健康宝泄露部分明星素颜照片这件事，你怎么看？ 第1页

其实，我们普通人的个人信息也能被别人查到。只不过，我们没有被查的价值罢了。

而明星素颜被打包出售，是因为有市场需求。

所以，这件事很明确，没什么可疑的点。

关于明星身份证信息怎么泄露的，因为明星的出行住宿都通过航空公司和酒店，公开活动都要向有关部门报备，这些相关方及内部工作人员只要想拿这些明星的个人信息，都能轻而易举的拿到。

只要里面哪个环节出了问题，信息就会被泄露出去。然后那些黄牛就在各种微信群，微博超话里开始卖明星的航班号、身份证号、家庭住址、活动地址、拍摄地址。

前段时间明星吴磊的航空里程被盗，就是因为身份证和手机号等信息泄露所致。

明星的个人信息买卖，这都快成这个圈子的公开秘密了。

上面的图就是其中一个超话。

我国刑法规定了“侵犯公民个人信息罪”，违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，情节特别严重的，可以判7年有期徒刑。

而且这种违法出现了，知安君本来以为应该同仇敌忾，一起声讨这些不法分子，实际上又狠狠的打了知安君的脸。

竟然有一定程度的粉丝，不关心个人信息泄露问题，反而在高兴，高兴自己家明星，素颜真漂亮，同时还踩别家明星素颜真的丑。

说实话，知安君一直觉得饭圈是一个很神奇的存在。

这件事根本就不是明星信息泄露事件，而是个人信息在健康宝泄露事件。只不过我们普通人的信息没人买而已。

我们常说没有买卖，就没有伤害。如果那些粉丝不去购买，那这些卖照片的人，也就没有市场。

可惜啊，这是不可能发生的事情。你就看看那一个超话就12.3万的帖子，1.9亿的阅读。

网络上，还有多少这样的超话呢？

还有更加神奇的操作。关于这次照片事件，知安君也看到了照片。

不过知安君不是买的，是免费看的。为啥，知安君在查资料的时候，发现，有些媒体，文章写的是抵制这种行为，然后放的视频，里面照片的码，就和没打一样。（码是知安君自己打的）

真是魔幻现实主义啊。

早就想过这个问题了。这个问题不应该放在娱乐话题里面，而应该放在网络安全话题里面。

很多社工库里面都有姓名/身份证号二元素甚至姓名/身份证号/手机号三元素，如果在使用代查询他人健康宝信息的功能时，不进一步验证查询者与被查询者的关系，就可以轻松查出他人的健康宝照片、健康宝颜色等信息；但如果用被查询者手机验证码等手段来验证，代查询这个功能又失去了意义。

现在他人健康码待查询功能加上了人脸识别认证，不过认证的好像是查询者自己的人脸。这样虽然不治本，至少能防止没有掌握人脸信息的社工库、没有人脸识别破解技术的人进行批量查询了。

不过，自身功能的设计缺陷导致部分信息被恶意查询事小，健康码后台系统被拖库才是事大。

健康码数据库一旦被拖库，就可谓中国互联网史上除公安部门的公民身份信息系统、各省市自治区社保系统外，数据最准确最真实、更新最及时的社工库，至少包括真实姓名、身份证号、真实手机号、一段时间内来自手机号和app的机主地理位置追踪信息、像北京健康宝这种，还有近期照片和核酸检测信息等。

这样说来，健康码系统对信息安全级别的要求，如果严格遵守《网络安全法》等相关法律法规，甚至会高于大型电商系统，达到金融和政务服务级别。但目前国内的这类系统，很难说它们就真达到了。

