｜本刊見習記者/李少展

黑市車主信息販賣猖獗

｜本刊見習記者/李少展

你的個人敏感信息，很可能早已變成excel里的一行數(shù)據(jù)，被以1到5元不等的價格變賣于信息數(shù)據(jù)交易的黑市上。

不少購車者曾有疑惑，為何自己剛下訂單不久，就有電話打進來推銷車險，買車的消息怎么不脛而走的？也曾有少數(shù)車主接到過“違章詐騙”電話，對方甚至可以精確地報出你的車牌號、年檢記錄等等。

你的個人敏感信息，很可能早已變成excel里的一行數(shù)據(jù)，被以1到5元不等的價格變賣于信息數(shù)據(jù)交易的黑市上。

2015年4月28日，互聯(lián)網安全漏洞報告平臺烏云網“白帽子”（平臺漏洞發(fā)現(xiàn)者）就發(fā)現(xiàn)國內各省市的車主信息在互聯(lián)網被公然售賣，其中的信息包括車主姓名、手機號、身份證號、家庭住址、車牌號碼、汽車型號等。

這些數(shù)據(jù)依據(jù)詳細程度、時間、地區(qū)等被賦予不同的價位：當天更新的車主購車訂單信息每條3元，一周內的2元，一個月內的1元，特定地區(qū)的車主信息則要4元一條。

一條信息一塊錢

烏云網ID為李旭敏的“白帽子”告訴《消費者報道》記者，他從2013年開始發(fā)現(xiàn)網絡上的車主信息交易有泛濫勢頭。這些交易大多以QQ群為平臺，買賣雙方通過平臺接洽，然后再私下完成交易。

這些QQ群大多集結著兩三百個QQ帳號，個別活躍的QQ群人數(shù)接近兩千。與其他QQ群不同的是，這些群共同的特征是沒有任何群內交流。賣方總是各自以小廣告的形式在群上刷屏吸引買方私聊。偶有買方提出購買“數(shù)據(jù)要求”，再由賣方主動找上門。

從不同賣方提供的數(shù)據(jù)格式看來，車主信息的泄露來自不同的渠道。

網名叫“一手數(shù)據(jù)”的販子聲稱自己有非常詳盡的車主數(shù)據(jù)。在他提供的樣例數(shù)據(jù)中，除了車主常見的個人信息外，甚至包含汽車型號、發(fā)動機號、年檢時間、上證時間和一些汽車的技術參數(shù)。另一個叫“淘二郎”的販子手上的數(shù)據(jù)為全國各地的混搭，可以查看到車主GPS型號、保險單號和賠付限額等。

李旭敏曾和這些販子打過交道，他告訴記者：“販子拿到的車主信息渠道是多方面的，車企、車載GPS或者一些第三方的打車軟件，都可能導致車主信息泄露。當然也有小部分販子提到自己有‘內線’在獲取數(shù)據(jù)，但真實情況還需考證?！?/p>

另一個叫“奔跑啊阿米”的販子更是直言，其信息是由“技術”從車管所平臺上扒下來的，他手上有大多數(shù)北方2015年城市的數(shù)據(jù)。為了驗證其所言，他提供了哈爾濱市2015年5月1日“選號”車主的手機號碼截圖，除時間外，該圖片還包含著車主姓名、車牌、車型、住址等信息。這些車主的信息依據(jù)時間、地區(qū)、詳細程度、售前售后的不同劃分，最低1元起價，最貴的可以一條賣到5元。

手機號碼截圖

個人信息保護法停擺十年

2015年3月15日，中消協(xié)發(fā)布的《2014年度消費者個人信息網絡安全報告》顯示，網絡針對消費者個人信息“竊取”和“非法使用”的黑色產業(yè)鏈呈現(xiàn)爆發(fā)性增長態(tài)勢。有2/3的消費者在接受調查時明確表示，過去一年內個人信息曾被泄露或竊取，而1/3的受訪者稱，曾遭受過經濟損失和人身傷害。

據(jù)悉，中國最早的個人信息保護立法程序始于2003年，國務院當年委托有關專家開始起草《個人信息保護法》，2005年專家建議稿已經完成，并提交國務院審議。但自此之后該法律即停擺十年，再無下文。

中國互聯(lián)網協(xié)會信用評價中心法律顧問趙占領認為該法停擺的原因很復雜。“2008年后國家大部制改革，國務院信息化辦公室并入工信部后，沒有相關的部門來接手督促立法?？赡芘c這個原因有關?！?/p>

在基本的法律缺位之下，中國個人信息保護體系如何？

“我國關于個人信息保護的法令散見在200多部法律法規(guī)中，但語焉不詳，既缺乏全面系統(tǒng)的規(guī)定，又缺乏保護機制和執(zhí)法機制”，中國政法大學傳播法研究中心研究員朱巍接受本刊記者采訪時提到自己的擔憂。

2012年12月28日，全國人大常委會通過《關于加強網絡信息保護的決定》后，較為明確地為網絡個人信息保護提供了法律依據(jù)。

“但該法律最大的弱點是，它只規(guī)定了主動侵權所應承擔的責任，卻沒有規(guī)定被動侵權的部分”。朱巍認為，網站主動收集用戶信息，并用于非法用途，肯定要承擔侵權責任。如果網站被黑客攻破，造成用戶信息泄露，則屬于過失泄露，它應當承擔的責任很難界定。依據(jù)司法實踐中會采用過錯推定原則確定侵權責任，企業(yè)首先要舉證自己盡到了安保責任。

信息泄露一旦發(fā)生，追責將會很困難。趙占領指出：“民事賠償最困難的是舉證問題，網絡來源渠道那么廣，車主難以證明信息泄露的渠道來自于哪里。受限于網監(jiān)等執(zhí)法力量尚屬薄弱，刑事處罰和行政處罰目前的案例也是極其少的。”

由此，朱巍建議：掌握有一定規(guī)模個人信息的公司都應該設立“首席安全官”的行政或者技術職位，確立責任人制度，可以明確信息泄露后果的責任主體。同時，企業(yè)也會投入更多的資金和精力在自己的信息安全防護上。