2015年考研130萬考研者信息在網(wǎng)上被叫賣

2015年考研：130萬考研者信息在網(wǎng)上被叫賣

　　“2014年12月份研究生名單，要得M(私密聊天)”“去年只有55萬條，這次總共130萬條”“15000元打包賣，單賣1條信息1毛錢”……

　　湖北考研網(wǎng)獲悉，距離今年考研還有一個月左右的時間，有人開始在QQ群中叫賣考研學(xué)生的個人信息。

　　2014年已經(jīng)步入尾聲，今年以來備受關(guān)注的信息安全問題，未來依舊是重頭戲。

　　130萬考研信息15000賣

　　“數(shù)據(jù)包一共有130萬條信息，全部是今年報名參加考研的學(xué)生，覆蓋全國范圍。打包賣15000元，這已經(jīng)是轉(zhuǎn)手幾次的價格了，要是獨家賣的話，肯定不是這個價。”考研信息賣家在群中這樣介紹。

　　為了證明數(shù)據(jù)庫中數(shù)據(jù)的真實性，考研信息“賣家”貼出了部分考研學(xué)生信息的截圖。從截圖中可以看到，除了考生姓名、性別外，能夠買到的信息還包括手機號碼、座機號碼、身份證號、家庭住址、郵編、學(xué)校、報考專業(yè)等敏感信息，非常詳細。至于這些信息是從何而來，賣家并不愿多說。

　　近期網(wǎng)上有關(guān)考研信息泄露的消息引發(fā)關(guān)注后，有人將矛頭指向了中國高等教育學(xué)生信息網(wǎng)(以下簡稱“學(xué)信網(wǎng)”)，認為只有學(xué)信網(wǎng)才能擁有如此詳細的考生信息。

　　據(jù)了解，學(xué)信網(wǎng)是由教育部下屬的全國高等學(xué)校學(xué)生信息咨詢與就業(yè)指導(dǎo)中心主辦，接入了集高校招生、學(xué)籍學(xué)歷、畢業(yè)生就業(yè)和全國高校學(xué)生資助信息一體化的大型數(shù)據(jù)倉庫。

　　法治周末記者致電學(xué)信網(wǎng)客服，詢問了有關(guān)考研學(xué)生信息泄露的相關(guān)情況。客服人員表示：“確實看到有相關(guān)報道反映此事，學(xué)信網(wǎng)對此事也正在核實中。學(xué)信網(wǎng)對外不會泄漏考生的個人信息，官方目前對此也沒有相關(guān)消息公布，建議您以教育部官方的告知為準(zhǔn)。”

　　盡管目前泄露信息的來源并無準(zhǔn)確消息，但這些信息的泄露確實為部分考生造成了現(xiàn)實的困擾。

　　“從泄露的考研信息中，可以知道相關(guān)考生的聯(lián)系方式，報考的城市、學(xué)校、專業(yè)等資料。根據(jù)這些資料，不法分子可以利用來進行精準(zhǔn)營銷、推送有針對性得到廣告，比如針對不同城市、特定學(xué)校和專業(yè)的考驗培訓(xùn)班、復(fù)習(xí)資料等。更有甚者，還有人會提供代考、假文憑等違法犯罪活動。”重慶大學(xué)法學(xué)院教授齊愛民說。

　　“我驗證過賣家提供的一些考生信息，打電話過去后，對方確實是今年正在準(zhǔn)備考研的考生。這些考生反映，已經(jīng)接到了非常多的騷擾電話，都是賣考研資料、推銷考研培訓(xùn)的。”一名長期接觸信息販賣黑色產(chǎn)業(yè)的互聯(lián)網(wǎng)安全工作人員李樂(化名)表示，“這些考生也很疑惑，為什么打騷擾電話來的人非常清楚他們的報考學(xué)校和專業(yè)？這些信息他們很少對外人說。實際上，他們的這些詳細資料，早就在網(wǎng)上被轉(zhuǎn)手賣了好幾次了。”

　　庖丁解牛般的信息解構(gòu)

　　中國政法大學(xué)副教授朱巍告訴法治周末記者，網(wǎng)絡(luò)個人信息分為三種大類型，一是身份信息，即用戶姓名、聯(lián)系方式、住址、IP地址、銀行卡號等；
二是注冊信息，即用戶在使用網(wǎng)絡(luò)服務(wù)時依據(jù)服務(wù)或產(chǎn)品類型，按照“網(wǎng)民協(xié)議”提交網(wǎng)站的除身份信息外的其他資料；
三是行為信息，即用戶網(wǎng)絡(luò)所有行為的數(shù)據(jù)。

