你的隐私数据正在网上裸奔

曾敏用力掐了一下自己大腿，有痛感，一切都是真的。这天是她被网络诈骗的第三天，但她一直像停留在一个可怕的梦里，走不出来。

2月14日凌晨，有人申请添加曾敏的QQ好友，她没多想，以为是可能认识的人，就通过了对方的申请。对方随即发给她几个文件夹，她打开一看，里面全是她的个人信息，有通讯录、私密照片、手机里的工作文件等重要内容。

“就像衣服被扒光了一样。”曾敏说，她想不明白哪个环节出了错，自己的信息会被这样泄露。在对方的威胁之下，她在半小时内给对方转了十几万块钱。

在曾敏被诈骗的两天前，2月12日晚上，45亿条个人信息泄露的消息在网络上流传。这些数据主要为网购用户的个人快递信息，包括真实姓名、电话与住址等信息，并且出现公开查询渠道。

刘前伟是数据安全专家，从事信息安全二十多年，每个月，他要帮公司的客户处理五六件重大数据泄露事件，查找泄露的原因以及给出保障系统安全的建议。在他看来，国内数据安全仍然面临着合规落地滞后、重要数据针对性防护缺失、缺乏全方位风险感知等严重问题。

一次淘宝消费记录、一张快递外卖订单、一次招聘网站登记，一场校园招聘公司信息统计……在每一个动向的终端，也许都有一张看不见的网在围猎个人隐私。这些个人信息流向网络世界的每个角落，最后可能变成一把刺向自己的利剑。

“为什么是我”

“为什么是我？”

这是曾敏几天来不断问自己的问题，她睡不着吃不下，“难受得恶心想吐”，每天浑浑噩噩，满脑子都是骗子和被骗的钱。23岁的曾敏在政府单位工作，这被骗走的十几万元里，有一部分是她三年来省吃俭用存下来的钱，“就这样突然没了”。

那天凌晨，还没来得及反应，对方直接通过QQ打语音电话给她，她接了。对面是一个男人的声音，说着一口不标准的普通话。男人直接表明来意，自己只想要钱。如果给他转钱，他就把这些东西删干净；如果不转，他就把曾敏的信息全部泄露出去。

曾敏大脑一片空白，心里很害怕。她的第一反应是报警求助，但是对方能实时监控她的手机，并威胁她说如果报警，他就马上给她的家人和领导打电话。 “他真的马上拨通了我领导的电话。”

在QQ语音通话里，曾敏记得男人说出了这个领导的名字，并听出是领导的声音。她当时就慌了，很害怕他把手机里面的信息泄露出去。

对面的人开始引导她转账过去，等她把自己的几万积蓄转过去后，又让她找家人朋友借钱和贷款。“我就真的全按照他说的做了。像是有什么魔力一直牵引着我的恐惧。”

转完这些钱后，对方还让她想办法再给他转五千，“我实在拿不出来了就把电话挂了，但是又害怕他再给我打过来，就把他QQ删了。”  曾敏回忆。

曾敏留下了转账记录和借款记录，有收款人的姓名，她报了警，以为凭借这些信息就能找到人。但警察告诉她，身份证和银行卡很可能是骗子买来的，就算找到用户本人也没用，“而且看他们那么专业，估计人不在国内”。 

绝望之下，曾敏把被骗的事情告诉了父母，“他们这个年纪的人对网络诈骗的高级骗术根本没有概念，也不理解为什么我会被骗，更不能接受这个钱找不回来了。”一个人的时候，曾敏躲在房间里哭。她每天刷着各种和她有相似经历的网络文章，从里面获得“一丝丝安慰和找寻一点点希望。”

信息安全专家高雪峰的客户中也有曾敏这样的情况。违法者发过来的文件或者链接，一般带有木马病毒，只要点开就会中毒，电脑或者手机便被远程控制。对方通过这种方式，盗走手机和电脑里的私密信息，再骗取财物。

