Siyah veri üretiminin incelenmesi: dahili hayaletler, hacker danışmanları ve gri yeni başlayanlar " Caijing'den özel rapor
Sizin veya şirketinizin verileri nasıl sızdırılır ve kullanılır ve kim zengin olur? Bu yeraltı veri endüstrisi nasıl işliyor ve gelişiyor ve yeni çıkarılan ağır ceza yasaları bunu içerebilir mi?
Caijing muhabiri Liu Yiqin Zhou Yuan Xie Lirong / metin Xie Lirong / editör
1 Haziran 2017'den sonra, büyük veri yeraltı endüstrisinde çalışan bir grup veri toplayıcı ve veri komisyoncusu, en son iki düzenlemeyi tartışmak için sık sık bir araya geldi ve gün boyu panik içindeydiler.
1 Haziran'da, Çinin siber uzay alanındaki temel yasası, Çin Halk Cumhuriyeti Siber Güvenlik Yasası (bundan sonra Siber Güvenlik Yasası olarak anılacaktır) ve vatandaşların kişisel bilgilerinin ihlal edilmesine ilişkin ceza davalarının ele alınmasıyla ilgili Yüksek Halk Mahkemesi ve Yüksek Halk Savcılığı idi. Geçerli Yasaların Çeşitli Sorunlarına İlişkin Yorum (bundan böyle "İki Yüksek Kişinin Kişisel Bilgilerine İlişkin Yargısal Yorum" olarak anılacaktır) yürürlüğe girmiştir.
Yeni düzenlemeler kapsamında kişisel bilgi verilerinin yeniden satılmasına ilişkin cezalar neredeyse herkese uyan tek boyut düzeyine ulaştı ve suç sayma eşiği son derece düşük: parça bilgileri, iletişim içeriği, kredi bilgileri ve mülkiyet bilgilerinin 50'den fazla bilginin yasa dışı olarak edinilmesi, satılması veya sağlanması. suç.
"Son zamanlarda, çok katı oldu. Çevremdeki birçok insan girdi. Birinin yıllık geliri bir milyar yuan'dan fazla. Bir veri komisyoncusu, Caijing'den bir muhabire söyledi. Bu komisyoncu, bir operatörde ve büyük bir İnternet şirketinde veriyle ilgili işlerde çalışıyordu.İş tecrübesi nedeniyle, çok sayıda veri alıcısı ve satıcısı tanıyordu ve çoğu zaman yasa dışı işlem verileri topladı.
Grubunun çeşitli bürolarında, ana konular nasıl veri alışverişi yapılacağı, verilerin nasıl yıkanacağı ve verilerin nasıl tamamlanacağıdır. Ancak işin iyi tarafı, bir başlangıç şirketinin çekirdek üyesidir.
On yıldan fazla bir süredir yeraltı veri endüstrisinde bulunan ve şu anda bir büyük veri şirketinin girişimcisi olan başka bir kişi, Caijing muhabirine, "Yeni Üçüncü Kurul'da listelenen şirketler ve bazı yerel yönetimler de dahil olmak üzere bir grup veri şirketinin öleceğini biliyorum. Konuk bir şirket olarak, ana veri kanalları siyah endüstridir ve bazı yöneticiler çoktan girmişlerdir. "
Eksik istatistiklere göre Çin'deki kişisel bilgi sızıntılarının sayısı yaklaşık 5,53 milyar. Ortalama olarak, her kişinin sızdırılan dört adet ilgili kişisel bilgisi vardır Bu bilginin nihai kaderi, değeri tükenene kadar karaborsada tekrar tekrar el değiştirmektir.
Bunların arasında, kurumdaki hayaletlerden sızan verilerin% 80'i ve bilgisayar korsanları yalnızca% 20'sini oluşturuyordu.
Büyük veri endüstrisindeki bir girişimci, Caijing muhabirine, işletmeden her yönüyle, büyük veri yeraltı endüstrisine ıslah alanı sağlayan büyük veri güvenliğini anlama sürecinin olduğunu söyledi.
Siber Güvenlik Yasası birkaç aydır yürürlüğe girmiş ve ilgili kurallar birbiri ardına çıkarılmıştır. Temmuz ayının sonlarında, Çin Merkezi Siber Uzay İdaresi ve dört departman, İnternet gizlilik hükümleri üzerine özel bir çalışma başlattı. WeChat ve Weibo, değerlendirme hedeflerinin ilk grubu olarak, kullanıcı verilerinin kullanımını düzenlemek için Eylül ortasında sırasıyla kullanıcı gizlilik maddelerini güncelledi.
Yönetmelikler sıkılaştırılıyor, ancak büyük veri yeraltı endüstrisinin kışı gerçekten geliyor mu?
Hayaletler yaygın
Siber Güvenlik Yasası yürürlüğe girdikten sonra, yer altı veri işlemleri için hala çok sayıda kanal var. Bu "yeraltı kara ağının" günlük işlem hacmi yüz milyonlara ulaşabilir ve genel ölçeği tahmin etmek zordur
Temmuz ayının sonunda, "İnternet Güvenlik Yasası" nın yürürlüğe girmesinden neredeyse iki ay sonra, iş profesyonellerine yönelik bir eğitim şirketinin pazarlama lideri olan Bay Meng, üst düzey okuyucularla karşılaşan ancak önümüzdeki hafta bir çağrı almayan birkaç medyada reklam yaptı. Danışma için arayın.
Birçok araştırmadan sonra, hedef kullanıcıların bazı kişisel bilgilerini satın almak için bir kanalı değiştirdi ve "hassas pazarlamayı" denedi.
24 Temmuz akşamı, Nanjing'deki bir web sitesinde, bazı kişisel bilgi verilerini satın almayı umarak bir mesaj bıraktı ve iletişim bilgilerini bıraktı.
Ertesi sabah erkenden telefon aradı. Bu çağrı onu veri yeraltı endüstrisine adım adım getirdi.
Arayan kişi şirketin satış ekibiydi. Bay Mengin yüksek gelirli kişilerle ilgili bilgi ihtiyacına yanıt olarak, Villalara, lüks otellere ve golf sahalarına yapılan sık ziyaretler için cep telefonu Mac adresleri ve Imei adresleri de dahil olmak üzere kişisel bilgi verilerini sağlayabileceğini önerdi.
Mac, Media Access Control'ün kısaltmasıdır. Cep telefonu ağ kartının kimlik numarasıdır.Ağ cihazlarının konumunu tanımlamak için kullanılır ve dünya çapında benzersizdir. Imei, International Mobile Equipment Identity'nin kısaltmasıdır. 15 basamaktan oluşan elektronik bir seri numarasıdır. Bir numara bir cep telefonuna karşılık gelir ve dünya çapında benzersizdir.
İnternet pazarlaması doğrudan Mac adresi ve Imei adresi üzerinden gerçekleştirilebilir.Cep telefonu adresini elde eden kişi, reklamları kişisel arama davranışlarıyla zorlamak yerine, web sitesini açtıkları sürece ilgili push'ları alabilir - bu şu anda büyük veri pazarlamasının çoğu. Normal demektir.
Bu Nanjing şirketinin teklifi Mac adresi başına 0,2 yuan ve Imei adresi başına 0,25 yuan'dır.
Bay Meng, bu yöntemin hala çok verimsiz olduğunu düşünüyor. Karşı tarafın hedef kitlenin cep telefonu numarasını doğrudan verip veremeyeceğini sordu, karşı taraf tereddüt etti ve son zamanlarda çok sıkı tuttuğunu söyledi Cep telefonu numaraları gibi kişisel bilgiler daha hassas ve risk çok yüksek.
Ancak, satış görevlisi başka bir yol sağladı.
Şirketinin Shanghai Unicom arama platformu olarak bilinen bir şirketle işbirliği yaptığını söyledi. Meng hemen onunla temasa geçti ve arayan platformun ilgili personeli, Bay Meng'e, Nanjing şirketi tarafından sağlanan Imei adresi aracılığıyla belirli cep telefonu numarasını bulabileceklerini söyledi.
Çağrı platformu personeli, Bay Meng'e, son zamanlardaki sert rüzgarlar nedeniyle yalnızca büyük siparişleri kabul ettiklerini söyledi. Şu anda, Şangay'daki yerel siparişlerin artık kabul edilmediğini ve 1 milyon yuan'ın altındaki siparişlerin kabul edilemeyeceğini, ancak bu tür küçük siparişlerin yine de işbirliği yapılabileceğini söyledi. Platform, numara başına 10 yuan talep edecek. Ancak sipariş hacminin yeterince büyük olması durumunda fiyatın yarıdan daha aza indirilebileceğini vurguladı.
Bu şekilde tele-pazarlama için, Bay Meng'in, bilgileri satılan cep telefonu numarasının sahibi aramayı aldığında görüntülenen 8 basamaklı bir Unicom sabit hat numarası sağlaması gerekir. Çağrı oranını artırmak ve şikayet oranını azaltmak için, çağrı yapmadan önce kurumsal kartvizit ekleyerek flash mesajlaşma hizmetleri de sağlayabilirler.
Flash Mesaj on yıldan fazla bir süre önce ortaya çıktı.Ücretsiz bir SMS hizmetidir.Kullanıcılara gönderilen bilgiler doğrudan cep telefonu ekranlarında görüntülenebilir ve bilgiler okuduktan sonra otomatik olarak kaydedilmez. Bununla birlikte, Flash aracılığıyla gönderilen çok fazla taciz mesajı olduğu için, birçok cep telefonu üreticisi Flash'ın engelleme işlevini zaten açmıştır.
Çağrı platformu çalışanlarından Bay Xiang Meng, hedef kitlenin doğrudan etiketleri aracılığıyla bulunabileceğini, Nanjing şirketinden Imei adresi satın alıp cep telefonu numarasına dönüştürmeye gerek olmadığını, coğrafi konum gibi Unicom kullanıcı verilerini kullanabileceklerini vurguladı. Konum, yörünge ve iletişim maliyetlerinin oranı ve hatta ulaşım gibi bilgiler, kullanıcı portreleri için hedef grubun gelirini ve tercihlerini değerlendirmek için kullanılır.
Unicom'un verileri tek başına nispeten tek olacaktır.Yukarıdaki çağrı platformunun personeli de veri entegrasyonu ve optimizasyonu üzerinde çalıştıklarını ve verileri UnionPay ve Xuexin.com (üniversite öğrencisi bilgi web sitesi) ile entegre ettiklerini ve bu da kullanıcı portrelerini daha doğru hale getirebileceklerini ortaya koydu. . Bu, "iç hayaletler" in UnionPay ve Xuexin'de de ortaya çıktığı ve işbirliğine ulaştıkları anlamına geliyor.
Bir sipariş verdikten sonra, ön süreç müşterinin iş ruhsatının, tahmini proje büyüklüğünün ve teyit edilmeye hazır sabit hat numarasının incelenmesini içerir. Özel ihtiyaçları onayladıktan sonra, tüm verileri ve cep telefonu bilgilerini çağırmak yalnızca iki gün sürer. Sağladıkları giden platform arama yapabilir.
Çağrı platformu personeli ayrıca Bay Meng'e bankadan da sipariş aldıklarını, ancak pazarlama etkisini takip etmediğini ve belirli müşteri bilgilerini ifşa etmediğini vurguladı.
Caijing muhabiri, Shanghai Unicom'dan sorumlu ilgili kişiyle temasa geçti ve Shanghai Unicom, şirketin çağrı merkezi iş gücünün dış kaynaklı olduğunu bildirdi.İhale sonuçlandıktan sonra, iş dış kaynak sözleşmesi imzalandı ve temsilci bir güvenlik ve gizlilik anlaşması sorumluluk mektubu imzaladı. Şu anda üç tedarikçi var. Shanghai Unicom'dan sorumlu ilgili kişi, Caijing muhabirine China Unicom'un kullanıcı verilerini alıp satmaya sıfır toleransa sahip olduğunu vurguladı.
On yıldan fazla bir süredir veri işlemleriyle uğraşan bir başka uygulayıcı, Caijing muhabirine, büyük ölçekli, dış kaynak şirketleri ve distribütörlerin çok dağınık olması nedeniyle, büyük işletmeler gibi sorunları çözmenin zor olduğunu söyledi.
Zhejiang'daki operatörler için temel yazılım geliştiren bir şirketten sorumlu bir kişi, Caijing muhabirine "İnternet Güvenlik Yasası" nın onlara yeni iş fırsatları getirdiğini ve güneydeki bazı operatörlerin veri güvenliği projeleri başlatmaya başladığını söyledi.
"Geçmişte, bazı operatörlerin veritabanlarına içeriden kişiler tarafından doğrudan erişilebiliyordu, ancak şimdi dahili hayaletlerin verileri dökmesini önlemek için iç ve dış ağları, üretim veritabanı sorgu veritabanını ve savunma makinesi denetimini izole etmek gerekiyor." Dedi.
Yerel bir güvenlik şirketinin başı olan çevrede tanınmış eski bir hacker, Caijing muhabirine şunları söyledi: Bilgisayar korsanları kulağa "sihirli ve gizemli" gelse de, veri ihlallerinin% 80'i kuruluştaki hayaletlerden kaynaklanıyor ve bilgisayar korsanları ve diğer yöntemler yalnızca% 20'sini oluşturuyor.
Hacker ekolojisi
Front-line bilgisayar korsanları çoğunlukla düşük akademik niteliklere sahip ve sabit bir işi olmayan genç insanlardır.Kazanılan siyah paranın çoğu "Usta" tarafından alınır ve "Usta" nın üzerinde bir "Usta" vardır.
Yer altı veri işlemlerinin ana kaynakları dahili hayaletler, bilgisayar korsanları, tarayıcılar ve veri tutan şirketler ve bireyler arasındaki veri alışverişleridir.Bu veriler temizlenebilir, sınıflandırılabilir ve farklı kanallardan satılabilir. Veriler esas olarak hassas pazarlama için kullanılır, ancak aynı zamanda kimlik doğrulama ve sahtekarlığı da içerir.
İç ve dış kaynak şirketlerinin yanı sıra bayiler de sorun yaşama eğilimindedir.
Bu yılın Haziran ayında, Guangdong Cangnan polisi, bu yılın Ocak ayında Apple'ın yerel çalışanlarının Apple cep telefonlarıyla ilgili kişisel bilgileri yasa dışı olarak elde ettiğinden şüphelenildiğini öğrendiklerini söyledi. Vakaya katılan 22 kişiden yirmisi Appleın yerel doğrudan satış şirketinde ve Appleın dış kaynak kullanım şirketinde çalışıyor. Polis, geri kalan ikisiyle ilgili bilgileri açıklamadı.
Satılan bilgiler arasında Apple cep telefonlarıyla ilişkili cep telefonu numaraları, isimler, Apple kimlikleri vb.Polis, bu bilgilerin şifre ve kredi kartı numarası gibi mali bilgiler içerip içermediğinden bahsetmedi.Bu bilgiler de satılsaydı, bu şüphelileri gösterecekti. Apple'ın dahili verilerini elde etmenin sonuçları daha da ciddidir.
Bu yılın Mart ayında sınıflandırılmış bilgi web sitesi 58.com'un karşılaştığı bilgi sızıntısı olayı tipik bir tarayıcı sorunuydu. İhtiyacı olan bireyler veya şirketler, Taobao'da bir tarayıcı yazılımı satın almak için yalnızca 700 yuan ödemek zorundadır ve satıcı tarafından sağlanan hesapla oturum açtıktan sonra, başvuranlar hakkında sürekli olarak ilgili bilgileri toplayabilirler.Yazılım her saat binlerce kullanıcı verisi toplayabilir.
Olay açığa çıktıktan sonra, 58 Grup, bilgi güvenliği sistemini izleyip güçlendireceğini, sürüngen önleyici teknik araçları iyileştireceğini ve kişisel bilgilerin fiziksel arşivini daha da ayıracağını söyleyerek derhal yanıt verdi.
Ancak Ağustos ayında, Caijing'den bir muhabir, Taobao'nun 58 platformunda kişisel bilgileri yakalayabilen tarayıcılar sattığını tespit etti. Oluşturulan bilgi verilerini doğrudan satın alırsanız, yalnızca sınıflandırılmış bir web sitesi sağlamanız gerekir.Örneğin, Pekin'deki aile eğitim hizmetlerinin bir listesi, kısa sürede bilgi gönderen tüm kullanıcıların adlarını ve cep telefonu numaralarını sağlayabilir.
Spesifik fiyat, basitçe temizlenen ve tekilleştirilen 1.000 veri parçasının, müzakere edilebilen 50 yuan olarak fiyatlandırılması ve fiyatın toplu satın alma için daha uygun olmasıdır.
58 Grup, Caijing muhabirine bunun kötü niyetli bir tarama olduğunu yazılı olarak cevapladı.58, kapsamlı bir şekilde kullanıcı gizlilik korumasını yükseltti, kullanıcıların hassas bilgilerini şifreledi ve telefon gizlilik yetenekleri sağladı.
Bilgisayar korsanları verileri çalarak geleneksel yöntemdir. Hacker endüstrisinin gizli yapısı nedeniyle, yerli hackerlar çoğunlukla ağızdan ağıza yeni ekipler geliştirirler. Şu anda, cephede gerçekten "savaşan" bilgisayar korsanlarının çoğu, düşük akademik niteliklere sahip ve sabit işleri olmayan genç insanlardır. İnsanlar tarafından tanıtıldılar veya forumları ziyaret ederken bilgisayar korsanı yazılımı sağlayan bir "usta" ile kazara karşılaştılar. Basit bir öğrenmeden sonra, bilgisayar korsanlarına katılıyorlar. Takım.
"Usta" nın üzerinde de bir "Usta" vardır. Böyle bir yukarıdan aşağıya sistem, çalınan paranın hacker sisteminde ciddi bir dengesiz dağılımına neden olmuştur.On yıldan fazla deneyime sahip olan yukarıda adı geçen yeraltı veri uygulayıcısı küçük bir hacker'dı. Becerilerinden oldukça gurur duyuyordu ve yavaş yavaş "Usta" nın kendisine verdiği yazılım aracılığıyla elde ettiği verileri tamamen kontrol ettiğini keşfetti.Ayrıca olgun satış kanallarına sahip olmadığı için her ay çok az para kazanabiliyordu.
Başlangıçta, Eğitim Bürosu intranetindeki öğrenci bilgileri gibi bazı web sitelerinin bilgi verilerini hackleyerek bu tür verilere ihtiyaç duyan şirketlere satardı. Gittikçe daha yetenekli teknoloji ve daha fazla işle, kolej boyunca sürekli bir iş kurmaya başladı ve az gelirle birkaç proje yaptı. Kendisini bir "girişimci" olarak gösterdi, ancak diğer eli hala Veri yeraltı işlemlerini manipüle eden bir işletme.
Caijing'den bir muhabire, "Yeni kurulan şirketler para kazanmıyor. Yalnızca bir çalışanın yeraltı veri projesiyle, 30'dan fazla kişiden oluşan bir başlangıç ekibini besleyebilirler."
Mevcut piyasa durumuna bakılırsa, yukarıdaki durumda, Unicom çağrı platformunda etiketlendiğinden şüphelenilen bir kullanıcı bilgisi parçası, düşük fiyatlı veri olan 10 yuan'dır Bu emektarın elindeki doğru kullanıcı bilgileri 1.000 yuan'a satılabilir.
Bilgisayar korsanlarından aracılara, veri madenciliğinden veri temizlemeye kadar, yeraltı veri endüstrisi zincirindeki her bağlantı bu kişi tarafından çok iyi biliniyor.Ona göre, operatörler ile belirli kanal kaynakları arasında bir iç ilişki varsa para kazanmak zor değil. .
Ancak bu yılın 1 Haziran'ından önce tehlikenin kokusunu aldı ve tüm riskli işleri hızla durdurdu, izleri kaldırdı ve "beyaz şapka" taktı. Ancak, işi tamamen bırakmadı, ancak veri ticareti şirketini CRM yöntemiyle yöneterek her veri kaynağında herhangi bir kusur bulunmadığından emin oldu. Şimdi sadece büyük şirketlerle iş yapıyor.Bu büyük müşterilerin katı gereksinimleri var ve yasadışı verileri kabul etmeyecekler.
Ancak bir gün "yoldaşlarının" eline geçmesini beklemiyordu.
Bu yılın başlarında, müşteri geri bildirimleri yoluyla, şirketinin de bir "iç hayalet" olduğunu keşfetti Bir şirket çalışanı, müşteri bilgilerini rakip bir şirkete sattı ve bu da doğrudan 2 milyon yuan siparişini kaybetmesine neden oldu.
Çok kızmıştı ve çalışanı mahkemeye götürmekle tehdit etti ve sonunda büyük miktarda tazminat aldı. Daha sonra şirketin tüm CRM sistemini yeniden entegre etti, artık müşterinin cep telefonu numarasını bile göremiyor.Tüm metin mesajları ve çağrılar sistemin yerleşik fonksiyonları üzerinden yapılıyor. Sadece bu değil, tüm çalışanların davranışları otomatik olarak kaydedilecektir. Hangi hesap kullanıcı bilgilerini görüntüledi, hangi müşteri hizmetleri diğerlerinden daha fazla veri çekiyor veya diğer hesap yöneticilerinin bilgilerini aramalar dikkatli bir araştırma için çağrılacak.
Siyah üretim evrimi
Geleneksel yeraltı veri endüstrisindeki insanlar bu büyük veri şirketlerini "basit ve kaba yeni zenginlik" olarak adlandırıyorlar. "Onlar çok zengiler. Başlangıçta küçük atölyelerdik. Geldiklerinde, işimiz sıkıştı."
Yeraltı veri endüstrisindeki yukarıda adı geçen kişiler için, politikaların ve düzenlemelerin sıkılaştırılması, dönüşümünü tetikleyen faktörlerden sadece bir tanesidir.Daha önemli neden, bu su havuzunun gittikçe daha çamurlu hale geldiğini görmesi - yeni tür büyük veri şirketlerinin oyuna girerek geleneksel yeraltı dünyasını kırması. Veri işlem ağı.
Susam Verileri, vatandaşlıkla ilgili bilgilerin (cep telefonu numaraları, kimlik numaraları vb. Dahil) doğrudan ticaretini yapmaz ve tamamen "yeraltında" değildir, ancak şirketin dokunaçları yeraltına yayılmıştır. Bu tür büyük veri şirketleri, yeraltı veri dünyasına yeni girenlerdir.
Bu yıl 31 Mayıs'ta, "Siber Güvenlik Yasası" nın uygulanmasının arifesinde, Yeni Üçüncü Yönetim Kurulu'ndaki büyük veri şirketi Datatang'ın (831428), kullanıcı bilgilerinin sızdırılması nedeniyle soruşturma için götürüldüğü bildirildi. Bunun nedeni, kimlik bilgileri ve tüketici bilgileri dahil olmak üzere bir varlık yönetimi pazarlama şirketine büyük miktarda kişisel gizlilik verisi sağladığından şüphelenilmesidir.
Kamuya açık bilgilere göre, Datatang 2011 yılında kuruldu, Aralık 2014'te Yeni Üçüncü Kurul'da listelendi ve Çin ve Amerika Birleşik Devletleri'nde 4 yan kuruluş ve 5 veri işleme merkezi kurdu.
Datatangın resmi web sitesi, iş modelinin "veri edinme, veri işleme ve veri hizmeti bağlantılarını açmak, çeşitli veri kaynaklarını entegre etmek ve yeniden canlandırmak ve ilgili teknolojileri tanıtmak için kendi veri kaynaklarına, teknolojik araştırma ve geliştirme avantajlarına ve zengin pazar operasyon deneyimine dayandığını, Veri değerini en üst düzeye çıkarmak için uygulama ve endüstri yeniliği ".
Ancak, birçok büyük veri kaynağı, Caijing muhabirine Datatang'ın iş modelinin verileri web tarayıcıları, kamuya açık alan paylaşımı vb. Yoluyla elde etmek olduğunu söyledi. Verileri temizledikten ve sınıflandırdıktan sonra, müşterilere avantaj elde etmek için özelleştirilmiş veri hizmetleri sağlar. Bu tam bir veri işlem zinciridir. Geçmişteki merkezi olmayan veri işlem modeliyle karşılaştırıldığında bu, işlem zincirinin yepyeni ve gelişmiş bir sürümüdür.
23 Mayıs'ta, Datatang'ın alt müşteri şirketi, Datatang tarafından sağlanan bazı veri arayüzlerinin aniden kırıldığını keşfetti. Bunu nasıl çözeceğimi sorulduğunda yanıt şu oldu: "Ayar yapıyorum, haberleri bekliyorum."
Bazı medya bir zamanlar Datatang'ı sorguladı, neden yöneticilerinin soruşturulduğunu açıklamadı, bu da bazı iş kollarını etkiledi? Datatangın bu yıl Mayıs ayında verdiği yanıt şuydu: "Henüz nihai anket sonucu yok."
Veri Salonu Yönetim Kurulu Sekreteri Zhu Wenjie, Caijing muhabirine, bazı verilerin gerçekten duyarsızlaştırıldığını ve çevrimiçi işlemler için standartlaştırılmış verilere dönüştürüldüğünü söyledi.Ancak, bu standartlaştırılmış verilerin getirdiği ticari gelir, Data Hall gelirinin yalnızca% 5'inden daha azını oluşturuyor.
Zhu Wenjie, "Datatang bir veri ticareti şirketi değil, yapay zeka teknolojisine dayalı özelleştirilmiş veri hizmetleri sağlıyor."
Başka bir büyük veri şirketi yöneticisi, Caijing muhabirine, iki veya üç yıl önce bile yeraltı veri işlemlerinin hacminin büyük olmadığını ve ölçeğin genellikle yüzlerce mesaj düzeyinde tutulduğunu söyledi. "O kadar bariz değil ve kimse dışarıdaki bu küçük şeylerden bahsetmiyor."
Ancak talep arttıkça tüm yeraltı veri endüstrisinin yarı halka açık hale gelmeye başladığını söyledi.
Suzhou'da 2011 yılının sonunda bir büyük veri şirketi kuruldu ve 2016'da 600.000 kayıtlı kullanıcısı ve 100 milyon yuan'ın üzerinde yıllık geliri ile 2013'ten beri karlı oldu. Pazar avantajı, kapsamlı veriler ve düşük fiyatlardır.
Bir yıldız start-up şirketinin havası altında, bu şirket sadece büyük bir finansman elde etmekle kalmadı, aynı zamanda Suzhou Endüstri Parkı'nın önemli bir tanıtım projesiydi.
Bununla birlikte, yeraltı veri endüstrisindeki bir gazi, verilerin kapsamlı ve ucuz olmasının nedeninin, bu şirketin, çoğu yasa dışı olan verileri satın almak için çok sayıda küçük kanalı entegre etmesi olduğunu ortaya çıkardı. Bunlar, QQ grupları ve WeChat grupları aracılığıyla veri satan çeşitli bilgisayar korsanlarını ve dahili hayaletleri ve ayrıca çoğunlukla karanlık web üzerinden yasadışı web sitelerini içerir. Büyük miktarda veriyi arar, yeniden düzenler ve düşük fiyatlarla satarlar.
Yukarıda adı geçen yeraltı veri endüstrisi gazileri, bu büyük veri şirketlerinden "basit ve kaba yeni zenginler" olarak söz ettiler, "Onlar çok zengiler. Başlangıçta küçük atölyelerdik. Bu tür şirketler gelince, işimiz sıkıştı. Yukarı. "
Caijing'den bir muhabir bu şirketle temasa geçti ve diğer taraftaki ilgili kişiler, iş modellerinin API arayüzleri sağlamak olduğunu ve veri işlemlerini içermediğini ve "Ağ Güvenliği Yasası" nın veri güvenliği sorunlarıyla ilgili olarak onlar üzerinde hiçbir etkisinin olmadığını söyledi. , Yorum yapmayı reddetti.
Şirketin resmi web sitesindeki en popüler veri türleri, ikinci nesil kimlik kartı kimlik doğrulaması ve banka kartı bilgileri kimlik doğrulamasını içerir, ancak şu anda yalnızca Guozhengtong, Çin'de kimlik kartı bilgileri doğrulaması için uygun olan tek şirkettir.
Bu Suzhou şirketi neden bu kadar yüksek kaliteli ve doğru bir kişisel bilgi doğrulama sistemine sahip olabilir? Şirkete aşina olan bir kişi, Guozhengtong'un bir ortak şirketini satın aldığı ve kooperatif şirketi aracılığıyla sertifikasyon için Guozhengtong'a gönderdiği için bunu açıkladı.
Caijing'den bir muhabir bu ortak şirketin müşteri hizmetleri personelini aradığında, müşteri hizmetleri personeli kimlik kartı kimlik doğrulama bilgilerinin Kamu Güvenliği Bakanlığı verileri ile bağlantılı olduğunu ve banka kartı bilgileri kimlik doğrulamasının UnionPay verileriyle bağlantılı olduğunu söyledi. Sektördeki pek çok kişi, Caijing muhabirine, dış dünyaya açık böyle bir arayüzü hiç duymadıklarını söyledi.
Bu şirketin kimlik kartı sertifikasyonunun fiyatı 300.000 yuan ve 1 milyon katıdır.Sektör kaynaklarına göre, şirket verileri yakalayacak, diğer bilgileri ele geçirecek ve ardından işleyip yeniden satacak.
Gri alandaki bu büyük veri şirketlerinin ana müşterileri İnternet finans sektöründen geliyor.
Finans sektörünün müşteri edinme maliyeti genel olarak diğer sektörlerden daha yüksektir. 2013 yılında İnternet finans sektörü, geleneksel finans kurumlarından daha hafif bir model ve daha hızlı ölçek genişlemesi ile popüler olmaya başladı.
Rekabet baskısı altında, İnternet finans şirketlerinin müşteri edinme talebi artarken, aynı zamanda kullanıcı kimlik doğrulaması ve kredi uygunluk incelemelerinin daha hızlı yapılması gerekiyor, bunlar gri büyük veri şirketlerinin gelişimini bir ölçüde teşvik etti.
Yukarıda bahsedilen veri komisyoncusu, Caijing muhabirine, finans şirketlerinin hedef kullanıcı bilgilerini satın alarak telefonla pazarlama yaptığını ve başarı oranının, sıradan pazarlama kanallarının çok ötesine geçerek% 10'a kadar çıkabileceğini söyledi.
Böyle bir model şüphesiz yeraltı veri işlemlerini daha da teşvik etti ve büyük veri endüstrisinde "kötü paranın iyi parayı dışarı atması" olgusuna yol açtı. Verilerin yasal olarak elde edilmesi garanti edilirse, fiyat yeraltından elde edilen verilerle karşılaştırılamayacak ve bu da birçok temiz veri şirketini neredeyse rekabetsiz kılacaktır.
Beijing Beisen Cloud Computing Co., Ltd. CEO'su Ji Weiguo, Caijing muhabirine "Yalnızca bir bulut hizmeti sağlayıcısı müşterinin verilerine dokunsa bile, hepimiz müşteriye olan güvenimizi kaybedeceğiz." Bu şirket yetenek yönetimi bulut hizmetleri sağlıyor.
Madalyonun diğer tarafı, veri yeraltı endüstrisinin hızlı gelişimi ve büyük şirketlerin ortaya çıkmasının denetimi kolaylaştırmasıdır.
Zhongguancun Big Data Industry Alliance'ın yönetici sekreteri Zhang Tao'ya göre, büyük veri şirketleri düzenleyiciler için bir "kavramaktır". Onlar olmasaydı düzenleyiciler, hileli verilerin kaynaklarını keşfederken engin bir okyanusla karşı karşıya kalacaklardı.
Yetkili departmana yakın personel, düzenleyici makamların yasadışı veri işlemlerine ve işlemlerine her zaman büyük önem verdiklerini, ancak verilerin değerinin ölçülmemesi ve işlem sürecinin gizlenmesi nedeniyle, daha önce denetim için herkese uyan tek bir yaklaşım bulunmadığını ortaya koydu.
Ağır Ceza
Neredeyse her yeraltı veri işleminde en az 50 parça kişisel bilgi bulunur, bu da yeraltı uygulayıcılarının yakalandıkları sürece cezai sorumluluk alabilecekleri anlamına gelir.
Bu yıl 1 Haziran'da yürürlüğe giren "Siber Güvenlik Yasası", Çin'in siber uzay güvenlik yönetimini kapsamlı bir şekilde düzenleyen ilk temel yasasıdır ve daha önce yalnızca politika ve düzenlemeler düzeyinde olan veri güvenliği sorunlarını yasallaştırmaktadır. Örneğin, şirketler kişisel bilgileri toplamak için kullanıcı izni almalıdır, aksi takdirde yasa dışıdır.
Buna eşlik eden "İki Yüksek Kişinin Kişisel Bilgilerine İlişkin Yargısal Yorum", vatandaşların kişisel bilgilerinin ihlali için ceza hukuku düzeyini ve ceza verme standartlarını daha da netleştirdi ve kolluk kuvvetlerinin önündeki engelleri ortadan kaldırdı.
Temmuz ayında, Çin Siber Uzay İdaresi, Sanayi ve Bilgi Teknolojileri Bakanlığı, Kamu Güvenliği Bakanlığı ve Ulusal Standartlar Komitesi dahil olmak üzere dört departman ortaklaşa "Gizlilik Maddesi Özel Çalışması" düzenledi ve uyguladı. Çeşitli popüler ağ ürünleri.
Eylül ayında, JD.com, Weibo ve WeChat dahil olmak üzere birçok platform, kullanıcılar hakkında hangi bilgilerin elde edileceğini ve ön koşulları (kullanıcı onayı) açıklayan yeni ayarlanmış kullanıcı gizlilik düzenlemeleri yayınladı.
Büyük bir İnternet şirketinden bir hukuk danışmanı, Caijing muhabirine, daha önce bu platformların varsayılan olarak kullanıcı onayını kullandığını ve güçlü bir bilgi istemi yöntemine geçmenin kullanıcıların belirli durumu daha net anlamasına olanak tanıdığını söyledi.
"Ağ Güvenliği Yasası" ile karşılaştırıldığında, "İki Yüksek Kişinin Kişisel Bilgilerinin Yargısal Yorumu" daha da korkutucudur. Yasadışı olarak 50'den fazla parça bilgisi, iletişim içeriği, kredi bilgisi ve mülkiyet bilgisi elde etmek, satmak veya sağlamak için çok düşük bir eşik belirlediği için mahkum edilebilir. Vatandaşın kişisel bilgileri satılırsa veya başkalarına verilirse Kurumsal bir davranıştır, standart yarıya indirilmiştir ve 25 makale mahkum edilebilir.
"Ceza Kanunu Değişikliğine (9)" göre, "kişisel bilgilere tecavüz suçuna" uygulanacak cezalar iki aşamalı olup, birinci kademe ceza "üç yıldan az hapis veya cezai tutukluluk ve eşzamanlı veya tek para cezası" ve ikinci kademe cezadır. Bu "üç yıldan az olmamak üzere yedi yıldan fazla olmamak üzere sabit süreli hapis ve para cezası" dır.
(9 Kasım 2016'da, Xi'an Kamu Güvenliği Bürosu Yanta Şubesi Ceza Soruşturma Tugayı, polis kişisel bilgilerin kaçakçılığı olayını çözdü. Chen Mou, bir emlak şirketinde Yanta Kamu Güvenliği Bürosu tarafından kişisel bilgi kaçakçılığı yapmaktan tutuklandı. Polis, bir suçtan şüpheleniyor. Chen sorguya çekildi ve Chen kişisel bilgilerini satma eyleminden pişman oldu ve ağladı. Olayla ilgilenen polis Chen'i rahatlatmak için kağıt mendil dağıttı. Fotoğraf / Görsel Çin)
Gerçek yeraltı veri işlemlerinde, hemen hemen her işlem 50 kişisel bilgiden az değildir. Bir profesyonel bunun, veri yeraltı endüstrisindeki uygulayıcılar tutuklandığı sürece cezai sorumluluk taşıyabilecekleri anlamına geldiğine inanmaktadır.
Buna karşılık, Japonya'nın en fazla altı ay hapis cezası varken, Kanada ve İrlanda yalnızca para cezası verir. Amerika Birleşik Devletleri'ndeki cezalar Çin'dekilerle hemen hemen aynı olsa da, tıp endüstrisi ile sınırlıdır ve bazı ülkelerde kişisel bilgilerin korunması için özel bir cezai sorumluluk sistemi bile yoktur. . Avrupa, idari denetime saygı duyarken, Amerika Birleşik Devletleri büyük ölçüde medeni hukuk yollarına güveniyor.
Shenzhen Kriminal Polis Tugayı, iki İnternet şirketi, Tencent ve 360 tarafından sağlanan cep telefonu uşak hizmetiyle işbirliği yaparak, yasadışı veri işlemlerine karşı kısa süre önce dört operasyon başlattı. Bir kullanıcının "promosyon" ve "dolandırıcılık" gibi etiketlere sahip cep telefonu numarası 50'den fazla kez göründüğünde, Derhal bir soruşturma gönderilecek.
Dört büyük çaplı operasyondan sonra, Shenzhen polisi bu tür raporlar için çok daha az çağrı olduğunu açıkça hissetti ve yeni düzenlemelerin yürürlüğe girmesinden önce, çağrılarla nasıl başa çıkacaklarını bilmiyorlardı.
Çin Bilgi ve İletişim Teknolojileri Akademisi Hukuk Araştırma Merkezi eski müdür yardımcısı ve şu anda Tencent Araştırma Enstitüsü'nde kıdemli bir araştırmacı olan Wang Rong, olaydan sonra ağır cezayı ve ön önlemi birleştirmenin avantajının, tüm toplumda kişisel bilgilerin toplanması ve kullanılması için temel normlar oluşturmanın yararlı olduğunu analiz etti. Aynı zamanda yasal yardımın uygun anlamına da geri döndü. Bu tam olarak Siber Güvenlik Yasasının değeridir.
Yeni duruma göre, bir zamanlar gri alanda dolaşan bazı şirketler ayaklarını geri aldı.
Caijing'den bir muhabir, işe alım endüstrisinde, "büyük veriyi devam ettirme" yi satış noktası olarak kullanan bir başlangıç şirketinin, özgeçmişini göndermek gibi hızlı gelişme için birçok gri yöntem kullandığı için benzerleri tarafından eleştirildiğini öğrendi. Tüm işverenler. "Ağ Güvenliği Yasası" nın yürürlüğe girmesinin ardından şirket, özgeçmiş kullanıcılarının ihtiyaçlarını tek tek telefonla teyit etmek için bir çağrı merkezi kurdu.
Bazı şirketler yeni yasaya uygun olarak uygunluk testleri yapmaya başladı. Huiye Hukuk Bürosu'nun kıdemli ortaklarından Huang Chunlin, bu yılın Haziran ayından sonra kişisel bilgi işlemede yer alan şirketlerin kapıya geldiğini ve hukuk firmasının iş hacminin önemli ölçüde arttığını söyledi. Huiye'nin ana işi kurumsal veri spesifikasyonudur.
İşletmeler, yeni yasanın baskısı altında büyük bir ilerleme olan veri kullanımını düzenlemek için inisiyatif alıyor.
"Ağ Güvenliği Kanunu" na göre şirketler, topladıkları kişisel bilgilerin güvenliğini sağlamakla sorumludur.
Kullanıcının kişisel bilgileri kaybolursa, şirket kullanıcıyı bilgilendirmeli ve kullanıcı sorumluluk alma hakkına sahiptir; tüm şirketlerin sorumlu bir ağ güvenlik görevlisine ihtiyacı vardır. Bu kişi teknik bir kişi değil, şirket üzerinde kontrolü olan bir kurucu veya yönetici olmalıdır .
Bu AB modeline benzer. AB'nin Genel Veri Koruma Yönetmeliği, kişisel veriler yaygın olarak kullanıldığında, örneğin 250'den fazla çalışanı olan şirketler tarafından kullanıldığında veya kişisel veriler sürekli ve sistematik olarak toplandığında ve belirli amaçlar için izlendiğinde, ardından veri işleme veya Kontrol eden şirket veya kuruluş, özel veri koruma bilgisine sahip bir Veri Koruma Görevlisi (DPO) atamalıdır.
Veri koruma görevlisinin görev süresi en az iki yıldır ve kamu ve düzenleyici makamlara adı ve iletişim bilgileri bildirilecektir. Bir sorun olduğunda, ilgili yasal sorumluluğu da üstlenmeniz gerekir.
AB, veri işlemeyi temel işi olarak alan veya İnternet, telekomünikasyon, finans, kredi soruşturması, tıp, eğitim ve diğer sektörlerdeki şirketler gibi günlük faaliyetlerinde hassas verileri işleyen şirketlerin amaçlarının sadece uyumu sağlamakla kalmamasını şart koşar. Cinsel gereksinimler ayrıca nispeten güçlü bir savunma sistemi oluşturmalıdır.
Wang Rong, birçok veri sızıntısının şirketteki hayalet veya bilgisayar korsanlarından kaynaklandığına inanmaktadır.Bu durum önlenemez.Ancak, şirketin nispeten eksiksiz bir veri güvenliği yönetim sistemi kurduğuna dair kanıtı varsa, ilgili cezalar azaltılabilir.
Su altındaki gizli endüstrilerle karşılaştırıldığında, mevzuatın karşı karşıya olduğu bir diğer büyük sorun, işletmeler ve işletmeler arasında ve işletmeler ile kullanıcılar arasındaki veri haklarının doğrulanmasıdır.
4 Ağustos'ta Huawei ile Tencent arasındaki veri anlaşmazlığı gün ışığına çıktı. Tencent, Huawei'nin, telefonun kullanıcı metin mesajlarına göre restoranlar önermesini sağlamak gibi AI için eğitim verileri sağlamak için Honor Magic akıllı telefonu aracılığıyla WeChat kullanıcı etkinliği bilgileri topladığını söyledi.
Tencent, Huawei'nin eylemlerinin Tencent'in verilerini ele geçirdiğine ve WeChat kullanıcılarının gizliliğini ihlal ettiğine inanıyor. Huawei, WeChat sohbet bilgileri de dahil olmak üzere yalnızca kullanıcı tarafından yetkilendirildiğinde kullanıcı etkinliği bilgilerini toplayacağını belirtti.
Bununla birlikte, WeChat sohbet mesajları gibi özel veriler için, kullanıcının kullanıcı bilgilerini yakalama yetkisine sahip olup olmadığı mevcut yasada açıkça tanımlanmamıştır.
Açık kanunlar ve düzenlemeler olmadan büyük şirketler arasındaki bu tür olaylarla ilgili olarak, düzenleyici makamlar geçmişte nadiren kamuoyuna görüşlerini açıkladılar. Düzenleyici makamlara yakın kıdemli bir kişi, Caijing muhabirine, ilgili departmanların tanıtımı altında, bu sorunun Huawei ve Tencent tarafından müzakere yoluyla çözüldüğünü söyledi.
Dört ay önce, SF ve Cainiao'nun karşılıklı lojistik veri arayüzü olayı da Devlet Posta Bürosu'nun müdahalesiyle müzakere yoluyla çözüldü.
İster Huawei ile Tencent arasındaki, ister SF Express ile çaylak arasındaki savaş olsun, veri hakkı teyidi fırtınasından önce erken bir uyarıdır. Veriler artık temel bir varlık haline geldiğine göre, veri mülkiyet haklarıyla ilgili mevzuat eksikliğini telafi etmek acildir.
Merkezi Siber Uzay İşleri Bürosu'nun Siber Güvenlik Koordinasyon Bürosu başkanı kısa süre önce, kritik bilgi altyapısı koruma önlemleri, kişisel bilgiler ve önemli veri çıkış güvenliği değerlendirme önlemleri, kritik ağ ekipmanı ve ağ güvenliği dahil olmak üzere Siber Güvenlik Yasası için destekleyici düzenlemelerin formüle edildiğini açıkladı. Özel ürün kataloğu ve kişisel bilgi güvenliği düzenlemeleri vb.
Sektördeki fikir birliği, müteakip yasa ve yaptırımların yeraltı endüstrisindeki verilerin yönünü belirleyeceğidir. Büyük bir İnternet şirketinden bir tüzel kişi, Caijing muhabirine, mevcut yasama yönünün hem teknolojik hem de ticari yenilikleri ve kullanıcı çıkarlarını dikkate aldığını, ancak dezavantajının "ayrıntılı olmaması" olduğunu söyledi. Hala gri bölgede dolaşan bir kişi, Caijing'den bir muhabire şunları söyledi: "Hepimiz, nasıl yargılandığını görmek için yeni yasadan sonraki ilk büyük davayı bekliyoruz."
(Bu makale ilk olarak 30 Ekim 2017'de Caijing Magazine'de yayınlandı)
