“考研信息泄露”为个人信息安全敲响警钟

 

【事件介绍】

 

考研报名信息遭泄露 1万5买130万用户数据

据报道，如今的互联网时代，大家或多或少都经历过这样的情况：刚网购完东西，就接到类似产品的推销电话，或者刚报完名考试，卖考题、卖答案、办培训班的就打来电话了……

个人信息的泄露，防不胜防。这次就发生在报名参加2015年全国硕士研究生招生考试的用户身上。

2015年全国硕士研究生招生考试即将于2014年12月27日至29日举行。就在11月25日，教育部还召开了考试安全工作视频会议。但就在开考的前一个月，网上出现有人出售截止到2014年11月份的130万考研用户的信息。乌云网联合创始人邬迪接受《天下公司》采访时说，有乌云网用户透露，怀疑考研报名数据遭到泄露。

邬迪：11月27日我们对外预警了四六级考试官网的一个漏洞，在下面的评论里，有网友就提供了一个线索：他怀疑考研报名的这个数据库被“脱裤”了。就是说这些报名信息被人拿走了，因为很多人都接到这种卖考题、卖答案、办补习班的那种电话。网友说了，我们觉得这个事情很严重，就马上发动了白帽子等社区力量帮我们调查。正好很巧，有个白帽子说，他在群里看到过有人在公然出售这个数据。

邬迪刚提到的“白帽子”，简单说就是这样一种黑客，他可以识别计算机系统或网络系统中的安全漏洞，但并不会恶意去利用，而是公布这个漏洞，让系统可以在被其他人利用之前来修补漏洞。与之相反，那些研究攻击技术非法获取利益的，就是所谓黑帽子了。

乌云网联合创始人孟卓表示，根据社区白帽子提供的线索，乌云网了解到，卖家所出售的数据可不光涉及到考研用户的姓名、性别，而是包含一系列敏感数据，并且卖家已经是二道贩子、三道贩子，甚至更多，也就说相关信息已经被多次转卖。

孟卓：这个数据当中包括考研者叫什么名字、性别，还有手机号码、座机号码、身份证号、家庭住址、邮编、学校、报考的专业等敏感信息，非常详细。整个数量大约130万，卖家的打包价是1万5000。后来问，这个数据是不是独家的？卖家说不是，这个数据很多人都有了，所以才会卖这个价格。

孟卓告诉记者，不少考研报名者已经多次接到骚扰电话：卖考题、卖答案、办培训班……不胜其烦。

孟卓：其实我们看到10月份的时候，有白帽子在乌云网上报过相关的这个漏洞。我们为了核实，根据一些数据也跟上面的报名者联系，打了几个电话，确实是报名考研的人，接过很多电话，各种被骚扰。我们打电话问的时候，有的报名者已经很不耐烦，就说你们到底要干嘛！

对信息被泄露的考生来说，目前并没有太好的办法规避风险，至少别轻信那些售卖考题的。乌云网联合创始人邬迪表示，对于数据泄露的原因，目前乌云网正在进一步调查的过程中。

 

邬迪：这个泄露环节很多，比如像系统漏洞导致的泄露就是很直接的，也是网络上的攻击者经常用的一种，就是外部的人通过一些漏洞进去把数据库“脱裤”，这也是乌云网上看到的最多的。另外，也有可能是内部原因比如管理不当等。我们现在只是猜测，正在调查中，还没办法确定到底是什么原因。

作为立足计算机厂商和安全研究者之间的安全问题反馈及发布平台，用户可以通过乌云网在线提交发现的网站安全漏洞，企业用户也可通过平台获知自己网站的漏报。邬迪坦言，现在发现的漏洞越来越多，每年都以成倍的速度在增长。

邬迪：现在每天后台都能看到有几百个漏洞在提交，一般200个以上。目前的趋势看，漏洞的数量是迅速递增的。去年一年，我们大概收到4万多个漏洞，前年是2万多个，再往前是1万多。我们最初收集到的更多的是互联网公司的漏洞，现在这块也比较多。过去没有在互联网上的一些系统，比如政府、金融的一些系统都是在局域网或者要去柜台办理的，但近年来，这些系统也逐渐搬到互联网上，出了很多问题，漏洞在增加。

