主题
第 4 章 手机号与账号
本章导读:在中国,手机号早已不只是一串可以打电话的数字。它是你登录几乎所有 App 的账号、是找回密码时收验证码的凭证、是金融账户实名核验的核心,也是各类政务与商业服务识别"你是你"的事实钥匙。一个手机号失守,往往意味着你整个数字身份的连锁崩塌。读完本章,你将理解手机号作为"数字身份证"的真实分量,把"一号绑一切"的高风险结构改造为分级、分层的防御体系,并学会应对换号、销号、二次放号、补卡劫持这些常被忽视却真实高发的威胁。
🟢 基础:手机号为什么是你的"数字身份证"
一组号码背后的三重身份
回看第 1 章的定义:手机号属于"个人信息"中的标识类信息,它单独出现时也许只对应一个通信终端,但在中国现行的实名体系下,它与你的身份证号、姓名、人脸紧密绑定,具备很强的可识别性。理解它的特殊地位,要从它同时承担的三重身份入手:
- 通信标识:这是它最原始的功能——别人拨打这串数字能联系到你。时至今日,这个功能的权重已大幅下降,许多人一年接打电话不超过几十通,真正高频的是它的另外两重身份。
- 实名核验依据:依据《反恐怖主义法》《网络安全法》及工业和信息化部关于电话用户真实身份信息登记的相关规定,办理入网需实名登记。这使手机号在事实上成为很多机构验证"这个手机号背后是不是一个经过实名认证的真实自然人"的低成本工具——银行开户、注册 App、办理政务,都依赖它。
- 账号体系核心:这是它对普通人最重要、也最危险的身份——它同时是登录凭证(很多 App 支持手机号 + 短信验证码直接登录)、找回凭证(忘记密码时通过短信重置)和二因素认证通道(支付、转账时的短信确认)。
一句话:手机号 = 你的半张身份证 + 一把万能钥匙 + 一个收验证码的信箱。三重身份叠加,意味着它一旦失控,攻击者同时拿到了"冒充你"和"绕过你"的能力。
手机号失守,会发生什么
把第 3 章的五类威胁主体代入手机号场景,你会发现它几乎是被所有对手共同瞄准的目标:
- ① 诈骗与犯罪分子:想接管你的手机号,进而重置你的银行、支付、社交账号密码——这被称为"账号接管型诈骗",是近年单次损失最高的诈骗类型之一(单案损失金额可达数万至数十万元,数据性质:公安机关反诈宣传通报,具体数字因地区、时段差异较大,仅作量级参考)。
- ② 商业公司:手机号是最有价值的用户标识之一,跨 App 的"号码匹配"是画像打通的关键。
- ③ 平台与服务商:你绑定的每一个平台,都把手机号存在它的数据库里;其中任何一家泄露,你的号就会进入黑产链条。
- ④ 熟人与关系人:你身边的人最有可能在你没注意时拿到你的手机、读到验证码。
- ⑤ 物理接触者:你遗失手机或 SIM 卡,意味着通信通道即时失控。
正因为它被多方瞄准,手机号安全不是单点防护,而是结构性的防御工程。下一节我们就从最基础的结构问题开始。
🟢 基础:"一号绑一切"为什么危险
单点失败的连锁反应
很多读者的账号结构是这样的:同一个手机号,绑定了银行、支付宝、微信、淘宝、京东、抖音、邮箱、各类政务 App、若干网站……这在工程上叫单点失败(Single Point of Failure)——只要这个号失控,整条链路同时崩塌。
具体崩塌路径往往是这样的:
- 攻击者通过某种方式(下一节详述)让你的 SIM 卡失效,或让你的号被补到一张新卡上;
- 你原来的手机短暂失去信号,你可能以为"信号不好",未必警觉;
- 攻击者在另一台手机上收到了所有平台的验证码;
- 他们优先重置邮箱和支付工具,再以此为核心扩散到其他账号;
- 等你察觉时,核心金融账户已被转移或贷款已被冒名申请。
