信息在哪些渠道泄露？

　　據中國互聯網協會發布的《中國網民權益保護調查報告2016》，54%的網民認為個人信息泄露嚴重，其中21%的網民認為非常嚴重，84%的網民親身感受到了由于個人信息泄露帶來的不良影響。

　　個人信息泄露的情況如此普遍，那么信息到底是在哪些渠道被泄露？360安全專家萬仁國稱，衣食住行、生老病死，這每一個環節，個人信息都可能被泄露。具體來說，一個人出生后在醫院登記信息，采集之后上報到計生部門、公安部門以及和生活所聯系的銀行、工作單位等，中間每一個環節的流通都可能存在信息被泄露的風險。

　　這種風險一方面來自系統本身可能存在漏洞導致信息泄露，例如被黑客攻擊竊取信息，另一方面來自系統內部的風險，例如企業內部員工售賣信息。

　　財新記者查閱相關的法律文書發現，企業或者相關部門內部售賣信息的情況并不少見。武漢市洪山區一地稅局工作人員涂某某就曾將地稅網上的共計28萬條的企業信息以及法定代表人信息通過QQ賣給他人。通過電子郵箱購買涂某信息的徐某曾購買4600條包含有法定代表人手機號碼的工商企業信息，后通過支付寶支付信息費4150元人民幣，徐某又通過QQ群轉賣給其他人。

　　萬仁國稱，內部員工盜取買賣數據的概率相對于黑客來說更低一些，如果沒有黑客的話，信息泄露可能不是那么容易，黑客可以通過系統、植入木馬等方式，去盜取公民信息，這種情況更為普遍。

　　北京航空航天大學法學院院長龍衛球認為，信息在互聯網企業和電信運營商這一環節中的泄露更加值得重視，泄露情況也更嚴重，企業和電信運營商的系統可能被外部攻擊，且其中可能存在著信息倒賣行為。

　　龍衛球稱，除此內部倒賣信息外，個人信息的泄露還和其他一些內部管理漏洞相關，比如有些安全等級很高的信息卻有很多人都可以接觸到，而使用這些信息的人保護意識可能也不強。

　　信息采集、流通缺乏統一規范

　　信息每經一次流轉，就有可能被泄露，而對于信息在很多環節的采集，目前并無統一的規范，尤其在商業交易活動中，對于商家可以收集哪些信息，目前還沒有明確的統一標準。

　　據媒體此前報道，全國信息安全標準化技術委員會秘書長高林曾于今年五月透露，目前信息數據采集方面的標準已經在報批過程中，這為企業標明了底線，但不具有強制性。

　　趙占領律師告訴記者：“根據相關的法律規定，收集個人信息方面應當經過用戶的知情和同意，收集的信息應該是與提供服務相關的，有些信息是有必要收集的，還有一些應用收集的信息可能是無關的，超出了正當性和必要性的范圍，在使用時應該告知確切的使用范圍。但目前只有必要性的原則規定，而沒有辦法細化，因為不同企業所需要的信息不同，細化的標準很難制定。”

　　據上海交通大學信息安全工程學院教授陳恭亮介紹，在商家層面，目前的信息管理還是平面的，這樣就導致公民信息經過更多人手，這也導致了信息被暴露的風險增加。以移動支付為例，目前國外的做法是建立獨立的第三方信息管理機構，不參與交易過程，買家通過第三方機構獲得認證來進行交易，這就建立了立體的認證規范，但目前國內這方面的措施還沒起步。

　　與信息采集類似的是，在例如學校、政府的部門，公民信息流通過程中的規范力度也不夠。陳恭亮舉例，例如個人信息在學校流通過程中，很多時候學校只是信息轉達的部門，信息經過太多人手，導致被泄露的風險增加，而在這過程中也缺乏相應的技術規范來保護信息安全。專家指出，在相關部門參與信息的采集、存儲和流轉過程中，應該簽保密協議，一旦發生信息泄露，則應加以懲處。

　　信息買賣的產業鏈

　　財新記者查詢資料發現，大量泄露的信息通過不同的渠道被轉賣， QQ、郵箱以及一些其他在線平臺都可能成為個人信息交易的場所。從信息買賣再到電信詐騙，已經形成了一條完整的產業鏈條，而信息買賣本身，也已經形成了一條地下產業鏈。

　　此前據媒體報道，信息販賣過程中有大量的二道販子在中間賺取差價，因為每個人拿到的價格可能都不一樣，不同的信息還有不同的售賣方式，有的是批量售賣，有的是按條賣。同時，相比于被多次利用過的數據，一手數據的價值更高。

　　據萬仁國介紹，這些被泄露的信息被收集匯總后經過中間商大部分被賣給廣告商，也有一小部分則被賣給了電信詐騙分子。而依據所獲得的不同類型的信息，詐騙分子也設計了不同類型的詐騙套路。如果僅是通過發短信來詐騙，那么獲得大量的電話號碼就可以；如果是電話詐騙，則需要考慮電話的歸屬地、不同的人群分類等各種問題；如果是假冒不同的身份詐騙，則需要獲取更多不同類型的信息。

　　從信息泄露到電信詐騙再到將錢洗白轉走，也同樣形成了一個完整的產業鏈條。萬仁國告訴記者，這個鏈條上，有販賣公民個人信息的，有提供偽基站、改號軟件等詐騙工具的，最后才可能是去實施詐騙的打電話、發短信的人。除了實施詐騙外，還有隱藏的洗錢環節，有人制作全套銀行卡，因為國內銀行需要實名綁定手機號。這些錢首先會打到一個卡里，而后迅速分散到幾十張甚至幾百張卡里，經過多次轉移之后，洗錢的人迅速在ATM機上把錢取出來。

　　監管與立法的欠缺

　　龍衛球認為：“信息泄露甚至電信詐騙的大量存在，與立法方面存在大量空白有關，從目前國家層面來說，需要盡快制定《個人信息保護法》，還未出臺的《網絡安全法》無法完全解決個人信息保護問題，同時在基礎設施建設上應當加強。至于企業層面，個人信息的保護，有賴于明確經營者和從業者的責任。”

　　龍衛球強調，企業層面的義務一定要落實到具體方面，比如要建立什么樣安全標準的信息收集和存儲規范，按照不同的級別來承擔不同的保障義務。這些要通過立法建立，但目前是大量的空白，很大程度上依賴企業自律。

　　立法的欠缺，也導致公民個人信息受到侵害后的維權并不容易。趙占領律師稱，個人信息泄露后，在沒有造成經濟損失的情況下，很多人不會選擇維權，即使造成損失后個人也很難有充分證據來證明。“泄露途徑有多個，需要提供證據來證明是某個渠道泄露的信息，但目前用戶個人舉證能力有限。”他表示，信息泄露的違法成本低而維權成本高的現狀如果不改變，徐玉玉的悲劇只會不斷重演。