預警|別再刷屏「高考准考證」了 專家提醒謹防信息泄露風險

猛戳「電子商務研究中心」獲得電商第一手熱門資訊

導讀:掃描二維碼

製作自己的「聯考准考證」，臨近聯考，一款輸入個人信息就能自動生成「聯考准考證」的小應用刷爆社交網路。有專家提醒，性格測試、星座測試、結婚證生成器等類似的互動小遊戲背後，可能存在個人安全信息泄露的風險，有可能會被不法分子利用於攻擊個人移動銀行。

「這是一種對聯考的緬懷。」大部分網友都抱著類似心態，掃描二維碼打開鏈接，上傳自己正面照的同時，還填寫姓名、入學年份等個人信息。最後形成一張模擬的「聯考准考證」，裡面還有考試科目時間等。

記者發現，如果用戶上傳的不是人臉正面照，系統將因無法識別而要求重新上傳照片，如果沒有填寫姓名，也無法製作准考證。而在應用界面的底部有一行說明：主辦方不搜集和儲存個人信息。

事實上，這是互聯網系統通過人臉頭像識別技術，根據臉部輪廓和特徵、性別等元素，進行面部處理。專家認為其中涉及到個人信息的泄露隱患。

浙江省公安廳網警總隊相關負責人表示，後台會擁有用戶真實姓名和真實頭像，非常危險。當前人臉圖像識別在銀行支付系統中應用廣泛，這種「臉型密碼」一旦被盜取容易被不法分子利用，造成用戶損失。

記者注意到，不少商家品牌都進行過類似的傳播活動。比如，情人節時的「結婚證生成器」、「六一兒童節」期間的「我的國小生證件照」等，都是通過在網路上填寫個人信息上傳真實頭像生成的。

電子商務研究中心主任曹磊認為，利用互聯網抓住人的好奇心，利用社交網路獲取個人信息，這種類型的測試往往帶有病毒式的傳播。「通過看似有意思的互動活動，採集用戶的真實信息，這些真實信息會和手機的IP和串號進行綁定，再通過針對性的策劃進行詐騙。」

業內人士表示，儘管微信朋友圈早有明令禁止此類測試內容傳播，但這類活動仍屢見不鮮。一些商家通過營銷手段竊取用戶信息，惡意營銷、追求不正當的經濟目的，損害著網民的切身利益。

電子商務研究中心特約研究員、浙江騰智律師事務所麻策律師認為，目前有很多互聯網公司為吸粉，採取互動遊戲的個性分析等方式，掘取用戶個人信息，但沒有對用戶提示個人信息已被收集以及日後數據使用規則，如果收集的信息可形成用戶數據畫像並指向可識別對象，可能構成非法收集信息行為。

專家提醒說，現在對於社交網路的個人信息獲取比較泛濫，要從個人信息安全和個人財產安全形度出發，不要隨意填寫個人信息，避免可能帶來的潛在風險。（來源：新華社；文/魏董華）

還記得幾個月前風靡朋友圈的「星座性格測試」嗎？

「每個人的生日都隱藏著他性格的小秘密，輸入你的生日，來生成你的性格標籤吧！」2016年7月16日上午，一名為「柏拉圖app」的微信公眾號推出的「我的性格標籤」測試在微信朋友圈瘋轉。出於對性格測試，利用互聯網抓住人性弱點的「擦邊球」以及新奇的海報吸引大眾，使得一夜之間這款測試開始病毒式傳播。

對於此類朋友圈性格測試活動，電子商務研究中心特約研究員、浙江騰智律師事務所麻策律師提醒廣大用戶：網路服務提供者和其他企業事業單位在業務活動中收集、使用公民個人電子信息，應當遵循合法、正當、必要的原則，明示收集、使用信息的目的、方式和範圍，並經被收集者同意，不得違反法律、法規的規定和雙方的約定收集、使用信息。網路服務提供者和其他企業事業單位收集、使用公民個人電子信息，應當公開其收集、使用規則。

麻策律師進一步表示：「目前有很多互聯網公司為吸粉，採取互動遊戲，個性分析，H5頁面等方式，掘取用戶個人信息，但沒有對用戶提示個人信息已被收集以及日後數據使用規則，如果收集的信息可形成用戶數據畫像並指向可識別對象，可能構成非法收集信息行為。」

來自上海安全協會的電子商務研究中心特約研究員張威也表示，現在對於社交網路的個人信息獲取確實比較泛濫，利用人性的熱點實現一些不道德的目的，很多人也因此上當受騙。

最近他們協會碰到比較多的問題：

這種危害廣大網民了解較少，從而不太注意，防範意識比較差。一種是採集信息詐騙，類似這兩天朋友圈「刷屏幕」的「星座性格測試」這樣的形式。通過看似有意思的互動活動，採集用戶的真實信息，這些真實信息會和手機的ip和串號進行綁定，再通過針對性的策劃進行詐騙。

