3月以來我省查處行業(yè)“內(nèi)鬼”140名——源頭堵漏洞，筑牢個(gè)人信息安全堤

9月14日，記者從省公安廳獲悉，自今年3月開展“凈網(wǎng)2023”專項(xiàng)行動(dòng)以來，我省公安機(jī)關(guān)持續(xù)嚴(yán)打侵犯公民個(gè)人信息犯罪，共偵破侵犯公民個(gè)人信息案件623起，打掉犯罪團(tuán)伙135個(gè)，其中查處行業(yè)“內(nèi)鬼”140名。哪些行業(yè)是個(gè)人信息泄露的“重災(zāi)區(qū)”?行業(yè)“內(nèi)鬼”為何能屢屢得逞?如何堵住泄露個(gè)人信息的漏洞?要解決這一系列問題，亟待在源頭治理上下功夫。

“白天網(wǎng)購，晚上信息就落到電詐分子手上”

“張先生您好，我是××客服，您的快遞丟失了”“我們將給您3倍賠償”……一次網(wǎng)購之后，揚(yáng)州市民張先生頻繁接到冒充網(wǎng)購客服的電話。他不知道的是，印有自己姓名、電話、地址等信息的快遞面單早已被層層倒賣，落入電詐分子手中。

去年7月，揚(yáng)州警方成立的專案組分赴廣東、云南等10個(gè)省份，共抓獲犯罪嫌疑人60名，其中涉快遞行業(yè)“內(nèi)鬼”27名、信息販子24名。在這起買賣快遞面單非法牟利2500余萬元的特大侵犯公民個(gè)人信息案件中，信息販子與快遞行業(yè)工作人員勾結(jié)，形成一張非法獲取、交易變現(xiàn)、非法利用公民個(gè)人信息的犯罪網(wǎng)絡(luò)。

據(jù)信息販子黃某交代，他們與快遞行業(yè)“內(nèi)鬼”的合作方式有多種：以利益誘惑拉攏快遞員、網(wǎng)店員工，將經(jīng)手的快遞面單拍照打包出售;專門合作開店代理快遞運(yùn)輸，以稍低于市場價(jià)的方式，與一些網(wǎng)店合作收發(fā)快遞，從而獲取快遞面單信息進(jìn)行倒賣;更有甚者，勾結(jié)快遞站點(diǎn)工作人員，在物流倉庫的電腦上安裝由境外電詐分子提供的木馬程序，這種程序可以攻擊物流公司的派單系統(tǒng)，竊取消費(fèi)者信息并傳輸至境外。快遞面單還會(huì)根據(jù)商品和價(jià)格來分類，較受歡迎的母嬰類、保健品、化妝品類面單單價(jià)可達(dá)5—8元。

省公安廳網(wǎng)安總隊(duì)分析發(fā)現(xiàn)，近3年查處的362名行業(yè)“內(nèi)鬼”中，涉及寄遞物流、金融證券、教育培訓(xùn)、房產(chǎn)交易、醫(yī)療保險(xiǎn)等眾多行業(yè)。其中多為企業(yè)內(nèi)部員工利用職務(wù)之便，非法批量獲取包含特定身份、醫(yī)療健康、行蹤軌跡、家庭住址等高敏感公民個(gè)人信息，轉(zhuǎn)而販賣牟利。

更令人擔(dān)憂的是，行業(yè)“內(nèi)鬼”為涉網(wǎng)犯罪“遞刀子”日趨規(guī)?；a(chǎn)業(yè)化。省公安廳網(wǎng)安總隊(duì)民警李祥透露，在信息倒賣環(huán)節(jié)，非法查詢信息等生意藏身于某些社交平臺，點(diǎn)多面廣，極為隱蔽，給常態(tài)化保護(hù)網(wǎng)絡(luò)數(shù)據(jù)安全帶來巨大工作量和工作難度;在下游犯罪環(huán)節(jié)，非法獲取的公民個(gè)人信息常被用于賬號注冊、軌跡定位、推廣引流等非法服務(wù)，滋生大量網(wǎng)絡(luò)水軍、暴力催收、電信詐騙、跨境賭博等突出犯罪。

