停个车，个人信息怎么就泄露了？

文摘 2025-01-02 00:11 广东

关注我的你，是最善良的！

只为苍生说话，用笔杆子道明事态原委、丈量人间温情。

停个车

这几年，市场上一种被称为“智慧停车”的新业态应运而生。停车信息包括了车辆进入和离开某个地点的完整闭环，属于《个人信息保护法》规定的敏感个人信息中的行踪轨迹信息。记者跟随信息安全领域专家，对北京三家采用的“智慧停车”系统的停车场进行了用户个人信息安全测试，结果是在距停车场几公里外的地方，轻而易举地获取了车辆的行踪轨迹等敏感信息……

个人信息怎么就泄露了？

用户通过微信扫一扫，车辆即可便捷进出停车场，这是“智慧停车”的常见场景。但很多人不知道的是，你的停车地点、停车时长、车牌号等个人信息可能已被泄露，成为不法分子犯罪的工具。

3月24日，江苏省南京市鼓楼区人民法院（下称“鼓楼法院”）公开审理全国首例“全链条”打击侵犯公民停车信息案。该案备受外界关注，是因为这是一起从软件作者、代理商、寻车业务经营者、安装GPS人员、

拖车人员等多方面进行全链条打击的典型案例。

该案涉及的停车信息条数为2万余条，

涉案金额有100余万元，但案件揭开了“寻车”业务灰黑产的全貌——从程序开发、数据查询、联系客户、安装定位跟踪设备等，“寻车”上下游之间环环相扣，已形成了一条完整的产业链条，随着本案的宣判，涉案人员均因侵犯公民个人信息罪被判处。

相关材料显示，广东省深圳市前海深港合作区前湾一路1号A栋2层，深圳前海捷和供应链管理有限公司（下称“捷和公司“）登记注册于此。谢荣明是这家公司的法定代表人，公司经营项目包含商务信息咨询、金融信息咨询等。“寻车”是他经营的一个主要业务。

2017年以来，黄健伦长期从事“贴G手”工作。所谓“贴G手”，就是根据获取的车辆位置信息，将GPS定位器安装在指定车辆下方，实现对车辆行踪的精准定位。

一些智慧停车软件，只需要扫码后，就会弹出输入车牌号的页面，这样就可以查出指定车辆是否在某一停车场。为此，黄健伦一度购置了数十部手机，批量接单，业务做久了，他在圈子里小有名气，

“圈子里不少人认为我在外面认识很多停车平台，

查停车信息能力强”。

2019年，在朋友的引荐下，黄健伦接触到了谢荣明，经过一些具体“业务磨合”，双方建立了信任。黄健伦逐渐意识到，自己一直使用的依靠数十部手机手动“寻车”的方式，已经明显落后。在与谢荣明沟通后，双方达成共识——应该借助于网络技术，进行更高级别的技术开发，实现从智慧停车平台无数量限制地获取车辆位置信息。很快，黄健伦找到了合适的人选——网络技术业余爱好者李旭。

李旭经常光顾一些开源社区（开放源代码社区），他也加入了聚集了国内外众多网络技术爱好者的微信群等社交平台。机缘巧合之下，黄健伦找到了李旭。为了开发一款抓取停车软件内的停车信息的软件，李旭首先做了一下试验，他用E语言进行编程，形成爬虫程序，又从开源社区下载了有特异功能的源代码进行拼凑，模拟人工查询停车软件。同时，他还使用一款“抓包”（在计算机网络中截获传输的数据包,并对数据包进行分析和解码）软件对查询返回的数据进行“抓包”。

这些人实现了上下游全链条配合，线上线下一体化盗取、查询车辆停车信息业务。这一团伙总计获取停车信息超过2万条。李旭要求黄健伦每月支付1万元工资，截至2022年5月被警方抓获，黄健伦从谢荣明处获取110余万元，李旭从黄健伦处获取26万余元。包括谢荣明在内的另外10余人也在2022年5月、2022年6月先后被警方抓获。庭审中，停车位置信息是否属于公民个人信息，是案件争议的一大焦点。

