选择付费充值以继续查询,单次查询的最低费用为80元。用户还可以选择成为永久会员,支付4000元即可享受无限制查询的权益。
不过,这只是社工库机器人查询,群内还有高级人工查询,可以获得更为敏感的个人信息。
个人户籍查询不超过100元
根据社工库提供的价目表,不同的价格对应着不同的查询服务。具体而言,只需提供手机号、身份证号或微信号中的指定一项信息,就可以进行以下查询:个人户籍查询的价格为100元,全家户籍查询的价格则为550元。若需要查询银行卡流水,价格从2500元起。此外,5年内开房同住记录的查询价格为5000元。查询价格最贵的是微信好友提取、微信聊天记录提取,分别需要支付15000元与50000元。
TapSGK·万人社区以某人高清身份证信息为例,明确指出,只需提供姓名或身份证号,就能够查询到其证件照片与户籍地址。
小丑社工库则提示,出入境记录特价查询1100元,只需提供身份证号或护照号,就能获取10年内出入境国内的所有记录,港澳台居民也能查询,当天或隔天就能出查询结果。
记者随后打开巨人社工库,根据提供的查档价格表显示,个人户籍1天出单,查询价格80元;婚姻记录1至3天出单,查询价格350元;快递地址1至3天出单,查询价格400元;人身轨迹2至7天出单,查询价格4000元;开房同住3至7天出单,查询价格5000元;微信好友提取7天出单,查询价格4500元……
让人意想不到的是,社工库还配备了智能化查询系统,用户只需要输入姓名等关键信息,就能查询到各类隐私信息,用户输入的信息越详细,输出的隐私信息越精确。
记者尝试输入了自己的名字和手机号,系统迅速反馈了记者本人的毕业院校、QQ邮箱号、QQ账号以及QQ头像。当记者进一步提供身份证信息时,系统则出现了记者本人的户籍信息。如果要获取更多详细信息,则需另支付费用。经过授权,记者又输入了朋友的名字和手机号,结果“开盒”出了朋友的微博账号以及其父亲的手机号。
记者私聊“查档员”询问,查询开房同住需花费多少,该“查档员”表示,现在涨价到6000元了,可以查到5年的记录,需要3至4天回单。当被问到查询原理以及信息来源是否可靠时,对方表示:“‘条子’出的啊,‘条子’赚大头,我们就赚一点差价。”
郭兵表示,信息泄露的原因复杂多样,可能源于个人信息处理者(涵盖大型及中小型平台)的安全防护措施不足,或是平台内部员工为非法获利而进行的信息交易,甚至包括部分公职人员。由于这类信息交易活动通常发生在境外,其高度隐蔽性使得境内追溯调查极为艰难。对此类“内鬼”行为,无论是企业人员还是公职人员,都将视情节严重性承担治安违法责任或面临侵犯公民个人信息罪的刑事责任,但追踪这些责任人仍面临巨大挑战。同时,运营者在信息泄露事件中负有不可推卸的责任,在公益诉讼中,他们不仅要承担刑事责任,还需通过公益诉讼途径赔偿相应的民事责任。
如何打击海外社工库的违法犯罪行为
事实上,利用社工库“开盒”的案例并不少见。今年1月,杭州警方破获一起侵犯公民个人信息案。据央视报道,嫌疑人通过社工库非法获取个人信息,在网上“开盒”两千余网红的个人信息;散布在其组建的境外聊天群中引流,再通过接广告或付费调查等方式获利几十万元。目前,10名嫌疑人已被抓获归案。
自我标榜“网络黑客”的不法分子背后,有一条庞大的黑产链条。其中,社工库是重要一环。警方发现,嫌疑人通过境外网站寻找已被泄露的公民身份资料,然后将这些资料汇聚在社工库。使用者只需付很少的费用,就可得到大量的公民信息。可见,由于易获取、成本低,社工库已成“开盒”等违法犯罪的温床。
2023年,B站通报的一起案例显示,某群体在境外平台有组织地煽动用户对站内UP主进行“人肉开盒”,该群体不仅在线上公开UP主个人信息,还对其进行电话私信骚扰、网暴攻击、恶意举报等违法行为。公安机关查明,该侵权案件牵涉18个省市,共计40余人。主要活动人员为未成年人L某与未成年人C某。其中,L某因违法事实情节严重,警方已对其处以10日行政拘留。同时,该违法行为将被永久记录在其个人档案中。C某在监护人陪同下,公安机关已根据《中华人民共和国治安管理处罚法》相关规定,对其进行了严厉批评教育。
同年5月,一位博主录制一段“处刑式虐猫”视频并上传至网络进行售卖,引发公众广泛关注。而据网传截图显示,张馨予、赵露思、王一博等多位演员公开表达了反对虐待动物,随后他们的社保卡、手机号等个人信息遭到曝光。9月,主持人杨迪发文称自己遭遇“开盒”,个人信息被泄露,接到大量的骚扰电话,最终不得已更换手机号。
北京理工大学智能科技法律研究中心研究员王磊说:“我国法律对海外社工库运营者有管辖权与执法权。具体而言,我国刑法以属地管辖为主,以属人管辖、保护管辖、普遍管辖为辅。根据刑法第六条属地管辖原则的规定,凡在中华人民共和国领域内犯罪的,除法律有特别规定的以外,都适用本法。犯罪的行为或者结果有一项发生在我国领域内的,即可依据上述规定行使管辖权。此外,根据保护管辖原则,若犯罪行为侵犯我国公民重大利益,我国也有权管辖。我国可与相关国家通过司法协助条约,开展调查取证、引渡等工作。”
如何打击海外社工库的违法犯罪行为,加强数据安全和用户个人信息保护呢?王磊认为,一是加强国际合作。通过国际刑警组织或双边司法协助协议,追查境外犯罪主体,与相关国家建立信息共享、联合行动机制,推动与境外司法机构的协作,共同打击跨境数据犯罪。二是加大技术投入。提升网络监测、追踪能力,及时发现并封堵非法社工库,要求境内平台屏蔽境外非法信息源,切断传播链条,加强对境内数据泄露源头的追踪,斩断数据向境外社工库的输送链。三是严格执行法律规定。根据数据安全法第二条的规定,在境外开展数据处理活动,损害我国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。可对参与或协助海外社工库运营的国内人员依法惩处。同时,可以进一步细化相关法律规定,推动“开盒”行为入刑标准细化,明确跨境数据犯罪的法律适用。
来源:天津高法