这就是为什么本书反复强调:手机号不是"一个账号",而是你整个数字身份的根。根若动摇,枝叶无存。
自检:你的号到底绑了多少东西
第一步防御,是知道自己暴露面有多大。请花 20 分钟做这张自检表:
| 层级 | 需要自查的绑定项 | 优先级 |
|---|---|---|
| 金融核心 | 银行卡(各家银行 App、手机银行)、第三方支付(支付宝/微信支付/云闪付)、证券/基金账户、互联网信贷(花呗、借呗、各类消费贷) | 极高 |
| 通信与邮箱 | 主用电子邮箱(QQ 邮箱、163、Gmail 等)、微信、QQ 本身 | 极高(邮箱是"找回一切账号的钥匙") |
| 政务与身份 | 国家反诈中心 App、个人所得税 App、社保/公积金 App、各地政务 App、电子身份证/电子社保卡 | 高 |
| 社交与内容 | 微博、小红书、抖音、快手、B 站、知乎 | 中(声誉风险) |
| 购物与生活 | 淘宝、京东、拼多多、美团、饿了么、滴滴、12306、航司 App | 中(消费记录、地址泄露) |
| 注册类 | 各种"用一次就忘"的网站、论坛、小工具 App | 低(但应清理) |
📌 事实标注:据多家网络安全厂商年度报告(数据性质:行业威胁情报汇总,具体数字因年份、统计口径差异较大),中国大陆黑产链条中"手机号 + 验证码"是最主要的账号接管路径之一。本书不引用精确数字,仅指出方向:这是普通人最高发的账号风险。
最基础的三个动作(零成本、几分钟)
如果你刚读完这段就想动手,先做这三件事,它们都属于 🟢 级:
- 打开手机营业厅 App,设一个"服务密码":三大运营商(移动 10086、联通 10010、电信 10000)都要求办理业务时验证服务密码。默认服务密码往往是身份证后六位或出生日期,极易被猜到,必须改成强密码(参见第 5 章)。
- 关闭"短信呼转":部分运营商支持把短信转发到另一号码,这是一条隐蔽的窃密通道。在营业厅 App 搜索"呼叫转移""短信转发",确认处于关闭状态。
- 在主用邮箱和支付工具里,把手机号设为"次要验证"而非"唯一验证":即同时绑定邮箱、备用手机号或身份验证器(见 🟡 进阶层),让单一通道失效不至于全军覆没。
🟢 基础:换号与销号——最容易踩坑的人生节点
换号/销号的真实困境
人一生中总要换几次手机号:换城市、换工作、合并套餐、给老人办卡……但绝大多数人在办理销号时,只想着"把号注销掉",完全没想到接下来会发生什么:
- 微信、支付宝还能登录吗?(短期可以,但一旦需要验证码就登不出了)
- 银行卡绑定的旧号还能收验证码吗?(不能,且会影响网银操作)
- 政务 App、电子证件绑定的旧号呢?(可能需要到线下变更)
更严重的风险在二次放号(详见 🔴 深度):你注销的号不会消失,运营商会回收并在一段时间后重新卖给一个陌生人。如果此时你的某个账号还绑着这个旧号,新机主就可能凭验证码直接登录——这不是科幻,是已经发生过多起、并被多家媒体广泛报道的真实事件(数据性质:公开新闻报道汇总,具体案件编号不一一引用)。
销号前的标准流程(务必照做)
请把下面这张"销号前清单"截图保存。换号或销号之前,至少留出一到两周来做这些事:
- 列出全部绑定清单:用前文的自检表,逐项排查。可以尝试在各 App 的"账号与安全—手机号"入口查看。
- 先改绑,再销号:把所有重要账号的手机号改到新号上,顺序为——先核心金融(银行、支付),再邮箱与主社交,再政务,再购物,再其他。
- 特别留意"不可改绑"的账号:少数平台(尤其某些政务类、某些小额网贷、某些早期注册的网站)对改绑限制很严,有的要求本人持身份证线下办理。这些务必提前处理,不要等旧号已注销再慌。
