3月以來(lái)我省查處行業(yè)“內(nèi)鬼”140名——源頭堵漏洞,筑牢個(gè)人信息安全堤
9月14日,記者從省公安廳獲悉,自今年3月開展“凈網(wǎng)2023”專項(xiàng)行動(dòng)以來(lái),我省公安機(jī)關(guān)持續(xù)嚴(yán)打侵犯公民個(gè)人信息犯罪,共偵破侵犯公民個(gè)人信息案件623起,打掉犯罪團(tuán)伙135個(gè),其中查處行業(yè)“內(nèi)鬼”140名。哪些行業(yè)是個(gè)人信息泄露的“重災(zāi)區(qū)”?行業(yè)“內(nèi)鬼”為何能屢屢得逞?如何堵住泄露個(gè)人信息的漏洞?要解決這一系列問題,亟待在源頭治理上下功夫。
“白天網(wǎng)購(gòu),晚上信息就落到電詐分子手上”
“張先生您好,我是××客服,您的快遞丟失了”“我們將給您3倍賠償”……一次網(wǎng)購(gòu)之后,揚(yáng)州市民張先生頻繁接到冒充網(wǎng)購(gòu)客服的電話。他不知道的是,印有自己姓名、電話、地址等信息的快遞面單早已被層層倒賣,落入電詐分子手中。
去年7月,揚(yáng)州警方成立的專案組分赴廣東、云南等10個(gè)省份,共抓獲犯罪嫌疑人60名,其中涉快遞行業(yè)“內(nèi)鬼”27名、信息販子24名。在這起買賣快遞面單非法牟利2500余萬(wàn)元的特大侵犯公民個(gè)人信息案件中,信息販子與快遞行業(yè)工作人員勾結(jié),形成一張非法獲取、交易變現(xiàn)、非法利用公民個(gè)人信息的犯罪網(wǎng)絡(luò)。
據(jù)信息販子黃某交代,他們與快遞行業(yè)“內(nèi)鬼”的合作方式有多種:以利益誘惑拉攏快遞員、網(wǎng)店員工,將經(jīng)手的快遞面單拍照打包出售;專門合作開店代理快遞運(yùn)輸,以稍低于市場(chǎng)價(jià)的方式,與一些網(wǎng)店合作收發(fā)快遞,從而獲取快遞面單信息進(jìn)行倒賣;更有甚者,勾結(jié)快遞站點(diǎn)工作人員,在物流倉(cāng)庫(kù)的電腦上安裝由境外電詐分子提供的木馬程序,這種程序可以攻擊物流公司的派單系統(tǒng),竊取消費(fèi)者信息并傳輸至境外??爝f面單還會(huì)根據(jù)商品和價(jià)格來(lái)分類,較受歡迎的母嬰類、保健品、化妝品類面單單價(jià)可達(dá)5—8元。
省公安廳網(wǎng)安總隊(duì)分析發(fā)現(xiàn),近3年查處的362名行業(yè)“內(nèi)鬼”中,涉及寄遞物流、金融證券、教育培訓(xùn)、房產(chǎn)交易、醫(yī)療保險(xiǎn)等眾多行業(yè)。其中多為企業(yè)內(nèi)部員工利用職務(wù)之便,非法批量獲取包含特定身份、醫(yī)療健康、行蹤軌跡、家庭住址等高敏感公民個(gè)人信息,轉(zhuǎn)而販賣牟利。
更令人擔(dān)憂的是,行業(yè)“內(nèi)鬼”為涉網(wǎng)犯罪“遞刀子”日趨規(guī)?;a(chǎn)業(yè)化。省公安廳網(wǎng)安總隊(duì)民警李祥透露,在信息倒賣環(huán)節(jié),非法查詢信息等生意藏身于某些社交平臺(tái),點(diǎn)多面廣,極為隱蔽,給常態(tài)化保護(hù)網(wǎng)絡(luò)數(shù)據(jù)安全帶來(lái)巨大工作量和工作難度;在下游犯罪環(huán)節(jié),非法獲取的公民個(gè)人信息常被用于賬號(hào)注冊(cè)、軌跡定位、推廣引流等非法服務(wù),滋生大量網(wǎng)絡(luò)水軍、暴力催收、電信詐騙、跨境賭博等突出犯罪。
