3月以來(lái)我省查處行業(yè)“內(nèi)鬼”140名——源頭堵漏洞，筑牢個(gè)人信息安全堤

9月14日，記者從省公安廳獲悉，自今年3月開(kāi)展“凈網(wǎng)2023”專(zhuān)項(xiàng)行動(dòng)以來(lái)，我省公安機(jī)關(guān)持續(xù)嚴(yán)打侵犯公民個(gè)人信息犯罪，共偵破侵犯公民個(gè)人信息案件623起，打掉犯罪團(tuán)伙135個(gè)，其中查處行業(yè)“內(nèi)鬼”140名。哪些行業(yè)是個(gè)人信息泄露的“重災(zāi)區(qū)”?行業(yè)“內(nèi)鬼”為何能屢屢得逞?如何堵住泄露個(gè)人信息的漏洞?要解決這一系列問(wèn)題，亟待在源頭治理上下功夫。

“白天網(wǎng)購(gòu)，晚上信息就落到電詐分子手上”

“張先生您好，我是××客服，您的快遞丟失了”“我們將給您3倍賠償”……一次網(wǎng)購(gòu)之后，揚(yáng)州市民張先生頻繁接到冒充網(wǎng)購(gòu)客服的電話(huà)。他不知道的是，印有自己姓名、電話(huà)、地址等信息的快遞面單早已被層層倒賣(mài)，落入電詐分子手中。

去年7月，揚(yáng)州警方成立的專(zhuān)案組分赴廣東、云南等10個(gè)省份，共抓獲犯罪嫌疑人60名，其中涉快遞行業(yè)“內(nèi)鬼”27名、信息販子24名。在這起買(mǎi)賣(mài)快遞面單非法牟利2500余萬(wàn)元的特大侵犯公民個(gè)人信息案件中，信息販子與快遞行業(yè)工作人員勾結(jié)，形成一張非法獲取、交易變現(xiàn)、非法利用公民個(gè)人信息的犯罪網(wǎng)絡(luò)。

據(jù)信息販子黃某交代，他們與快遞行業(yè)“內(nèi)鬼”的合作方式有多種：以利益誘惑拉攏快遞員、網(wǎng)店員工，將經(jīng)手的快遞面單拍照打包出售;專(zhuān)門(mén)合作開(kāi)店代理快遞運(yùn)輸，以稍低于市場(chǎng)價(jià)的方式，與一些網(wǎng)店合作收發(fā)快遞，從而獲取快遞面單信息進(jìn)行倒賣(mài);更有甚者，勾結(jié)快遞站點(diǎn)工作人員，在物流倉(cāng)庫(kù)的電腦上安裝由境外電詐分子提供的木馬程序，這種程序可以攻擊物流公司的派單系統(tǒng)，竊取消費(fèi)者信息并傳輸至境外?？爝f面單還會(huì)根據(jù)商品和價(jià)格來(lái)分類(lèi)，較受歡迎的母嬰類(lèi)、保健品、化妝品類(lèi)面單單價(jià)可達(dá)5—8元。

省公安廳網(wǎng)安總隊(duì)分析發(fā)現(xiàn)，近3年查處的362名行業(yè)“內(nèi)鬼”中，涉及寄遞物流、金融證券、教育培訓(xùn)、房產(chǎn)交易、醫(yī)療保險(xiǎn)等眾多行業(yè)。其中多為企業(yè)內(nèi)部員工利用職務(wù)之便，非法批量獲取包含特定身份、醫(yī)療健康、行蹤軌跡、家庭住址等高敏感公民個(gè)人信息，轉(zhuǎn)而販賣(mài)牟利。

更令人擔(dān)憂(yōu)的是，行業(yè)“內(nèi)鬼”為涉網(wǎng)犯罪“遞刀子”日趨規(guī)模化、產(chǎn)業(yè)化。省公安廳網(wǎng)安總隊(duì)民警李祥透露，在信息倒賣(mài)環(huán)節(jié)，非法查詢(xún)信息等生意藏身于某些社交平臺(tái)，點(diǎn)多面廣，極為隱蔽，給常態(tài)化保護(hù)網(wǎng)絡(luò)數(shù)據(jù)安全帶來(lái)巨大工作量和工作難度;在下游犯罪環(huán)節(jié)，非法獲取的公民個(gè)人信息常被用于賬號(hào)注冊(cè)、軌跡定位、推廣引流等非法服務(wù)，滋生大量網(wǎng)絡(luò)水軍、暴力催收、電信詐騙、跨境賭博等突出犯罪。