- 保留旧号过渡:如果条件允许,把旧号转为最低月租套餐,保留 1-3 个月作为"兜底",防止遗漏的账号突然需要验证。
- 告知关键联系人:尤其是银行客服、单位人事、医保社保经办机构,确保他们的系统记录里也是新号。
- 解绑后再销号:在运营商营业厅正式办理销号时,确认号卡作废;不要随意丢弃实卡。
⚠️ 重要:销号前的清理,比销号本身更重要。一旦号码被回收再分配,你再想"找回"几乎不可能——因为你已经不是这个号的机主了。
🟡 进阶:运营商级二次验证与"一键登录"
"一键登录"的机制与安全含义
近年越来越多 App 在登录页提供"本机号码一键登录"按钮,点击即自动填入当前手机号、秒级完成登录。它的底层是三大运营商提供的号码认证服务:App 通过运营商网关识别当前手机卡所处的网络环境,在不发送短信验证码的情况下确认机主身份。
这套机制对用户体验友好,但在安全上要理解它的两面性:
- 优点:相比短信验证码,它不易被"补卡劫持"截获(因为不依赖短信通道),也不易被钓鱼页面窃取(因为登录由系统级弹窗完成,而非 App 内输入)。
- 前提条件:它只在"当前手机卡处于正常联网状态"时有效。一旦你的 SIM 卡被攻击者补到另一台手机上,你的本机就没有信号了,这时"一键登录"也无法发起——所以它不能替代对补卡劫持本身的防护。
三大运营商的安全设置入口
无论你使用哪家运营商,都建议进入其官方 App,找到并开启以下安全设置(名称可能随版本更新略有差异):
- 中国移动(10086 App):"我的—安全中心—账号与安全"下,可设置服务密码、登录保护、业务办理二次验证;关注"高频骚扰电话防护""机主信安码"等功能。
- 中国联通(10010 App):"服务—办理—安全与隐私"或"我的—安全中心",设置服务密码、国际及港澳台长途/漫游功能(不出境建议关闭,可减少境外短信诈骗与跨境话费损失)、业务办理验证。
- 中国电信(10000 App):"我的—安全中心",设置服务密码、登录与业务办理验证、天翼防骚扰。
通用建议:
- 服务密码改成强密码,并定期更换;办理任何敏感业务(过户、补卡、销号)都必须验证服务密码,这道关不能弱。
- 开启业务办理的二次验证:让所有涉及号码变更的操作,都要求你本人确认(短信、人脸或到营业厅)。
- 关闭不必要的国际长途/漫游接收功能:不出境时关闭,可显著降低境外短信诈骗和境外来电骚扰。如需临时出境再开通。
- 设置 PIN 码与 PUK 码(详见 🔴 深度)。
一份"运营商安全设置清单"
- [ ] 服务密码已改为强密码(非身份证后六位、非生日)
- [ ] 业务办理二次验证已开启
- [ ] 国际长途/漫游接收功能已按需关闭
- [ ] 短信呼转/呼叫转移已关闭
- [ ] 已开通防骚扰服务
- [ ] SIM 卡 PIN 码已启用(进阶,见 🔴 深度)
🟡 进阶:备用邮箱——你的第二把钥匙
为什么邮箱比手机号更可靠
回到第 3 章的资产清单:邮箱被列为"找回一切账号的钥匙"。这是因为:
- 邮箱不依赖运营商:它不会因为补卡、销号、二次放号而失控,只要邮箱服务商在、密码在你手里,这条通道就在。
- 邮箱支持强二因素认证:主流邮箱(Gmail、Outlook、QQ 邮箱、网易邮箱)都支持身份验证器或硬件密钥,安全等级远高于短信。
- 邮箱的改绑通常更严格:大多数服务商要求你验证"现有邮箱 + 备用通道"才能改邮箱,这给了你一道缓冲。
正因如此,本书建议你把主用邮箱的地位抬高到与手机号同等重要的层级——它是你的"第二把钥匙"。
备用邮箱的配置方法
- 至少有两个独立邮箱:
- 主邮箱:承担最重要账号的绑定与找回(银行、支付、政务、密码管理器)。
- 备用邮箱:作为主邮箱的找回通道,以及注册那些"用一次就忘"的网站时的"垃圾邮箱"。
- 两个邮箱互相不绑定同一手机号:理想情况下,主邮箱绑你的主用号,备用邮箱绑你的副号或家人的可信号,防止同号失守时两个邮箱一起被接管。
- 主邮箱务必开启强 2FA:用身份验证器(如 Microsoft Authenticator、Google Authenticator)或硬件密钥,不要只用短信。具体操作见第 5 章。
- 定期登录备用邮箱:至少每月登录一次,防止因长期不用被服务商回收(很多邮箱服务商有"长期未登录回收"政策,这是另一类隐性失守)。
善用"邮箱别名"与"子地址"
一些邮箱(如 Gmail、Outlook、部分国内邮箱)支持在主地址上做小变化,生成"子地址",例如 yourname+bank@example.com。把它专门用于银行类账号,既能区分来源,又能在收到垃圾邮件时反查泄露源头。这个技巧不违反任何规定,属于合法的账号卫生习惯。
🟡 进阶:账号分级管理——把"鸡蛋"放进不同的篮子
三级账号模型
把你的全部账号按"重要性 + 失守后果"分成三级,施以不同的防护强度。这是把第 3 章"纵深防御"思想落到账号层面的实操。
🟥 核心层:金融与身份命脉
- 范围:银行 App、第三方支付(支付宝、微信支付)、主用邮箱、密码管理器、证券/基金账户、互联网信贷、政务与税务 App。
- 失守后果:直接财产损失、被冒名借贷、信用记录受损、行政与法律纠纷。
- 防护标准:
- 独立强密码,不复用任何其他账号;
- 必须开启非短信的二因素认证(身份验证器或硬件密钥);
- 绑定主手机号 + 主邮箱双通道;
- 定期(建议每月)查看登录设备与交易记录;
- 不在公共 Wi-Fi、借用设备上登录。
🟧 常用层:社交与日常服务
- 范围:微信、QQ、微博、抖音、小红书、淘宝、京东、美团、滴滴、12306 等。
- 失守后果:声誉损失、社交关系被利用进行二次诈骗、消费记录与地址泄露。
- 防护标准:
- 强密码,可在密码管理器管理;
- 开启平台自带的 2FA(微信、QQ、抖音等都支持设备锁、登录验证);
- 绑定主手机号;
- 关闭不必要的"自动登录""第三方授权登录"。
🟨 注册层:一次性与低价值账号
- 范围:论坛、工具网站、临时注册的 App、各类活动报名页。
- 失守后果:骚扰、画像被填充;若密码复用,可能成为撞库跳板。
- 防护标准:
- 绝不与核心层、常用层共用密码(这是撞库攻击之所以成立的关键);
- 优先用"邮箱注册 + 验证码登录",减少手机号绑定;
- 用完即注销;长期不用的账号定期清理。
📌 关键习惯:不同层之间密码绝不通用。一旦你在某个论坛注册时用了和银行一样的密码,只要那个论坛泄露一次,你的银行账号就进入了黑产的"撞库清单"。这一点第 5 章会展开。
🟡 进阶:小号、虚拟号、副号的合法使用场景与边界
为什么要考虑"多个号"
回到"一号绑一切"的危险,最直接的缓解办法是用不止一个手机号承担不同角色,让单点失守不再波及全域。在合法合规的前提下,普通公民完全可以拥有多个手机号。
几种合法的多号方案
- 运营商主副卡:三大运营商都提供"主卡 + 副卡"的家庭套餐,副卡与主卡共享套餐,有独立号码,需各自实名登记(实名主体可以是同一人)。
- 适合场景:主号用于核心金融与政务;副号用于社交、购物、外卖等日常 App,降低主号暴露面。
- 注意:副卡并非"匿名号",仍需实名,出现问题同样追溯到机主。
