原来 你的个人信息是这样变现的

本篇文章3566字，读完约9分钟

由于一段视频，微信再次被放在“监控用户聊天记录”的架子上。

近日，微信通过“谣言过滤”正式澄清了“微信监控用户聊天记录”的谣言。谣言始于一段声称微信正在监控用户聊天记录并教授“关闭微信监控的诀窍”的视频。虽然其内容实际上是指导用户如何关闭微信个性化广告，但它关系到个人隐私甚至个人聊天信息的安全。“个人信息安全”的话题激起了大多数互联网用户的敏感神经。

“加快个人信息保护立法”的建议将在过去的两届会议上激烈辩论。然而，个人信息权利的复杂性和法律的严肃性使得个人信息保护法难以产生。相反，侵犯个人信息权益的案件不断发生。银行员工私下进行客户交易，出售客户信息获取利润，并从各种应用程序中非法收集信息...

“在大数据时代，每个人都在裸奔”已经成为网民的口头禅。在我们看得见和看不见的地方，个人信息的黑色生产规模在不断扩大。在信息裸奔的时代，了解个人信息的保护尤为重要。

你的信息是怎么泄露的？

如果我们把任何“获取利润信息”的行为定义为一种欺诈，那么一个典型的“欺诈组织”可以分为两部分:社会工作数据库(基础数据库)和利润欺诈。

“社会工作者”是指社会工程。在黑客圈子里，它指的是一种获取情报和信息的黑客方法。“社会工作者数据库”是一个欺诈组织存储和整合被社会工作者窃取的所有信息的数据库。

这似乎很复杂。总而言之，它是一个由通过各种方式收集的信息组成的数据库。

数据库中收集了大量信息，包括但不限于姓名、出生日期、身份证号码、手机号码、各种网站的账号、密码、安全问题、家庭地址、家庭关系、接收信息、交易信息等。然而，由于欺诈的规模和技术水平等因素，社会工作者的图书馆会有所不同。

社会工作数据库数据的个人信息主要有三个来源:一是黑客的非法入侵，通过黑客和木马窃取大量信息；第二是内部员工谁有机会获得个人信息窃取销售信息；第三类是网络爬虫非法抓取的数据信息。

黑客将雇佣大量的“小狗”作为社会工作者，通过入侵、拖库、制作木马、制作钓鱼网站等技术手段，使用木马和钓鱼网站。在得到黑客的支持后，小狗们更有可能获得有价值的信息。

例如，2017年，一家大型国际高端酒店发生大规模信息泄露，涉及数十万张银行卡信息和数千万的损失。

通过内部员工窃取信息更“高效”，也更容易获得更有价值的个人信息。例如，最近曝光的一名银行员工私下出售个人客户信息的行为。

至于通过爬虫等技术手段获取信息的行为，随着监管行为的日益严格和反爬虫技术的发展，这种行为正在慢慢减少。

实现实际上是一种“技术活动”

由于社会工程数据库中有大量的数据和详细的信息，欺诈组织有一个利润基础，并且“实现”这些信息不是问题。

获利的一种方式是转售信息，这既简单又粗鲁。欺诈组织通过各种渠道出售有价值的信息，如qq群、论坛、黑暗网络等。他们通过各种渠道雇佣了数百名半职业欺诈者。同时，在不同的人员之间存在着信息转售的关系。这导致了一个没有任何资源和技术的“新人”，他们可以通过购买数据和技术并进入欺诈组织而轻松获得利润。这种信息倒卖方式是以信息量来定价的，因此不可避免地充满了虚假数据和无效数据。

当然，各种信息的价格会有所不同。在黑市上，一个普通人的身份证信息可以卖到20元，一个博士学位信息可以卖到50元。更有价值的信息是“银行账户流”，它压低了“酒店开业信息”，成为个人信息黑色生产中的“媒体级信息”。原因也很简单。银行流水包含许多调查线索，有许多用途。“赤子诉银行案”就是一个血腥的例子。

赚取利润的另一种方式更具技术性。欺诈组织通过盗窃账户、银行卡、个人欺诈、公司欺诈、套现和洗钱来获取社会工作者图书馆的信息。相对而言，这种方法需要更多的“成套”信息，也就是说，它需要同时具备姓名、身份证号码、银行卡号码和预留手机号码等信息。有了这些信息，欺诈组织中的“技术工作”可以通过寻找在线支付、第三方快速支付和无卡裸扣等支付漏洞，在线窃取或转移被盗的银行卡信息。

显然，与简单的信息倒卖相比，这种方法需要更多的技术力量和系统的组织，因此它更有害。

我的信息由我决定？

在知道你的信息有多有价值之后，也许你对“你的身体是最有价值的”(个人身体特征都是个人信息)有了新的理解。然而，既然它是有价值的，它就不可避免地涉及到归属和处置的问题，也就是说，所有与我有关的信息都属于我，都可以由我来处置？

