真实礼品代发平台李铁从事数据安全维护作业近10年，尤为垂青自己的个人信息维护。近来，他告知央广网记者，本年6月的一天，他接到一个生疏电话，对方直接说出他在某礼品包电商途径的订单信息，并称货品质量有问题，需求供给银行卡号，以便补偿。

李铁说，出于作业灵敏，他的榜首反应是个人信息被走漏了。此前他的确在这家礼品包电商途径购买过上述物品，当他企图问询更多信息时，对方当即挂断了电话。

记者近期查询发现，除这家礼品包电商途径外，多家闻名礼品包电商途径均有数据在网上揭露叫卖，这些信息包含顾客的名字、电话、地址、产品称号和礼品网快递单号等。有卖家自称每条个人信息0.35元，2000条起卖，假设购买量大，最低可打五折。记者从卖家处购买了数千条数据，随机对近200条个人数据进行了电话求证，证明被售卖的个人信息中名字、电话、住址等准确无误。

真实礼品代发平台互联网数据信息走漏不只带来诲人不倦的营销电话，还牵涉到商业途径之间的利益竞赛，乃至导致电信礼品包黑产诈骗等违法现象，比如2016年震惊全国的“徐玉玉电信礼品包黑产诈骗案”。该案当选最高人民法院“2017年推进法治进程十大案子”。

2022年6月1日，《中华人民共和国网络安全法》（简称《网络安全法》）正式施行五周年。《网络安全法》清晰规定，网络运营者对其搜集的个人信息所负有的法定责任包含：不得走漏、篡改、毁损其搜集的个人信息；未经被搜集者赞同，不得向别人供给个人信息；采纳技能措施和其他必要措施，确保其搜集的个人信息安全，避免信息走漏、毁损、丢掉。

本年国务院印发的《“十四五”数字经济开展规划》提出，严峻冲击数据暗盘买卖，营建安全有序的市场环境。国家开展变革委等部分联合印发的《关于推进途径经济标准健康持续开展的若干意见》中也说到，从严管控非必要搜集数据行为，依法依规冲击暗盘数据买卖、大数据杀熟等数据乱用行为。

严峻冲击之下，仍是有人逼上梁山。几千元可买到上万条数据，一条黑色产业链正潜伏在社会的隐秘旮旯中。

个人信息遭揭露叫卖，一条数据0.35元

隔三岔五，卖家许飞就会在QQ群发布一条“出料”信息。

“出料”是这个地下买卖的“黑话”，它代表“数据”。音讯宣布不久，群内一些成员就来问询是什么类别的数据，他回复“私聊”后，这群人便消失在谈天群中。请求老友通过验证后，一旦有人买数据时优柔寡断，他就很快把人拉黑。

记者以买家身份加上了卖家许飞的QQ。“你要多少条？这些数据你先打电话核实。”许飞发来一个文档，称这是截取短信的信息，短信显现“或人、某时购买的物品现已礼品包裹代发”。

他自称还出售多家闻名礼品包电商途径的个人信息，“一条数据0.35元，2000条信息起卖。”购买者不只可以指定途径，还可指定日期，但最新数据也是两天前的数据，而非实时数据。

记者向许飞购买多家礼品包电商途径的个人数据，真实礼品代发平台发来的每份数据文档中的信息条数从几十个到上千个不等，订单的产品有母婴用品、衣服、酒水、日子用品等多种类别。

其间，两份名为某礼品包电商途径“纸尿裤”和“母婴”的文件，共有数百条网购订单数据信息。信息包含所购买的产品品名、数量、价格、买卖时刻、订单号，以及收货人电话、名字、地址，礼品网快递公司和礼品网快递单号等，其间地址详至门牌号。乃至，部分订单显现“未礼品包裹代发”“已礼品包裹代发”“孕妈妈不能走太远路”等补白信息。

为验证上述数据信息的真实性，记者随机拨打近200名用户电话求证，证明被售卖者的名字、电话、住址等信息无误。

“假的数据，我敢卖给你？”许飞一再敦促记者赶快核实，“你定心，这些数据都可以对上号。”

许飞介绍，他和其别人合伙开了一家作业室，每天产值3万条左右，而他自己也悄悄出产数据，但量少，每月不到1万条。假设客户多，数据又不行，他只能从作业室拿，而自己只能拿一点提成，“挣得并不多”。

见记者优柔寡断，他不断劝说：“数据作用好的话，趁月底你多弄点数据，可以打五折，1万条数据只需2300元。你要是想倒手卖，再把价格加上去。”

许飞还发来一份名为“银行买卖短信绑架样本”的文档。该文档包含国内各大银行称号、名字、手机号码、属地、时刻、储户实时到账的短信提示等信息。“这是银行内部流出的数据，咱们途径许多，你信了吧？”他说。

另一售卖者也表明，自己售卖的数据以母婴类为主，还有专门的宝妈途径和电视购物个人信息，这些信息都是从途径一手途径“拿货”，确保精准，并称假设价格可以承受，“身份证都能给你洗出来”。

