中国数据泄露问题的根源之一在于政府监控（组图）

此后，《华尔街日报》(The Wall Street Journal)又在网上的网络犯罪论坛和拥有数以千计订户的Telegram社区发现了几十个中国数据库在出售，有些是免费的。根据《华尔街日报》的一篇评论，其中四个被盗的数据集中包含的数据可能源自政府方面，而其他几个数据集则被宣传为包含政府数据。

据追踪此类数据库的服务机构LeakIX称，中国还有数万个数据库仍然暴露在互联网上，没有任何安全保障，数据总量超过700TB，其规模高于任何一个国家。

中国公安部、中国国家互联网信息办公室（简称：网信办）和上海市政府未回应置评请求。

数据保护在所有国家都是个难题。LeakIX的分析显示，美国在网上公开的数据有近540太字节，体量仅次于中国。不过，与其他国家不同的是，中国暴露的数据不但涉及面广，而且包含不少敏感信息，这是中国将来自政府、企业的各类信息集中到政府控制的监控平台造成的后果。

网络安全专家表示，将如此多的数据聚集在一个地方，这本身就会增加数据泄露的风险。暗网情报公司Shadowbyte的创始人Vinny Troia说，密码太弱或被盗、网络钓鱼成功、甚或是心怀不满的员工都“可能导致整个系统瘫痪”；该公司在网上扫描搜寻没有保护的数据库。

华盛顿特区智库New America的中国网络政策专家Samm Sacks表示，现在这一漏洞正在破坏中国政府为防止该国数据被不良分子利用的努力。

2013年时，前美国国家安全局承包商斯诺登(Edward Snowden)透露，美国政府已经侵入中国互联网的骨干网，自那以来，中国政府已经将保护该家数据作为国家安全的优先事项。斯诺登披露的这一消息震惊了中国政府高级官员，其中包括新上任的国家主席习近平，他迅速采取了封锁中国网络空间的行动，中国当时的互联网用户已超过5亿。

在接下来的几年里，随着数以亿计的中国公民上网，中国政府机构也发现了国内数据安全遭到猖獗侵犯的问题。地下黑中介肆意倒卖个人信息，获利丰厚，其中的大部分数据都是从政府计算机网络中窃取的，由于电信诈骗者利用这些信息骗取了大量的受害者资金，引发了公众的愤怒。

以欧盟的数据法规为蓝本，中国政府在2021年通过了《中华人民共和国个人信息保护法》，这被视为全球最严格的数据法之一，针对个人数据的收集和跨境转移进行了严格限制。该法的生效标志着中国精心打造的有关数据保护的新监管立法框架基本尘埃落定，在这个大的框架下还包括2017年通过的覆盖全面的《网络安全法》，目的是防止敏感的中国数据出境。

与此同时，习近平还主持了一个庞大的数字监控国家的建设，将生物识别工具（如面部识别）与身份证号码和科技公司收集到的海量行为数据整合到一起使用。国家掌控的中央平台越来越多地收集和分析这些数据，中国政府机构则利用这些数据来侦测发现，甚至是预测那些他们认为会威胁到社会秩序的行为。

上海是首批在2019年推出具有人工智能功能的全面综合数据平台的城市之一。根据官媒对上海市公安局局长的采访，这个政府平台是从公共安全、公共医疗和交通等各种政府职能部门，以及提供快递和外卖服务的民营公司那里收集数据。

“数据如海水，越喝越渴。”时任上海市公安局科技处处长的陈超在2018年向国有媒体这样描述政府对此类平台的需求。

放纵政府对数据巨大渴求的风险在上月末变得明显，当时上海警方的数十亿条数据记录在一个网络犯罪论坛上被出售。

上海市政府和警方未回应置评请求。

这起数据盗窃案让人们注意到，在一个由在线论坛和聊天应用Telegram的频道组成的松散网络上有大量中国数据出售。

在该用户开始以约合20万美元价格兜售从上海警方窃取的数据库后的几天内，销售所有或部分数据的广告开始以各种形式出现在网络上。与此同时，在原来的论坛上还出现了其他几个帖子，以更低的价格提供类似数据。

其中一个帖子是关于同一数据库的广告，标价为10万美元。另一个帖子来自一位自称是河南省警察的用户，该帖受上海数据库盗窃案的启发，以一枚比特币（约合2万美元）的价格提供9,000万人的个人信息。

第三个帖子以2,000美元的价格推广据称是来自中国疾病预防控制中心的900万条记录。几天后，第四个帖子突然出现，以500美元的价格出售四万条中国公民的姓名、电话号码、地址和身份证号码记录。

《华尔街日报》通过对各帖子所提供的数据样本进行分析，发现这些数据可能来自不同的数据来源，并包含几个真实的条目。与上海警方数据库泄露事件一样，这些帖子中提供的许多数据是通过Telegram频道传播，其中一个频道提供交易的数据较多来自银行、快递公司和公安局，例如公民的身份证号码、户籍记录、社保账号、联系信息甚至人脸识别记录。

河南警方和中国疾病预防控制中心没有回应置评请求。

这个地下市场还揭示了中国数据被盗的方式数不胜数。

例如，根据网络安全专家的说法，上海警方数据库与一个在线访问界面相连，这个访问界面在公共互联网上一年多来一直处于开放状态，没有密码。专家称这样的漏洞很常见。

《华尔街日报》分析的两个政府数据库的卖家称，他们从企业和政府雇员那获得了这些数据。一位在Telegram上以中文意思“毒”为名的卖家说，从政府的官方名册中特别容易找到政府雇员，而他们特别容易被收买。

“政府人员一个月工资才多少钱，”这位卖家称，“给我们导出一个数据够他几年的基本工资。”

中国科技政策观察人士认为，中国面临的挑战更加复杂，因为该国的数据安全规则刚建立不久，而且在执行方面并不平衡，特别是当涉及到限制政府自己的活动时。

但他们表示，在互联网上公开出售如此多的数据，正是中国政府希望避免的那种国家安全威胁。

美国对外关系委员会(Council on Foreign Relations)数字和网络空间政策(Digital and Cyberspace Policy)项目主任Adam Sega称，政府监控数据库肯定包括可以让外国情报人员了解某个人的压力点或国家薄弱环节的敏感信息。

中国政府没有就上海的数据泄露事件公开表态，在中国的社交媒体上提及此事的讨论也被清理掉。

该事件引起国际广泛关注几天后，上海有关部门宣布对属于政府机构、国有企业、大型科技公司和其他一些实体的关键网站和平台进行网络安全审查。

New America的Sacks表示，虽然上海警方的数据被窃应该会给中国的领导人敲响警钟，但他们对于实施将约束自身的规则可能仍态度犹豫。

她说：“说到底，中国政府有什么理由要限制自己收集数据的能力呢？”