在数字化时代，智慧停车系统虽然为人们提供了便利，但其背后却隐藏着严重的个人信息安全隐患。许多智慧停车系统存在数据接口漏洞，犯罪分子可以利用这些漏洞轻易获取车辆的敏感信息，如停车场位置、入场时间、车牌号等。这些信息不仅暴露了车主的行踪轨迹，还可能被用于追踪社会车辆，甚至安装GPS追踪器，对车主的人身安全构成威胁。

犯罪分子通过技术手段绕过智慧停车系统的安全防护机制，批量获取车辆信息，并将其转卖给下游的寻车团伙。这些团伙会迅速安排人员在目标车辆进入停车场后安装GPS追踪器，从而实现对车辆的精准定位和追踪。此外，一些不法分子还利用智慧停车系统中的数据接口漏洞，通过互联网接单，寻找指定车辆并贴上GPS追踪器，每贴一辆车可获利800至1000元。

这种现象并非个例，而是整个数字化社会中个人信息保护问题的一个缩影。除了智慧停车系统外，其他消费场景如点餐、办卡、订酒店等也存在类似的数据接口安全问题。这些场景中的数据接口授权不严密、加密措施不足，使得用户个人信息容易被非法获取和滥用。

因此，虽然智慧停车系统为居民出行带来了便利，但其安全隐患不容忽视。相关部门和企业需要加强数据安全措施，完善数据接口授权机制，提高权限等级识别能力，以防止个人信息被非法贩卖和滥用。同时，消费者也应提高个人信息保护意识，谨慎使用各类智能服务，避免将过多的个人敏感信息暴露在不安全的平台上。

智慧停车系统中常见的数据接口漏洞主要包括以下几个方面：

模拟缴费漏洞：犯罪分子可以通过批量模拟缴费的方式，获取停车场系统的返回值并进行解析，从而判断某辆车是否在某个停车场内。这种漏洞允许不法分子无需实际支付费用即可获取车辆的敏感信息，如车牌号、停车场地址和入场时间等。

后台数据泄露：即使在停车场的前台系统中未直接显示车辆的敏感信息，后台系统仍然会响应查询请求，并返回包含车辆敏感信息的数据包。这意味着即使前台屏蔽了这些信息，犯罪分子仍然可以通过技术手段获取到这些信息。

授权不严密：一些智慧停车系统的数据接口存在授权不严密的问题，允许未经授权的用户访问敏感信息。例如，某些系统允许任何人为任何车辆进行缴费，从而获取车辆的实时位置和入场时间等信息。

这些漏洞被犯罪分子利用的方式主要包括：

GPS追踪器安装：犯罪分子通过模拟缴费获取车辆的实时停车信息后，迅速找到目标车辆并安装GPS追踪器。每辆车可获利800至1000元。这种行为不仅侵犯了公民的个人信息，还对车主的人身安全构成了严重威胁。

实时停车信息发布：犯罪分子将获取的实时停车信息（包括车牌号、停车场地址和入场时间等）发布到互联网聊天群中，供下游的寻车群使用。这使得犯罪分子能够快速定位并追踪目标车辆。

非法贩卖个人信息：犯罪分子通过获取的车辆敏感信息，进一步非法贩卖这些信息，形成了一条黑色产业链。这些信息被用于商业推销、诈骗、打击报复等不法行为。

如何加强智慧停车系统的数据安全措施，以防止个人信息被非法获取和滥用？

严格遵守法律法规：根据《个人信息保护法》，敏感个人信息的处理需在特定目的和必要性下，并采取严格保护措施。智慧停车服务提供商应确保其数据处理活动符合相关法律法规的要求，避免因用户需求便利而牺牲信息安全。

加强数据采集环节的安全管理：在数据采集环节，应采用先进的技术手段，如数据加密和访问控制，确保只有授权人员才能访问敏感信息。此外，应减少不必要的个人信息收集，仅收集对提供服务必要的信息。

优化数据传输环节的安全保障：在数据传输过程中，应采用数据加密和VPN技术，确保数据在传输过程中的安全性和完整性。这可以防止数据在传输过程中被截获或篡改。

严格数据存储环节的安全措施：在数据存储环节，应采取加密存储和设置访问权限等措施，确保数据在存储过程中的安全性。此外，应定期对存储设备进行安全检查，防止数据泄露。

完善法律法规和监管机制：政府和监管部门应加强对智慧停车系统的监管，制定和完善相关的法律法规，加大对违法行为的处罚力度，提高违法成本。同时，应建立数据接口安全风险监测方法的国家标准，以保护消费者个人信息安全。

