中國面臨數據泄露問題 監控體系是原因之一——華爾街日報

上海的一處監控攝像頭。中國大型安防工程之一就是其覆蓋廣泛的監控網絡。圖片來源：ALY SONG/REUTERS為保護敏感數據，中國政府建立了全球最嚴格的網絡安全與數據保護制度之一。儘管如此，圍繞中國公民數據交易的跨境黑市仍蓬勃發展。

這些數據大部分源自中國政府的另一項大型安防工程——覆蓋全國的監控網絡。

本月早些時候，某知名網絡犯罪論壇上一名匿名用户掛牌出售約10億中國公民的數據，這些數據據稱竊取自上海警方。這起案件堪稱史上最大規模數據泄露事件之一，涉及身份證號、犯罪記錄及強姦、家暴等案件詳細摘要等高度敏感信息。

《華爾街日報》後續調查發現，在擁有數千訂閲用户的網絡犯罪論壇及Telegram羣組中，另有數十個中國數據庫被標價出售，甚至免費提供。經核查，其中四個失竊數據庫可能源自政府機構，另有多個數據庫被宣傳包含政府數據。

據追蹤此類數據庫的LeakIX平台統計，中國還有數萬個數據庫在互聯網上處於無保護暴露狀態，總量超過700TB，暴露數據規模居全球之首。

公安部、國家網信辦及上海市政府未對置評請求作出回應。

各國都在竭力保護數據安全。LeakIX分析顯示，美國暴露在公共互聯網上的數據量以近540TB位居中國之後排名第二。但中國暴露數據的全面性和敏感性獨樹一幟——這是其將政府與企業多源信息集中存儲於國有監控平台的必然結果。

網絡安全專家指出，海量數據集中存儲本質上增加了泄露風險。暗網情報公司Shadowbyte創始人維尼·特羅亞表示，一個薄弱或被盜的密碼、一次成功的釣魚攻擊或一名不滿員工"就可能導致整個系統崩潰"。該公司專職掃描網絡中的未加密數據庫。

華盛頓智庫新美國基金會中國網絡政策專家薩姆·薩克斯認為，這種安全漏洞正在削弱中國政府防止國家數據被惡意利用的努力。

自2013年前美國國安局承包商愛德華·斯諾登披露美國政府曾深度入侵中國互聯網主幹網後，數據安全就被中國政府視為國家安全重點。這一披露震驚了包括新任國家主席習近平在內的北京高層，隨即對當時已擁有超5億網民的國內網絡空間實施了嚴格管控。

一名女子站在北京北京大學的人臉識別攝像頭控制的門前。照片：托馬斯·彼得/路透社在接下來的幾年裏，隨着數億公民上網，中國當局也發現了國內數據安全方面的嚴重問題。地下經紀人推動了個人信息的有利可圖的交易，其中大部分是從政府計算機網絡中竊取的，這引發了公眾的憤怒，因為電話詐騙者利用這些信息欺騙受害者，騙取了大量金錢。

2021年，中國政府通過了一項以歐盟數據規則為藍本的個人信息保護法——被認為是世界上最嚴格的之一——對個人數據的收集和跨境轉移進行了嚴格限制。這是一系列精心設計的新數據保護法規的頂峯，其中包括2017年通過的全面網絡安全法，旨在阻止敏感的中國數據流出國外。

與此同時，習近平主席主持建設了一個龐大的數字監控國家，將面部識別等生物識別工具與身份證號碼和科技公司收集的大量行為數據結合起來。這些數據越來越多地在集中平台上收集和分析，中國當局利用這些平台來嗅探，甚至預測他們認為對社會秩序構成威脅的行為。

上海是2019年首批推出具備人工智能能力的一體化數據平台的城市之一。據官方媒體對上海警方一位負責人的採訪，該平台彙集了公共安全、公共衞生和交通等政府職能部門的數據，以及提供快遞和外賣服務的私營企業的數據。

“數據就像海水，越喝越渴，”上海市公安局科技處處長陳超在2018年向國有媒體描述政府對此類平台的需求時説道。

上月底，當上海警方數十億條數據記錄在一個網絡犯罪論壇上被出售時，放縱政府對數據巨大渴求的風險變得顯而易見。

圍繞中國公民數據交易已形成一個蓬勃發展的地下市場。圖片來源：沈來騏/彭博新聞社上海市政府和警方未回應置評請求。

這起數據泄露事件讓人們注意到，在一個由網絡論壇和即時通訊應用Telegram上的鬆散渠道組成的網絡中，有大量中國數據被出售。

在該用户開始以相當於20萬美元的價格兜售從上海警方竊取的數據庫後的幾天內，全部或部分數據的廣告開始以各種形式出現在整個網絡中。與此同時，原始論壇上出現了其他幾個帖子，以更低的價格提供類似的數據。

一則廣告標價10萬美元出售同一數據庫。另一則來自自稱中國中部河南省警察的用户，受上海數據泄露事件啓發，以1個比特幣（約合2萬美元）的價格提供9000萬人的個人信息。

第三則帖子宣稱以2000美元出售中國疾病預防控制中心的900萬條記錄。幾天後，第四則廣告出現，以500美元出售4萬條中國公民的姓名、電話號碼、地址和身份證號碼。

《華爾街日報》對各帖子提供的數據樣本分析發現，這些數據可能來自不同來源且包含多個真實條目。與上海警方數據泄露類似，許多交易通過Telegram頻道擴散，其中一個頻道還提供銀行、快遞公司和公安部門的數據交易，包括公民身份證號、户籍記錄、社保賬户、聯繫方式甚至人臉識別記錄。

河南省警方和中國疾控中心未回應置評請求。

地下市場還揭示了中國數據被盜的多種途徑。

例如，上海數據庫連接着一個在線儀表板，該儀表板在公共互聯網上無密碼開放超過一年，網絡安全專家表示此類漏洞很常見。

《華爾街日報》分析的兩批政府收集數據的賣家表示，他們從企業和政府員工處獲取數據。一位在Telegram上使用中文意為"毒藥"暱稱的賣家稱，通過政府官方名冊很容易找到公職人員，且他們容易被賄賂。

“他們的月薪只有這麼多錢，”賣家説。“如果他們只給我們一個數據庫，就夠他們好幾年的收入了。”

據中國科技政策觀察人士稱，中國的挑戰更加複雜，因為其數據安全規則是新出台的，執行力度不均，特別是在限制政府自身活動方面。

但他們表示，如此多的數據在互聯網上公開出售，正是政府希望避免的國家安全威脅。

外交關係委員會數字與網絡空間政策項目主任亞當·西格爾表示，政府監控數據庫本質上包含敏感信息，這些信息可以讓外國情報人員瞭解一個人的壓力點或國家的弱點。

中國政府尚未公開評論上海數據泄露事件，中國社交媒體上對此事的提及正在被刪除。

在國際社會廣泛關注幾天後，上海當局宣佈對屬於政府機構、國有企業、大型科技公司和其他實體的關鍵網站和平台進行網絡安全審查。

新美國基金會的薩克斯女士表示，雖然上海警方數據被盜應該給中國領導人敲響警鐘，但他們不太可能停止選擇性地應用規則。

“政府究竟為什麼要限制自己收集數據的能力？”她説。

致信 Karen Hao，郵箱：[email protected]