張毅
灰黑產(chǎn)買賣:每條信息不到1分錢的個人信息買賣背后,早已催生出千億級規(guī)模的灰黑產(chǎn)業(yè)。而經(jīng)過多年的沉淀,以用戶個人信息為核心的灰黑產(chǎn)業(yè)“細分賽道”分工已經(jīng)相當明確,從漏洞挖掘、入侵工具研發(fā)到詐騙勒索等環(huán)節(jié)均存在具有專業(yè)性的分工模式,個人信息通過信息泄露途徑進入多種傳播交易環(huán)節(jié),這些信息包括手機號、姓名、身份證號和家庭地址等,而越來越多的網(wǎng)絡(luò)詐騙案件是詐騙分子獲取公民個人信息后,有針對性地實施詐騙犯罪。
而在今年2月,自稱為“星鏈”的黑灰產(chǎn)頻道公開發(fā)布消息稱其在說明文字中表示已設(shè)置一個查詢機器人,用戶輸入電話號碼便能查詢關(guān)聯(lián)的姓名和地址信息。依據(jù)永安在線發(fā)表的信息,2月7日,“星鏈”頻道發(fā)布“更新45億名字地址庫最新”消息。2月12日9時40分,黑產(chǎn)開始在多個數(shù)據(jù)售賣群發(fā)布廣告“45億訂單機器人”,并引起廣泛關(guān)注。
“星鏈”頻道創(chuàng)立于2021年4月28日,但“蟄伏”近兩年后才開始發(fā)布消息,其交易模式便是典型的灰黑產(chǎn)運用境外社交渠道進行信息生意和數(shù)據(jù)生意,只不過影響過于巨大且高調(diào),其浮出水面不久就宣布永久封閉。有不愿具名的安全行業(yè)從業(yè)者稱,從搜索結(jié)果和類型上看,此次45億條個人信息或由包括頭部電商在內(nèi)的多個信息源拼接而成,雖然數(shù)據(jù)量巨大,但來源并不新鮮:
1.網(wǎng)絡(luò)攻擊,據(jù)統(tǒng)計,60%以上的數(shù)據(jù)泄露是由網(wǎng)絡(luò)攻擊導(dǎo)致;
2.內(nèi)部泄露,現(xiàn)在各行各業(yè)都推進數(shù)字化轉(zhuǎn)型,大量員工、開源人員、合作伙伴都可以接觸到數(shù)據(jù),其間管理不當就可能造成數(shù)據(jù)泄露;
3.數(shù)據(jù)交互Bug,各組織之間的流通受阻,數(shù)據(jù)給出后無法收回。
官方買賣:“銳步在中國大陸運營過程中收集或生成的數(shù)據(jù),將于2022年5月1日轉(zhuǎn)讓至上海聯(lián)亞商業(yè)有限公司(‘接收方),其中可能包含消費者的個人信息。短信中還表示,轉(zhuǎn)讓完成后,阿迪達斯將不再保留消費者的個人信息。消費者可聯(lián)系接收方行使個人信息權(quán)利。若接收方變更個人信息的處理目的或方式,將按照當?shù)胤傻囊笾匦氯〉孟M者同意?!薄⒌线_斯在轉(zhuǎn)賣旗下品牌銳步時,將銳步在中國大陸運營過程中收集或生成的數(shù)據(jù)打包給了接收方,而這樣一條短信讓不少用戶感到不可思議,難道我的個人隱私能被企業(yè)堂而皇之地轉(zhuǎn)賣嗎?