揚(yáng)州市公安局網(wǎng)安支隊(duì)案件偵查大隊(duì)大隊(duì)長王成和同事們偵查梳理發(fā)現(xiàn)，白天在網(wǎng)上買一個(gè)東西，可能晚上快遞信息就到了境外電詐分子手中，他們冒充客服打電話，這種“對癥下藥”式的詐騙更容易迷惑消費(fèi)者。

行業(yè)“內(nèi)鬼”何以屢屢得逞

剛給新車上了牌，車主就被各種推銷車貸、車險(xiǎn)的電話每天輪番“轟炸”，對方甚至能準(zhǔn)確說出車主的姓名和車牌號碼。6名來自甘肅、山東、福建等地車管所或交管局指揮中心的輔警，竟是這些車輛檔案信息的泄露源頭。

在盱眙法院審理的田某等6人侵犯公民個(gè)人信息罪案件中，6名交警支隊(duì)輔警利用工作之便私自使用民警數(shù)字證書，在公安系統(tǒng)內(nèi)網(wǎng)違法查詢車輛檔案信息，再以10元至40元的價(jià)格出售牟利，最終6人均被判處實(shí)刑。“機(jī)關(guān)事業(yè)單位在履行法定職責(zé)的過程中，能獲得全面、精準(zhǔn)、外界難以接觸的公民個(gè)人敏感信息，容易成為不法分子的‘狩獵’目標(biāo)。”盱眙法院刑庭法官劉丹丹說，“內(nèi)鬼”屢屢得逞，暴露出一些機(jī)關(guān)單位信息監(jiān)管制度的缺失。該案中查詢車輛檔案信息是正式干警才有的權(quán)限，但由于電腦上的查詢工具長期不關(guān)閉，讓涉案輔警有了“可乘之機(jī)”，利用午休或下班時(shí)間盜用正式干警的數(shù)字證書查詢車輛檔案信息。

“現(xiàn)實(shí)情況是，搜集信息的企業(yè)單位關(guān)注的往往是業(yè)務(wù)是否正常運(yùn)行、用戶使用是否方便，對安全性的重視程度遠(yuǎn)遠(yuǎn)不夠。”上海觀安信息技術(shù)股份有限公司安全項(xiàng)目經(jīng)理孫逸凡發(fā)現(xiàn)，當(dāng)前很多行業(yè)保護(hù)數(shù)據(jù)的防御體系多是對外，即安全設(shè)計(jì)多為監(jiān)測和抵御外來攻擊入侵，反而忽視了對自己人從內(nèi)部“擰鑰匙”的防范。“很多企業(yè)對員工獲取數(shù)據(jù)缺少相應(yīng)的訪問控制以及流程管控，加上其辦公區(qū)域與服務(wù)器業(yè)務(wù)區(qū)域往往不作區(qū)分，導(dǎo)致員工以及一些外包人員能輕松獲得隱私數(shù)據(jù)。”他遇到過好幾家單位因?yàn)橐郧暗拈_發(fā)人員隨意安裝盜版軟件、服務(wù)器隨意開放端口，或是將源代碼發(fā)布到Github(軟件項(xiàng)目托管平臺)等，導(dǎo)致發(fā)生勒索病毒、蠕蟲病毒等威脅信息安全的事件。

公安機(jī)關(guān)偵破的大量案件表明，犯罪嫌疑人大多是從最初幾百幾千條信息倒賣開始，之后主動(dòng)在網(wǎng)上尋找資料來源，高價(jià)倒賣，數(shù)量很快升至上萬條。“QQ群里經(jīng)常有人發(fā)布收購車輛信息的帖子。”輔警孫某交代，沒想到工作中經(jīng)常接觸的信息竟然有人花錢來買，“一條就能賣30多元，一天賣四五條就是一兩百元，比上班還強(qiáng)。”幾次倒賣信息嘗到甜頭后，孫某就無法收手了，甚至專門開了一個(gè)微信號用于拍攝車輛檔案信息、聯(lián)系下家。短短4個(gè)月，孫某非法出售車輛檔案信息近萬條，獲利17.6萬余元。