- 第二张主卡:在不同运营商办第二张卡,作为完全独立的应急通道。部分场景下可以绑定到主邮箱作为"备用手机号"。
- 低月租保号套餐:把某个老号码转为最低月租套餐(俗称"保号套餐",月费约 5-8 元,数据性质:运营商公开套餐,具体资费以当地营业厅为准),专门用于接收验证码,作为账号体系里的"独立通道"。
- 虚拟运营商号段:由获得工信部电信业务经营许可的虚拟运营商(号段如 170、171、167、162 等)提供。这类号码同样是实名的,但部分平台出于风控考虑,可能不接受虚拟号段注册(尤其金融类)。
- 适合场景:用于不重要的注册场景,隔离主号。
- 注意:部分虚拟运营商的服务质量与售后响应参差不齐;重要账号不建议绑定虚拟号段。
合法使用的边界
本书只讨论完全合法的多号使用方式。需要明确以下边界:
- 必须实名:任何手机号,无论主卡、副卡、虚拟号,均需按《反恐怖主义法》和工信部规定完成实名登记。购买"免实名卡"属于违规行为,且极可能是诈骗或黑产工具,本书不教授、不建议、不讨论。
- 不得用于违法活动:冒用他人身份办理号码、为诈骗团伙提供号码、绕过平台正当风控等行为,均属违法,本书不涉及。
- 不用于"冒充":多号是为了分散你自己账号的风险,不是用于伪装成他人、规避合理核验。这两条边界务必分清。
再次强调:多号是"把鸡蛋放不同篮子",不是"隐身术"。它的价值在于降低单点失守的连锁伤害,而非提供匿名性。
🔴 深度:补卡劫持与号卡分离
补卡劫持的机制
补卡劫持(俗称"补卡攻击""SIM 劫持")的核心机制是:攻击者通过某种方式让运营商把你的号码重新写到一张新的 SIM 卡上,这张新卡到了攻击者手里,你原本的手机则失去信号。此后所有发往你手机号的短信——包括各家平台的重置验证码——都会被攻击者收到。
攻击者要实现这一点,通常需要绕过运营商的实名与服务密码核验,手段大致分两类:
- 社会工程类:攻击者利用已泄露的你的个人信息(姓名、身份证号、生日、地址,这些在数据泄露事件中极易获得),冒充你本人到线下营业厅办理补卡;或冒充你拨打客服,通过话术诱导办理。这一类是现实中最常见的路径。
- 内部勾结或系统漏洞类:极少数情况下,存在运营商代理网点违规操作或系统校验不严,被攻击者利用。这类事件一旦发生,通常会引发监管介入与刑事追责,但对受害人而言损失已经造成。
攻击发生时,你的手机会出现什么
补卡劫持有几个值得警惕的信号(称为"预警信号"):
- 手机突然无信号、显示"仅限紧急呼叫":且持续较长时间,重启也无效。
- 收不到任何短信与来电:验证码、银行通知、家人消息全部中断。
- 运营商 App 提示"号码状态异常"或无法登录。
一旦同时出现上述现象,要立即用其他电话拨打运营商客服(10086 / 10010 / 10000)核实号码状态,若确认被异常补卡,立即要求冻结号码、并同步挂失银行卡、冻结支付账户(详见第 18 章应急流程)。
合法的社会工程防护
理解了攻击机制,你就能反向加固。普通人能做的合法防御:
- 设强服务密码并定期更换:这是办理补卡、过户、销号的核心验证项。服务密码弱,等于把门敞开。
- 办理业务必须验证服务密码:在营业厅 App 里设置"业务办理需服务密码 + 二次验证",避免仅凭身份证就能办理。
- **警惕"客服主动来电":运营商、银行、公安都不会在电话里要求你报出服务密码、短信验证码或转账。任何这类要求都是诈骗。
- 不在来源不明的表单里填写身份证号、生日、地址:这些信息是攻击者"冒充你办业务"的弹药,也是为什么第 2 章反复强调减少个人信息在公开渠道的暴露。
- 启用 SIM 卡 PIN 码(见下节)。