隨著個人信息數(shù)據(jù)價值的提升,品牌官方往往也會將這類數(shù)據(jù)視作企業(yè)資產(chǎn),從而進行官方買賣。品牌方看似公平、公正、公開的交易背后,顯然對用戶個人信息造成了泄露風(fēng)險,而前不久,著名化妝品品牌絲芙蘭(SEPHORA)就其侵犯消費者隱私一事與加州居民達成和解協(xié)議,決定支付120萬美元的罰款,并在隱私政策中披露其向第三方出售消費者個人信息的事實,為消費者提供個人信息出售的退出機制。
當下虛擬數(shù)字資產(chǎn)定性還在討論中,對于品牌方的這種行為并沒有太多的規(guī)范和約束,更多時候監(jiān)管機構(gòu)也就是要求品牌方在隱私策略中以顯著方式提供“不要出售我的個人信息”的選項,這點卻需要用戶主動留意并強化自己的個人信息安全防護意識。
手機App過度采集信息:許多手機App在安裝時,會彈出要求用戶授權(quán)各類信息權(quán)限的條款,包括通訊錄、短消息、攝像頭、麥克風(fēng)、地理位置等,有的像天氣預(yù)報、手電筒這類功能單一的手機App,在安裝協(xié)議中也提出要讀取通訊錄。這種情形下,大多用戶只能接受這些“霸王條款”,選擇提供個人信息,否則就無法使用該手機App。前不久,中國網(wǎng)絡(luò)空間安全協(xié)會、國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心對“地圖導(dǎo)航類”公眾大量使用的部分App收集個人信息情況進行了測試。
本次測試選取了19家應(yīng)用商店累計下載量達到5000萬次的“地圖導(dǎo)航類”App,包括高德地圖、百度地圖、騰訊地圖。測試場景以完成一次地圖導(dǎo)航活動作為測試單元,包括啟動App、搜索地點、點擊導(dǎo)航3種用戶使用場景,以及后臺靜默應(yīng)用場景。
針對系統(tǒng)權(quán)限調(diào)用,測試發(fā)現(xiàn),3款A(yù)pp在點擊導(dǎo)航場景中,調(diào)用系統(tǒng)權(quán)限種類最多的為高德地圖和百度地圖,調(diào)用系統(tǒng)權(quán)限次數(shù)最多的為騰訊地圖(62次)。而在后臺靜默場景中,3款A(yù)pp調(diào)用系統(tǒng)權(quán)限種類均為2類,調(diào)用系統(tǒng)權(quán)限次數(shù)最多的為騰訊地圖(282次),如此數(shù)量的系統(tǒng)權(quán)限調(diào)用,真的是有必要的嗎?
過度采集用戶個人信息數(shù)據(jù)的同時,App在利益的驅(qū)使下往往也會主動泄露用戶數(shù)據(jù)。以“汽車之家”App為例,其平臺客服明確表示用戶只有點擊詢價才會將個人信息推送給所在城市的3-5家經(jīng)銷商,如最近無購車意向,可向客服反饋進行相應(yīng)屏蔽處理,或在設(shè)置中手動關(guān)閉。然而,不少用戶反饋即便未點擊“詢價”功能,在單純?yōu)g覽平臺信息的情況下,也會接到推銷電話。而在主動點擊平臺自動推送的詢價信息后,推銷電話更為密集。
“暗模式”誘導(dǎo)用戶授權(quán):平臺個性化推薦成為消費者快速了解消費趨勢、便捷購物的重要渠道。個性化推薦的精準高效離不開對用戶的跟蹤識別和對個人信息的收集處理,隨著法律法規(guī)的健全以及消費者對個人信息數(shù)據(jù)安全的重視,App們很難再打著“個性化內(nèi)容服務(wù)”的旗幟大肆采集用戶個人信息數(shù)據(jù)了,可即便大部分App均設(shè)置了個性化推薦的關(guān)閉路徑,但在關(guān)閉的步驟上存在不少“小心思”。