筑牢信息堡壘需“內(nèi)外兼修”

揪出、管住特殊行業(yè)的“內(nèi)鬼”，是防止公民個(gè)人信息泄露的重要一環(huán)。眼下，全省公安機(jī)關(guān)正按照“打源頭、摧平臺、斷鏈條”思路，重拳打擊非法竊取、買賣公民個(gè)人信息的團(tuán)伙和行業(yè)“內(nèi)鬼”。

刑法規(guī)定，向他人出售或者提供公民個(gè)人信息，情節(jié)嚴(yán)重的，處3年以下有期徒刑或者拘役，并處或者單處罰金;情節(jié)特別嚴(yán)重的，處3年以上7年以下有期徒刑，并處罰金。而根據(jù)兩高出臺的相關(guān)司法解釋，在履行職責(zé)或者提供服務(wù)過程中獲得的公民個(gè)人信息出售或者提供給他人，認(rèn)定“情節(jié)嚴(yán)重”的數(shù)量、數(shù)額標(biāo)準(zhǔn)減半計(jì)算。“這體現(xiàn)了從嚴(yán)、從重懲處行業(yè)‘內(nèi)鬼’的導(dǎo)向。”常熟法院刑庭法官李浩然告訴記者，司法實(shí)踐中，一般對行業(yè)“內(nèi)鬼”判處的主刑和罰金均重于犯罪鏈條后端的轉(zhuǎn)賣、倒賣者，并從嚴(yán)把握緩刑的適用標(biāo)準(zhǔn)。

“這類‘內(nèi)鬼’往往屬于‘知法犯法’，對他們打擊力度理應(yīng)更大些、處罰更重些。”南京師范大學(xué)法學(xué)院教授李建明認(rèn)為，只要發(fā)生販賣個(gè)人信息的行為，一律都要嚴(yán)肅查處，不能因?yàn)榍楣?jié)較輕就不處理或冷處理。“就出賣信息的行為而言，‘賣多賣少’是程度問題，但‘賣’這個(gè)行為本身性質(zhì)就是嚴(yán)重的，有關(guān)人員都應(yīng)追究相應(yīng)責(zé)任。”李建明建議，對一些情節(jié)嚴(yán)重惡劣的行為人，除追究刑責(zé)之外，還可設(shè)置一段較長時(shí)間的“從業(yè)禁止”，消除其再次犯案的可能，讓“個(gè)人隱私不是生意，伸手必被捉”成為共識。

在孫逸凡看來，在大數(shù)據(jù)時(shí)代，應(yīng)對“內(nèi)鬼式”數(shù)據(jù)泄露已成為企業(yè)數(shù)字化轉(zhuǎn)型與發(fā)展的關(guān)鍵難題。筑牢企業(yè)的信息安全堡壘，目前已有一些行之有效的手段，比如，通過技術(shù)轉(zhuǎn)化，將消費(fèi)者的個(gè)人信息轉(zhuǎn)化為肉眼難以看到的內(nèi)容，有效避免消費(fèi)者個(gè)人信息被中途“劫持”;安裝統(tǒng)一的安全管理軟件，對員工訪問、調(diào)用數(shù)據(jù)采取安全監(jiān)測、流轉(zhuǎn)探測等防護(hù)措施;有針對性地開展提升信息安全意識方面的培訓(xùn)，繃緊“安全弦”;導(dǎo)出重要數(shù)據(jù)時(shí)，嚴(yán)格審批程序;等等。“只有用技術(shù)、制度、機(jī)制等手段綜合治理，合力扎緊‘籬笆’，才能從源頭上杜絕內(nèi)部人員倒賣個(gè)人信息的可能性。”

實(shí)習(xí)生 戴思顏 記者 胡蘭蘭 顧敏