目前，我国关于个人信息保护的法律法规散见于《民法通则》、《网络安全法》、《消费者权益保护法》等法律中。目前还没有统一的《个人信息保护法》，也缺乏对“个人信息权”的准确定义。

然而，欧盟的统一数据保护条例(gdpr)给了我们一个很好的参考。gdpr在个人信息保护领域的严格性和广泛适用性为世界其他国家树立了一个很好的榜样。

Gdpr将个人数据保护纳入人权范畴，以人权为保护原则。根据有关规定，数据主体作为数据的权利人，享有以下权利:

首先，知情权，即数据控制器(如网站和应用程序)必须简单明了地告诉用户他们的数据是如何收集和处理的。

第二，访问权，即用户可以在网站(应用)上浏览和确认他们的个人数据。例如，用户可以查看购物网站上的浏览“足迹”，而数据控制器不能为此服务向用户收费。

第三，异议权，用户有权基于其合法利益拒绝数据控制者处理个人数据，也有权拒绝基于个人数据的营销行为。也就是说，在理论上，如果用户反对，企业就不能通过分析用户来“准确地推动或营销”。

第四，限制加工权。当用户提出投诉时(例如，关于数据的准确性)，可以限制数据控制器继续处理用户的数据。

第五，反自动决策，如果数据控制器和处理器通过自动处理(包括肖像)做出的决策影响了用户，用户可以拒绝。

第六，数据被遗忘的权利(删除权)，即用户有权要求删除个人信息。在互联网环境下，用户可以取消和删除各种账户。

第七，数据可移植性权利，用户将他们的个人信息从一个信息服务提供商转移到另一个。例如，用户可以将各种照片和资料从facebook转移到instagram，在这个过程中，facebook不仅可以干预，还可以配合用户提供服务。

当然，这些只是简单的解释，在实践中也会有一些例外。同时，gdpr被称为“最严格的数据保护条例”，其他国家(包括中国)不复制gdpr保护条例，而是在个人信息保护立法中作为参考。

绝对严格的监管导致企业合规成本飙升，gdpr通过复杂的连锁反应对欧盟数字经济产生了重大影响。事实上，严格数据监管的负面效应已经出现。中国信息与通信研究院发布的《全球数字经济新视野(2019)》显示，2018年美国数字经济规模达到12.34万亿美元，而中国仍保持第二大数字经济的地位，规模为4.73万亿美元，其他国家明显落后于中国和美国。由此可见，在这场数字经济浪潮中，欧盟已经落后于中国和美国。

然而，安永会计师事务所(Ernst & Young)的一份调查报告显示，亚太地区的金融机构普遍希望各国与全球发展政策保持一致，并调整相关法律法规。从这个角度来看，即使中国没有法律规定上述信息主体的权利，也有希望在未来真正实现“我的信息是我的主人”。

首先保护您的身份免遭盗窃

由于保护个人信息是如此重要，每个人都想找到一些简单有效的方法来避免成为身份盗窃的受害者。但事实上，在个人信息的使用中，安全性和便利性一直处于一种权衡的状态，而技术的发展可以促进两者的同步提高，但却不能消除它们之间的矛盾。

当我们享受到如此便捷的互联网服务时，我们不可避免地会在一定程度上转移个人信息的安全性。在公众讨论中，“网络时代隐私已死”实际上在一定程度上是“以便利换隐私”的结果。

然而，当互联网成为一种对每个人都不可或缺的公共服务时，政府(立法)显然有必要站出来解决信息过度使用的问题。最低收费的概念在发达国家已被广泛采用，这显然是一个值得考虑的问题，国内公共当局和企业如何遵守这一底线。

但是对于个人来说，当我们处于这样一个既定的信息时代，我们至少可以关注自己的行为，保护自己的身份信息不被窃取。

首先，不要扔掉各种明显的纸质信息，比如银行文件和快递信息。保留所有与自己相关的文件和记录，并在不需要时及时销毁。

其次，记住所有的账户密码，尽量不要在所有平台上使用统一的账户密码登录。如果真的很难记住，你可以试着用加密的方式记录下来。

最后，每年至少在中央银行的信贷中心检查一次你的信用报告，以确保你不是“贷款人”或“法人”。

参考书目:1。鲁、、杨志宁，《深度支付》，中国金融出版社，2018年；2.戴维·蒙塔古，叶佩译，《风力控制与未来》，中国金融出版社，2016年；3.戴维·劳伦斯，张宇译，《消费金融:个人贷款业务全过程指南》，机械工业出版社，2017年；4.谢元阳，《个人信息权的侵权法保护》，中国法制出版社，2016年；