我从黑市人肉出34.6万条个人信息，多数受害者麻木不仁

原创：一条

据中国互联网网络信息中心的数据，

截至2018年底，中国的手机网民8.17亿。

我们每个人的日常生活，

已经与互联网牢牢捆绑在了一起。

手机支付、人脸识别、定位分享……

我们在享受这些便利的时候，

同时也面临着一场不小的隐私危机。

2019年上半年，

互联网数据泄露事件激增至3800多起，

达到有史以来的最高峰，

8.7亿条个人信息在暗网上出售，

7.73亿个邮件地址及密码被窃，

5.9亿中国人的简历被泄露，

被公开的不止是姓名、电话，

还有身份证号、户籍、婚姻状况、家庭住址……

1分钱就可以买到一条个人数据，

39元可以黑进WiFi，获取你的个人信息，

诈骗电话打进来时，

对方似乎比你自己还要清楚你的履历，

个人隐私被明码标价，

而我们被出卖了还毫不知情。

在数据的洪流之下我们该如何自保？

一条发起了一项“互联网隐私”的问卷调查，

并且访谈了相关专家、技术人员，

“身处大数据时代，人人都是透明人，

我们需要重新建立一套隐私保护的平衡机制。”

编辑 | 潇钺

我从黑市买下34.6万条个人信息做展览

邓玉峰，北京，艺术家

去年4月，我的个展《秘密》在武汉的美术馆展出。展品是我从黑市购入的34.6万条武汉市民的个人信息。

买到的数据包括他们的姓名、电话、身份证号、家庭住址，甚至还包含了买车记录。我把所有信息用一种特制的隐形药水打印在A4纸上，日光下是一张白纸，只有照射了某一个波段的紫外线灯，才会显示出上面的信息。

我也邀请上百名志愿者们，花了几天时间，涂掉数据里的敏感信息。密密麻麻的A4纸，像纪念碑一样贴满了展馆里的整面墙。紫外线灯光下反射出荧光色的信息，很魔幻也很震撼。

志愿者们在给信息泄露的市民发短信

每天，志愿者都会不断地给这些市民发送“骚扰”短信，邀请他们到现场来观看自己的“秘密”。很多人根本没有意识到自己的信息被贩卖了，有人短信回复我们，“你有病”。有人直接回复一个“滚”字，但是大多数人是没有回应的。

现场的观众也有反应激烈的，有个武汉大妈来现场一看，直接当场报警。

志愿者们在一张张处理信息

这个展览筹备了一年的时间，真正操作起来只一个月，买数据比我想象中容易很多。

卖家是在QQ上搜到的，输入“个人信息”就会看到很多所谓的卖家。于是我把自己扮演成了一个需要推广的公司职员，就这样轻松地买下了几十万人的隐私。

交易是现金转账，一次给他发200元红包，34.6万条个人信息放在几个Excel文件里，总共花费是5000元，平均下来1分钱就可以买到一个人的信息。

《黑经》展览现场，2015

这不是我第一次接触信息贩卖和黑色产业。我曾经花了几年时间，拍下了世界各个城市街边、医院、网吧、公共厕所的小广告，集合调研了办证、私家侦探等等所有能想到的黑色产业。

为了收集这些信息，我自己“扮演”过十几种角色，有时候我装成河北农村的一名妇女，有时候我又假装是一个想要办证的人，去跟不同的卖家在线上聊天。我把我收集到的这些黑色产业的信息做成了一本黄页，叫《黑经》，它就像一面很真实的照妖镜，《秘密》其实就是其中的一个部分。

这个展览，我觉得是把比较地下的东西跟普通的人做了一个连接。虽然大家都很清楚信息被贩卖的各种事件，但是因为没有跟自己的切身利益有关，就当做什么都没有发生。直到有了这场展览，才戳痛大家的神经，才觉得原来自己的信息可能并不属于自己。

被迫退出后，

我才发现买到了没有保障的“黑号”

