据警方介绍,网络上有专门的地下黑客论坛或QQ群从事相关交易,不法分子往往有上百万个用户信息,多次销售给不同的人,获利巨大。很多案例也表明,有互联网公司员工主动泄密以获得非法报酬。
“网络生存”已经成为中国5亿多网民的工作生活常态,获得便利的代价便是个人信息的泄露。刚买了车就有保险公司打电话要给发报价单;生完孩子没多久就有人要推销奶粉;刚在一家中介门店登记要买房,一天就会接到多个咨询、推销的陌生电话……想必很多人都有这样的经历。《经济参考报》记者从公安机关了解到,个人信息通过网络泄露的案件,近年来越演越烈,而网上非法交易个人信息已经形成了一条黑色利益链。
24日,十一届全国人大常委会第三十次会议在北京审议《关于加强网络信息保护的决定》(草案)。针对随意收集、擅自使用、非法泄露甚至倒卖公民个人电子信息等现象,《决定》草案做出了针对性的规定。据此,防止和惩处个人信息网上泄露有望获得法律依据。
母婴信息大肆泄露
母婴信息泄露已经成为个人信息网络泄露案件的重灾区。记者从深圳警方了解到,深圳警方于2011年底破获了一起重大母婴信息泄露案件,从犯罪嫌疑人处缴获的内存中,储存的母婴信息居然有15万条之多,几乎囊括了深圳市主要医院近年来出生婴儿的信息。深圳警方介绍,2011年下半年陆续有市民反映,在生完孩子后,立刻接到陌生人的电话,推销各类奶粉和母婴用品。令人吃惊的是,对方对自己孩子以及孩子母亲的个人信息了如指掌,甚至准确地知道孩子的生日。
深圳警方经过调查后发现,有人通过互联网,叫卖母婴个人信息,以高价销售给相关的母婴用品销售人员。2011年11月下旬,深圳警方办案人员乔装成买家,通过网络与这名被称为“张姐”的信息贩子取得联系,随后约定在深圳某大型市场附近见面。警方介绍,11月下旬末的一天,“张姐”准时出现在约定地点,她长发圆脸,北方口音,拿着厚厚一摞A4纸。警方介绍,纸上是从2010年7月至2011年6月底的深圳全市几乎所有医院的母婴信息。
“这信息可靠吗?”
“你都可以去打电话问,不准一分钱不要。”“张姐”这样介绍。按照原来谈妥的价格,一套个人信息300元。
“你们这信息从哪来的?”
“每个人都有信息渠道,我们医院内部有人。”“张姐”神秘地说。
随后,“张姐”利索地把资料码齐递给办案人员,并称以如此低的价格是不会卖给别人的,希望办案人员可以介绍更多人购买母婴信息。警方介绍,在这些母婴信息中,包括北大深圳医院、罗湖区人民医院、深圳华侨城医院、南山区妇幼保健院等,囊括深圳多家医院。
在掌握证据后,警方以有朋友也想买这样一套信息为由,再次联系了“张姐”。很快双方便约在火车站广场附近见面。“张姐”当日出现后,就被深圳警方便衣民警当场抓获。
据悉,“张姐”真名叫刘某,河南人。据其介绍,她通过网上聊天认识了“上家”阿丽。上家“有医院的单,卖一套给我提成100元。”刘某同时交代,她和阿丽认识已有两年时间,阿丽给她供货,平常通过手机和QQ联系。
随后,民警在刘某家中调查发现,其客厅和卧室里有用A4纸打印的数百张母婴信息。在其卧室的电脑里,存放着更多的个人信息。其中包括:“6岁至9岁小孩名单5万条”、“2010年生的小孩12万条(据深圳市卫人委统计2010年新生儿接近15.8万人)”、“140万小孩”、“深圳车主35万”……所有这些资料加起来,初步估计已超过千万条。在名为“140万小孩”的文件夹里,办案民警居然找到了自己亲属的信息,里面有孩子的出生医院、母亲姓名、联系电话及家庭住址,所有信息与实情丝毫不差。