许飞从不必付出宝、微信转账的方法买卖。

他称，付出宝口令红包更安全。记者在购买数据时，他一再吩咐转账有必要通过“付出宝口令”红包，输入口令后，将截图发给他即可。“咱们都是通过这种方法付出。”“这样有点费事，但保险最重要。”在谈天中，他从不提钱、数据、红包等灵敏词汇，“你要有安全认识”。

数据被重复流通、清洗，溯源不明

买卖奥秘是由于这些数据来历“见不得光”。

“数据保真就行，途径不能说得‘太白’。否则咱们还咋赚钱！”许飞泄漏，真实礼品代发平台这些数据首要通进程序从途径上“爬取”，或许从“企业内鬼”处买到。记者随机向许飞发来的数据所涉途径商家进行验证，这些商家的作业人员均表明，不出售任何个人数据。

许飞称，有些数据来历于礼品物流。但多家礼品网快递公司的礼品网快递员均表明，在网购礼品网快递收发中，他们可以看到补白的收货人名字、电话、地址或礼品网快递物品类别，但产品型号、色彩、价格等订单具体信息，他们无从得知。有些闻名家电品牌的礼品网快递面单补白较为具体，但也并非一切信息都会显现。

“这种货源途径形形色色，咋跟你说？”许飞表明他不是黑客，也不是中间商，否则数据价格不会这么低。

依据作业经验，李铁以为，许飞出售的或许是一手材料。他自己曾向某企业内鬼购买数据，对方和许飞相同警惕性极高。

李铁介绍，真实礼品代发平台这类倒买倒卖的方法往往是把一手信息通过固定途径向外出售，购买者建立公司或作业室，对数据进行清洗，然后通过各种途径售卖给个人买家。“一手数据价格往往很低，在数据流通出去后，不少人重复倒卖加价，价格天然就高了。”

“这些人胆子很大，不停在各个交际途径叫卖，而且还重复售卖。”细心研讨了对方售卖的数据，李铁剖析称，部分数据已被清洗过，然后对方再从头凑集起来。“这样做首要是安全，无法追溯源头。”

我国计算机职业协会数据安全专业委员会委员杨蔚表明，从近几年国内外网络进犯事情和数据走漏事情来看，不管是网购仍是其他途径的信息走漏，来历首要是黑客进犯、内鬼走漏、供应链走漏三个方面。

杨蔚说，以礼品包电商途径举例，它是典型的供应链生态体系，既有“上游”，也有“下流”，整个流程协同分工。从顾客视点来看，各个环节都会存在数据被获取的或许性，由于各数据都在流通，大礼品包电商和小礼品包电商差异就在于安排和流程上触及多少的问题。“这也是为什么某些礼品包电商途径一旦数据走漏，任何一个环节都说不是自己走漏的，这些途径没有相应的技能手段来确保各环节，阐明办理存在问题。”他说。

据记者了解，最高人民查看院近期印发了《关于加强刑事查看与公益诉讼查看联接协作严峻冲击电信网络违法加强个人信息司法维护的告诉》，要求严峻冲击职业“内鬼”走漏公民个人信息违法违法。

数据遭走漏后，多用于营销推行和电信礼品包黑产诈骗

许飞从不干预买方购买数据的用处，“我管那么多干嘛，问了别人也不说。”

但实际上，这些包含很多个人信息的数据现已成为电信网络礼品包黑产诈骗违法的“根本物料”。违法分子通过不合法手段获取公民注册手机卡、银行卡，以此作为礼品包黑产诈骗违法的根底东西，或是运用这些信息对礼品包黑产诈骗目标进行“画像”，施行精准礼品包黑产诈骗。

在记者电话求证进程中，近对折顾客表明曾接到礼品包黑产诈骗电话，乃至部分人屡次接到境外礼品包黑产诈骗电话，这些礼品包黑产诈骗人员可以具体说出他们的名字、住址、网购订单等信息。其间，有些是要求他们通过银行转账，有的是以返还产品优惠为由要求供给银行卡。

李铁表明，购买这些数据的人，首要是出于商业意图和礼品包黑产诈骗。出于商业意图，例如推行营销、获取新用户、进步出售额、获取竞赛对手客群等，而礼品包黑产诈骗则尤为常见，乃至还有人借此来进行勒索。

杨蔚相同表明，真实礼品代发平台一般个人信息数据走漏后常被用于营销推行和电信礼品包黑产诈骗。而在电信礼品包黑产诈骗中，在校学生、留守老年人会成为电信礼品包黑产诈骗分子要点重视的目标。

2016年8月21日，刚接到大学选取告诉书的山东临沂市高三毕业生徐玉玉接到礼品包黑产诈骗电话。陈文辉等人以发放助学金的名义，骗走了徐玉玉悉数膏火9900元，徐玉玉在报警回家的路上猝死。