而且,廠商會借助某些“話術(shù)”引導(dǎo),用戶往往會做出無意識、非自愿且可能不利的決定,如在“關(guān)閉后可能影響您的瀏覽體驗”等消極語句的影響下,用戶不自覺地放開個人信息數(shù)據(jù)授權(quán)。除此之外,第三方機構(gòu)以“辦業(yè)務(wù)”的名義套走用戶個人信息數(shù)據(jù)也很常見。以房貸“轉(zhuǎn)貸”為例,部分“貸款中介”獲取消費者貸款信息等個人信息后,在消費者不知情的情況下向他人泄露、出售謀取非法利益,甚至在其貸款后騙走貸款,嚴重侵害消費者合法權(quán)益。
從瘋狂采集人臉的攝像頭到擁有聰明過頭的ChatGPT,技術(shù)的進步往往意味著個人信息數(shù)據(jù)進一步泄露的可能,提前了解新一代信息技術(shù),往往能有效削弱個人信息數(shù)據(jù)丟失的風(fēng)險。
聰明過頭的ChatGPT:ChatGPT是由一個需要大量數(shù)據(jù)來支撐和運行的大型語言模型,其背后的OpenAI公司向該工具系統(tǒng)地提供了從互聯(lián)網(wǎng)上抓取的約3000億字的書籍、文章、網(wǎng)站和帖子,其中顯然會包括海量個人信息數(shù)據(jù)。如果你在網(wǎng)上曾經(jīng)寫過一篇博客文章或產(chǎn)品評論,或者在網(wǎng)上評論過一篇文章,這些信息則很有可能被ChatGPT獲取或使用過。
所以,如果你希望ChatGPT類AI應(yīng)用更聰明一些,那你就需要用足夠的數(shù)據(jù)去喂養(yǎng)它,可當他成長起來后,卻很容易被壞人利用。通過來自社交平臺的數(shù)據(jù)對ChatGPT進行模型訓(xùn)練,可能生成虛假信息、誘騙信息和網(wǎng)絡(luò)釣魚軟件,破壞網(wǎng)絡(luò)輿論生態(tài)。其次,惡意使用者可能利用ChatGPT生成大量用戶名和密碼的組合,用于對在線賬戶“撞庫”攻擊,加之ChatGPT的自然語言編寫能夠生成逃避防病毒軟件監(jiān)測的惡意軟件,這可能帶來網(wǎng)絡(luò)安全隱患。
從人臉采集到AI換臉:對濫用人臉識別技術(shù)的聲討已經(jīng)不是一兩天了,售樓盤違規(guī)采集人臉識別信息并泄漏給第三方曾引起互聯(lián)網(wǎng)廣泛討論并被專項整治,“人臉識別”技術(shù)本身是一種基于人的臉部特征信息進行身份識別的新型人工智能技術(shù),在公共場所、刷臉支付等多個線下線上場景中均得到了廣泛應(yīng)用,對保障公共安全、提供生活便利具有積極推進作用。
但人臉信息屬于敏感個人信息中的生物識別信息,是生物識別信息中社交屬性最強最容易采集的個人信息,具有唯一性和不可更改性,一旦泄露將對個人的人身和財產(chǎn)安全造成損害。而且人臉信息一般會和姓名等身份信息相綁定,如果是在小區(qū)門禁這些場所進行錄入的話,還會與住址等位置信息相綁定,這些信息一旦泄露,將會給個人隱私造成巨大危害。
然而,隨著技術(shù)的進一步發(fā)展和人臉數(shù)據(jù)庫的積累,AI換臉技術(shù)逐漸成為新的個人信息數(shù)據(jù)安全威脅?!暗烷T檻、高效率、高質(zhì)量”的特性,讓一眾AI換臉軟件并不需要太多目標的人臉信息,就可“輕松”通過采集大數(shù)據(jù)內(nèi)的人臉表情特征,來不斷修改和識別,最終得到惟妙惟肖的換臉視頻,使其被大規(guī)模濫用于偽造身份、混淆視聽,以實現(xiàn)網(wǎng)絡(luò)欺詐、虛假宣傳與操縱輿論等目的。
不僅對個人名譽權(quán)與肖像權(quán)構(gòu)成嚴重侵害,而且不法分子還可以利用漏洞劫持手機識別攝像頭,將照片活化、表情操縱等深度偽造技術(shù)冒充機主,進而對機主的微信好友實行轉(zhuǎn)賬詐騙。同樣,電信詐騙中也有類似利用“語音偽造”技術(shù)的案例。
隨著仿真精度的提升,這種問題有愈演愈烈的趨勢——數(shù)據(jù)隱私、技術(shù)濫用等伴生安全問題為社會公共治理帶來嚴峻挑戰(zhàn)。