据深圳警方调查,这些被泄露的母婴信息,出自深圳市医学信息中心母婴数据库系统,对此深圳市医学信息中心主任林德南也予以了确认。
据林德南介绍,医学信息中心确实能够调取并导出全市所有医院的母婴信息数据。他介绍,深圳市医学信息中心母婴数据项目由一名工作人员负责,此人对这些数据拥有绝对权限。然而拥有此权限的并非该中心一家,任何一个环节都可能导致这些信息的外泄。
据了解,深圳市共有59家公立医院,每家医院都有权使用此数据系统。但“除非有计算机黑客破解,一般医务人员只能查看,无法将这些数据导出。”但是59家医院中的市、区妇幼保健院以及市、区卫生部门的相关工作人员,共约十几个人,均拥有母婴信息数据库的管理员权限,他们是可以导出这些数据的。而根据深圳警方介绍,该中心信息数据库相关管理人员及软件开发公司技术人员,同样具有导出数据的可能性。不过,深圳警方也坦言,由于犯罪嫌疑人是通过网络与“上家”联系的,而“上家”阿丽也极有可能是通过他人获得的相关信息,因此给警方办案造成了相当大的困难。
深圳大学法学院副教授陈正沓表示,刘某的行为已触犯了刑法,已构成“非法提供、获取、出售个人信息罪”。根据我国《刑法修正案》(七)第7条规定,“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。”“窃取或者以其他方法非法获取上述信息,情节严重的,依照前款的规定处罚。”据介绍,此案目前仍在进一步侦办中。
信息泄露致银行卡“裸奔”
在大量的个人信息网络泄露案件中,与银行卡诈骗相关的案件,近年来也在不断增加。记者从宁波警方了解到,2011年前9个月,宁波警方破获的相关案件达549起,涉及金额高达5.4亿元。警方介绍,由于我国目前使用的银行卡信息加密技术比较简单,因此通过技术手段,可以从银行卡中获取用户的个人信息。这些个人信息一旦泄露,将可能给持卡者造成巨大的损失。警方还介绍,从已侦破的案件中发现,一些所谓的收卡者,在获得受害人银行卡后,通过技术手段或者欺诈的方式,获得了相关的个人信息,随后便以高价出售给第三方,一套完整的个人信息有时高达600元。
据宁波警方介绍,2011年9月,宁波当地人刘某冒充中国银行工作人员,在多个QQ群里以可办理低息贷款服务为由,骗取了多名受害人的银行卡卡号和身份证复印件。刘某冒充卡主,拨通了银行客服电话,以原关联手机号码丢失为由,要求变更手机号码,而银行客服仅要求对方提供银行卡卡号和身份证的相关信息。
关联手机变为刘某实际持有的手机后,她在淘宝网支付宝上以受害人的身份信息注册了账户,并办理支付宝卡通业务,在网上利用支付宝平台完成银行卡转账到支付宝账户的操作,进行购物或提现。
刘某被抓获后还交代,除了自己骗取受害人信息外,还通过网络购买了部分受害人的信息,并以同样的方式,更改了受害人银行卡的相关设置后,绑定在了支付宝账号上进行消费或转账。
宁波警方介绍,此类新型犯罪不需要银行卡密码,仅需要银行卡持有人的基本个人信息,因此具有很强的欺骗性。宁波市公安局经侦支队办案民进介绍,信息泄露导致的银行卡犯罪大致可分为两类。
第一种,卡的信息和个人信息同时被盗。案犯第一步会以各种方式获取受害人信用卡及身份证的信息,然后更改关联手机号码。这就导致卡主无法及时获知消费信息,使得案发延时,给破案带来很大难度。第二步,通过电话客服获取银行卡密码。很多市民在不同银行办理信用卡时,会重复填写相同信息,造成信息流失。而部分银行在电话更改密码方面较为宽松,给了犯罪分子可乘之机。
