个人信息安全之殇

qq20161026-3

大学新生刚刚开始报到,山东女大学生徐玉玉学费被骗后郁郁而终的事件就再一次引发媒体的关注。这一次警方难得的高效率,一周不到除一人外的其余主犯就均已抓捕归案。根据媒体的报到,徐玉玉之所以被骗,主要是掌握了三个关键信息:第一,徐玉玉要上大学;2,徐玉玉申请了助学金;3,主要联系人是徐玉玉母亲。这三个重要的个人信息使得徐玉玉对骗子的谎言深信不疑。那么问题来了,这三个关键信息是谁通过什么渠道泄露给了这些骗子呢?

很多媒体把事件的焦点聚焦在网络上各种个人信息的买卖上,我只能说要么这些记者很业余,要么他们是有难言之隐。因为谁能够一次性泄露这么多信息才是问题的核心关键。平常的渠道想要获得几十条上百条个人信息确实不是难事,但是网上动不动几万、几十万的个人信息倒卖,如果不从泄密的源头查起,这种事情还会年年出现。那源头到底在哪儿呢?那就要看这些信息最后的汇集点到底在哪,而我们国家现行的体制,其实提取和掌握个人信息最多的,就是政府部门,如果不从这里着手,我觉得电信诈骗这种事情是很难斩草除根的。徐玉玉这个事件也类似,如果办案人员思路正常,至少会去徐玉玉所在县的教育局主管助学金的部门以及其上级主管部门了解一下情况。

我们这个年龄的人都有购房装修的经历,一般买了房没多长时间,各种搞装修的、卖家电家具的电话就来了,我很奇怪这些购房者的信息是如何这么快就到了商家的手上的。我问过一些业主,这些业主普遍认为是开发商和物业公司把他们的信息给卖了。我后来问了我一个搞物业公司的朋友,朋友说一个新楼盘了不起3000套房子,对应2000多个业主,这些信息拿出去卖最多也就值200~300块钱,作为公司来说是看不上这点小钱的,但是确实有可能有些物业的工作人员拿出去卖。不过一般装修公司掌握了全市几十上百个新开楼盘的业主信息,这就不是一两个物业公司的人倒卖信息能够做到的了,最有可能泄密的恰恰是政府的房管部门,因为只有他们才有这么全的资料。个人信息买卖这么猖獗,抓的最上层的源头也就是银行里面管信息的,但升学、买房、迁户口这类事情,如果不是政府部门泄露信息,其他的公司、个人是很难获取到这么全面的信息的。

我说政府可能是最大的泄密源头是有一定道理的。我们国家的政府机构臃肿、人浮于事是几十年积累的顽疾,李克强总理整治了很多轮虽有成效,但是依然难以令老百姓满意。其中最核心、最关键的问题是:政府的管理意识浓厚而缺乏服务意识。政府部门总认为自己这里是完美的,不会有任何漏洞,因此老百姓必须遵照他要求来行事,而不是处于一个服务者的地位,时时处处为如何提高服务质量和品质殚精竭虑。在老百姓个人信息管理方面也是如此。我亲眼见过某二级省会城市的政务服务中心将大量前来办事的市民复印有瑕疵的身份证、户口本复印件打包当做废纸卖了而没有任何销毁过程;我也多次经历在火车上被列车员叫醒查身份证、登记个人信息,当时我就质疑按照公安部门的规定只有公检法有权利检查我的身份证,由此还引来乘警把我叫去谈话,就在上周我到广东某经济强市出差,晚上10点多被警察叫开房门检查身份证,我很不快的要求来检查的警官按照程序出示警官证,还被另外一个警察吼说我不配合警方工作……政府部门对保护个人隐私的轻蔑态度,确实是让人很难接受。