Peter，杭州，互联网工作者

我是无意中卷入黑号买卖的。

我喜欢玩游戏，我玩的游戏有一个练级的过程。之前在国外我已经练到40多级，但是回国后必须要用国内服务器，所以只能新建账户，从1级开始练。

我不想从头再来一遍，就在网上找到了别人代卖的一个30级号。买的时候很简单，加了卖家之后，给我了一个付款链接，前后不过2分钟，只花了5块钱。

刚开始打得很顺利，跟朋友们一起约战、打排位赛，直到有一天登陆的时候，我发现上面显示“该账号异常，暂时无法登陆”，这时候我才意识到，我买的是“黑号”。

“黑号”说白了，就是玩家被盗的号，是游戏黑色产业的一部分。有些人专门研发出一款程序，叫“扫号机”。打开程序，输入筛选条件，就可以通过代码批量扫描出大量的玩家信息，然后再批量卖出。

有些游戏注册时要求填写的详细资料，比如年龄、性别、身份证号或者绑定的QQ号，那么这个买家登陆后就会看到前一个玩家的所有个人资料。

黑号里分“热号”、“冷号”，热号就是玩家还在登陆的，盗号被发现后可能随时找回，这种一般卖4、5块钱，我买的就是这一种。冷号是玩家至少有1~2年都没有登陆，即使是他要找回账号也需要很复杂的步骤，这种账号被盗一般就变成永久流失了。

说出来有点好笑，就在我玩这个黑号的时候，我发现自己另一个游戏的账号被盗了。这个游戏是我花了好几年辛辛苦苦练的，里面各种稀有的装备和宝物，算下来值1万多块钱。我花了整晚的时间，填写各种资料，拜托几个朋友验证才找回来。

等我再次登录的时候傻眼了，所有的皮肤、坐骑、装备、材料……都空了。盗号的人应该是把我的装备全部转卖了，剩了一个空的角色给我。感觉自己不仅损失了一大笔钱财，还有时间和心血。

现在有些游戏我还在用黑号打，毕竟现实是有太多人不想花时间从头练起，黑号在资深玩家圈子里还是很有市场的。

不过我也不知道，这个号有一天会不会又被别人找回。我能做的，就是把自己那些相对值钱一点的号尽量保护好吧。

他们卖的不仅仅是酒店数据，还有官网漏洞

Chris，北京，程序员

我是一名中关村的程序员，我有一个哥们，大学毕业就进了一家网络安全公司。他们常年监视暗网交易。2018年××酒店集团5亿信息泄露的那个事件，就是他们最早发现的。

普通人可能觉得暗网、数据窃取这些事情很尖端很神秘，其实在懂技术的人看来，登录暗网很简单，拿到数据的过程也不复杂，很多门上的锁都太简单了，有的门甚至根本没有上锁。

在中文暗网论坛中，最受欢迎的是PII文件，中文叫个人验证信息，包括全名、支付宝账户、电话号码、微信账单、借记卡等等数据，用这些数据可以轻松定义到一个人的身份。我哥们告诉我，除了这些信息之外，你还可以买到中国护照、北京户口、监控资料……等等。

暗网论坛截图，来源网络

××酒店系统被泄露，打包文件加起来共有5亿条记录。这个卖家出售的是三组数据，例如CSV、SQL和TXT的转储文件，全都未加密，引起了很多买家的兴趣。售价是8个比特币，相当于5.8万美元，约40万人民币。