揚(yáng)州市公安局網(wǎng)安支隊(duì)案件偵查大隊(duì)大隊(duì)長(zhǎng)王成和同事們偵查梳理發(fā)現(xiàn),白天在網(wǎng)上買一個(gè)東西,可能晚上快遞信息就到了境外電詐分子手中,他們冒充客服打電話,這種“對(duì)癥下藥”式的詐騙更容易迷惑消費(fèi)者。
行業(yè)“內(nèi)鬼”何以屢屢得逞
剛給新車上了牌,車主就被各種推銷車貸、車險(xiǎn)的電話每天輪番“轟炸”,對(duì)方甚至能準(zhǔn)確說(shuō)出車主的姓名和車牌號(hào)碼。6名來(lái)自甘肅、山東、福建等地車管所或交管局指揮中心的輔警,竟是這些車輛檔案信息的泄露源頭。
在盱眙法院審理的田某等6人侵犯公民個(gè)人信息罪案件中,6名交警支隊(duì)輔警利用工作之便私自使用民警數(shù)字證書,在公安系統(tǒng)內(nèi)網(wǎng)違法查詢車輛檔案信息,再以10元至40元的價(jià)格出售牟利,最終6人均被判處實(shí)刑。“機(jī)關(guān)事業(yè)單位在履行法定職責(zé)的過(guò)程中,能獲得全面、精準(zhǔn)、外界難以接觸的公民個(gè)人敏感信息,容易成為不法分子的‘狩獵’目標(biāo)。”盱眙法院刑庭法官劉丹丹說(shuō),“內(nèi)鬼”屢屢得逞,暴露出一些機(jī)關(guān)單位信息監(jiān)管制度的缺失。該案中查詢車輛檔案信息是正式干警才有的權(quán)限,但由于電腦上的查詢工具長(zhǎng)期不關(guān)閉,讓涉案輔警有了“可乘之機(jī)”,利用午休或下班時(shí)間盜用正式干警的數(shù)字證書查詢車輛檔案信息。
“現(xiàn)實(shí)情況是,搜集信息的企業(yè)單位關(guān)注的往往是業(yè)務(wù)是否正常運(yùn)行、用戶使用是否方便,對(duì)安全性的重視程度遠(yuǎn)遠(yuǎn)不夠。”上海觀安信息技術(shù)股份有限公司安全項(xiàng)目經(jīng)理孫逸凡發(fā)現(xiàn),當(dāng)前很多行業(yè)保護(hù)數(shù)據(jù)的防御體系多是對(duì)外,即安全設(shè)計(jì)多為監(jiān)測(cè)和抵御外來(lái)攻擊入侵,反而忽視了對(duì)自己人從內(nèi)部“擰鑰匙”的防范。“很多企業(yè)對(duì)員工獲取數(shù)據(jù)缺少相應(yīng)的訪問控制以及流程管控,加上其辦公區(qū)域與服務(wù)器業(yè)務(wù)區(qū)域往往不作區(qū)分,導(dǎo)致員工以及一些外包人員能輕松獲得隱私數(shù)據(jù)。”他遇到過(guò)好幾家單位因?yàn)橐郧暗拈_發(fā)人員隨意安裝盜版軟件、服務(wù)器隨意開放端口,或是將源代碼發(fā)布到Github(軟件項(xiàng)目托管平臺(tái))等,導(dǎo)致發(fā)生勒索病毒、蠕蟲病毒等威脅信息安全的事件。
公安機(jī)關(guān)偵破的大量案件表明,犯罪嫌疑人大多是從最初幾百幾千條信息倒賣開始,之后主動(dòng)在網(wǎng)上尋找資料來(lái)源,高價(jià)倒賣,數(shù)量很快升至上萬(wàn)條。“QQ群里經(jīng)常有人發(fā)布收購(gòu)車輛信息的帖子。”輔警孫某交代,沒想到工作中經(jīng)常接觸的信息竟然有人花錢來(lái)買,“一條就能賣30多元,一天賣四五條就是一兩百元,比上班還強(qiáng)。”幾次倒賣信息嘗到甜頭后,孫某就無(wú)法收手了,甚至專門開了一個(gè)微信號(hào)用于拍攝車輛檔案信息、聯(lián)系下家。短短4個(gè)月,孫某非法出售車輛檔案信息近萬(wàn)條,獲利17.6萬(wàn)余元。
筑牢信息堡壘需“內(nèi)外兼修”
揪出、管住特殊行業(yè)的“內(nèi)鬼”,是防止公民個(gè)人信息泄露的重要一環(huán)。眼下,全省公安機(jī)關(guān)正按照“打源頭、摧平臺(tái)、斷鏈條”思路,重拳打擊非法竊取、買賣公民個(gè)人信息的團(tuán)伙和行業(yè)“內(nèi)鬼”。