第二种,银行卡被复制。这种情况需要同时满足两个条件:银行卡的磁条被复制,不法分子通常会在ATM机或是POS机上安装复制磁条信息的机器来套取信息;同时,银行卡上的密码也被盗取。“单从技术上来讲,目前要复制磁条是比较容易的。”
宁波警方还介绍,在实施犯罪前,犯罪嫌疑人除了会骗取受害人个人信息外,还会通过网络上的一些非法途径,购买个人信息,然后有选择地进行作案。由于个人信息来源网络,贩卖信息者一般都是匿名出售信息,因此给警方办案带来了巨大的困难。
记者还从苏州、厦门等地警方了解到,随着个人信息泄露而引发的银行卡犯罪案件增多,一些不法分子,也开始越来越多地利用网络,来收集和贩卖相关的个人信息。据介绍,一些不法分子公然在网上明码标价收购银行卡,普通卡一张可以卖到50元,带U盾的可高达150元。警方和银行人士提醒,银行卡内存有大量个人信息,一旦泄露,会给持卡人带来诸多麻烦。如被人利用银行卡从事违法犯罪活动,甚至可能需要承担相关法律责任。
在警方的介绍下,记者在网上输入“收购银行卡”后,随即出现不少“长期回收银行卡”的网站和帖子。记者联系了几家回收银行卡的商家发现,被收购的银行卡主要包括工行、农行、中行、建行、邮政储蓄等银行,价格一般为普通卡每张50元、U盾卡每张100元至150元。
“我们收购这个卡是用来申请广告联盟。”一个收购者这样说,因为广告联盟一个人只能够申请一次,而他们需要申请多个账户。“请放心,我们不是用来做什么非法活动。”这个收购者还要求,须是全新无任何交易记录的卡,并带开户单。另一个收购者则表示,他想在淘宝开多个店铺,但因一人只能开一个,所以高价收购银行卡开淘宝店,数量要20张至30张,价格不满意的还可打电话再详谈。尽管这些收卡者均称自己收卡不会用作非法活动,但在警方的提示下,记者发现在一些出售银行卡个人信息的网站上,销售信息者留的电话,和上述购卡者一致。
警方提醒,根据银行卡的有关管理法规,银行卡及其账户只限经发卡银行批准的持卡人本人使用,不得出租和转借。买卖银行卡明显违反此规定。“闲置不用的银行卡最好销户,要是嫌办销户手续麻烦,也可自己将银行卡剪角销毁。”厦门一银行人士提醒说,如果贪图小利出售自己的银行卡,卡内的个人信息就会泄露,不仅会给持卡人带来诸多麻烦,甚至可能要承担相关法律责任。
黑色产业链形成
相关调查显示,通过网络窃取和贩卖个人信息的黑色利益链正在形成,不法分子通过各种手段,盗取个人信息后,可以直接侵入别人账号、邮箱而获取有用的信息,也可以打包销售。购买者主要用于网络推销、电信垃圾广告、电商垃圾邮件等。据警方介绍,相关的交易过程非常简单,在网络上有专门的地下黑客论坛或QQ群从事相关交易,而掌握这些信息的不法分子,手里往往有上百万个用户信息,可以多次销售给不同的人,获利巨大。
据北京警方介绍,2011年下半年,警方破获了一起非法获取公民个人信息的案件,警方和检察机关通过对整个案件脉络的调查,发现尽管买家和卖家素不相识,甚至相隔千里,但他们通过网络方便快捷地完成收集、加工、倒卖公民个人信息的全部过程,而相关利益链也因此建立。
北京市警方介绍,北京市公安局丰台分局2011年下半年抓获了犯罪嫌疑人赵家学(化名)。大学肄业的赵家学在一次上网过程中看到一个帖子,帖子的大致内容是求购公民个人信息。此事让赵家学有了兴趣,他继续在互联网上搜索着与买卖公民个人信息有关的资料,并找到一个买卖公民个人信息的QQ群,尝试着与群里成员聊天,随后群里的“热心人”向他介绍了游戏规则。之后,赵家学一边通过互联网搜集大量的公民电话号码信息,一边加入相关QQ群,与群里的“同行”交换数据,或是根据购买者的意向搜集相关类别的公民个人信息,扩大个人数据库。
