数安法正式生效 网络平台仍暗藏隐私数据交易

《数据安全法》已于9月1日正式实施，《个人信息保护法》将于11月1日实施，我国网络空间安全治理法律体系将进一步完善。与此同时，根据人民网记者近日调查发现，在论坛社群、电商平台等网络空间，仍有灰色数据交易藏匿于隐蔽角落，其中也包含针对个人信息等在内的隐私数据交易。

数据灰色交易藏匿于网络平台


“全国企业内部员工通讯录，真实可测”“大众点评商铺数据，量大3000万”“收影视手机数据，支持测试的来”“收微博原始数据”……在百度贴吧、淘宝、闲鱼等网络平台，一些个人隐私数据、行业数据被公开叫买叫卖。

通过QQ与其中一位卖家取得联系后，对方表示可以提供包括车险、网贷、信用卡等各行业的数据定制服务，“0.9元一条，实时抓取的。”卖家特别强调，所有数据是实时提取一手的，不是那种“很烂的、转卖了好几手”的数据，并表示“量大价格还可以再低一些”。

卖家还展示了之前交易的聊天记录和车险信息数据样本，并保证“信息都是真实的”。在他展示的数据样本中，包含车主姓名、身份证号、手机号、车牌、车型、发动机号、车架号、车检日期等详细信息。


而在淘宝、闲鱼等电商平台，搜索发现还有不少商家上架了数据代查、数据采集等爬虫服务，涉及的内容包括各城市地方官员相关数据、MIMIC临床数据库、某券商机构数据库查询下载、美团数据采集等。

在淘宝上，一家名为“启航羊绒制品”的商家，实际提供的是可定制信息采集服务，涉及搜狗、百度、高德、360地图商家POI兴趣点的电话号码信息。“个人信息采集不到，企业、店铺、门市、工商的都可以。”商家表示，这些都是公开信息，“没有风险”。

另外一家名为“CityData城市大数据”的商家则透露，可以提供包含联系方式等在内的二手房源信息，下单后24小时内网盘发货。

爬虫是一种快速自动抓取网络公开信息的辅助工具，例如我们使用的搜索引擎都用到了爬虫技术。一般而言，如果爬虫所爬取的是公开数据，将其打包售卖，并不被法律所禁止。但是，即便是公开数据的爬取，若爬取行为不当，仍然存在一定的法律风险。此外其他通过撞库、诱导、群发、钓鱼手段获取大数据信息行为，已非单纯通过爬虫技术获取信息，应归纳到黑客、木马程序窃取的范畴。

行业互换、内部泄密成数据泄露主流路径

个人信息泄露情况，通常在房产交易、教育培训、金融保险等重要民生领域更加普遍。在大众认知中，个人信息总是莫名其妙就被泄露了，一些企业的“精准营销”让人无处可躲。

对此，有业内人士表示，当前一般涉及数据安全的企业都需要通过网络安全等级保护评测，以黑客攻击、木马等技术方式大规模获取数据的难度很大，风险也比较高。目前，大量隐私数据是通过行业互换泄露的，一些小的服务中介、代理机构在客户信息保护方面意识淡薄。比如，房产中介员工私下交换客户联系方式、汽车经销商与保险机构互换资源等等，这些私下行为往往存在监管盲区。

而且，许多案例也在表明，越来越多的数据泄漏发生在企业内部。一方面，随着数据价值的提升，数据全生命周期流转往往涉及多个部门和多个系统，而相应的访问控制与权限管理很难兼顾安全与业务两方面诉求，诉求差异以及统一安全运营控制的缺失往往导致数据泄漏事件的发生。另一方面，在数据成为新型生产要素的背景下，数据载体分布广，海量数据汇聚、流通、分析和共享，导致很多企业都不了解自己的数据，不能够清楚地知道敏感数据的具体分布，数据资产不清晰也为数据安全管控和保护策略的实施带来了困难。

在一些面向C端服务的行业，如房产中介、保险金融等，基层网点多，人员流动大，而且能够直接触及到客户信息。这些特点使得数据“行业互换”“内部违规”等违法行为更加分散、隐蔽，一些企业在监管方面的“鞭长莫及”“默不作声”一定程度上助长了这种灰色交易。

扎紧“数据灰产”牢笼仍需各方合力

随着《网络安全法》《数据安全法》《个人信息保护法》的逐步到位，数据安全和隐私保护的监管力度正在不断加大。业内人士认为，顶层设计正在逐步到位，但要扎紧“数据灰产”牢笼，仍需行政监管、市场约束、行业自律、社会监督等各方合力。

从监管动向来看，电商、外卖、快递、打车、连锁酒店、求职招聘等行业，获取的信息不仅涉及到用户隐私安全，还有可能涉及国家安全。而头部平台所获取的数据，往往更具有价值，加强企业对个人信息规范管理的同时，应推动建立统一的管理系统，以保证数据使用安全、合法、可追溯。

防止数据泄漏和数据合规运营是当前大多数企业面临的难点。中大型企业在完成数字化转型过程中基本具备网络安全基础防护能力，成熟度较高企业普遍实施传统数据安全方案，但对于隐私数据企业则普遍欠缺专门实施的安全管控。《数据安全法》的一大特点在于兼顾统筹数据安全与发展：一方面厘清隐私保护、数据安全链条中各主体的法律责任；另一方面也鼓励数据的合法开发利用，保障数据依法自由有序流动。如何在数据的收集、加工、传输等处理活动中既能释放效率红利，又确保敏感数据不被侵权、泄露、贩卖，成为监管和企业都需要平衡的关键。

目前，一些机构、企业也探索通过技术手段实现数据有效保护。例如通过隐私计算技术，在不共享明文数据、保障数据安全和用户隐私的前提下，实现多方数据协同，联通数据孤岛，可以有效打击数据黑产。例如零信任安全架构，在“用不信任、持续验证”的核心思想下对所有访问请求进行动态的验证授权，遏制潜在风险的侵入，同时切断内部威胁的横向移动。