每經記者 王鵬 每經編輯 蒲付強 陳星

日前，《每日經濟新聞》先后刊發《知名企業家個人信息遭大規模泄露，涉蜜雪冰城、榮盛、森馬、蔚來等，平均約2分錢一條！賣家稱數據上億》《2.5億條企業數據只賣2.47元？標稱電話量北京280萬條、廣州268萬條、合肥116萬條……記者親測》等報道，揭露企業家個人信息遭大規模泄露，引發財經圈熱議。

泄露來源和時間是業內關注焦點，記者注意到，探客查平臺上，農夫山泉創始人鐘睒睒、蔚來汽車聯合創始人秦力洪、森馬服飾創始人邱光和、新尚集團董事長唐立新、蜜雪冰城實控人張紅甫、鐘薛高創始人林盛、喜茶創始人聶云宸的電話來源被標注為“其他”。榮盛集團董事長李水榮、藍思科技董事長周群飛的電話來源被標注為“智能關聯”。這些手機號碼標注的“全網最早出現時間”集中在2023年5月或7月。

探客查上企業家手機號多被標注為“其他”“智能關聯”

 

勵銷云平臺上，華創產業投資管理（湖北）有限公司法定代表人呂澤華、芯聯股權投資（杭州）有限公司法定代表人趙奇的號碼來源為“智能分析”。

勵銷云上呂澤華、趙奇電話標注為“智能分析”

 

為何這些電話“全網最早出現時間”如此集中？這些信息可能來自哪里？《每日經濟新聞》記者（以下簡稱每經記者）繼續追蹤調查。

手機APP等都可能獲得電話標識信息

針對信息泄露的來源，每經記者采訪了數據安全領域知名企業北京明朝萬達科技股份有限公司高級副總裁、首席科學家喻波。

喻波表示，有可能從多個渠道獲得數據，通過碰撞建模還原真實數據。通過手機APP（應用程序）和手機操作系統、手機安全防護管家、黑客攻擊電信運營機構這些渠道都可能獲得電話標識信息。

記者注意到，很多網站或平臺在用戶注冊時要求勾選同意條款，其中包括“讀取聯系人”“讀取通話記錄”等。用戶勾選條款后，數據所有權歸誰？平臺是否應盡到“反爬”責任？平臺使用用戶數據的合法邊界是什么？

喻波說，通過授權，平臺得到的是使用權，所有權仍歸個人。依照相關法律，使用過程中應將用途告知數據所有方，同時做到安全防護，不能泄露信息。平臺應制定防范機制，既要做到外部防護，又要做到內部管控，甚至當數據被再次利用、傳播時應告知用戶。要做到內部管控就需要給數據打標簽，針對不同數據等級制定不同防護措施，并限定不同的使用環境。

勵銷云一位銷售人員曾表示：“關于搜索技術，我們目前主要用的是大數據+超鏈分析技術。這兩種技術是基于爬蟲的目前最先進的數據整合分析技術。”

什么是大數據+超鏈分析技術？

喻波告訴每經記者，大數據+超鏈分析技術運用類似傳統爬蟲技術采集“原數據”，再結合大數據建模分析和清洗形成“衍生數據”。例如拿到手機號后，通過與第三方數據信息“碰撞”完成數據清洗，形成一條相對完整的信息。

他指出，該過程中，數據供給方供出“原數據”時可以享受收益權，同時需要控制所有權。例如，數據利用方應告知數據所有者用途，數據主體有要求刪除其個人數據的權利，數據控制者有責任在特定情況下及時刪除個人數據。數據加工方應遵守相關法律法規并遵循一定原則。使用數據時，應及時告知數據所有者使用用途。獲取及存儲數據過程中應做到對數據保護的責任和義務，不能對國家、社會以及數據所有者造成損害。

“全網最早出現時間”非常集中

喻波介紹，如果爬蟲行為侵犯了他人權益，就會被認定為違法行為，例如在未獲得授權的情況下爬取他人個人信息、商業機密等。另外，如果從后臺通過猜測口令密碼或使用跳過技術跳過認證進入賬戶則屬于明令禁止的黑客行為。

在此前采訪中，中國移動、中國聯通均否認售賣用戶個人信息，中國電信也明確表示與探客查和勵銷云無數據合作。那么，若要與運營機構掌握的手機號實名數據“撞庫”，是否一定會用到不合法的爬蟲技術？

喻波回復“是的”，并補充道：“也不排除數據泄露的可能。在日常對暗網數據的監測中，曾經檢測到很多實名手機卡信息，間接證明電信運營機構存在數據泄露的可能性。這種泄露有可能是系統被外部攻擊，也有可能是內部人員無意間泄露。”

記者注意到，在探客查平臺上，知名企業家手機號碼標注的“全網最早出現時間”集中在2023年5月或7月。這個時間與“檢測到暗網中出現實名手機卡信息”的時間是否一致？遭販賣的數據是否有可能是從暗網購買？

喻波表示：“暗網數據一直都有，2023年也監測到很多運營商數據和其他政務等多方實名個人數據。另外部分非正規渠道APP也會有意收集很多個人信息。我們現在正在配合國家相關監管機構實時監測互聯網站點、暗網等敏感數據信息并形成報告提交管理層。”