我们国家《保密法》并没有将个人隐私列为国家秘密的内容,也没有说明泄露个人隐私会有什么后果,现行的处罚都是根据《民法》和《刑法修正案》按照侵犯他人隐私来进行处罚,量罪非常轻。2016年8月25日北京一团伙倒卖200多万条学生和家长个人信息的判例中,判刑最重的团伙头目也才判了15个月缓期执行。

不过话又说回来,在网络和信息化条件下,根据如果没有特殊的技术侦查手段,想要从数据链里面挖出泄露个人隐私的始作俑者,抓到证据来定罪还是有一定难度的。

首先从技术侦查人员上来说,我们国家信息安全专门的技术人才培养体系还没建立起来。现有体制的大政方针是“党管保密”,这就意味着这个领域是不大可能向民间资本开放的。这就造成想要从事与信息安全和保密相关的工作,就必须要进入政府行政管辖的序列,最不济也得是挂靠的关系,否则根本没有资格开展这项业务。8月,中国最大的民间信息安全公司“乌云网”8名高管被带走,整个公司顿时瘫痪,这是最好的证明。市场不活跃,从业人员必须要被政府“招安”,经济收入不高,导致很多计算机专业的人才不愿意涉足信息安全这一领域。而国家要开展这项工作,使得有限的信息安全人才都汇聚到中央这一层,又导致我们国家政府各级主管部门普遍缺乏信息安全技术人才,很多省一级的公安、国安、保密部门都没有专业的信息安全技术人才,更不用说市一级了。据称侦办葛兰素史克涉嫌垄断和贿赂案时,公安部门不得不专门请国家安全局的技术人员从葛兰素史克公司的电脑上恢复被删除的数据和邮件以掌握相关证据,专业信息安全技术侦查人才的匮乏可见一斑。

其次从技术手段来说,因为当前我们国家还没有真正意义上的完全自主知识产权的计算机软硬件环境,在信息保护上显得捉襟见肘,90%的计算机都使用windows和IOS系统,互联网的基础通信协议都是国外的,即便现在采用了大量的技术管控手段,但是实际效果依然不够理想。如何做到自主、安全、可控,是全体搞计算机、信息化的同仁共同努力的方向。

最后是对人的管控。大量事实证明,堡垒最容易被从内部攻破。目前国内报道的泄密案件,一半以上都是内部人在有意或者无意间泄露出去的。徐玉玉这个事情如果要查到底,我想十有八九也是哪个“临时工”有意或者无意把信息给泄露出去了。而这种泄露,大部分是熟人、朋友、同学之间的请托,往往还跟经济利益关系不大。这就需要加强保密的教育和培训,让举国上下都像背诵“社会主义价值观”一样非常清楚如何保护个人的隐私和他人的隐私。

徐玉玉确实是个悲剧,不过可悲之人也必有可恨之处,起码她对防电信诈骗的基本常识就是缺乏的——既然是要给你发钱,为何还要你先汇钱呢?开办银行卡只需要存10块钱这个底数就够了,她自己应该去银行柜台问问,但是这些事情她都没做就轻信了骗子的话,更让人无语的是,得知被骗后她直到事发后几个小时才想到报警,这本身也是相关的社会常识教育不够造成的。回头来说,9000多块钱即便是在西北农村也不算是什么特别吓人的数字,弄到郁郁而终也说明这孩子的抗压能力不够,缺乏这方面的教育和体验。人这一辈子长着呢,南邮又是数的着的名校,毕了业哪儿还挣不到这9000块钱呢?

我住的小区临近高校,业主很多是学校老师,他们有一种普遍的观点是:孩子多么纯真啊,太早接触社会是多么残酷的事情啊。我只想说这些老师在学校这座象牙塔里呆的有点不食人间烟火了,社会是非常残酷的,现在有一种社会现象叫“社会达尔文主义”,说白了就是弱肉强食。一个人首先能够保证在社会上生存再来谈发展,郭靖那种一入中原就被黄蓉骗的身无分文后来还能大富大贵的,只可能出现在小说里面。