揚(yáng)州市公安局網(wǎng)安支隊(duì)案件偵查大隊(duì)大隊(duì)長(zhǎng)王成和同事們偵查梳理發(fā)現(xiàn)，白天在網(wǎng)上買(mǎi)一個(gè)東西，可能晚上快遞信息就到了境外電詐分子手中，他們冒充客服打電話(huà)，這種“對(duì)癥下藥”式的詐騙更容易迷惑消費(fèi)者。

行業(yè)“內(nèi)鬼”何以屢屢得逞

剛給新車(chē)上了牌，車(chē)主就被各種推銷(xiāo)車(chē)貸、車(chē)險(xiǎn)的電話(huà)每天輪番“轟炸”，對(duì)方甚至能準(zhǔn)確說(shuō)出車(chē)主的姓名和車(chē)牌號(hào)碼。6名來(lái)自甘肅、山東、福建等地車(chē)管所或交管局指揮中心的輔警，竟是這些車(chē)輛檔案信息的泄露源頭。

在盱眙法院審理的田某等6人侵犯公民個(gè)人信息罪案件中，6名交警支隊(duì)輔警利用工作之便私自使用民警數(shù)字證書(shū)，在公安系統(tǒng)內(nèi)網(wǎng)違法查詢(xún)車(chē)輛檔案信息，再以10元至40元的價(jià)格出售牟利，最終6人均被判處實(shí)刑。“機(jī)關(guān)事業(yè)單位在履行法定職責(zé)的過(guò)程中，能獲得全面、精準(zhǔn)、外界難以接觸的公民個(gè)人敏感信息，容易成為不法分子的‘狩獵’目標(biāo)。”盱眙法院刑庭法官劉丹丹說(shuō)，“內(nèi)鬼”屢屢得逞，暴露出一些機(jī)關(guān)單位信息監(jiān)管制度的缺失。該案中查詢(xún)車(chē)輛檔案信息是正式干警才有的權(quán)限，但由于電腦上的查詢(xún)工具長(zhǎng)期不關(guān)閉，讓涉案輔警有了“可乘之機(jī)”，利用午休或下班時(shí)間盜用正式干警的數(shù)字證書(shū)查詢(xún)車(chē)輛檔案信息。

“現(xiàn)實(shí)情況是，搜集信息的企業(yè)單位關(guān)注的往往是業(yè)務(wù)是否正常運(yùn)行、用戶(hù)使用是否方便，對(duì)安全性的重視程度遠(yuǎn)遠(yuǎn)不夠。”上海觀(guān)安信息技術(shù)股份有限公司安全項(xiàng)目經(jīng)理孫逸凡發(fā)現(xiàn)，當(dāng)前很多行業(yè)保護(hù)數(shù)據(jù)的防御體系多是對(duì)外，即安全設(shè)計(jì)多為監(jiān)測(cè)和抵御外來(lái)攻擊入侵，反而忽視了對(duì)自己人從內(nèi)部“擰鑰匙”的防范。“很多企業(yè)對(duì)員工獲取數(shù)據(jù)缺少相應(yīng)的訪(fǎng)問(wèn)控制以及流程管控，加上其辦公區(qū)域與服務(wù)器業(yè)務(wù)區(qū)域往往不作區(qū)分，導(dǎo)致員工以及一些外包人員能輕松獲得隱私數(shù)據(jù)。”他遇到過(guò)好幾家單位因?yàn)橐郧暗拈_(kāi)發(fā)人員隨意安裝盜版軟件、服務(wù)器隨意開(kāi)放端口，或是將源代碼發(fā)布到Github(軟件項(xiàng)目托管平臺(tái))等，導(dǎo)致發(fā)生勒索病毒、蠕蟲(chóng)病毒等威脅信息安全的事件。

公安機(jī)關(guān)偵破的大量案件表明，犯罪嫌疑人大多是從最初幾百幾千條信息倒賣(mài)開(kāi)始，之后主動(dòng)在網(wǎng)上尋找資料來(lái)源，高價(jià)倒賣(mài)，數(shù)量很快升至上萬(wàn)條。“QQ群里經(jīng)常有人發(fā)布收購(gòu)車(chē)輛信息的帖子。”輔警孫某交代，沒(méi)想到工作中經(jīng)常接觸的信息竟然有人花錢(qián)來(lái)買(mǎi)，“一條就能賣(mài)30多元，一天賣(mài)四五條就是一兩百元，比上班還強(qiáng)。”幾次倒賣(mài)信息嘗到甜頭后，孫某就無(wú)法收手了，甚至專(zhuān)門(mén)開(kāi)了一個(gè)微信號(hào)用于拍攝車(chē)輛檔案信息、聯(lián)系下家。短短4個(gè)月，孫某非法出售車(chē)輛檔案信息近萬(wàn)條，獲利17.6萬(wàn)余元。