提高车主隐私保护意识：车主应提高自身的隐私保护意识，避免在停车过程中泄露个人信息。例如，选择信誉良好的企业提供的智慧停车服务，定期审查手机应用程序，删除无关应用，及时更新密码，开启双重认证机制。

加强技术手段的应用：智慧停车系统应采用先进的技术手段，如生物识别、区块链等，以提高数据的安全性和可靠性。这些技术可以有效防止数据被非法获取和滥用。

建立应急响应机制：智慧停车系统应建立应急响应机制，一旦发生数据泄露事件，能够迅速采取措施，减少损失，并及时通知受影响的用户。同时，应与公安部门合作，共同打击侵犯公民个人信息的犯罪行为。

在智慧停车系统中，哪些加密技术和权限管理策略能有效提高用户个人信息的安全性？

传输加密：在数据传输过程中，使用SSL协议、AES（高级加密标准）等加密技术，确保数据在传输过程中不被窃取或篡改。

存储加密：对存储在服务器上的数据进行加密处理，防止未经授权的访问者获取敏感信息。

脱敏处理：对服务器上的数据进行脱敏处理，减少个人隐私泄露的风险。

访问控制：实施严格的访问控制机制，确保只有经过授权的用户才能访问和操作数据。可以采用基于角色的访问控制（RBAC）和基于属性的访问控制（ABAC），限制对用户数据的访问权限。

多因素身份认证：使用多因素身份认证机制，如密码、生物识别或一次性密码，提高用户认证的安全性。

用户身份认证：通过用户身份认证，限制用户信息的访问和修改权限，有效保护用户隐私数据的安全。

数据最小化原则：只收集必要的用户数据，并限制数据的访问范围，以降低数据泄露的风险。

审计与监控：安装监控系统，实时跟踪数据流，记录在线行为和操作轨迹，能够快速发现数据安全问题，及时修复和处理。

法律法规与合规性：遵守相关法律法规，确保数据收集、存储、使用和传输的合法性，并制定并执行严格的隐私保护政策。

消费者如何识别和避免使用存在数据安全风险的智慧停车服务？

选择信誉良好的企业：选择那些有良好口碑和严格遵守数据保护法规的企业。企业应明确告知消费者其数据收集和使用的目的、方式和范围，并取得用户同意。

检查隐私政策：在注册或使用智慧停车服务前，仔细阅读隐私政策，了解企业如何处理和保护个人信息。如果发现隐私政策不明确或过于模糊，应谨慎考虑是否继续使用。

关注技术安全措施：了解企业是否采取了有效的技术措施来保护数据安全。例如，是否存在API安全漏洞，企业是否定期进行安全检测和修复。

避免过度分享信息：在注册智慧停车服务时，尽量只提供必要的信息，避免过度分享个人敏感信息，如住址、电话号码等。

使用官方渠道：通过官方渠道下载和使用智慧停车应用，避免使用第三方非官方渠道提供的服务，以减少被恶意软件攻击的风险。

定期更新软件：保持智慧停车应用的软件版本是最新的，及时更新可以修复已知的安全漏洞，提高系统的安全性。

监控个人信息：定期检查个人信用报告和银行账单，及时发现并报告任何异常活动。如果发现个人信息被泄露或滥用，应立即采取行动保护自己的权益。

支持和参与行业标准建设：支持政府和行业组织制定和完善智慧停车行业的数据安全标准，推动企业履行数据保护责任。

消费者在享受数字化时代带来的便利时，个人信息也不可避免地留存在了不同的服务平台上。每年盗取、滥用个人敏感信息的犯罪事件并不罕见，到底是谁在背后收集这些数据？这些数据又是怎么流出的？《财经调查》起底非法贩卖个人信息黑色产业链条。

《财经调查》对北京两个采用了“智慧停车”系统的停车场进行了技术检测。驾驶员将车驶入停车场，远在几公里外的专业技术人员，输入车辆的车牌号后，无需身份验证，轻而易举地就获得了车辆所在停车场、车辆入场时间等敏感信息。