律師：爬取獲得的個人信息也不許買賣

在調查中，每經記者發現電商及社交平臺上有大量可出售的企業信息，大規模收集、出售企業負責人聯系方式的行為是否違法？

上海百谷律師事務所律師高飛告訴記者，個人信息無論是否為大數據爬取，都是不允許買賣的。

高飛認為，這些平臺大規模搜集、售賣企業家電話號碼的行為違反個人信息保護法及刑法第二百五十三條之一規定，涉嫌構成侵犯公民個人信息罪。此外，如果有“撞庫”行為，還涉嫌構成破壞計算機信息系統罪。

記者注意到，刑法第二百五十三條之一規定，違反國家有關規定，向他人出售或者提供公民個人信息，情節嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節特別嚴重的，處三年以上七年以下有期徒刑，并處罰金。

竊取或者以其他方法非法獲取公民個人信息的，依照第一款的規定處罰。

武漢大學法學院副教授、網絡治理研究院副院長敬力嘉告訴每經記者，過去刑事司法實踐采取的是二次授權說，對已公開個人信息進行獲取、提供的要獲得信息主體的二次授權。按照這個標準，這類情形應該構罪。但民法典和個人信息保護法出臺后，一般認為二次授權規則廢止了。現在刑法學界對已公開個人信息刑法保護的限度還有合目的說（對已公開個人信息的處理是否符合信息主體公開個人信息的概括的目的）、客觀開放程度說（看信息公開的程度）等標準的爭議。

敬力嘉解釋，合理處理的標準應該符合個人信息保護合規的要求，不對通過處理個人信息可能影響到的信息主體、其他個人、企業利益和公共利益造成重大消極影響。如果沒做到合理處理，首先就可能違反個人信息保護法，在這個基礎上就可能構成侵犯公民個人信息罪。

大規模收集、售賣信息的商業謀利行為是合理處理嗎？

敬力嘉認為不算合理處理。以前很多人覺得倒賣已公開個人信息的危害不大，不值得處罰，但現在這類行為已經成規模了，形成了產業鏈，可能對企業家個人、企業的合法權益產生不利影響，法律對此類行為處罰必要性的評價有待審慎更新。

民法方面，北京市中聞（上海）律師事務所律師范益天表示，民法典第一千零三十四條規定：個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。

范益天說，雖然法定代表人個人信息公開了，但并不代表法定代表人同意行為人將其個人身份信息出售擴散。法定代表人身份信息、通訊號碼等信息應屬公民個人信息，所包含的內容體現了公民隱私，法律應當予以保護。企業法定代表人、個體工商戶將自己的身份信息、通訊號碼等依法公示，主要是便于相關部門監督管理和開展正常的生產經營活動，并不當然喪失與其個人相聯系且為特定個人信息的特征。故企業法定代表人身份信息、通訊號碼等被非法出售、交換，可能侵犯其隱私權。

勵銷云銷售人員出示的信息系統安全等級保護備案證明及信息安全管理體系ISO27001認證證書是否能確保其所售數據的合法性？如何獲得這兩份證書？

喻波表示，提交對應的證明材料即可。“要證明公司制定了相應完善的制度，只需提交完善的制度文檔；證明業務流程，提供截圖證明公司有相應能力即可。但實際執行和提交的證明仍可能存在很大差距。”

同意和去標識化是數據交易合法性基礎

數據交易的合規邊界在哪里？

記者注意到，范益天曾在撰文中提到“同意”和“去標識化”是數據交易兩大合法性基礎。

勵銷云銷售人員曾稱“不展示全名是為規避法律風險”，但記者發現所謂打“*”號形同虛設，借助該平臺信息，采用銷售人員推薦的方法，即可輕松還原姓名中的“*”號。

如此標注真能規避法律風險嗎？到底什么是去標識化？

范益天告訴每經記者，去標識化是指個人信息經過處理，使其在不借助額外信息的情況下無法識別特定自然人的過程。去標識化只能降低信息主體被識別的可能性，并不能完全消除個人信息泄露的風險。因此，對個人信息去標識化處理后的數據，仍屬于個人信息范疇。

他表示，如果未達到去標識化，根據個人信息保護法第十四條的規定：個人信息的處理目的、處理方式和處理的個人信息種類發生變更的，應當重新取得個人同意。

此外，記者注意到，數據產品在上海數交所掛牌前需提供合規評估報告。在對產品作合規評估時，通常需要考慮哪些因素？

范益天表示，數據資產交易的合規性主要圍繞數據交易主體、交易對象、交易過程三方面展開。在交易主體上，要有相應資質以及合規經營能力；在交易對象上，供給方在收集個人數據時需遵循合法正當、最小必要、告知同意等原則；在交易過程方面，在數據交易平臺進行場內交易的，需要符合平臺規定的評估、掛牌、定價、交易、交付等流程要求。

能夠同時滿足合規性及供需雙方訴求的數據交易模式是什么？

喻波表示，未來可能會出現隱私計算、可信計算。即數據供給方有數據，另一方有技術，供給方希望數據可用不可見。目前有一些可信計算方式對數據、模型進行訓練，可做到數據可用不可拿、用后銷毀，同時分配收益。但平臺的可信性是個問題。一旦數據泄露，數據使用權和收益權將不可控，所有權和收益權無法對等，因此亟需權威機構拉通供給、流通和使用三方全要素周期，通過加強監管和配套技術保障加速數據要素流通。

封面圖片來源：視覺中國-VCG41N1331242936