邬迪说，要防范并及时弥补漏洞，并不容易。

邬迪：一些大型的金融机构、互联网企业等，一般有专职的安全团队去做，但是对于普通企业，特别是互联网金融、O2O等很多创业型公司，早期可能就是程序员、开发人员做一些业务，但现在能力上、经济实力上或者关注点上还没到安全这一块，所以问题比较多，短期内也比较难解决，可能会原来越多。

不能让考研信息泄露“年年有今日”

考研临近，又有诸多网友爆料：广告短信横行，推销电话如云。事实上，几乎每年这个时候，考研者类似的抱怨，都会准时上演，一出“年年有今日”的繁荣景象。而更加悲催的是，不仅考研如此，高考、国考、省考，甚至前些年考英语四六级，都是如此，都有“先知诸葛们”知道你要参加什么考试，然后“点对点”地给你提供推销服务。对于这样的景象，显然不能用“见怪不怪”来形容，而必须提高警惕，因为这事关信息保护的大事。

一个显而易见的问题是：考生的信息，到底是谁泄密的？目前仍不得而知。但仔细分析不难得出真相：要么是网站泄露的，因为他们拥有第一手资料；要么是黑客侵袭的，他们卖考生信息牟利。但不管怎样，没有买卖就没有伤害，在信息泄密背后，早已形成了完整的利益链条。据内部人士透露，“信息一般按照文件大小来销售，打包的文件大多是上百兆有上千条信息，一般是几万元，有时候可达上百万元，有人会利用信息诈骗，有人会给用户发广告或垃圾信息牟利……”

对于这样的利益链条，我们必须着力斩断，因为这就是对公民权益的侵害。遗憾的是，我国关于保护个人信息的规定却散见于多部法律中，如宪法、刑法、侵权责任法等，而且多是以保护个人隐私、通信秘密等形式出现。这一方面可操作性不强，另一方面也不符合互联网时代的信息保护需求。此外，虽然近年来全国人大常委会、各行业主管部门都先后制定了一些规范性文件，如《关于加强网络信息保护的决定》、《电信和互联网用户个人信息保护规定》等，但其现实的法律效果很有限。

当信息保护遭遇尴尬，当考研者甚至是考生信息泄露又“年年有今日”，对相关问题进行求解，无疑迫在眉睫。他山之石可以攻玉的道理，早已为人所知。就眼下而言，不妨学习一番外国的经验。如在德国，采用的是立法模式，其出台了个人资料保护法；而在英美法等国家，则采取立法与行业自律并行的模式，如美国通过《隐私法案》等法律和行业自律来保护个人数据。就我们而言，这些国家的经验，无疑是值得借鉴的。

但无论学习何种模式，一部专门的《个人信息保护法》，理应不再是镜中月水中花。显然，多数考试时，都会有“集体性信息泄密”的传闻，这必然属于“情节严重”的侵犯个人隐私的行为，对这样的行为，必须在民事与刑事两个方面求解。一方面，给予被泄密者的民事补偿应该涉及；另一方面，对于泄密者的刑事责任也不能忽略。而这，不仅要有法可依，更要有法必依。不能让信息泄密“年年有今日”，相关部门的行动，的确应快马一鞭了。

 

补上个人信息保护的法律“短板”

立法的滞后已变相成为非法买卖个人信息等“新兴产业”的成因。从无休止的垃圾短信到电信诈骗再到绑架等暴力犯罪，公民的个人信息被赤裸裸地暴露出来。个人信息泄露泛滥，原因在于能泄密的渠道无处不在。正如一篇报道所言，我们个人信息的商业价值被发掘到极致，“从政府部门、电信运营商等信息掌握者，到数据平台和中间商等非法中介，再到非法调查公司，本该属于我们的信息，成为某些人牟利的工具。”司法案例还表明，不少侵犯人权的犯罪行为及诈骗犯罪与个人信息的泄露有关。工信部“公众个人信息保护意识调研”显示，个人信息泄露已成为社会公害，超过60%的调查对象遇到过个人信息泄露、被盗用等问题，90%收到过垃圾短信或电话推销，13%以上的人遭遇过个人信息被冒用或公开。