在记者采用同样的方式测试第三个“智慧”停车场时，并没有直接显示出车辆的敏感信息，但经过技术专家的辨别，发现这个停车场只是没有在前台显示信息，后台实际上有了应答，返回的数据包里同样有着车辆敏感信息。专家告诉记者，这样的招数只能让消费者不能直接看到。但是，不法分子依然能轻易获取这些敏感的个人信息。

犯罪分子的聊天群里每天在滚动发布着各种车辆的实时停车信息，包括了车牌号、停车场具体地址、进场时间等等。被犯罪分子“盯上”的车辆一旦进入停车场，显示在群里，几十分钟之内，就会被装上GPS无线定位器，强磁吸附且超长待机。

2023年，安徽砀山网警破获了一起非法获取计算机信息系统数据，侵犯公民个人信息的案件。犯罪分子的突破口，就是全国数千个智慧停车服务系统中的数据接口漏洞。据安徽省砀山县公安局网安大队侦查中队中队长余天龙介绍，全国主流的这些停车场系统，它们都有一个问题是任何一个人都可以为任何一个车辆去缴费。通过批量地在这些停车场系统里面进行模拟缴费，获取返回值进行解析，就可以确定某一台车是不是在某一个停车场系统里面。

据警方介绍，不法分子通过互联网接单，帮助客户寻找指定车辆。在实施犯罪的过程中，正是利用了停车小程序数据接口上的漏洞。之后，短则几分钟，贴手就会找到指定车辆，贴上GPS追踪器。据警方资料显示，贴手每贴一辆车能获利800元到1000元。那些位于上游的入侵停车场数据系统的不法分子更是获利不菲。

眼下，骚扰电话和各类骚扰信息一直是困扰广大消费者的一个问题。最值得注意的是这些推销对消费者的选择，也异常精准。中国电子技术标准化研究院网安中心的何延哲表示，问题就出在API上，它也被称为应用程序接口，这其中与开放、传输数据相关的则被称为数据接口。

购买机票时，输入起点、终点的输入框就是一个接口。消费者进一步点击某个航班，此时这个网页链接，也是一个数据接口。消费者获得服务的过程就是一个个数据接口通过不断与后台进行数据交互来实现的。专家告诉记者，眼下消费市场上的网站和应用程序上，存在着海量的数据接口。仅一个简单的App应用，平均就拥有成百上千个数据接口，一个小型平台，就可能拥有上万个数据接口。恰恰是这些承载着海量数据流转和交互的数据接口正是不法分子眼中的薄弱环节，也逐步成为他们主要攻击的目标。

不同于身份证号、手机号、家庭住址等常见个人信息，谁是停车信息的买家？据谢荣明供述，众多有寻车需求的客户是买家；黄健伦进一步表示，寻车方既包括了众多金融消费、金融租赁类企业，也包括了一些汽车租赁企业。

金融类机构一般向有资金需求者放款时会要求提供汽车等资产作为抵押，并提供诸如身份证、手机号、家庭住址、车辆行驶证、登记证等详细的个人信息，以此作为获得资金的抵押凭证。最为重要的是，一些放款的金融类机构已经明确告知，将在车辆上安装GPS，以随时掌握车辆位置信息。一些用款人在获得资金后，会选择将GPS装置强行拆除，放款方要获取车辆位置信息，于是求助于谢荣明等“赏金猎人”。

黄健伦等人还提出，本案中用款人拆除GPS定位装置是为了躲债，这些人被放款机构起诉，且在诉讼中已经败诉。由于长期逃避债务，他们已经在判决生效后被法院列入拒不履行判决黑名单（俗称“老赖”）。黄健伦等人认为，查找这些人的车辆位置信息，属于查找财产线索的一部分，这实际是有利于债权人的。因此，他们参与查询的车辆位置信息不应该属于个人信息。此外，“贴G手”根据车辆位置信息，安装完GPS定位装置后，并没有继续跟踪车辆，而是将对应的控制端账号、密码交给寻车方，由寻车方修改密码，自行监控车辆位置。

鼓楼法院在判决中指出，公民车辆即时位置信息、轨迹信息是能反映、识别特定自然人活动情况的信息，与公民行动自由、人身安全等刑法保护法益紧密关联，既是《民法典》中规定的公民个人信息，也属于《个人信息保护法》所规定的敏感个人信息。谢荣明、黄健伦、李旭等人是通过非法技术手段，强行爬取属于公民私密信息的即时停车信息，还给指定车辆安装定位跟踪设备，已经构成侵犯公民个人信息罪。