2017年6月27日，此案在山东省临沂市中级人民法院一审揭露开庭审理。陈文辉、郑金锋、黄进春等7名被告人均表明认罪悔罪。

依据法院发表的信息，2015年11月至2016年8月，被告人陈文辉、郑金峰、黄进春等人通过网络购买学生信息和公民购房信息。随后假充教育局、财政局、房产局作业人员，以发放贫困学生助学金、购房补助为名，以高考学生为首要礼品包黑产诈骗目标，拨打电话骗得别人钱款，金额合计人民币56万余元。

李铁表明，真实礼品代发平台电信礼品包黑产诈骗违法产业链的背面，占据着以公司化体系运营的网络违法集团。礼品包黑产诈骗的大部分话术环绕高额报答、高收益打开，后续再以账户反常、流水缺乏、银行卡反常无法提现等理由施行礼品包黑产诈骗，常见的圈套类型有刷单、冒充金融App、礼品包电商购物退款等。在他看来，电信网络礼品包黑产诈骗背面折射的是各类信息的数据安全。网络黑产分子攫取个人数据信息，通过处理加工后批量标价卖给电信礼品包黑产诈骗团伙，后者再运用这些信息获取受害者信赖，以施行礼品包黑产诈骗。

公安部发布的最新统计数据显现，2021年，公安机关侦办侵略公民个人信息、黑客等要点案子1.8万余起，打掉为赌博、礼品包黑产诈骗等违法供给资金结算、技能支撑、引流推行等服务的团伙6000余个，查办不合法侵入计算机信息体系、不合法获取体系数据人员3000余名，捕获职业内部人员680余名。

个人信息走漏后，立案难、维权难

杨蔚也曾遭受个人信息走漏，而这以后的维权之路让这位网络安全范畴的专家都感到无比困难。

就在本年“3·15”当天，杨蔚接到某房产中介的电话，对方精准地说出了他所寓居的小区和楼层号。“骚扰电话的精准程度，真是令人发指。”杨蔚测验告发，但进程并不抱负。

杨蔚说，这类案子举证大部分简单因分散途径不具有单一性和唯一性，导致无法承认走漏主体而败诉。网民在日常日子中运用一些App时，假设不授权就用不了任何功用，但授权赞同后就表明用户让渡了自己的个人信息，给予App运营主体获取权限。这也是为什么近年来手机App过度搜集用户信息现象屡次遭受质疑的原因。由于简单繁殖数据黑产，引发违法违法。

此外，依托暗网买卖软件获取的数据来历愈加私密，构成监管盲区，给法令部分带来很大困难。杨蔚以为，要从上游如付出环节或数据源头处理问题。

为加强对数据安全、个人信息的维护力度，近几年国内公布多部法令法规及职业标准，包含网络安全法、数据安全法、个人信息维护法、电子商务法以及顾客权益维护法等。

北京市中治律师事务所律师郭聪以为，依据刑法第二百五十三条之一：侵略公民个人信息罪，违背国家有关规定，向别人出售或许供给公民个人信息，情节严重的，处三年以下有期徒刑或许拘役，并处或许单处分金；情节特别严重的，处三年以上七年以下有期徒刑，并处分金。

郭聪表明，据不完全统计，现在依据司法实践中的事例数据，2020年至2021年的侵略公民个人信息违法结案事例约4613件，2022年1月至6月约为307件。绝大多数案子处于判处三年以下有期徒刑的量刑层级。

在国外，欧盟施行了严峻的数据维护法令GDPR。GDRP是《通用数据维护法令》的简称，是欧盟立法机关针对欧洲产生的许多信息和隐私数据走漏案子而拟定的法案。该法令清晰规定，公司内部需求建立数据维护官DPO（类似于CEO和COO高管职位），担任个人隐私数据维护。比照国内外法令，欧盟对数据走漏的处分力度更大，法条更清晰。杨蔚以为，比较欧盟，我国关于数据安全的立法起步较晚，在数据安全管理实践上还存在必定距离。

中兴通讯数据维护合规部与数据法盟联合编制的《GDPR法令事例精选白皮书》数据显现，到2019年9月24日，22家欧洲数据监管组织对共87件案子作出了总计3.7亿欧元的行政处分决议。

杨蔚表明，真实礼品代发平台数据作为出产要素，安全维护仍然是需求我们一起处理的问题，须监管部分、企业、安全组织、民间安全力气等各方的尽力。他以为，有关部分要不断清晰各方权责，将举证门槛下降，而且加大处分力度；企业及担任人应做到知法遵法，承当保证个人信息安全的责任，对职工进行安全教育和训练，企业内建设网络安全防护体系、加强数据备份和信息保密等作业；个人要进步安全防护认识，具有必定的灵敏性，慎重点击链接及网站、创立安全性较高的暗码等。

北京大学法学院副院长薛军以为，要从根本上处理信息走漏问题，还要依托先进的技能。在或许呈现个人隐私和信息走漏的环节，要用技能将信息匿名化，这些匿名信息只要体系能辨认，而行为人不能辨认、获取。

他表明，相关部分还要进一步加强对这类违法行为的侦办，加大对不法分子的惩办力度。“这个最有震慑力，当他们知道违规、违法必定遭到处分时，或许就抛弃了。”