暗网上很多骗子，10个出售信息的8个都是假的。卖家为了证明自己数据的真实，他会在里面先发一个压缩的样本数据，只有1.37MB，感兴趣的人会自己去下载验真。

图片来源于网络

普通人在注册一些网站的时候，根本想不到很多网站的数据库是没有安全防护的。婚恋网、交友网的信息往往都容易被打包出售。

我还看到过全国选美比赛参赛者的PII——她们的名字、体重、三围、QQ号、手机号，甚至还有个人爱好特长的自我介绍。

对于这些黑客来说，一旦他们侵入系统，“占领”了整个域或环境，取得了可以访问和控制网络上的全部资源的管理员账户，那么这个网站甚至整个公司，都将不再有秘密。

我们正生活在越来越汹涌的数据洪流之中。

国际数据公司（IDC）的一份名为《数据时代2025》白皮书显示：2018年，全球一年产生的数据量是33ZB，到2025年，将增长到175ZB（1ZB约等于1.1万亿GB）。如果把这些数据全都储存在蓝光光碟上，摞起来的高度，足够从地球到月球往返11.5次。

大量的数据增长，来自于每个人每天的日常行为：查天气、查股票、查地图导航、购物、聊天、刷微信朋友圈、转发、点赞……2015年，每人每天的数据交互行为为218次，预计到2025年，将飙升到每人每天4785次。

数据来源：IDC《数据时代2025》，2017

1950年代，美国数学家、“控制论之父”诺伯特·维纳（Norbert Wiener）曾经探讨了一种可能：一个全球的计算机系统，人们每天随身带着设备，设备根据人们的行为给予反馈，这样整个人类的行为都会被系统改造。这样的社会实在太疯狂了，没法生存下去。

2018年4月，“VR之父”亚隆·兰尼尔（Jaron Lanier）在TED大会上重提维纳当年的这一设想。他说，维纳当时不太担心这个问题，因为他觉得技术上难以实现，只不过是一个思想实验。现场一片笑声，如今这样的设备人人都有。

数据来源：IDC《数据时代2025》，2017

在这些设备生产出来的海量数据里，越来越多的数据是个人隐私数据，因此需要被保护或加密。预计到2025年，87%的数据都将是需要保护的数据。然而，实际情况是，一半以上的数据都没有得到适当的保护！

有人可能要问，是谁来负责这些数据的归属和保护呢？事实上，互联网诞生之后很长一段时间内，都是政府管辖的“法外之地”。互联网数据的具体监管，主要就靠互联网公司自己。

最早意识到个人数据需要保护的是“大数据之父”维克托·迈尔-舍恩伯格。2009年，他因为对互联网上个人信息的泛滥有感而发，写出了《删除》一书。

他意识到，我们的信息一旦上网，几乎就等于永远在网上，不可撤销，不可删除，“一旦一个人已经分享了信息，这个人就基本上失去了对该信息的控制……我们自己不再是我们信息资源的主人。”

大部分网络账户一经注册，很难或者无法注销

比失去个人信息权更糟糕的是，你是在不知情的情况下失去了这一权利。2018年8月，美国范德堡大学的计算机科学家道格拉斯·施密特（Douglas Schmidt）发表了一份有关谷歌采集用户隐私信息的研究报告。据他的研究，谷歌无时不刻不在监控用户的上网活动，每部安卓手机每天向谷歌上传11.6MB的数据。

2018年3月，爆发了轰动全球的“Facebook数据门”事件，8700万Facebook用户的个人数据被出卖给一家叫做“剑桥分析”的公司，这家公司操纵这些数据，最终成功地通过选举程序，使得英国脱欧、特朗普上台。

电影《隐私大盗》剧照

2019年1月，这一事件被拍成纪录片《隐私大盗》，在圣丹斯电影节首映。影片明确提出了“个人数据也是个人资产”的观念。“如今全世界最有权势的公司是科技公司，因为他们掌握用户数据，现在数据可比石油值钱多了，所以科技公司是最富有的。”

然而，剑桥分析的一位前员工发现，获取用户的数据是如此简单轻易，“你都不需要劝说，他们就直接把私人信息拱手相让，这简直令人毛骨悚然。”

“我们没有人意识到这是我们的资产，就直接让渡给了互联网公司们。而且我们低估了这些互联网公司利用这些数据的能耐。”