南京大学法学院教授孙国祥表示，从这个案件情况来看，反映出侵犯公民个人信息的违法犯罪活动具有产业链性质，有明确细化的分工。法院通过判决，对侵犯公民个人信息行为进行全方位、全链条的打击，具有很好的警示作用。

据《检察日报》报道，此案最终能实现全链条打击，起因是一名“贴G手”被抓获，鼓楼区检察院的检察官在办案过程中注意到，这名“贴G手”的手机内存储了停车信息。检察官通过裁判文书网、中国检察网以及公安机关办案系统检索各地办理的类似案件，发现各地查获的均是安装GPS设备人员，并未涉及提供车辆停放信息的“上家”。对此，检察官会同公安机关研判后决定顺藤摸瓜，彻底查明这一黑色“产业链”。

此案庭审直播广受关注，检察机关坚持全链条重拳打击侵犯公民停车信息犯罪生态系统，全方位筑牢网络安全、数据安全防护网，全领域铲除违法犯罪滋生土壤，全维度保护网络数据合法权益，从个案打击上升为行业治理，牢牢把握防控安全风险的主动权。

公诉机关提醒，当前侵犯公民个人信息的违法犯罪行为之所以泛滥，深层次的原因在于：一方面少数不法商家、讨债公司依法经营的意识淡薄，为拓宽其业务渠道和销售业绩，不择手段以获取公民个人信息;另一方面，一些能够接触到公民个人信息的单位和个人，为了谋取非法利益而违法出售采取技术手段非法获取公民个人信息。而无论是出于何种目的、采取何种形式，获取、买卖公民个人信息均系违法甚至是犯罪行为，必将受到法律的严惩。

由于使用场景特殊，停车软件具有半开放性。爬虫程序相当于加了一个外挂，如果平台的安全防护机制低，可以轻松爬取停车信息。此外，停车平台目前一般是以公众号、小程序来实现查询和缴费。查询二维码是面向所有用户的，谁都可以扫码，为了实现查询、缴费便利，各平台一般不会设置验证环节。因为一旦设置这个环节，查询、缴费将变得繁琐，这并不利于相关平台的推广。目前智慧停车行业竞争激烈，平台企业优先考虑用户的使用体验，会把使用的便利性放在第一位。有网络技术人士还透露，即使停车平台设置了较高的安全防护机制，不法分子还可以通过API接口漏洞进行攻击来获取停车信息。只要API接口存在未授权访问漏洞，不法分子可以使用大量IP（一般通过IP代理平台购买获得）持续对查询系统进行攻击。这样可以实现随时“寻车”的目的：如果该车没有进入，会提示 “车辆未入场”；如果该车进入了，则可以具体显示停车时间、具体位置、缴费金额等信息，甚至显示车辆入场时的照片。

《数据安全法》第三条明确了数据处理的概念：“数据处理，包括数据的收集、存储、使用、加工、传输、提供、公开等。”第二十七条规定，开展数据处理活动应当依照法律、法规的规定，建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。

如果企业自己存储了数据，那么就应该重点考虑从技术和法律合规角度，增强对于数据安全的保护；如果企业仅仅是购买了其他外包机构提供的服务，数据的存储和加工等并未在其掌控范围之内，数据也是从其他外包机构被非法获取，那么在这种情况下，停车企业应该严把服务购买关，在考虑价格的同时，必须注重对于数据安全的保障能力。

平台的安全防护机制是否缜密周全，相关企业可以作出自我判断，但《数据安全法》第二十九条规定，“发生数据安全事件时，应当立即采取处置措施，按照规定及时告知用户并向有关主管部门报告。”

打击治理数据犯罪是一个复杂的社会治理问题，亟须根据《个人信息保护法》《网络安全法》《数据安全法》全面总结近年来打击治理违法犯罪工作成功经验，做好顶层设计，有效提升社会治理能力，使人民获得感、幸福感、安全感更加充实、

更有保障。

数字化转型室

只为苍生说话，用笔杆子道明事态原委、丈量人间温情。