高雪峰在个人信息安全领域做了11年，他现在是一家网络安全科技公司的创始人，主要负责政企方面的信息安全。在他看来，移动互联网时代，人们基本上支付、购物、沟通聊天都是通过移动设备，个人信息的泄露风险和应对的挑战越来越大。虽然相关的法律陆续出台，“但是使用网络的很多人安全意识不强”。

高雪峰说的相关法律是，近年来国家相继出台的《网络安全法》、《数据安全法》、《关键信息基础设施安全保护条例》、《个人信息保护法》等。

但是对于曾敏来说，这些法律是陌生的。她听说过有保护个人信息相关的法律，但总觉得离自己很遥远，更没有想过自己会被个人信息反噬。

明码标价的买卖

和曾敏一样，很多人不知道，在一些网络平台上，原本是隐私的个人信息成了明码标价的商品。

在一些社交软件群里，包括户籍、手机号、定位、查人查档、财产调查、开房记录、流水等在内的用户信息被公开售卖。

澎湃新闻潜入的一个售卖群中，如果只查询个人基本信息，包括身份证，姓名和地址，价格700元/次，并称这个价格是最低的代理价。如果想要成为他的代理，需要转给他5000元的代理费。

一位信息售卖者说，他们在微信或者QQ等国内平台上没有个人信息交易的业务，业务目前全部都在海外的社交软件上进行，但是转账主要通过支付宝账户。

“由于目前泄露信息的量比较多，不法分子将各种数据做了大数据集合。在其中输入相应的需求，系统会自动将相关信息搜索出来。”从事信息安全工作的王泽说。

不仅仅是一些海外的社交软件，暗网中的个人数据交易量更是不计其数。暗网又被称为隐藏网（Hidden Web），普通用户无法通过常规互联网手段搜索和访问，它的设计让用户身份高度隐密，暗网社群之间也不能互通。这些泄露出来公开出售的信息，包括政府机构公民信息；银行、证券等金融机构的客户信息；各大电信运营商的机主以及互联网、快递、酒店、房地产、航空、医院、学校等各行各业的客户信息。

2月18日，当记者追踪暗网相关讨论帖，进入以某海外社交软件为主的信息查询和交易群组时，发现此类群组每个群里都有上万人参与，24小时内持续活跃人数在一千左右。

信息售卖群组人工付费查询价格主页

在这些信息交易的群里，平均每十秒就有一个新用户进群，其中不仅有查询信息者，还有意欲批量提供隐私信息，寻求长期合作的从业者。一些群组提供地址找人、关联人物、身份户籍、手机机主、开房记录、快递地址、贷款记录、车牌车主、个人常用密码、手游及社交网络账号密码，同名联系方式等服务，凡是实名制登记过的个人隐私，只要付费，都能在一定时限内，把需要的信息查找出来。甚至有售卖者表示可以通过手机号定位机主行踪，而此类条目在群组中被标记为“娱乐用”。

除了此类人工收费服务，在暗网中隐私查询网站四处遍布，无数个人信息滚雪球般被人消费，偷窥，窃取。

对于这种在外网上进行个人信息交易的行为，云南凌云律师事务所主任孙文杰认为，“任何个人或单位，如违反国家有关规定，不论通过何种形式出售或提供公民个人信息，均构成侵犯公民个人信息罪。”

按照《刑法》第二百五十三条之一“侵犯公民个人信息罪”的规定，违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

另外，信息贩卖商通过境外社交软件和暗网等方式交易往往会隐藏IP地址，无法准确归属于哪个省份或城市进行监管，存在调查、取证困难等问题，倒卖的个人信息又用于其他类型的违法犯罪行为，如电信诈骗。

根据奇安信情报中心的监测发现，仅仅是2022年1月到10月，就有超过950亿条的中国境内机构数据在海外被非法交易，其中60%是公民个人信息，约有570多亿条，这就相当于14亿中国人，在2022年的头十个月里，平均每人泄露了41条个人信息。

对于如何管控上述违法犯罪行为，孙文杰建议，一方面，通过技术手段监管浏览登录境外隐私交易网站的路径和行为，加强此类案件的日常监管；另一方面，应设立国家级的监管和处置平台，加强国际合作，织密全球监管网络。