　　“近年來，涉及泄密的信息大都是第一類信息和第二類信息，第三類數(shù)據(jù)是大數(shù)據(jù)范圍，一般不在泄露之列。這些數(shù)據(jù)被廣泛使用在特性化服務(wù)、精準(zhǔn)營銷、針對性廣告、商業(yè)性推薦等方面。”朱巍說。

　　金山毒霸反病毒工程師李鐵軍表示，網(wǎng)民只要在網(wǎng)絡(luò)上使用過相關(guān)服務(wù)，都會在網(wǎng)上留下相關(guān)信息，一旦泄漏出去就會非常麻煩：“舉個例子，有網(wǎng)上購物習(xí)慣的網(wǎng)民，身份證號、手機號、銀行卡號這些信息在網(wǎng)上都會留存。當(dāng)信息泄露達到一定程度的時候，不法分子就可以利用網(wǎng)上泄露的這些信息、運用技術(shù)手段去將銀行卡關(guān)聯(lián)的手機號更改，進而通過一系列驗證程序，盜取銀行卡上的錢財。”

　　齊愛民介紹，看似簡單的個人信息，實際上能夠反映很多內(nèi)容，比如一個人的經(jīng)濟階層、消費能力、消費習(xí)慣、消費偏好等；
數(shù)據(jù)公司能夠?qū)€人信息進行分析、解構(gòu)，如同庖丁解牛一般，利用個人信息將一個人“定位”，進而結(jié)合其聯(lián)系方式，被各種利用。

　　“從商業(yè)利用的角度上看，各類營銷機構(gòu)會利用這些信息開展?fàn)I銷活動，從而對信息所有者造成騷擾，比如收到各種信息、電話、郵件，打擾生活的安寧。”齊愛民說，“而更嚴重的影響，在于一旦這些泄露的信息被犯罪分子掌握，就會威脅到信息所有者的人身財產(chǎn)安全，比如因信息泄露而誘發(fā)的詐騙、勒索、強奸、綁架案件，在當(dāng)下都已經(jīng)不算是新聞了。”

　　信息泄露存在行業(yè)差別

　　130萬考研信息的泄露，只是當(dāng)下信息安全問題的一個縮影。在國內(nèi)最大的漏洞發(fā)布平臺烏云網(wǎng)上，法治周末記者發(fā)現(xiàn)，涉及用戶信息泄露的相關(guān)報告非常多；
最近比較引人關(guān)注的，還有智聯(lián)招聘86萬份簡歷信息泄露、東方航空公司大量用戶訂單信息泄露等。

　　為何當(dāng)下信息泄露事件頻發(fā)？

　　朱巍認為，用戶個人信息的泄密原因主要在于三點：“首先，技術(shù)性原因，網(wǎng)站作為信息儲存者在安全防護技術(shù)上存在漏洞；
其次，制度上原因，網(wǎng)站缺乏對用戶信息保存有效監(jiān)管制度，缺乏應(yīng)急機制，內(nèi)部人員管理存在混亂；
最后，法律上的原因，我國仍沒有個人信息保護法，現(xiàn)有其他法律規(guī)定過于抽象，缺少對大數(shù)據(jù)背景下個人信息保護的針對性規(guī)定，缺乏數(shù)據(jù)合理使用范圍界定。同時，現(xiàn)行法律對侵害個人信息處罰力度過低，違法成本小于違法收益。”

　　李鐵軍表示，還有一個很重要的原因在于，民眾自己保護個人信息的意識不強，很多信息都是網(wǎng)民自己泄露出去的：“非常多的網(wǎng)民不太關(guān)注個人信息保護，一個不好的習(xí)慣就是，在網(wǎng)上遇到填表的時候，一股腦全部填入自己的個人真實信息，完全沒有防范意識。”

　　而從另一個角度，在李鐵軍看來，信息泄露的安全風(fēng)險，在傳統(tǒng)行業(yè)與互聯(lián)網(wǎng)行業(yè)之間，存在著明顯的行業(yè)性差別：“中國的互聯(lián)網(wǎng)企業(yè)，在經(jīng)歷一些安全事件之后，安全意識提高了一些；
但是傳統(tǒng)企業(yè)在接觸互聯(lián)網(wǎng)時、在企業(yè)的互聯(lián)網(wǎng)化過程中，往往將互聯(lián)網(wǎng)僅當(dāng)作一種發(fā)揮作用的工具，卻忽視了互聯(lián)網(wǎng)上的安全風(fēng)險。這與傳統(tǒng)企業(yè)在接觸網(wǎng)絡(luò)時的安全防范經(jīng)驗不足、意識不足有關(guān)。”

