大数据分析,你的个人信息是怎么被泄露的?

2017年6月1日起，《中华人民共和国网络安全法》（下文简称“《网络安全法》”）正式施行。《网络安全法》首次在法律层面规定了个人信息保护的基本原则。对于目前大肆横行的信息泄露问题，《网络安全法》明确指出，收集适用信息应经用户明示同意，不得收集无关信息，不得向他人提供个人信息，经过处理无法识别特定个人且不能复原的除外，不得非法出售个人信息。

信息泄露损失巨大

很多消费者对于个人信息泄露的危害没有切身体会，所以对个人信息安全满不在乎。实际上，个人信息泄露造成的损失有时候非常大。比如，目前有一些假冒的微信群或qq群会对特定人群进行精准诈骗。

近日，上海某公司的一位财务人员就遇到了这种情况。这位财务有一天被拉进一个公司工作交流的微信群，群里都是所谓的“公司员工”，在讨论日常的工作，突然有个使用老板头像的人在群里告诉他，有个项目需要他马上打款169万，让他去操作，因为真实性很高，他立即向指定账户进行了操作，到最后才发现上当受骗了，因为群里除了他，其他人都是骗子假扮的，所有人一起给他营造了一种逼真的场景。

这位财务之所以被骗子盯上，关键就在于他的职业职务信息、社交网络账号信息等真实个人信息都被骗子掌握了。

电商平台的受众面很广，也搜集了海量的个人信息。消费者们在各大电商网站注册、购物所留下的个人信息是一块宝贵的资源，泄露事件时有发生。

中国电子商务投诉与维权公共平台受理的用户投诉案例显示，包括小红书、达令、当当网、携程在内的多家电商平台用户投诉比较集中，其重大典型的包括5173中国网络服务网数次被“盗钱”、当当网多次用户账户遭盗刷、“1号店”员工内外勾结泄露客户信息、支付宝漏洞致用户信息泄露、如家和七天快捷酒店开房信息泄密、腾讯7000多万QQ群遭泄露、携程技术漏洞导致用户个人信息、银行卡信息等泄露、微信朋友圈小游戏窃取用户信息、快递单贩卖成“灰色产业链”、小米“泄密门”800万用户信息泄露、13万12306用户信息外泄事件等。

中国电子商务研究中心监测诸多案例后发现，绝大多数新型的网络骗术都与个人信息的泄漏有关，他们或者是充分利用已经窃取到的受害者个人信息实施网络诈骗，或者就是以受害者的个人信息为网络诈骗的攻击目标。

另外，根据中国互联网协会的《中国网民权益保护调查报告2016》，在近一年的时间内，国内共6.88亿网民因垃圾短信、诈骗信息、个人信息泄露等造成的经济损失估算达915亿元。

信息泄露防不胜防

各大网站的账户管理系统看似滴水不漏，个人信息是如何流出的？中国电子商务研究中心特约研究员、上海市信息安全行业协会专委会副主任张威认为，网站平台上的用户数据泄露主要有以下几种方式：黑客利用平台存在的安全漏洞入侵网站，盗取用户数据库；网站内部工作人员倒卖用户信息；通过撞库攻击，窃取用户数据；利用钓鱼攻击窃取用户信息；通过木马、病毒窃取用户隐私信息。

如果从电商平台订单的处理流程来看，各个环节都可能存在着漏洞。商家环节首先有内部员工倒卖订单数据的问题。网商对员工的管理松散，员工面对诱惑，很容易去倒卖数据。

其次是会有木马病毒潜入商家电脑中，监视员工的操作，从而获取订单软件系统内的数据。仓库管理、订单管理、面单打印所需的第三方软件有的就是由数据倒卖的黑产所开发，目的就是窃取订单信息。

现在有的公司为商家系统提供云服务器，一旦被突破就会导致一个大群体订单泄露。电商平台平台端除了内部员工可能接触并倒卖数据，还有系统开发、基础架构、客服等环节的外包员工可能作案。 平台主站再加上后台支撑系统，的各种问题五花八门。此外，物流端也有内部倒卖物流面单和系统被攻击的情况。

当然用户自身也会存在信息泄露的可能，比如账号被盗、伪基站和伪wifi热点的钓鱼、安卓远控类应用的窃取等。

信息泄露案件溯源难

用户遇到个人信息泄露问题后，往往第一反应就是将责任归于电商平台，于是就会产生投诉甚至司法纠纷。信息泄露责任究竟该如何认定呢？

中国电子商务研究中心特约研究员、北京盈科(杭州)律师事务所方超强律师认为，电商平台在获取个人信息的同时，就有保护个人信息的义务。信息泄露存在不同的情况，如果电商平台提供了符合其规模的保护措施，但在这种情况之下还是被黑客入侵了系统，这种情况属于不可抗力，电商不用承担责任。但如果初级黑客也可以攻破平台的安全保护措施，可以认为平台没有给予与其规模相匹配的保护，这样的情况下可以认为平台存在漏洞，需要承担责任。

方超强直言，网络平台存在漏洞导致信息泄露目前还很难有认定标准。若消费者向法院投诉电商平台，平台只要举证证明其尽到了安全责任保护义务，再要对平台进行追责就不容易了。同时，对于消费者因为在不同电商平台使用相同的账号密码，导致所有账号密码一同被盗，造成自身重大损失，此类情形，应当由谁承担责任要视账号泄密的不同情况分而论之。

而对于社交网络信息泄露，方超强认为社交网络信息泄露问题较为普遍，之前就代理过此类案件。这种案件溯源很难，各地法院判例不一，有以劳动争议判的，也有以一般民事财产损害判的。以劳动争议判的，员工承担责任一般不超过20%。这类欺诈案件实际办案过程确实很难，因为收款帐号都是马甲号，连账号开户人自己都不知道。

信息泄露的损害很难得到弥补，但消费者还是应该增强风险意识，在自己可控的范围内切断信息泄露的源头。比如，不要回复或者点击不明来源邮件的链接，不要在网吧、公用计算机上做在线交易或转账，避免在多个网站使用相同的账户名和密码，防止出现多个网站个人信息的连环失窃。

生活中还有各种采集信息的骗局，比如在朋友圈流行的”星座性格测试”之类的小游戏，利用网友们的好奇心，采集了大量用户的真实信息，像这种需要输入个人信息的小游戏尽量不要玩。