“数据资产在网上裸奔”

一个隐私查询网站上写着一句“隐私已死，看开些。”王泽不同意这个说法，他说，人们需要隐私，也需要安全。

前几天，高雪峰看到有45亿条个人信息泄露的消息后，他在暗网上用自己的电话号码一查，发现自己购买过的快递情况，家庭住址都暴露无遗。 “这种网络传输都是加密的，很难找到是谁干的，可能人在国外，即便能定位到，也不一定能抓到。”高雪峰认为很难追查到泄露者。

在数据售卖者那里，各种信息都可以被交易，即便只是一个名字。王泽说，另一个例子是机票，不法者拿到机票截图，就可以追踪到哪个人，坐哪架飞机等详细信息，“危害就很大”。

在高雪峰看来，个人信息最后都是落在企业的数据防护上面。一个企业提供的不管是c端的数据，还是c端的服务，最后都可能产生大量的个人信息数据，可能会被黑客攻击或偷走。还有一种泄露的可能是，企业内部人员偷窃数据，售卖获利的“也很多”。

在现实生活中，不少App在未经授权或者越权的情况下采集用户信息作公司客群画像的分析，或者转卖给其他公司获利。

一些应用会“偷听”你的聊天或者“偷看”用户的搜索偏好。 “这其实也是一种个人信息的泄露。一些APP可能授权让你开启了麦克风的权限，语音识别捕捉到关键字后做后台的运算。”高雪峰说。

“很多企业没有体系规划，没有能力覆盖到需要保护的数据资产上。”刘前伟说。客户找到他，说数据泄露了。刘前伟就成立“专案组”，“要向医生一样去诊断”，是网络问题还是账号问题，有哪些暴露面，别人通过什么途径可以获取这些信息。

在他的客户里，很多数据已经泄露出去很长时间，或者有人已经在暗网上兜售这些数据，“这些机构才发现”， “数据资产像在互联网上裸奔”。

在高雪峰的客户里，曾经有人被远程操控手机，把手机银行里的钱都转走。“他的密码是怎么泄露出去的呢？”高雪峰提醒，很多人习惯使用同一密码，如果登录过不安全的网站，违法者就能借此获取信息。

不完美的系统

为了防止个人信息在网上泄露，高雪峰通常会在不同情况使用多个密码，尤其是跟支付相关的，设置较为复杂的密码。

王泽的日常工作是保障一个网络系统的数据安全，如果有非法请求使用个人数据，他需要出一些策略拦截非正规途径的请求。

多年来，他处理过一些恶意软件、为法庭案件收集过取证信息、在计算机系统中追捕过黑客、研究了海量的日志数据、使用和维护了各种安全工具。

在他看来，这个信息纷繁的庞大系统是很难尽善尽美的， “不要完全指望企业能完全保护好你的数据，个人的信息安全意识是最重要的。”

具体来说，他从来不在网购平台上留下真实名字和详细地址，快递送来时，他直接选择放在快递柜。如果一些平台需要授权电话号码，他通常会拒绝使用。他注册了一个专门接收各种验证码的邮箱，同时用虚拟电话号码注册各种网络信息。“就个人信息来说，能不授权就不授权，因为它会共享给第三方，很多人不会去看隐私协议里写了什么。”

北京蓝秦律师事务所主任李文谦建议，不要在网络上随意填写调查问卷，不在来源不明网站注册，不点击不明短信链接，不扫来源不明的二维码，不在各类社交软件上暴露过多信息，慎连来源不明的wifi，不贪小便宜而下载不明app。

经历这次诈骗后，曾敏卸载了聊天软件。在她被诈骗的第五天，她的贴文下面成了一个树洞，和她有相同经历的人述说着自己被骗的事。她反过去安慰和她一样的受害者，“都是骗子的错，以后保护好自己的个人隐私”。

曾敏的帖文下面，有跟她一样遭遇的人留言

（为保护受访者隐私，曾敏、王泽为化名。）