3月以來我省查處行業(yè)“內(nèi)鬼”140名——源頭堵漏洞，筑牢個人信息安全堤

9月14日，記者從省公安廳獲悉，自今年3月開展“凈網(wǎng)2023”專項行動以來，我省公安機關持續(xù)嚴打侵犯公民個人信息犯罪，共偵破侵犯公民個人信息案件623起，打掉犯罪團伙135個，其中查處行業(yè)“內(nèi)鬼”140名。哪些行業(yè)是個人信息泄露的“重災區(qū)”?行業(yè)“內(nèi)鬼”為何能屢屢得逞?如何堵住泄露個人信息的漏洞?要解決這一系列問題，亟待在源頭治理上下功夫。

“白天網(wǎng)購，晚上信息就落到電詐分子手上”

“張先生您好，我是××客服，您的快遞丟失了”“我們將給您3倍賠償”……一次網(wǎng)購之后，揚州市民張先生頻繁接到冒充網(wǎng)購客服的電話。他不知道的是，印有自己姓名、電話、地址等信息的快遞面單早已被層層倒賣，落入電詐分子手中。

去年7月，揚州警方成立的專案組分赴廣東、云南等10個省份，共抓獲犯罪嫌疑人60名，其中涉快遞行業(yè)“內(nèi)鬼”27名、信息販子24名。在這起買賣快遞面單非法牟利2500余萬元的特大侵犯公民個人信息案件中，信息販子與快遞行業(yè)工作人員勾結，形成一張非法獲取、交易變現(xiàn)、非法利用公民個人信息的犯罪網(wǎng)絡。

據(jù)信息販子黃某交代，他們與快遞行業(yè)“內(nèi)鬼”的合作方式有多種：以利益誘惑拉攏快遞員、網(wǎng)店員工，將經(jīng)手的快遞面單拍照打包出售;專門合作開店代理快遞運輸，以稍低于市場價的方式，與一些網(wǎng)店合作收發(fā)快遞，從而獲取快遞面單信息進行倒賣;更有甚者，勾結快遞站點工作人員，在物流倉庫的電腦上安裝由境外電詐分子提供的木馬程序，這種程序可以攻擊物流公司的派單系統(tǒng)，竊取消費者信息并傳輸至境外?？爝f面單還會根據(jù)商品和價格來分類，較受歡迎的母嬰類、保健品、化妝品類面單單價可達5—8元。

省公安廳網(wǎng)安總隊分析發(fā)現(xiàn)，近3年查處的362名行業(yè)“內(nèi)鬼”中，涉及寄遞物流、金融證券、教育培訓、房產(chǎn)交易、醫(yī)療保險等眾多行業(yè)。其中多為企業(yè)內(nèi)部員工利用職務之便，非法批量獲取包含特定身份、醫(yī)療健康、行蹤軌跡、家庭住址等高敏感公民個人信息，轉而販賣牟利。

更令人擔憂的是，行業(yè)“內(nèi)鬼”為涉網(wǎng)犯罪“遞刀子”日趨規(guī)?；?、產(chǎn)業(yè)化。省公安廳網(wǎng)安總隊民警李祥透露，在信息倒賣環(huán)節(jié)，非法查詢信息等生意藏身于某些社交平臺，點多面廣，極為隱蔽，給常態(tài)化保護網(wǎng)絡數(shù)據(jù)安全帶來巨大工作量和工作難度;在下游犯罪環(huán)節(jié)，非法獲取的公民個人信息常被用于賬號注冊、軌跡定位、推廣引流等非法服務，滋生大量網(wǎng)絡水軍、暴力催收、電信詐騙、跨境賭博等突出犯罪。

揚州市公安局網(wǎng)安支隊案件偵查大隊大隊長王成和同事們偵查梳理發(fā)現(xiàn)，白天在網(wǎng)上買一個東西，可能晚上快遞信息就到了境外電詐分子手中，他們冒充客服打電話，這種“對癥下藥”式的詐騙更容易迷惑消費者。

行業(yè)“內(nèi)鬼”何以屢屢得逞

剛給新車上了牌，車主就被各種推銷車貸、車險的電話每天輪番“轟炸”，對方甚至能準確說出車主的姓名和車牌號碼。6名來自甘肅、山東、福建等地車管所或交管局指揮中心的輔警，竟是這些車輛檔案信息的泄露源頭。

在盱眙法院審理的田某等6人侵犯公民個人信息罪案件中，6名交警支隊輔警利用工作之便私自使用民警數(shù)字證書，在公安系統(tǒng)內(nèi)網(wǎng)違法查詢車輛檔案信息，再以10元至40元的價格出售牟利，最終6人均被判處實刑。“機關事業(yè)單位在履行法定職責的過程中，能獲得全面、精準、外界難以接觸的公民個人敏感信息，容易成為不法分子的‘狩獵’目標。”盱眙法院刑庭法官劉丹丹說，“內(nèi)鬼”屢屢得逞，暴露出一些機關單位信息監(jiān)管制度的缺失。該案中查詢車輛檔案信息是正式干警才有的權限，但由于電腦上的查詢工具長期不關閉，讓涉案輔警有了“可乘之機”，利用午休或下班時間盜用正式干警的數(shù)字證書查詢車輛檔案信息。