健康码系统做得不安全，等于辜负了人民群众对党和政府防疫政策和措施的信任。

谁玩暗网社工库的可以查一下，暗网里面有没有卖国内各省健康码系统的裤子。

数据隐私，是我工作里面经常打交道的一个部分。

因为我是在金融科技行业，不是那种P2P骗人的，是给银行提供数字化咨询服务的。

我有一个很直观的感受，欧洲在隐私方面做的取and舍，很值得细品。

欧洲，在瑞士银行这种头铁存在下，在百慕大这些避税天堂捡起接力棒之后，可以说隐私做的是非常好。

好到什么程度呢？

我猜大家肯定有收到过知道你名字、身份证号码、甚至家庭住址的骚扰电话或者骚扰短信。

在欧洲，这是违法的，而且是重法。2018年，欧洲通过了最严的个人隐私保护法，GDPR。

有多严呢？

咱们不说什么互联网企业收集信息的时候要获得用户同意了，不能设置强制条款了，用户随时有权利查阅、修改、删除这些个人资料了，这些都太基础了。

如果有个人数据安全漏洞，公司必须汇报，汇报之后马上处理，解决不了，那就是2000万欧元或占年营业额4%的巨额罚款，哪个金额更高就以哪个为准。

这让我不禁想到了之前50万的那个罚款……

这个法案是在什么样的压力下通过的呢？

谷歌和微软已跻身布鲁塞尔（欧盟总部）5个最大的游说团体之一，2018年拨出了约450万欧元的游说预算，2017年是250万欧元，但是抵不住这个法案的通过。

以我们公司为例，说的很直白，以前你还可以直接买客户信息列表，现在你要敢买，买了就罚。

如果对方收到了一份叫出自己名字的邮件，问你是怎么拿到自己信息的，你给不出个合理的说法，别人一个举报，你公司就栽。

和这个最严个人隐私保护法几乎同时实行的，还有一个东西叫做PSD2。

做金融的如果没听过这个，可以自挂东南枝了。

这是欧洲立法强迫银行开放开放账户、交易和支付服务，包括自己的客户数据，给第三方机构用。

这背后的逻辑，就是曾经这些银行把客户信息严格的塞在自己的手里面，让欧洲金融科技发展持续受阻，现在强迫这些银行开放接口，可以让银行真正的实现开放（open banking）。

这事儿欧洲银行顶了很久，游说金额不知道花了多少，最后也没顶住。

我讲这两个事情有什么目的呢？聪明的小伙伴应该已经品出来了。

对个人信息，保护是非常的严格，泄露的公司，被罚惨，不论你是故意的，还是系统出问题了，还是有工作人员失误，最后板子都打的非常恨。

堵死了用「泄露」个人信息谋利的路。

对在传统银行里面的个人信息，却强制开放出来，让第三方机构有机会和这些已经用用户信息（注意用户信息和个人隐私有区别的）构建贸易壁垒的银行平起平坐。

堵死了用「垄断」个人信息谋利的路。

那反观咱们国家，我们是默认了通过泄露个人信息谋利的路，我们依然在鼓励垄断个人信息谋利的路。

这两点，其实你看现在的互联网巨头都可以看出来。

个人信息在他们的垄断下，不断的被深挖，所谓大数据热不就是搞这些的么，所谓的杀熟不就是一个落地场景么。

而泄露个人信息谋利，这事儿都某种意义上成为了行业共识。

你今天看了一个房，明天就接到贷款电话，后面就接到装修电话，大后天附近幼儿园的电话都能打过来。

按李彦宏的说法，中国人多数情况下愿意用隐私换便利。这话说的很不要脸，但是很切中时弊。

不是咱们愿意，而是咱们哪怕不愿意，能怎么做？配套产业链都形成了。

每次这种问题下面，都会有很多法律人士来说，这是违法行为。

看久了，我都有点恍惚，你们说是违法，我们也知道是违法，他们也清楚这是违法，但是为什么还是不断发生呢？

装饰？摆设？

这事儿，不用说，健康宝是没错的，甚至还不能骂，骂了就是你看不到健康宝为疫情的付出。

健康宝的领导肯定是没错的，着急着上马，能跑起来就不错了，谁还管的上隐私不隐私的。

那最后背锅的肯定就是捞几个基层出来了，新时代的临时工而已。

我知道，肯定有道德技术表演家要说，哎呀，那咱们要声讨，那也不能找健康宝，应该说那些盈利的个人或者组织。

这时候，我就要讲一下GDPR的逻辑了。

你的信息交给了谁，谁负责；从谁手上跑出去的，谁认罚。

这逻辑讲理，你把钱给银行，银行最后说钱丢了，可能是某个客户经理把钱偷了，这时，你找谁……

我还知道，肯定有道德技术表演家要说，哎呀，你的个人信息没人稀罕，扔出去也没人看。

这时候，我就要讲一下LSP的逻辑了。

你的丁不够雄伟，比不上美队，但是别人看了你也会不爽；你的胸不够挺拔，比不上黑寡妇，但是别人看了你也会不爽；所以个人信息有没有人稀罕无所谓，我自己很稀罕……