- 在主要金融 App 里关闭"短信验证码转账"或设小额限额:转用更安全的认证方式(令牌、人脸、U 盾),降低攻击者拿到短信后的实际危害。
⚠️ 本书止于"机制与影响"。具体某家运营商某项设置的确切名称,以你所在地区运营商官方 App 与客服的当下指引为准,本书不逐一列出可能过时的菜单路径。
🔴 深度:号卡分离——SIM PIN 与 PUK 码的作用
SIM 卡本身的防护层
除运营商侧的账号安全外,SIM 卡这一张小小的芯片本身也有一层独立防护——PIN 码(SIM 卡的个人识别码)和 PUK 码(PIN 码解锁码)。理解它们,有助于你把"手机丢失"情境下的损失降到最小。
- PIN 码:开启后,每次手机重启或换机插卡时,必须输入 PIN 才能使用这张卡的网络。若连续输错(通常 3 次),SIM 卡会被锁定。
- PUK 码:用于解锁被 PIN 锁定的 SIM 卡。若连续输错(通常 10 次),SIM 卡将永久失效,需到营业厅补卡。
- PUK 码的获取:通常印在办卡时的卡套上,或在运营商 App / 客服处查询。建议妥善记录保存,但不要存在手机本身里。
启用 SIM PIN 的得失
启用 SIM PIN 是一把双刃剑,适合对设备物理失控风险较高(常丢失、出差多、关系风险较高)的读者:
- 好处:手机丢失或被盗时,他人无法直接使用你的 SIM 卡接收验证码,为挂失争取时间。
- 代价:每次重启或换机需输入 PIN,体验略繁;若忘记 PIN 又找不到 PUK,可能需要营业厅解锁。
启用方法以主流手机为例:iOS 在"设置—电话—SIM 卡 PIN 码";Android 在"设置—安全—SIM 卡锁定"(不同品牌路径略有差异,以系统实际显示为准)。启用前务必先确认你能找到 PUK 码,否则一旦锁卡会非常麻烦。
号卡分离的延伸理解
"号卡分离"还指另一个层面的现象:号码(逻辑)与 SIM 卡(物理)是可以分离的——这正是补卡、换卡、携号转网等功能的基础。理解这一点,你就明白为什么:
- 攻击者不需要拿到你的实体卡,只要能让运营商把号"写"到新卡上,就完成了接管;
- 反过来,保护好你的实体卡并不能完全防止补卡劫持,必须同时加固运营商侧的账号安全。
这两层防护相互独立,缺一不可——这是纵深防御在手机号场景的典型体现。
🔴 深度:二次放号——你注销的号会重新卖给陌生人
号码资源回收再分配机制
手机号码是有限的电信资源。为提高利用率,运营商对注销的号码有一套标准的冷冻期 + 再分配流程:
- 用户办理销号,号码进入冷冻期(通常约 3-6 个月,具体以运营商规定为准,本书不引用精确数字以免过时);
- 冷冻期内,原机主在特定条件下仍可恢复;
- 冷冻期结束,号码重新进入可分配池,投放市场,被新用户办理。
这套机制本身是电信资源管理的常规做法,无可厚非。问题出在账号体系与号码体系的脱节:你注销号码时,运营商并不会替你去各大 App 解绑——那些 App 仍然认为"这个手机号 = 某个账号的合法主人"。
真实风险:新机主登录了你的旧账号
于是出现了下面这种典型事故:
- 你注销了旧号,但某个 App(尤其是不常用的注册类、某些早期网贷、某些小额消费)忘了解绑;
- 冷冻期过后,号被卖给一个陌生人;
- 陌生人正常使用这个号时,某天尝试在某 App 用"手机号 + 验证码"登录——竟然登进了你的旧账号;
- 里面的个人信息、消费记录、地址、甚至关联的支付方式,全部暴露;若这个账号还能借钱的,后果更严重。
这类事件被多家媒体多次报道(数据性质:公开新闻报道汇总),且至今仍是个体用户难以完全规避的隐患,因为问题出在"运营商回收"与"App 解绑"两套系统之间的断层上。