在个人信息保护方面，不少国家都通过立法保护个人信息安全。以美国为例，《儿童网络隐私保护法》、《隐私权法》、《有效保护隐私权的自律规范》以及《信息保护和安全法》、《防止身份盗用法》、《网上隐私保护法》、《消费者隐私保护法》等都涉及个人隐私保护。尽管这些法律没有被冠以“个人信息保护法”的名称，但并不影响对公民个人信息的保护——— 个人医疗记录属隐私，外人打听不到；学生的学习成绩也是隐私，老师不会将其公布。如果隐私被人侵犯，造成了精神或物质上的损害，公民就会诉诸法律。

尽管我国《刑法修正案(七)》赋予公民救济信息泄露的法律途径，“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处3年以下有期徒刑或者拘役，并处或者单处罚金”，“窃取或者以其他方法非法获取上述信息，情节严重的，依照前款的规定处罚”，“单位犯前两款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚”。但是，仅凭刑法很难从根本上避免个人信息泄露，加强个人信息保护立法刻不容缓。

一是制定统一适用的公民信息安全保护法，确立公民个人信息安全保护的基本框架。通过立法，明确个人信息的保护范围、权利范围以及信息的使用等内容。同时，建立比较完善的公民信息安全保护体系。如，提高公民信息采集的准入“门槛”，设立专门的信息资源管理机构，对使用公民信息的政府部门、社会团体、企业或个人，事先履行核准或者登记备案程序，并对其使用情况严密监管。

二是提高违法违规成本，加强问责和处罚力度。非法泄露或非法买卖公民个人信息是违法行为。对于以窃取、购买等方式非法获取和滥用公民信息的行为，要依法追究其法律责任，并确立相应的民事赔偿机制，这样就从行政和司法两个方面赋予了公民法律救济的手段。当然，保护个人信息安全还需提高整个社会的公民意识、法律意识和自律意识。必要时，还应建立独立的、专业的个人信息安全保护机关，只有这样才能从制度上、法律上封堵个人信息泄露和非法滥用的漏洞。

 

【启示与思考】

参加一次硕士研究生招生考试，自己的信息就被泄露了。看罢新闻，不禁令人费解更让人有几分害怕。不解的是这些考研信息是怎么泄漏出来的，害怕的是骗子们会用这些泄露出来的个人信息做啥坏事。个人信息一旦被泄露，就有可能给我们带来不少麻烦，比如时不时接到诈骗骚扰电话，或者被非法持有者挪为其他不法用途。其实，个人信息被泄露的事件，并非单单发生在今年的全国硕士研究生招生考试中。搜索“考生信息泄露”，相关新闻几乎年年都有。

通过查阅近年来的新闻报道，我们看到，相关执法部门对个人信息泄露案件的打击力度不够，有的仅仅只是揪出部分犯罪分子但并未斩草除根，这或许也正是近年来个人信息安全事件屡屡发生的主要原因。该篇报道中，到底是谁泄露了这些考研学生的信息，我们暂且无法得知，但我们可以试着做以下分析，导致130万考研用户信息被泄露无非有以下途径：其一，黑客入侵研究生报名考试系统，造成大规模信息泄露；其二，负责研究生考务工作的相关人员，在利益的诱惑下倒卖信息。既然考生信息泄露已成事实，那么相关部门就有责任尽快查明真相，给广大考生一个交代。

130万考研用户信息泄露，再一次给个人信息安全敲响了警钟。那么该如何保障公民的个人信息安全呢？笔者认为，应从以下几方面努力：其一，尽快完善相关法律法规，切实从制度上保障每个公民的个人信息安全；其二，地方执法部门应加大对个人信息泄露案件的查处力度，同时要深挖犯罪的源头，斩断以倒卖公民个人信息的利益链条；其三，互联网管理部门及电信运营商应做好对信息的严格把关，对于有关倒卖个人信息的小广告要及时屏蔽清理；其四，鼓励市民积极参与举报，并制定相关的奖励措施，共同抵制倒卖个人信息的违法行为。真心希望通过我们的共同努力，个人信息泄露的事件会越来越少。

欢迎继续关注经典案例。

（转载请注明来源：宣讲家网站71.cn，违者必究。）

责任编辑：蔡畅

文章来源：http://www.71.cn/2014/1210/792010.shtml