掌握了大量的公民个人信息后,赵家学或是在网上贴出销售公告并留下联系方式,让买家找上门来;或是通过网络搜索求购信息,并通过QQ与有购买意向的人沟通。就这样,短短一个月时间内,赵家学就掌握了一个数据量在2万条以上的数据库,并以每条0.01元到0.1元不等的价格出售公民个人信息。截至案发,赵家学共出售公民个人信息20余万条,获利1万余元。
赵家学归案后,警方对其电脑硬盘的数据进行了恢复,通过缴获的QQ记录,警方对该案的全部涉案QQ号进行侦查,发现涉及违法犯罪行为的QQ群10个,累计群内成员1365人,人数最多的群有500名成员,人数最少的群也有59人。通过对群内个人发帖的分析,初步确定活跃群6个,涉及63个号码60人,经过技术手段查获26个地址在北京的QQ号。随后,警方展开了全市范围的抓捕行动,共抓获犯罪嫌疑人25名。
在本案倒卖公民个人信息的犯罪嫌疑人中,有的是以倒卖信息为营生,有的则另有所图。
犯罪嫌疑人王顺、李钊(均为化名)就职于北京一家文化发展有限公司,为推销该公司销售的邮票、纪念币、收藏品等,王顺、李钊通过在网上发布求购信息的帖子购买公民个人信息,并要求买方有针对性地提供对收藏品感兴趣的信息。买来信息后,他们组织专人逐一拨打对方电话,推销该公司经营的产品。
据两人供述,自2011年5月初,他们通过网络购买到3万余条公民个人信息,利用上述打电话推销产品的方式公司共销售出10万余元的商品,从中获利1万余元。
犯罪嫌疑人赵华(化名)购买到公民个人信息后,通过电话推销的方式挖掘潜在客户。其推销的化妆品是假冒名牌化妆品的伪劣产品,自今年7月以来,卖出了大批的假冒伪劣化妆品,截至案发共获利15万余元。
由此可见,非法获取公民个人信息罪的危害不仅在于侵犯公民的个人隐私,同时还催生了很多次生犯罪,如本案中牵扯出来的销售伪劣产品罪、诈骗罪等。
“在信息时代,信息能够带来巨大的经济利益,正是因为这个原因,才导致一些不法分子置法律于不顾,通过滥用个人信息来谋取巨额利润。”对于日益猖獗的个人信息网络泄露案件,中国社会科学院法学研究所宪法与行政法研究室主任周汉华这样说。
“低成本、高收益,暴利才是信息泄露的根源。”工业和信息化部计算机与微电子发展研究中心副主任高炽扬亦有同感。正是存在恶意利用个人信息的不正当行为,才导致该产业存在一个环环相扣的利益链条,而其中的暴利诱使一些人铤而走险,从组织内部非法获取信息。
有法律界人士指出,由于窃取和贩卖公民个人信息的黑色产业链日益形成,其巨大的利益导致部分在信息源工作的人员,参与其中,为这条黑色产业链提供了大量“血液”,以至于这条产业链日益壮大,并导致公民个人信息被频繁泄露。
“机动车销售、房产中介、医院等行业及其从业人员往往有机会接触、掌握大量公民个人信息。这些行业虽然有内部系统出台的关于个人信息的查询规范、查询电子信息备案及保护工作意见等,但由于部分从业人员法律意识不强,企业管理、执行不到位等情况,存在制度漏洞。因此,这些行业成为个人信息泄露的‘重灾区’。”甘肃中立源律师事务所律师杜泓违分析。
上海泛洋律师事务所高级合伙人刘春泉认为,目前,有很多案例表明,的确存在互联网公司员工主动泄密以获得非法报酬的情形。而从事后追惩看,大多数只针对个别员工,并没有针对企业负责人进行追惩,达不到实质性的惩处效果。
工业和信息化部科学技术情报研究所副所长刘九如表示,当前涉及个人信息保护的法规中,金融、电信等领域的相关规定较为具体,而缺乏对职业中介等一些机构的个人信息保护规定,这导致了部分公民个人信息从源头上出现泄露的情况。