筑牢信息堡壘需“內(nèi)外兼修”

揪出、管住特殊行業(yè)的“內(nèi)鬼”，是防止公民個(gè)人信息泄露的重要一環(huán)。眼下，全省公安機(jī)關(guān)正按照“打源頭、摧平臺(tái)、斷鏈條”思路，重拳打擊非法竊取、買(mǎi)賣(mài)公民個(gè)人信息的團(tuán)伙和行業(yè)“內(nèi)鬼”。

刑法規(guī)定，向他人出售或者提供公民個(gè)人信息，情節(jié)嚴(yán)重的，處3年以下有期徒刑或者拘役，并處或者單處罰金;情節(jié)特別嚴(yán)重的，處3年以上7年以下有期徒刑，并處罰金。而根據(jù)兩高出臺(tái)的相關(guān)司法解釋?zhuān)诼男新氊?zé)或者提供服務(wù)過(guò)程中獲得的公民個(gè)人信息出售或者提供給他人，認(rèn)定“情節(jié)嚴(yán)重”的數(shù)量、數(shù)額標(biāo)準(zhǔn)減半計(jì)算。“這體現(xiàn)了從嚴(yán)、從重懲處行業(yè)‘內(nèi)鬼’的導(dǎo)向。”常熟法院刑庭法官李浩然告訴記者，司法實(shí)踐中，一般對(duì)行業(yè)“內(nèi)鬼”判處的主刑和罰金均重于犯罪鏈條后端的轉(zhuǎn)賣(mài)、倒賣(mài)者，并從嚴(yán)把握緩刑的適用標(biāo)準(zhǔn)。

“這類(lèi)‘內(nèi)鬼’往往屬于‘知法犯法’，對(duì)他們打擊力度理應(yīng)更大些、處罰更重些。”南京師范大學(xué)法學(xué)院教授李建明認(rèn)為，只要發(fā)生販賣(mài)個(gè)人信息的行為，一律都要嚴(yán)肅查處，不能因?yàn)榍楣?jié)較輕就不處理或冷處理。“就出賣(mài)信息的行為而言，‘賣(mài)多賣(mài)少’是程度問(wèn)題，但‘賣(mài)’這個(gè)行為本身性質(zhì)就是嚴(yán)重的，有關(guān)人員都應(yīng)追究相應(yīng)責(zé)任。”李建明建議，對(duì)一些情節(jié)嚴(yán)重惡劣的行為人，除追究刑責(zé)之外，還可設(shè)置一段較長(zhǎng)時(shí)間的“從業(yè)禁止”，消除其再次犯案的可能，讓“個(gè)人隱私不是生意，伸手必被捉”成為共識(shí)。

在孫逸凡看來(lái)，在大數(shù)據(jù)時(shí)代，應(yīng)對(duì)“內(nèi)鬼式”數(shù)據(jù)泄露已成為企業(yè)數(shù)字化轉(zhuǎn)型與發(fā)展的關(guān)鍵難題。筑牢企業(yè)的信息安全堡壘，目前已有一些行之有效的手段，比如，通過(guò)技術(shù)轉(zhuǎn)化，將消費(fèi)者的個(gè)人信息轉(zhuǎn)化為肉眼難以看到的內(nèi)容，有效避免消費(fèi)者個(gè)人信息被中途“劫持”;安裝統(tǒng)一的安全管理軟件，對(duì)員工訪(fǎng)問(wèn)、調(diào)用數(shù)據(jù)采取安全監(jiān)測(cè)、流轉(zhuǎn)探測(cè)等防護(hù)措施;有針對(duì)性地開(kāi)展提升信息安全意識(shí)方面的培訓(xùn)，繃緊“安全弦”;導(dǎo)出重要數(shù)據(jù)時(shí)，嚴(yán)格審批程序;等等。“只有用技術(shù)、制度、機(jī)制等手段綜合治理，合力扎緊‘籬笆’，才能從源頭上杜絕內(nèi)部人員倒賣(mài)個(gè)人信息的可能性。”

實(shí)習(xí)生 戴思顏 記者 胡蘭蘭 顧敏