Kiinassa viranomaiset ovat asettaneet tietoturvien suojaksi lakeja, mutta hämäräkauppa kukoistaa verkossa.
Kiinalaisen William Zhangin ei tarvinnut etsiä itselleen uutta autovakuutusta erääntyvän tilalle – kaksi kuukautta ennen vakuutuksen erääntymistä Zhang sai tarjouspuheluita vakuutuksentarjoajilta lähes päivittäin.
Häneen oltiin yhteydessä oman vakuutusyhtiön lisäksi myös muualta.
– Hämmentävää on se, kuinka muut vakuutusyhtiöt tiesivät asiasta, sanoi 26-vuotias valtion työntekijä Shandongista.
Kolme muuta autonomistajaa ovat kertoneet uutistoimisto Reutersille vastaavista kokemuksista.
Vakuutusyhtiöt, pankit, koronkiskurit ja huijarit pääsevät helposti käsiksi henkilökohtaiseen dataan Kiinassa, ja usein pikkurahalla. Toukokuussa Kiinassa otettiin käyttöön uusi tietoturvalaki, jossa kiristettiin ehtoja yksityisten ja henkilökohtaisten tietojen säilytykselle rahoituslaitoksissa ja muissa yrityksissä.
– Henkilötietojen vuotaminen on riskialtista. Tämänkaltainen tieto voi helpottaa muiden rikosten tekemistä, sanoi Susan Ning Pekingin King & Wood Mallesons -lakiyrityksestä.
Verkon pimeille markkinoille tieto lipsuu laittomasti
Vakuuttajayhtiöt ostavat tietoja verkon hämäräperäisiltä datamyyjiltä, jotka ovat hankkineet tietonsa laittomasti, kertovat asiaan vihkiytyneet uutistoimisto Reutersille.
Jotkut yritykset ostavat laittomasti tietoja moottoriajoneuvovirastolta, autolupaviranomaisilta, autonmyyjiltä tai poliisiasemilta, kertoo vakuutussopimusten konsultti Michelle Hu Boston Consulting Groupilta.
Uutistoimisto Reuters testasi, kuinka helppoa tietojen kalastelu verkosta on. He syöttivät verkkoon kiinankielisiä hakusanoja, kuten ”henkilötiedot” tai ”puhelindata”. Reuters löysi yli 30 verkossa toimivaa ryhmää, joiden toimintatarkoitus oli henkilökohtaisten tietojen myyminen tai ostaminen. Reuters testasi hakuja Tencentin pikaviestinpalvelu QQ:hun ja hakukoneyhtiö Baidun suositulle viestintäalustalle nimeltä Tieba.
Baidu ei ole kommentoinut tapausta. Tencent vastasi Reutersille sähköpostitse olevansa “sitoutunut suojelemaan käyttäjien yksityisyyttä ja ylläpitämään tietoturvaa”.
Tietojen hinnat vaihtelevat muutamasta kympistä satoihin euroihin
Tietomyyjät julkaisivat ilmoituksia verkon ryhmissä ja neuvottelivat ostajien kanssa yksityisviesteillä QQ:ssa tai toisessa suositussa pikaviestinpalvelussa nimeltä WeChat.
Viisi tahoa tarjoutui myymään Reutersille rahoituslaitoksilta saamiaan listoja ”ihmisistä, jotka tarvitsevat lainoja”, ”ihmisistä, jotka tarvitsevat vakuutuksia” ja ”shanghailaisista miehistä iältään 30–50 vuotta”.
Myyjät hinnoittelivat palvelujaan vaihtelevasti – hintahaitari yltää 300 juanista, eli noin 38 eurosta 2,800 juaniin, eli noin 350 euroon. Jälkimmäisellä summalla kaupiteltiin 100 000 ihmisen tietoja.
Reuters kertoo esimerkkilistasta, joissa oli nähtävillä yksityishenkilöiden syntymäajat, auton ja kodin omistusoikeudet, asuntolainatietoja sekä lisäksi nimiä ja puhelinnumeroita. Reuters ei ole pystynyt varmentamaan tietojen oikeellisuutta.
Kolme asuntolainamyyjää Kiinan suurimmista yrityksistä kertoi uutistoimistolle, että asiakastietojen myyjät ovat usein pankkien työntekijöitä. Reuters kävi viestinvaihtoa joidenkin verkkoyritysten kanssa, jotka lupasivat pääsyä arkaluontoisten tietojen äärelle maksua vastaan.
Reuters kertoo esimerkin wuhanilaisesta yrityksestä nimeltä Duoku Technology, joka operoi henkilötietojen hakujärjestelmää. Viidellä juanilla, eli noin 0,60 eurolla sai Kiinan kansalaisen henkilöllisyystodistuksen kuvan ja henkilönumeron. Kolmella juanilla, eli noin 40 sentillä sai dataa henkilön puhelimenkäytöstä. Reuters varmisti molempien palveluiden toiminnan ja kysyi tietoja. Henkilö, jonka henkilötodistuksen kuvaa pyydettiin, ei tiennyt kyseisen palvelun olemassaolosta.
Duokulta kysyttiin, mistä yritys oli saanut tietonsa. Yrityksen edustajan rouva Lin mukaan data ostettiin verkosta ja sitä on myyty pankeille ja vakuutusyrityksille.
– Rahoituslaitokset käyttävät palveluitamme vain riskinarviointiin, Li sanoi.
Vankilatuomion uhka ja sakkorangaistukset eivät riitä kitkemään ongelmaa
Kiinassa verkossa toimivien rahoitusalustojen räjähdysmäinen kasvu on johtanut henkilötietojen jakamisen nopeaan kasvuun, asiantuntijat kertovat. Tämä siitä huolimatta, että maassa on viime vuosina tehty lakimuutoksia kuluttajien suojelemiseksi.
Kiinan lain mukaan henkilötietojen myyjiä voi odottaa enintään seitsemän vuoden vankilatuomio ja sakot. Tietojen ostamisesta voidaan rangaista sakoilla ja korkeintaan kolmen vuoden vankilatuomiolla. Myös yrityksille on säädetty omat lakirangaistuksensa.
Asiantuntijoiden mukaan rangaistukset eivät ole riittäviä kitkemään ongelmaa. Taustalla voi olla myös verkkosivujen heikko tietoturva tai tietoturvaa koskevissa sopimuksissa voi olla monitulkintaisia ilmaisuja niiden käytöstä.
Yritykset saivat uusia ohjeistuksia henkilökohtaisten tietojen käsittelyyn toukokuussa. Niihin kuuluu muun muassa sääntöjen noudattamista valvovien työntekijöiden palkkaaminen. Tämän lisäksi yritysten pitää nyt saada selkeä ja yksitulkintainen hyväksyntä kuluttajilta henkilökohtaisten tietojen keräämiselle.