刑法規(guī)定,向他人出售或者提供公民個(gè)人信息,情節(jié)嚴(yán)重的,處3年以下有期徒刑或者拘役,并處或者單處罰金;情節(jié)特別嚴(yán)重的,處3年以上7年以下有期徒刑,并處罰金。而根據(jù)兩高出臺(tái)的相關(guān)司法解釋,在履行職責(zé)或者提供服務(wù)過(guò)程中獲得的公民個(gè)人信息出售或者提供給他人,認(rèn)定“情節(jié)嚴(yán)重”的數(shù)量、數(shù)額標(biāo)準(zhǔn)減半計(jì)算。“這體現(xiàn)了從嚴(yán)、從重懲處行業(yè)‘內(nèi)鬼’的導(dǎo)向。”常熟法院刑庭法官李浩然告訴記者,司法實(shí)踐中,一般對(duì)行業(yè)“內(nèi)鬼”判處的主刑和罰金均重于犯罪鏈條后端的轉(zhuǎn)賣、倒賣者,并從嚴(yán)把握緩刑的適用標(biāo)準(zhǔn)。
“這類‘內(nèi)鬼’往往屬于‘知法犯法’,對(duì)他們打擊力度理應(yīng)更大些、處罰更重些。”南京師范大學(xué)法學(xué)院教授李建明認(rèn)為,只要發(fā)生販賣個(gè)人信息的行為,一律都要嚴(yán)肅查處,不能因?yàn)榍楣?jié)較輕就不處理或冷處理。“就出賣信息的行為而言,‘賣多賣少’是程度問題,但‘賣’這個(gè)行為本身性質(zhì)就是嚴(yán)重的,有關(guān)人員都應(yīng)追究相應(yīng)責(zé)任。”李建明建議,對(duì)一些情節(jié)嚴(yán)重惡劣的行為人,除追究刑責(zé)之外,還可設(shè)置一段較長(zhǎng)時(shí)間的“從業(yè)禁止”,消除其再次犯案的可能,讓“個(gè)人隱私不是生意,伸手必被捉”成為共識(shí)。
在孫逸凡看來(lái),在大數(shù)據(jù)時(shí)代,應(yīng)對(duì)“內(nèi)鬼式”數(shù)據(jù)泄露已成為企業(yè)數(shù)字化轉(zhuǎn)型與發(fā)展的關(guān)鍵難題。筑牢企業(yè)的信息安全堡壘,目前已有一些行之有效的手段,比如,通過(guò)技術(shù)轉(zhuǎn)化,將消費(fèi)者的個(gè)人信息轉(zhuǎn)化為肉眼難以看到的內(nèi)容,有效避免消費(fèi)者個(gè)人信息被中途“劫持”;安裝統(tǒng)一的安全管理軟件,對(duì)員工訪問、調(diào)用數(shù)據(jù)采取安全監(jiān)測(cè)、流轉(zhuǎn)探測(cè)等防護(hù)措施;有針對(duì)性地開展提升信息安全意識(shí)方面的培訓(xùn),繃緊“安全弦”;導(dǎo)出重要數(shù)據(jù)時(shí),嚴(yán)格審批程序;等等。“只有用技術(shù)、制度、機(jī)制等手段綜合治理,合力扎緊‘籬笆’,才能從源頭上杜絕內(nèi)部人員倒賣個(gè)人信息的可能性。”
實(shí)習(xí)生 戴思顏 記者 胡蘭蘭 顧敏
江蘇蘇訊網(wǎng)版權(quán)及免責(zé)聲明:凡本網(wǎng)注明“來(lái)源:XXX(非江蘇蘇訊網(wǎng))”的作品,均轉(zhuǎn)載自其它媒體,轉(zhuǎn)載目的在于傳遞更多信息,并不代表本網(wǎng)贊同其觀點(diǎn)和對(duì)其真實(shí)性負(fù)責(zé)。 如因作品內(nèi)容、版權(quán)和其它問題需要同本網(wǎng)聯(lián)系的,本網(wǎng)按規(guī)定給予一定的稿費(fèi)或要求直接刪除,請(qǐng)致電025-86163400 ,聯(lián)系郵箱:724922822@qq.com。