“現(xiàn)實情況是，搜集信息的企業(yè)單位關注的往往是業(yè)務是否正常運行、用戶使用是否方便，對安全性的重視程度遠遠不夠。”上海觀安信息技術股份有限公司安全項目經(jīng)理孫逸凡發(fā)現(xiàn)，當前很多行業(yè)保護數(shù)據(jù)的防御體系多是對外，即安全設計多為監(jiān)測和抵御外來攻擊入侵，反而忽視了對自己人從內(nèi)部“擰鑰匙”的防范。“很多企業(yè)對員工獲取數(shù)據(jù)缺少相應的訪問控制以及流程管控，加上其辦公區(qū)域與服務器業(yè)務區(qū)域往往不作區(qū)分，導致員工以及一些外包人員能輕松獲得隱私數(shù)據(jù)。”他遇到過好幾家單位因為以前的開發(fā)人員隨意安裝盜版軟件、服務器隨意開放端口，或是將源代碼發(fā)布到Github(軟件項目托管平臺)等，導致發(fā)生勒索病毒、蠕蟲病毒等威脅信息安全的事件。

公安機關偵破的大量案件表明，犯罪嫌疑人大多是從最初幾百幾千條信息倒賣開始，之后主動在網(wǎng)上尋找資料來源，高價倒賣，數(shù)量很快升至上萬條。“QQ群里經(jīng)常有人發(fā)布收購車輛信息的帖子。”輔警孫某交代，沒想到工作中經(jīng)常接觸的信息竟然有人花錢來買，“一條就能賣30多元，一天賣四五條就是一兩百元，比上班還強。”幾次倒賣信息嘗到甜頭后，孫某就無法收手了，甚至專門開了一個微信號用于拍攝車輛檔案信息、聯(lián)系下家。短短4個月，孫某非法出售車輛檔案信息近萬條，獲利17.6萬余元。

筑牢信息堡壘需“內(nèi)外兼修”

揪出、管住特殊行業(yè)的“內(nèi)鬼”，是防止公民個人信息泄露的重要一環(huán)。眼下，全省公安機關正按照“打源頭、摧平臺、斷鏈條”思路，重拳打擊非法竊取、買賣公民個人信息的團伙和行業(yè)“內(nèi)鬼”。

刑法規(guī)定，向他人出售或者提供公民個人信息，情節(jié)嚴重的，處3年以下有期徒刑或者拘役，并處或者單處罰金;情節(jié)特別嚴重的，處3年以上7年以下有期徒刑，并處罰金。而根據(jù)兩高出臺的相關司法解釋，在履行職責或者提供服務過程中獲得的公民個人信息出售或者提供給他人，認定“情節(jié)嚴重”的數(shù)量、數(shù)額標準減半計算。“這體現(xiàn)了從嚴、從重懲處行業(yè)‘內(nèi)鬼’的導向。”常熟法院刑庭法官李浩然告訴記者，司法實踐中，一般對行業(yè)“內(nèi)鬼”判處的主刑和罰金均重于犯罪鏈條后端的轉賣、倒賣者，并從嚴把握緩刑的適用標準。

“這類‘內(nèi)鬼’往往屬于‘知法犯法’，對他們打擊力度理應更大些、處罰更重些。”南京師范大學法學院教授李建明認為，只要發(fā)生販賣個人信息的行為，一律都要嚴肅查處，不能因為情節(jié)較輕就不處理或冷處理。“就出賣信息的行為而言，‘賣多賣少’是程度問題，但‘賣’這個行為本身性質就是嚴重的，有關人員都應追究相應責任。”李建明建議，對一些情節(jié)嚴重惡劣的行為人，除追究刑責之外，還可設置一段較長時間的“從業(yè)禁止”，消除其再次犯案的可能，讓“個人隱私不是生意，伸手必被捉”成為共識。

在孫逸凡看來，在大數(shù)據(jù)時代，應對“內(nèi)鬼式”數(shù)據(jù)泄露已成為企業(yè)數(shù)字化轉型與發(fā)展的關鍵難題。筑牢企業(yè)的信息安全堡壘，目前已有一些行之有效的手段，比如，通過技術轉化，將消費者的個人信息轉化為肉眼難以看到的內(nèi)容，有效避免消費者個人信息被中途“劫持”;安裝統(tǒng)一的安全管理軟件，對員工訪問、調用數(shù)據(jù)采取安全監(jiān)測、流轉探測等防護措施;有針對性地開展提升信息安全意識方面的培訓，繃緊“安全弦”;導出重要數(shù)據(jù)時，嚴格審批程序;等等。“只有用技術、制度、機制等手段綜合治理，合力扎緊‘籬笆’，才能從源頭上杜絕內(nèi)部人員倒賣個人信息的可能性。”

實習生 戴思顏 記者 胡蘭蘭 顧敏