斬斷盜賣個人信息黑手，填補信息泄露黑洞，共筑隱私安全防線刻不容緩。消費者在享受數(shù)字化時代帶來的便利時，個人信息也留存在了不同的服務(wù)平臺上。每年盜取、濫用個人敏感信息的犯罪事件頻發(fā)，這些數(shù)據(jù)是如何被收集并流出的？《財經(jīng)調(diào)查》揭示了非法販賣個人信息的黑色產(chǎn)業(yè)鏈。

近年來，一種被稱為“智慧停車”的新業(yè)態(tài)應(yīng)運而生，依托物聯(lián)網(wǎng)和大數(shù)據(jù)技術(shù)，提升了居民出行的便利度。然而，停車信息屬于《個人信息保護(hù)法》規(guī)定的敏感個人信息中的行蹤軌跡信息?！敦斀?jīng)調(diào)查》對北京兩個采用了“智慧停車”系統(tǒng)的停車場進(jìn)行了技術(shù)檢測，發(fā)現(xiàn)專業(yè)技術(shù)人員無需身份驗證就能輕易獲取車輛所在停車場、入場時間等敏感信息。即使某些系統(tǒng)未在前臺顯示信息，后臺返回的數(shù)據(jù)包中仍包含敏感信息，不法分子依然能輕易獲取。

2017年，《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》中規(guī)定，犯罪分子利用停車信息追蹤社會車輛，違法安裝跟蹤器，對公民人身安全造成巨大隱患。犯罪分子通過聊天群發(fā)布實時停車信息，并在幾十分鐘內(nèi)為指定車輛安裝GPS無線定位器。2023年，安徽碭山網(wǎng)警破獲了一起非法獲取計算機信息系統(tǒng)數(shù)據(jù)、侵犯公民個人信息的案件，犯罪分子利用全國數(shù)千個智慧停車服務(wù)系統(tǒng)中的數(shù)據(jù)接口漏洞，批量模擬繳費獲取返回值進(jìn)行解析，確定車輛位置。警方成功打掉了這個非法獲取售賣停車數(shù)據(jù)的犯罪團(tuán)伙，抓獲犯罪嫌疑人32名，查封遠(yuǎn)程服務(wù)器9臺、關(guān)鍵腳本程序5套、車輛位置數(shù)據(jù)50余萬條。法院最終判決該案系列被告人犯侵犯公民個人信息罪，判處有期徒刑二年至四年不等。

騷擾電話和各類騷擾信息一直困擾著廣大消費者，推銷信息異常精準(zhǔn)。中國電子技術(shù)標(biāo)準(zhǔn)化研究院網(wǎng)安中心的何延哲表示，問題出在API（應(yīng)用程序接口）上，尤其是與開放、傳輸數(shù)據(jù)相關(guān)的數(shù)據(jù)接口。消費市場上的網(wǎng)站和應(yīng)用程序上存在海量的數(shù)據(jù)接口，這些接口成為不法分子的主要攻擊目標(biāo)。

《財經(jīng)調(diào)查》記者會同網(wǎng)絡(luò)安全技術(shù)專家，針對不同消費場景中的數(shù)據(jù)接口使用情況進(jìn)行了測試。在咖啡茶飲店的手機點餐中，專家輕易獲取了用戶的完整且未加密的后臺數(shù)據(jù)；在運動健身購買月卡時，專家順利拿到了用戶身高、體重、職業(yè)、生日等敏感信息；在洗衣店小程序中，當(dāng)查詢訂單號為空時，接口會返回數(shù)據(jù)庫中所有訂單的信息，包括手機號、姓名和居住地址；在酒店訂房過程中，盡管接口做了加密措施，但生成的訂單號有規(guī)律可循，專業(yè)人員可以輕易查看指定日期的所有訂單信息；在醫(yī)療信息方面，醫(yī)院的小程序權(quán)限識別機制不完善，普通賬號也能查詢所有患者的化驗報告。

這些測試結(jié)果表明，許多消費場景中的數(shù)據(jù)接口存在安全隱患，亟需加強防護(hù)措施，以保障消費者的個人信息安全。