▶ 本报记者 李洋
近日,某大厂就“高管女儿‘开盒’”事件发布声明。声明着重强调,“开盒”信息来自于海外的社工库——一个通过非法手段收集个人隐私信息的数据库。
“开盒”一词也称“人肉开盒”,为网络黑话,是指通过非法手段搜集他人隐私信息,包括但不限于姓名、电话、身份证号码、家庭住址、工作地点、银行流水、上网、开房记录、名下财产等敏感信息,并将这些信息公开在网络上,引发网民对被“开盒”者进行网暴。
数据时代,个人信息难免会在网络空间留下痕迹,由此带来信息泄露风险。近年来,“一言不合就‘开盒’”的现象在青年社交群体中并不鲜见,这里甚至不乏未成年人的身影。针对“开盒”造成的严重后果,应该从哪些方面采取措施加以遏制?
黑色产业链浮出水面
作为网络暴力违法犯罪行为的一种,“开盒”背后暗藏着一条巨大的隐私贩卖黑色产业链。
“‘人肉开盒’已拥有完整的产业链,分工明确、利益环环相扣,严重侵犯了公民的个人信息安全和合法权益。”康德智库专家、上海市光明律师事务所合伙人陆艳对记者分析说,首先,在产业上游,黑客通过拖库、撞库等手段攻击网站和系统,窃取大量用户数据;同时,部分行业“内鬼”如银行职员、电信员工等,利用职务之便将掌握的用户隐私信息非法出售,为黑产业提供源头数据。其次,在产业中游,社工库运营者将分散的数据进行整合、分析和归档,形成庞大的个人信息数据库,并通过加密聊天软件如Telegram等隐蔽渠道,向有需求者提供付费查询服务,价格因信息类型和敏感程度不同而有所差异,例如,户籍信息查询价格约为50元,而实时定位信息则高达2000元左右。最后,在产业下游,不法分子利用获取的个人信息,实施网络暴力、诈骗或商业间谍活动,从而实现“数据—流量—资金”的非法闭环,从中获取巨额利益。
“人肉开盒”触犯法律法规会获什么罪名?北京市京师律师事务所律师卢鼎亮对记者说,“人肉开盒”可能会涉及侵犯公民个人信息罪、非法获取计算机信息系统数据罪等;如果“开盒”后还有对受害者进行侮辱、诽谤、威胁等行为,可能构成侮辱罪、诽谤罪、寻衅滋事罪等;搭建社工库并售卖信息的行为,涉嫌触犯侵犯公民个人信息罪;黑客攻击网站获取数据的行为涉及破坏计算机信息系统罪、非法侵入计算机信息系统罪等。
如何追溯跨国犯罪链条
上述事件中提到的“社工库”,其全称是“社会工程学数据库”,是犯罪人通过攻击网站、欺诈用户等手段获取大量个人隐私数据再整合分析、集中归档形成的数据库。
搜索某海外社工库不难发现,网页中充斥着各种明码标价的查询服务,不同查询类型价格不同,用户可以搜到开房信息、微信记录、家庭成员、工作单位、居住地址等各种隐私信息。
如何追溯海外社工库跨国犯罪链条?陆艳表示,当境外主体侵犯境内法人或自然人信息且行为涉嫌犯罪时,依据我国刑法保护性原则,我国法律同样具有管辖权。当前,境外信息泄露问题猖獗,在此情形下,公民若发现此类侵权行为,可向公安机关报案。公安机关在受理后能够借助国际司法协助等多种途径展开调查。然而,由于我国警察在境外并不具备执法权,调查工作主要依赖司法协助推进,这使得公民权益保护在实际操作过程中面临诸多困难。
“追溯跨国犯罪链条,应当加强国际执法合作,各国警方和相关机构共享情报信息,追踪犯罪嫌疑人的网络活动轨迹、资金流向等。利用技术手段,加强技术反制措施,以切断犯罪链条的传播途径。同时,加强对跨境网络服务提供商的监管和合作,共同打击跨国网络犯罪。”卢鼎亮表示。
数据泄露呈现新特征
当下,数据泄露呈现一些新特征。
一是攻击方式更加隐蔽和复杂。攻击者通过修改数据,使AI模型产生错误的预测。例如,在图像识别任务中,攻击者可以在图像中添加微小的扰动,使模型将其识别为其他类别。攻击者利用模型输出推断训练数据的信息。例如,在医疗诊断任务中,攻击者可以利用模型输出的预测结果,推断患者的疾病信息或个人信息。攻击者通过分析模型的输出或更新前后的模型差异,推断出训练数据中是否存在特定样本。
二是数据泄露范围更广。由于人工智能技术的全球化应用,数据可能在不同国家和地区之间流动,增加了数据泄露的风险。例如,生成式人工智能的不当使用可能导致跨境数据泄露。AI大模型可以收集用户的语音、手势、表情等多模态数据,这些数据的泄露风险更高。
三是数据泄露的源头更多样。员工在使用生成式AI时可能在无意中输入包含敏感信息的内容,导致企业敏感信息泄露。当AI大模型与第三方应用集成时,可能会绕过应用的安全机制,导致数据泄露。
“这需要采取多种手段来降低信息泄露带来的风险。”萨摩耶云科技集团首席经济学家郑磊建议,在技术手段方面,对敏感数据进行加密处理,同时采用匿名化和去标识化技术,防止从模型结果中反推个人数据;在模型训练时加入噪声,保护训练数据的隐私;结合生物特征识别和其他验证方法,提供更加安全可靠的身份确认手段;利用AI技术快速隔离受影响系统,防止数据泄露进一步扩散。在管理手段方面,扩展数据治理框架,包括人工智能处理数据的指导方针,监控意外的跨境数据传输;合理限制AI系统对数据的访问权限,制定数据备份和恢复计划;定期进行安全审计以检测系统中的安全漏洞,对AI系统的行为和影响进行有效监督。
“尤其是在人工智能时代,数据泄露呈现出规模更大、速度更快、隐蔽性更强、关联性更高及连锁反应更广的特点。”陆艳提醒,为降低信息泄露风险,对个人而言,应谨慎处理敏感信息,如销毁含个人数据的纸质文件,避免在社交平台暴露身份证号码及定位细节,还应优化账户安全,如使用高强度密码、定期修改密码等,警惕网络钓鱼攻击(不点击陌生链接、核实发件人身份)。
“针对网络暴力行为,还需建立长效监管机制,提升执法威慑力。加强公安、网信、通信管理等部门的协同配合。通过多部门协同,合力打击网络暴力行为及背后的黑产链条,重点打击数据贩卖、代‘开盒’等灰色产业,净化网络生态。”陆艳说。