還有一種是假冒微信群或qq群對特定人群進行欺騙，最近上海的某家上市公司就碰到這種手法的社交欺詐，公司財務某日被拉進一個公司工作交流的微信群，群里都是「公司員工」(電子商務投訴與維權公共服務平台註明：實際為騙子「馬甲」)，在討論日常的工作，突然有個他老闆頭像的人在群里跟他說有個項目需要他馬上打款169萬，讓他去操作，因為真實性很高，所以他立即向指定賬戶進行了操作，到最後才發現上當受騙了，因為那個群里除了他，其實其他人都是騙子，核心在於給他營造了一種場景。

微信朋友圈明令禁止測試類內容傳播

早在2015年，微信團隊發布了《微信公眾平台關於禁止發布簽類測試信息的公告》，明確指出及朋友圈出現畢業簽、月份簽等簽類測試活動的信息屬於違規行為，給用戶帶來騷擾，破壞朋友圈的體驗。從2015年7月1日起，一旦發現微信公眾帳號有發布簽類測試行為：包括但不限於發布新年簽、大學測試、星座測試等信息，微信公眾平台將視情節對違規公眾號進行刪除關注用戶(冬粉)及封號處理。

然而此類違規測試類活動在朋友圈屢見不鮮，通過營銷手段竊取用戶信息，惡意營銷、追求不正當的經濟目的，損害著網民的切身利益。

50億條公民信息泄露？為何信息泄露成常態？

今年4月，公安部破獲了一起盜賣公民信息的特大案件，被竊取和盜賣的公民信息多達50億條。經公安部調查，京東網路安全部前試用期員工鄭某鵬，長期監守自盜，與黑客相互勾結，為黑客攻入網站提供重要信息——包括在京東、QQ上的物流信息，交易信息、個人身份等數據信息，為犯罪團伙實施違法犯罪活動提供了有力的技術保障。

京東發布的聲明稱，在騰訊與京東聯合打擊信息安全地下黑色產業鏈的日常行動中，發現2016年6月底入職京東、尚處於試用期的網路工程師鄭某鵬系黑產團伙的重要成員，並立即向公安機關提供了線索。

據電子商務研究中心(100EC.CN)此前對1000位用戶在線調查顯示，21.7%的用戶曾因網購、論壇、微信等遭遇過信息泄露，並且11.2%的用戶接到過疑似的詐騙電話；56.8%的用戶表示對互聯網信息安全擔憂，並會對需要填寫個人信息的互聯網遊戲，註冊等保留一定的戒心，而仍有43.2%的用戶認為互聯網信息泄露與個人無關，不太關注。

另據電子商務投訴與維權公共服務平台(www.100ec.cn/zt/315/)近年來接到的類似用戶投訴案例表明，近年來互聯網/電商行業「泄密」事件頻頻出現，其重大典型的包括：5173網路服務網數次被「盜錢」、噹噹網多次用戶賬戶遭盜刷、「1號店」員工內外勾結泄露客戶信息、支付寶漏洞致用戶信息泄露、如家、七天開房信息泄密、騰訊7000多萬QQ群遭泄露、攜程技術漏洞導致用戶個人信息、銀行卡信息等泄露、微信朋友圈小遊戲竊取用戶信息等。

究竟該誰為用戶數據安全負責？

按照現行法律，如果用戶信息泄露，企業是需要承擔一定的賠償責任的，電子商務研究中心特約研究員、遼寧亞太律師事務所董毅智律師此前類似案例曾剖析道，因為公司與用戶之間具備合同關係，有保障用戶信息安全的義務。如果本次事故是內部人員所為，說明公司內部存在管理問題，沒有盡到安全管理責任，應承擔相應的民事責任，賠償用戶損失。如果本次事故是外部攻擊造成，需要具體分析公司方面是否有採取基本的技術措施保障信息的安全，再來判定公司是否存在過錯。

其中一個重要的問題就是，當企業發現數據泄露后做了什麼，是否第一時間發出警報並採取措施直接體現了當事公司是否盡到了相關責任。在類似事件中，一些企業往往擔心自身名譽受損，對數據泄露抱著遮遮掩掩的態度，這種心態正是網路攻擊者所期望的局面，也是攻擊者有恃無恐的原因之一。

按照美國的法律，企業發生一次信息泄露事件就可能被罰得傾家蕩產。根據法律對用戶隱私的侵權行為約束力有限，用戶維權、尋求民事賠償勝訴率不大，對損失評估難以確定金額，所以想要對隱私泄露的責任人追究還是非常困難的。雖然大規模信息泄露、數據安全事件頻出，卻從未見到企業負責人被問責。

對此，電子商務研究中心特約研究員、廣州金鵬律師事務所合伙人詹朝霞律師認為：違法成本低，法律監管缺失是「泄密」事件再三出現的根源！從法律層面來看，各類服務提供商，基於提供服務所採集的用戶信息數據，具有嚴格保密的法律義務，類似的規定散見於國家工商總局發布的《網路交易管理辦法》、《全國人民代表大會常務委員會關於加強網路信息保護的決定》等相關法律法規規章中，雖然規定不少，但相關規定中卻沒有設置任何對應的處罰措施，違法成本極低。