剑桥分析的“种子用户”来自一款发布在Facebook上的心理测试app，这个心理测试通过分析点赞等社交行为，给一个人进行心理画像。“每个美国人身上有5000个信息点，基于这些信息点，结合心理学分析，就足以建构一个人的性格模型。”

分析10次点赞行为，算法对你个性的分析就能比你同事更准确。只需要68个“赞”，就可以估计出用户的肤色（准确率95%）、性取向（准确率88%）、党派（共和党或者民主党，准确率85%）。有150个点赞数据，对你的了解程度可以超过你的父母。超过300个点赞数据，对你的了解就会超过你的伴侣。

而且，因为每个人都有许多社交好友，算法无需直接查看你的个人信息，只要触及到你的朋友也是一样。也就是说，即便你自己没有使用某款app，只要你的朋友使用了，那么你的数据也就一并被抓取，进入模型，被算法分析。

剑桥分析就是这样，从27万用户画像，扩展到了5000万，并且该公司宣称，以这5000万个样本为基础，他们可以精准预测全体美国人的行为。

纽约帕森斯设计学院的教授戴威·卡罗尔得知自己的数据被Facebook售卖给了剑桥分析，委托律师起诉，希望归还自己的数据，并公开数据的售卖和使用过程。结果直到影片上映，他的诉求仍旧不了了之。

“明明是我自己的数据，我却无法得知它的去向，这真是太荒谬了。”

席卷世界的互联网隐私战争，

在中国也打响了

预计到2025年，中国将成为全球最大的数据产出国。2019年5月，国家网信办发布的一项报告显示，2018年我国数字经济规模达31.3万亿元，占据GDP的比重是34.8%。

如今，我们主要经济活动的三分之一以上是数字活动。除了我们个人，整个社会的数字化程度也越来越高，常用设备包括电子探头、人脸识别、车载设备等等。

与此同时，数据泄露的事故在中国也层出不穷：

2018年4月，某外卖平台被曝用户信息泄露，每条信息卖价最低不到一毛钱，精确到具体点的什么餐、用餐地点等私密信息。

2018年8月， 某快递公司被曝泄露了3亿条用户数据，暗网论坛售价2个比特币，数据包括寄件人、收件人的姓名、地址、电话等个人信息。

2018年9月，某酒店集团被曝其住店客户数据在暗网售卖，泄露数据包括1.23亿条官网用户注册数据，1.3亿条旅客身份信息以及2.4亿条详细开房记录，全部数据共计约五亿条，售价约为37万人民币。

中国消费者协会的一项调查报告显示，中国85.2%的app用户曾遭遇数据泄露。常见现象为：推销电话、信息骚扰、垃圾邮件、非法链接、账号密码被盗等。

@太阳

会收到一些莫名其妙的短信，和电话，关键还知道我叫什么，住在哪个地区。

@gniyoug

经常收到骚扰电话和短信，同时一些不想让别人知道的喜好却总是出现一些相关在网页或者手机上。

@瞬其自然

买房，被装修公司骚扰。炒股被各种所谓券商工作人员，炒股砖家骚扰。

2018年，李彦宏曾说中国人不需要隐私，愿意用隐私换便利。然而，在我们的问卷调查中，近八成的受访者不同意这一说法。

@米朵拉

经常收到某婚恋网的电话和信息，隔一段时间就打来一次，屏蔽拉黑一点用都没有，他们是如何得知我的信息的？

@一休姐

有次陌生人莫名其妙打电话到我这，乱骂我父母，能报出我父母的名字，说我母亲出轨，我不是亲生的，家庭情况也知道。堂妹也接到陌生人电话说她妈妈是诈骗犯，恐怖。

欧洲已经率先立法。2018年，欧盟出台了大数据时代专门保护个人信息的隐私法案《一般数据保护条例》（GDPR），从法理上确定，用户对自己的数据拥有自主控制权。

GDPR规定，互联网公司不可以再把数据使用说明藏在辞典一样厚的用户协议里，收集数据时不可以和用户协议捆绑在一起，每一次取得用户数据，都必须明确告知用户，并且用户已同意的、之后也可以随时取消或删除。

