新华社北京5月22日电 题:窃取简历逾2亿 非法牟利过亿——数据行业乱象“令人咋舌”亟待整治
新华社记者鲁畅
——通过非法手段,爬取正规招聘网站2亿条用户简历;
——把简历数据“打造”成公司产品,卖到不同行业领域,非法获利过亿……
记者从北京市公安局网安总队获悉,按照公安部“净网2019”专项行动部署,北京警方近期破获备受关注的巧达科技非法获取计算机信息系统数据案,这家企业非法爬取用户数据,数量之大、牟利之巨,令人咋舌,公司法人王某某等36人被检察机关依法批准逮捕。
业内人士指出,近年来,大数据行业中数据造假,窃取、买卖公民信息等乱象频发,不断触碰数据安全和法律底线,亟待加强治理、规范发展。
起底巧达科技“黑产”:最大简历库全凭窃取
去年10月,北京市公安局海淀分局警务支援大队接到辖区某互联网公司报案称,发现有人在互联网上兜售疑似为该公司的用户信息。根据这条线索,警方迅速开展调查,巧达科技(北京)有限公司非法窃取信息的犯罪事实逐渐浮出水面。今年3月,巧达科技被查封,涉案员工被警方依法刑事拘留。
公开资料显示,巧达科技成立于2014年7月,号称拥有中国最大的简历数据库。这些简历信息等数据被用在教育培训、保险、招聘等行业,为巧达科技带来了大量收入。2017年,该公司全年收入4.11亿元,净利润1.86亿元。
然而,警方查明,与正规招聘网站的简历由用户自己上传不同,巧达科技的简历数据库全部是通过非法手段爬取而来。“嫌疑人通过利用大量代理IP地址、伪造设备标识等技术手段,绕过招聘网站服务器防护策略,窃取存放在服务器上的用户数据。”网安总队办案民警李文涛说,从不同网站窃取来的信息被重新合并、排列,重名或是信息不全的信息经过“再比对”后形成完整的简历和用户画像。
据悉,巧达科技非法获取的简历超过2亿条。基于这些数据,公司开发了“72招浏览器”,将其简历数据库以13800元每年的价格卖给有需求的企业客户,客户就可以在浏览器上直接调取简历信息。
办案民警介绍,在巧达科技窃取数据过程中,还因传输数据量过大导致报案公司服务器数十次中断服务,影响上千万用户正常访问,带来严重的经济损失。
行业发展频频“迷航”
记者梳理发现,从大规模数据窃取到“流量劫持”,从App超范围信息收集到数据“杀熟”,大数据行业发展中暴露的问题给信息安全和公民隐私均带来较大威胁。
2018年,浙江警方曾侦破一起大规模数据盗取案。警方查明,北京一家以新媒体营销为主业的公司,与覆盖十余省市的运营商签订营销广告系统服务合同,通过在运营商服务器中布置恶意采集信息程序,从运营商流量池中非法获取用户数据。案件中,犯罪团伙操控用户账号,进行微博、微信、QQ、抖音等社交平台的加粉、刷量、加群、违规推广,非法获利,犯罪团伙旗下一家公司一年营收就超过3000万元。
据阿里安全部《2018网络黑灰产治理研究报告》估算,2017年,我国网络安全产业规模为450多亿元,而“黑灰产”已达近千亿元规模,用户信息泄露、网络黑客勒索和电信诈骗等问题仍频繁出现,围绕互联网衍生的“黑灰产”行业正在加速蔓延。
网安民警表示,随着网络“黑灰产”形成了专业化、精细化的产业链,除了利用大量数据违法变现,一旦掌握全面的用户信息,不法分子就可通过精准的用户画像,实施精准的电信诈骗等多种犯罪行为。据统计,2018年,北京警方破获的北京及全国电信网络诈骗案件近1万起,控制犯罪嫌疑人2000余名,同比分别上升30%和10%。
规范治理需多方合力
记者了解到,我国与大数据、个人信息保护相关的法律相继出台,对于数据保护制度化建设起到了积极作用。业内人士认为,治理数据行业乱象是一项系统性工程,除继续制定完善有关法律规范外,还需要监管部门和企业共同努力。
中国人民大学教授孟雁北建议,在大数据权属确定及行为规制方面,亟待构建一个更宏观的系统化法律框架体系,以尽可能避免不同法律之间的冲突,在调整个人信息保护、大数据的运用及数据规制上,形成一个相对有机融合的法律体系。
北京市公安局网安总队相关负责人表示,在下一步工作中,公安机关将坚持“打源头、摧平台、断链条”的工作思路,依照网络安全法、刑法等法律法规,认真履行公安机关担负的职责,针对非法获取计算机信息系统数据、利用信息网络侵犯公民个人信息等违法犯罪行为,依法开展严厉打击。
同时,警方提醒互联网企业,在收集、存储、使用用户个人信息数据开展合法经营时,要严格按照国家法律法规,落实数据保护责任,采取必要的技术防范措施,确保用户信息数据的安全。