中国面临数据泄露问题监控体系是原因之一——华尔街日报

Karen Hao

2022-07-21

上海的一处监控摄像头。中国大型安防工程之一就是其覆盖广泛的监控网络。图片来源：ALY SONG/REUTERS为保护敏感数据，中国政府建立了全球最严格的网络安全与数据保护制度之一。尽管如此，围绕中国公民数据交易的跨境黑市仍蓬勃发展。

这些数据大部分源自中国政府的另一项大型安防工程——覆盖全国的监控网络。

本月早些时候，某知名网络犯罪论坛上一名匿名用户挂牌出售约10亿中国公民的数据，这些数据据称窃取自上海警方。这起案件堪称史上最大规模数据泄露事件之一，涉及身份证号、犯罪记录及强奸、家暴等案件详细摘要等高度敏感信息。

《华尔街日报》后续调查发现，在拥有数千订阅用户的网络犯罪论坛及Telegram群组中，另有数十个中国数据库被标价出售，甚至免费提供。经核查，其中四个失窃数据库可能源自政府机构，另有多个数据库被宣传包含政府数据。

据追踪此类数据库的LeakIX平台统计，中国还有数万个数据库在互联网上处于无保护暴露状态，总量超过700TB，暴露数据规模居全球之首。

公安部、国家网信办及上海市政府未对置评请求作出回应。

各国都在竭力保护数据安全。LeakIX分析显示，美国暴露在公共互联网上的数据量以近540TB位居中国之后排名第二。但中国暴露数据的全面性和敏感性独树一帜——这是其将政府与企业多源信息集中存储于国有监控平台的必然结果。

网络安全专家指出，海量数据集中存储本质上增加了泄露风险。暗网情报公司Shadowbyte创始人维尼·特罗亚表示，一个薄弱或被盗的密码、一次成功的钓鱼攻击或一名不满员工"就可能导致整个系统崩溃"。该公司专职扫描网络中的未加密数据库。

华盛顿智库新美国基金会中国网络政策专家萨姆·萨克斯认为，这种安全漏洞正在削弱中国政府防止国家数据被恶意利用的努力。

自2013年前美国国安局承包商爱德华·斯诺登披露美国政府曾深度入侵中国互联网主干网后，数据安全就被中国政府视为国家安全重点。这一披露震惊了包括新任国家主席习近平在内的北京高层，随即对当时已拥有超5亿网民的国内网络空间实施了严格管控。

一名女子站在北京北京大学的人脸识别摄像头控制的门前。照片：托马斯·彼得/路透社在接下来的几年里，随着数亿公民上网，中国当局也发现了国内数据安全方面的严重问题。地下经纪人推动了个人信息的有利可图的交易，其中大部分是从政府计算机网络中窃取的，这引发了公众的愤怒，因为电话诈骗者利用这些信息欺骗受害者，骗取了大量金钱。

2021年，中国政府通过了一项以欧盟数据规则为蓝本的个人信息保护法——被认为是世界上最严格的之一——对个人数据的收集和跨境转移进行了严格限制。这是一系列精心设计的新数据保护法规的顶峰，其中包括2017年通过的全面网络安全法，旨在阻止敏感的中国数据流出国外。

与此同时，习近平主席主持建设了一个庞大的数字监控国家，将面部识别等生物识别工具与身份证号码和科技公司收集的大量行为数据结合起来。这些数据越来越多地在集中平台上收集和分析，中国当局利用这些平台来嗅探，甚至预测他们认为对社会秩序构成威胁的行为。

上海是2019年首批推出具备人工智能能力的一体化数据平台的城市之一。据官方媒体对上海警方一位负责人的采访，该平台汇集了公共安全、公共卫生和交通等政府职能部门的数据，以及提供快递和外卖服务的私营企业的数据。

“数据就像海水，越喝越渴，”上海市公安局科技处处长陈超在2018年向国有媒体描述政府对此类平台的需求时说道。

上月底，当上海警方数十亿条数据记录在一个网络犯罪论坛上被出售时，放纵政府对数据巨大渴求的风险变得显而易见。

围绕中国公民数据交易已形成一个蓬勃发展的地下市场。图片来源：沈来骐/彭博新闻社上海市政府和警方未回应置评请求。

这起数据泄露事件让人们注意到，在一个由网络论坛和即时通讯应用Telegram上的松散渠道组成的网络中，有大量中国数据被出售。

在该用户开始以相当于20万美元的价格兜售从上海警方窃取的数据库后的几天内，全部或部分数据的广告开始以各种形式出现在整个网络中。与此同时，原始论坛上出现了其他几个帖子，以更低的价格提供类似的数据。

一则广告标价10万美元出售同一数据库。另一则来自自称中国中部河南省警察的用户，受上海数据泄露事件启发，以1个比特币（约合2万美元）的价格提供9000万人的个人信息。

第三则帖子宣称以2000美元出售中国疾病预防控制中心的900万条记录。几天后，第四则广告出现，以500美元出售4万条中国公民的姓名、电话号码、地址和身份证号码。

《华尔街日报》对各帖子提供的数据样本分析发现，这些数据可能来自不同来源且包含多个真实条目。与上海警方数据泄露类似，许多交易通过Telegram频道扩散，其中一个频道还提供银行、快递公司和公安部门的数据交易，包括公民身份证号、户籍记录、社保账户、联系方式甚至人脸识别记录。

河南省警方和中国疾控中心未回应置评请求。

地下市场还揭示了中国数据被盗的多种途径。

例如，上海数据库连接着一个在线仪表板，该仪表板在公共互联网上无密码开放超过一年，网络安全专家表示此类漏洞很常见。

《华尔街日报》分析的两批政府收集数据的卖家表示，他们从企业和政府员工处获取数据。一位在Telegram上使用中文意为"毒药"昵称的卖家称，通过政府官方名册很容易找到公职人员，且他们容易被贿赂。

“他们的月薪只有这么多钱，”卖家说。“如果他们只给我们一个数据库，就够他们好几年的收入了。”

据中国科技政策观察人士称，中国的挑战更加复杂，因为其数据安全规则是新出台的，执行力度不均，特别是在限制政府自身活动方面。

但他们表示，如此多的数据在互联网上公开出售，正是政府希望避免的国家安全威胁。

外交关系委员会数字与网络空间政策项目主任亚当·西格尔表示，政府监控数据库本质上包含敏感信息，这些信息可以让外国情报人员了解一个人的压力点或国家的弱点。

中国政府尚未公开评论上海数据泄露事件，中国社交媒体上对此事的提及正在被删除。

在国际社会广泛关注几天后，上海当局宣布对属于政府机构、国有企业、大型科技公司和其他实体的关键网站和平台进行网络安全审查。

新美国基金会的萨克斯女士表示，虽然上海警方数据被盗应该给中国领导人敲响警钟，但他们不太可能停止选择性地应用规则。

“政府究竟为什么要限制自己收集数据的能力？”她说。

致信 Karen Hao，邮箱：[email protected]