“当一些国家机关或部门对外开放接口级的批量查询业务,从技术上操作,其他人从其许可的查询机构那里‘撞库’,就很容易可以获得信息。‘撞库’是门槛很低的技术,黑客还可以利用部分互联网用户‘多家网站同一个用户名和密码’的习惯,去试探别的网站数据库。” 美国三大征信机构之一益博睿中国的一位高管表示。
以身份证查询中心为例。据多位业内人士介绍,身份证查询中心是事业单位,对外正式授权身份核验服务的有八家代理商,业内号称“八大金刚”——国政通、证通公司、上海爰金、北京英泰、上海骏聿、中胜信用,江苏法华、宇信易诚。除了证通公司由证监会监管,其他七家不受金融监管。
……
下篇
整肃开始了
6月1日起实施的《网络安全法》和“两高”司法解释,将对数据行业现行做法产生巨大冲击。若按照“两高”司法解释的较低入罪门槛,大多数大数据公司都违法。“这次史无前例,所有的大数据公司都很关注。”前述公安大学教授表示。
早在2013年2月,涉及个人信息的处理已有法可依——工信部联合多家单位制定的《信息安全技术公共及商用服务信息系统个人信息保护指南》(下称《指南》),成为中国首个个人信息保护标准。
《指南》明确将个人信息分为个人一般信息和个人敏感信息(包括身份证号码、手机号码、种族、政治观点、宗教信仰、基因、指纹等),并提出默许同意和明示同意的概念。对于个人一般信息,默许同意便可收集和利用;对于个人敏感信息,则需明示同意;而且在达成个人信息使用目的之后必须删除。但由于《指南》属于指导性文件,并未强制执行。
此次“两高”司法解释第五条对“公民个人信息”作了进一步区分:行踪轨迹信息、通信内容、征信信息、财产信息为重要信息,住宿信息、通信记录、健康生理信息、交易信息等为敏感信息;并首次明确了公民个人“财产信息”属于最严格保护的范畴,而且指出财产信息既包括传统银行账户,也包括第三方支付结算账户。