　　齊愛民坦言，我國信息泄漏事件層出不窮，確實是我國當(dāng)下的一大信息安全問題；
但我們也應(yīng)當(dāng)認識到，即便是再發(fā)達的國家、再先進的軟硬件水平，都存在信息泄露的風(fēng)險，“美國、英國、德國等西方發(fā)達國家，也經(jīng)常會曝出信息泄露事件，很多時候是由于黑客入侵造成的”。

　　個人信息保護法出臺迫在眉睫

　　無論信息泄露的原因是什么，都會造成一定危害。除了上文提到的對信息所有者的影響外，在齊愛民看來，信息泄露事件的發(fā)生，對于相關(guān)企業(yè)也存在著負面影響。

　　“信息泄露事件對于企業(yè)的信譽影響很大，任何一個單位都不愿意被曝出信息大量泄露；
特別是對于互聯(lián)網(wǎng)公司來說，這可謂是一個命門。”齊愛民表示。

　　如何防范信息安全風(fēng)險？齊愛民認為，從公民、企業(yè)、國家三個層面，都應(yīng)當(dāng)有所作為。

　　在齊愛民看來，公民個人的意思和行為規(guī)范不斷提高，是防范信息泄露的第一道閥門：“任何一個社會中，個人權(quán)利的保障首先在于自己。如果自己的保護意識和手段都不夠，如何僅僅依靠外部力量來實現(xiàn)個人信息的保護呢？這是不現(xiàn)實的。因此，公民應(yīng)當(dāng)盡量避免盲目對外提供個人的真實信息，從自身開始提高意識、注意風(fēng)險。”

　　而從企業(yè)層面上，齊愛民認為，企業(yè)應(yīng)該提供符合行業(yè)通行標(biāo)準(zhǔn)的安全措施，并且對于信息的存儲、提供、傳輸?shù)确矫娼⑿畔惱碇贫龋?ldquo;簡單來說，就是什么人能夠接觸什么這些信息，能接觸多少信息，通過什么制度信息才能對外提供，能夠提供給什么人，都需要企業(yè)內(nèi)部完善相應(yīng)的規(guī)章制度。另外，企業(yè)也可以考慮采取合同的方式，對能夠接觸到這些信息的員工進行約束，在發(fā)生違規(guī)情況時進行懲處。”

　　齊愛民還提到，應(yīng)當(dāng)考慮建立互聯(lián)網(wǎng)信息安全協(xié)會，讓互聯(lián)網(wǎng)公司在我國相應(yīng)立法沒有出臺之前，通過行業(yè)自律設(shè)立業(yè)界通行的安全標(biāo)準(zhǔn)，對相關(guān)網(wǎng)站信息安全的各項指標(biāo)(軟硬件功能、信息倫理制度、操作規(guī)程、合同規(guī)范等方面)進行認證，從而讓網(wǎng)民能夠選擇信任的公司去接受服務(wù)。

　　“從國家層面上來說，個人信息保護法的推出時不我待、刻不容緩，沒有法律對個人信息保護明確標(biāo)準(zhǔn)、對個人信息泄露行為苛以責(zé)任，保護力度就永遠跟不上。比如以法律的形式明確企業(yè)應(yīng)當(dāng)履行的信息保護安全措施標(biāo)準(zhǔn)后，就可以以此來衡量企業(yè)是否盡到相應(yīng)義務(wù)、是否應(yīng)當(dāng)對發(fā)生的信息泄露事件承擔(dān)責(zé)任。如果企業(yè)已經(jīng)盡到義務(wù)、存儲信息的服務(wù)器依然被黑客攻破而導(dǎo)致信息泄露，這個責(zé)任就應(yīng)當(dāng)由非法入侵者承擔(dān)。”齊愛民說。

　　李鐵軍表示，面對當(dāng)前的環(huán)境，企業(yè)應(yīng)當(dāng)增加在信息系統(tǒng)有關(guān)網(wǎng)絡(luò)信息安全防范的投入，建立專門的安全團隊；
如果自身缺乏相關(guān)的專業(yè)人員來維護，就應(yīng)當(dāng)將網(wǎng)絡(luò)安全維護外包給專業(yè)的安全公司去做。

　　“最后，還需要對普通網(wǎng)民提個醒：在上網(wǎng)過程中，除了使用賬戶名、密碼來驗證身份外，盡量增加動態(tài)密碼的驗證過程，即采取兩步驗證措施，這樣上網(wǎng)的安全性會提升很多；
另外，很多網(wǎng)民雖然在不同網(wǎng)站上有不同賬號，但往往都使用同一個密碼，一旦發(fā)生信息泄露，就有可能導(dǎo)致與其關(guān)聯(lián)的所有賬號被盜的風(fēng)險。網(wǎng)民應(yīng)當(dāng)避免這種重復(fù)使用密碼的情況發(fā)生。”李鐵軍說。

相關(guān)推薦: