(纳闻记者钱明宇报导)
新闻分析
包含十亿人个人信息的上海警方数据库泄露再次凸显了中国共产党对其公民隐私的鲁莽态度。
中共近年来频频出台数据安全相关法律,但并没有将重点放在保护中国公民的个人信息上,而是将其作为打压中国企业和推进其国际野心的工具。
7月初,一个名为“ChinaDan”的匿名黑客或组织在一个流行的黑客社区Breach Forums上挂牌出售了一个包含10亿中国公民个人信息的数据库。 该数据库起源于上海警方。
据网络安全专家称,用于管理数据的仪表板已设置在公共网络上,无需密码即可保持打开状态。 开放一年多后,该数据库在 6 月中旬突然被黑客或组织清除干净,取而代之的是一张勒索信,要求上海警方用 10 个比特币赎回该数据库,约合 20 万美元。
上海警方没有交出这笔钱。 一个月后,黑客以 200,000 美元的价格出售了该数据库。
黑客或组织还发布了超过 23 TB 数据库的样本,他们声称该数据库包含 250,000 名中国居民的三个不同资产的记录。
第一个数据集是“个人信息”,包括姓名、年龄、性别、出生年份、出生地和身份证号码。 有的甚至被贴上了“公安部主要成员”、“未服兵役”、“小学文化程度”等详细标识。
第二组是“地址和手机组合数据”,其中包含姓名、地址和手机号码。
第三个数据集包含似乎已向警方报案的案件记录,包括报案人的姓名和电话号码、提交报告的时间和原因以及处理方式等信息。
利用文件中的信息打了十几个电话。 在成功的四次通话中,三人确认了文件中信息的真实性,而第四人在被要求确认姓名时没有否认。
上海警方数据库上市后不久,另一名匿名用户在网上论坛上出售了中国河南省的一个警方数据库,声称拥有9000万市民的信息。
2014 年 1 月 2 日,通过计算机屏幕上的放大镜看到的中国地图显示二进制数字。(Edgar Su/路透社)中共泄露公民数据
这不是中共第一次丢失敏感数据。
2020年7月21日,上海市所有党员名单在网上公布,195万党员的姓名、电话号码、所在省份、现任单位、党支部、民族、文化程度等信息均在网上公布。 这份名单是中国异议人士从上海的一个服务器上获得的,并交给了中国议会联盟。
与当局关系密切的公司也有泄密事件。
2019 年,荷兰安全研究员 Victor Gevers 在推特上透露,中国面部识别公司 SenseNet 发生数据泄露事件,涉及 256 万人和 680 万条记录,包括个人身份证信息、面部识别图像及其所在位置捕获。 SenseNet 实时面部识别允许任何人查看这些记录并跟踪个人。
SenseNet 的合作伙伴包括连云港市公安局、广东省公安局、武汉市汉阳市公安局和贵州省都匀市公安局。 该公司强调,其面部识别技术可以帮助当地警方分析、发布警告和维护公共秩序。
根据Gevers的分析,中共利用SenseNet的人脸识别和大数据分析技术,对新疆近260万居民的动向进行了严密监控。
中共数据安全新法
近年来,中共频频出台数据安全相关法律,包括《网络安全法》、《数据安全法》、《个人信息保护法》等。
2016年11月,中共出台《网络安全法》,称将建立健全网络安全保障体系,提高网络安全保障能力。
2021年8月20日,中共出台《个人信息保护法》,规定个人信息处理者应当制定内部管理制度和操作规程,对个人信息实行分类管理,并采取相应的加密、解密等安全技术措施。标签和操作权限控制。
2021年9月1日,中共出台《数据安全法》,规定数据处理活动应当遵守法律法规,尊重社会公德,遵守商业道德和职业道德,诚实守信,履行数据安全保护义务.
2020 年 8 月 4 日,拒绝透露真实姓名的黑客组织 Red Hacker Alliance 的成员 Prince 在位于中国南部广东省东莞市的办公室使用他的电脑。(Nicolas Asfouri/AFP via Getty Images)
然而,从 2021 年 4 月到 2022 年 6 月,一年多来,上海警方的 10 亿人数据库一直保持开放,没有密码,任何人都可以访问这些信息。
到目前为止,中共当局没有对此事发表评论,也没有对涉案人员进行任何处理。 相反,他们阻止了有关此事的报道和讨论。
具有讽刺意味的是,中国公民的个人数据没有受到保护,而中国企业的海外发展却受到了阻碍。
中共对中国公司的控制
2021 年 6 月,也就是中国网约车公司滴滴在美国上市前几周,中国网络安全监管机构表示希望该公司推迟首次公开募股。
在没有明确下令停止IPO的情况下,滴滴于6月30日按计划上市。几天后,中共监管部门发布通知称,将对滴滴进行“网络安全审查”,要求移动应用商店下架该应用,并禁止新用户注册“以防范国家数据安全风险,维护国家安全,保护公共利益”。
滴滴的股价在那之后暴跌。 2021年12月,滴滴宣布计划从美国退市。 6 月 10 日,滴滴在纽约证券交易所的最后一个交易日,其股价较 IPO 价格下跌了 84%。
三个月后,中共正式实施《数据安全法》,要求中国的组织和个人不得将存储在中国的任何数据提供给任何外国司法或执法机构。
2018 年 10 月 31 日,Watrix 的 CEO 黄永珍在其公司位于北京的办公室演示其步态识别软件的使用。(Mark Schiefelbein/AP)
2021年1月,国家互联网信息办公室(CAC)发布《网络安全审查办法》,要求拥有超过100万用户个人信息的网络平台经营者在境外上市前报备安全审查。 政府有关部门将评估“关键信息基础设施、核心数据、重要数据或大量个人信息可能被外国政府影响、控制或恶意使用的风险”。
虽然严格禁止数据离开中国,但中共当局试图通过多种方式获取外国数据,包括侵入跨国公司数据库、在外国大学和公司实施“人才计划”以及收购外国公司。
6 月 29 日,美国联邦通信委员会的布伦丹·卡尔 (Brendan Carr) 表示,TikTok 构成了“不可接受的国家安全风险,因为其广泛的数据收集与北京显然未经检查地访问这些敏感数据相结合”。
“TikTok 不仅仅是另一个视频应用程序,那是羊的衣服,”卡尔在 Twitter 帖子中写道。 “它收集了大量敏感数据,新报告显示北京正在访问这些数据。”
TikTok 归中国公司字节跳动所有,其首席执行官周守子最近承认,其在美国以外(包括中国)的员工可以访问 TikTok 在美国的用户数据。
TikTok 内部会议的录音在 6 月被泄露,显示字节跳动的员工不断访问美国用户的非公开、私人数据。
美国国家安全顾问杰克沙利文在 2021 年表示,北京“将大数据视为战略资产”。 美国前副国家安全顾问马特·波廷格(Matt Pottinger)也曾撰文称,大数据是北京野心的核心。
2021年6月,中国律所金杜律师事务所高级合伙人宁轩峰与人合着文章称,全球各国正在经历新一轮围绕数据控制和管辖的“数字所有权”,对抗和防御在数据领域的竞争日趋激烈。 他写道,《数据安全法》的真正意图是“增强数据主权的竞争优势,改变和重塑国际数据规则”。
本文观点为作者个人观点,不代表观点。