安装app之前，仔细阅读用户协议的人是少数

图片来源：中国消费者协会

GDPR几乎对科技公司用个人数据来赚钱的所有环节都进行了规定和限制，并且对违规行为开出了高额罚单。此前谷歌就曾经收到了一张27亿美元的天价罚单。

2018年，Facebook丑闻爆出后，美国也开始讨论类似法案的可行性。一个议员说，“如果Facebook和其他社交媒体公司不按规则来，那我们任何一个人的隐私都将不复存在。”

2005年6月，中国已有“个人信息保护法示范草案”，2017年6月，《网络安全法》实施。

2019年5月28日，国家网信办发布了《数据安全管理办法》征求意见稿，第一次尝试对个人数据采集、应用进行全方位的规定。

按照这一《办法》，中国人也将逐步获得个人信息的自主权，“网络运营者收到有关个人信息查询、更正、删除以及用户注销账号请求时，应当在合理时间和代价范围内予以查询、更正、删除或注销账号。”

中国社会科学院信息化研究中心秘书长姜奇平告诉我们，“个人信息它既有正面的效应，也有负面的效应。我认为这和开发利用信息资源是不矛盾的。去隐私化从某种意义上来说，也可以认为它的背后是服务化。我们对隐私的这些观念也在变化，所以比较准确的提法应该是使个人信息开发和保护能够得到平衡。”

我们该如何保证自己的信息安全？

在调查中，有网友分享了他们自己使用网络的安全建议：

@小葳蕤

不在公开网站和软件发自己的照片和现实信息；

不参与网络暴力和争论骂人；

不定期清理自己的上网痕迹；

不使用超出正常权限的app……

@Reinette

一个人住，女性，平时点外卖和网购都会刻意模糊信息和错开关键隐私。比如收货人会写X先生，这样起码外人不至于从数据和个人垃圾里面找到线索，从而带来安全隐患。

我们还采访了移动应用信息安全专家，从专业的角度提供了5条小建议：

1. 给手机设置不同的密码

每部手机都有自己的账号，这个账户手机的账号通常有检测手机定位、手机锁定，以及擦除手机内容的权利，比如说iPhone有的Find my iPhone的功能。

手机账户跟个人信息保护有一定关联，一般大家会用自己常用的邮箱去注册登陆，一旦这个邮箱密码出问题了，有人就能拿到你手机的控制权，恶意锁住你的手机，进行一些勒索的行为。所以强烈建议手机账号的密码跟其他账号都不一样。

2. 打开App里“两步认证”的功能

很多厂家会提供所谓的叫两步认证的功能，用户不是直接登陆，而是需要一个短信或语音的手机验证码才能登录，这样如果黑客只获取你的密码与用户名，是无法入侵你的账户的。

3. 从正规渠道下载App

建议大家从官方应用商城下载app，这样可以避免下载到一些木马或者病毒文件。

4. 注意权限管理

安卓app的权限滥用一直饱受诟病，特别有一部分app在获取用户比较敏感的电话、短信、联系人等隐私数据。

今年6月，全国信息安全标准化技术委员会发布了《网络安全法》，第四十一条指出，“网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意”，以及“网络运营者不得收集与其提供的服务无关的个人信息”等。

所以我们个人在安装app的时候一定要留意权限设置，比如不轻易授权通讯录、定位、摄像头、麦克风等等。

5. 尝试申请互联网手机号

一些需要手机号注册的网络账号，我们可以去申请互联网的手机号码，它跟正常手机号没有特别大的区别，也是11位数，需要实名验证，注册一般的账号是没有问题的。如果有骚扰电话打来会先打到小号上，然后再由服务器转接到你的手机。

部分图片来源于网络、艺术家邓玉峰

题图摄影：ZW711

阅读原文