防御:销号前的彻底解绑
对个体而言,最有效的防御仍是销号前彻底清理(见 🟢 基础的销号前清单),并辅以以下习惯:
- 核心金融账号绝不依赖"已注销号"作为唯一验证通道:务必同时绑定现役主号、主邮箱、身份验证器。
- 建立"账号清单"并定期复核:本书建议每位读者维护一份简单的账号清单(可用密码管理器自带功能),记下每个账号绑定的手机号与邮箱。换号时按清单逐项改绑,销号时按清单逐项解绑。
- 优先选择支持"非手机号登录"的账号体系:一些平台支持用邮箱、用户名登录,手机号仅作辅助。这类平台在二次放号场景下风险更低。
- 小额、冷门、不用的账号及时注销:与其让它在角落里成为隐患,不如主动销号,减少二次放号被"误登"的可能。
法律权利层面
依据《个人信息保护法》第 47 条,在处理目的已实现、服务已终止等情形下,你有权要求处理者删除你的个人信息。注销账号、要求删除你的手机号绑定,是你的法定权利。如果某个平台在你明确要求后仍不删除,你可以向其注册地的网信部门或工信部门投诉——具体维权流程见第 16 章。
本章检查清单
读完本章,请逐项自检:
- [ ] 我理解手机号同时承担通信标识、实名核验、账号核心三重身份
- [ ] 我已经把运营商服务密码改成了强密码
- [ ] 我关闭了短信呼转 / 呼叫转移与不必要的国际漫游接收
- [ ] 我的主用邮箱已开启非短信的 2FA,并设了备用邮箱
- [ ] 我建立了三级账号模型(核心/常用/注册),且各层密码互不通用
- [ ] 我有至少一个副号或保号卡作为独立通道(或评估后认为暂不需要)
- [ ] 我维护了一份账号绑定清单,便于换号/销号时逐项处理
- [ ] 我了解补卡劫持的预警信号(突然无信号、收不到短信),知道应急流程
- [ ] 我了解二次放号的风险,知道销号前必须彻底解绑
- [ ] 我已评估是否启用 SIM PIN 码,并能找到 PUK 码备份
延伸阅读与参考来源
- 本章法律口径:沿用第 1 章定义的手机号(个人信息中的标识类)、八项权利中的查询、更正、删除、注销权,以及《反恐怖主义法》《网络安全法》关于电话用户真实身份信息登记的规定。
- 本章威胁口径:沿用第 3 章五类威胁主体,手机号场景主要对应 ① 诈骗与犯罪分子、③ 平台与服务商(数据泄露)、④ 熟人与关系人、⑤ 物理接触者。
- 官方与权威来源:
- 国家法律法规数据库(flk.npc.gov.cn):《个人信息保护法》《网络安全法》《数据安全法》《反恐怖主义法》
- 工业和信息化部(miidit.gov.cn / miit.gov.cn):电话用户真实身份信息登记相关规定、用户权益保护相关规范性文件
- 三大运营商官方 App 与客服:中国移动 10086、中国联通 10010、中国电信 10000
- 本书相关章节:
- 第 5 章 密码与认证——强密码、2FA、身份验证器与硬件密钥的完整实操
- 第 6 章 手机权限与第 7 章 App 隐私——App 端的权限与数据采集
- 第 15 章 诈骗识别与应对——补卡劫持发生时的应急与反诈联动
- 第 16 章 法律武器与维权——如何投诉、如何主张删除权
- 第 18 章 应急响应手册——手机失控后的标准化处置流程
⚠️ 本书仅作防御科普,不构成法律建议;部分设置可能影响 App 正常功能或业务办理便利性,请自行评估。运营商菜单名称、套餐资费、号码冷冻期等具体参数会随版本与政策更新,以你所在地运营商官方 App 与客服的当下指引为准。
⬅ 上一章 第 3 章 威胁模型入门 | ➡ 下一章 第 5 章 密码与认证