在日益繁雜多變的網路交易中，服務商們忙於應付各種生意，對於用戶信息保密僅僅是基於商業道德或品牌榮譽的角度，其實施力度可想而知。可以毫不誇張地說，法律監管的缺失是類似事件一而再再而三爆發的根本。行政主管部門，比如工商局、銀監會、證監會、通管局等相關部門應該形成聯動機制，對泄露用戶信息的行為甚至是「出賣」用戶信息的行為進行狠狠打擊，還消費者以安全，還消費者以放心。

電子商務研究中心主任曹磊認為，用戶信息泄露不僅存在於個別計價電商平台，幾乎是當下電商行業的一大「通病」，而信息泄露中受害最大的是處於被動的消費者。要在購物過程中避免信息泄露，需要消費者、電商平台和相關部門的共同努力。全國首部《電子商務法(草案)》中，加大對信息安全的保護力度，明確包括第三方電商平台、平台內經營者、支付服務提供者、快遞物流服務提供者等在內的信息安全保護責任主體。提出對未履行保護義務的，最高處50萬元罰款並吊銷執照；構成犯罪的，追究刑事責任。此外，根據刑法第二百五十三條：「國家機關或者金融、電信、交通、教育、醫療等單位的工作人員，違反國家規定，將本單位在履行職責或者提供服務過程中獲得的公民個人信息，出售或者非法提供給他人，情節嚴重的，處三年以下有期徒刑或者拘役，並處或者單處罰金。

小貼士：如何防止個人信息被泄露

對此，電子商務研究中心主任曹磊給出了建議：

第一，網站用戶信息泄露有多種可能性途徑。現在許多APP、網站、公眾號、小程序都需要用戶註冊賬號后才能正常使用。因此，每個網民擁有多個賬號是很平常的事情。在註冊時，網站一般都需要填寫一些個人信息，如常見的賬號、密碼、郵箱等，像一些電子商務、婚戀、交友網站等還需要實名認證，要求填寫的信息更加詳細。平台上的用戶數據泄露主要有以下幾種方式：黑客利用平台存在的安全漏洞入侵網站，盜取用戶資料庫；網站內部工作人員倒賣用戶信息；通過撞庫攻擊，竊取用戶數據；利用釣魚攻擊竊取用戶信息；通過木馬、病毒竊取用戶隱私信息。

第二，法律條文需細化，相關部門應適時介入。關於網路信息安全方面的法律條文不夠明確，適用範圍尚且不夠精準，相關條文必須得到進一步細化、規範，以此更加公平公正地懲治網路信息安全事故的造成者，保護公民切身利益。此類信息泄露事件不適用「不告不處理的」的原則，相反，執法部門應主動積極介入案件調查，並對實施者進行追責處理。

第三，信息安全無小事，用戶必須增強信息保護意識。警惕要求重新輸入賬號信息，否則將停掉信用卡賬號之類的郵件，不要回復或者點擊郵件的鏈接，以免落入圈套。同時，避免開啟來路不明的電子郵件及文件，安裝殺毒軟體並及時升級病毒知識庫和操作系統補丁，將敏感信息輸入隱私保護，打開個人防火牆。網路銀行時，選擇使用網路憑證及約定賬戶方式進行轉賬交易，不要在網吧、公用計算機上和不明的地下網站做在線交易或轉賬。不要在多個網站使用相同的註冊賬戶名以及登錄密碼，防止網路黑客有意盜取，造成多個網站個人信息的連環失竊。

第四，要求網站平台收集和使用用戶信息應當遵循「合法、正當、必要」三原則。對收集到的用戶信息應當採取安全保護措施，一旦發生泄密，必須及時採取補救措施，否則都可能面臨行政處罰或者用戶的訴訟。

【「天天3·15」網路消費維權行動】

國內最大第三方電商維權平台——電子商務投訴與維權公共服務平台啟動「天天3·15網路消費維權行動」(www.100ec.cn/zt/16fwpd /)，重點關注網路消費者維權集中的電商網購、O2O、微商、海淘、外賣、消費金融、P2P等領域。若您在網路消費中遇信息泄露，可通過投訴通道www.100ec.cn/zt/315/或關注官方微信「網購投訴平台(DSWQ315)」進行在線投訴，我們將第一時間核實、受理、曝光。（文/若貝）

相關閱讀：

【聚焦618】電商「之痛」：用戶信息屢屢泄漏、賬號被盜，究竟誰之過？

315重磅|試用期前員工泄露50億條公民信息？一文看懂電商用戶泄露為何成常態 ？

【重磅】朋友圈都在曬的星座性格測試 又泄露了你的隱私

【我們】電子商務研究中心（官方微信i100EC）,「互聯網+」國家戰略民間智庫,並運營國內領先電商資訊門戶100EC.CN