信息“裸奔”谁该担责?

人民网、医牛健康资讯网综合整理 2016-12-14 信息泄露 (2899)

最近,有媒体记者的体验让人细思恐极:只花700元钱,就能准确地说出同事住宾馆跟谁同屋、银行账户余额多少、乘飞机在几排几座,甚至是在网吧的聊天记录、用手机的通话记录,以及此刻身在何处!

这还不算完,此类贩卖个人信息的服务居然有第三方敢担保,交易已经实现了“平台化”“组织化”。也就是说,专门有一个行当、有一群人干着让你信息“裸奔”的营生,靠出卖你的隐私轨迹吃饭,而且昼夜倒班、全年无休。

新闻链接:

南方都市报 个人信息泄露严重 交警3毛一条卖3万车主信息

日前,南方都市报记者暗访黑灰产业链服务商,在提供所查询的姓名和身份证号后,便可买到包括开房记录、乘机、上网吧等信息在内的“身份证大轨迹”,前后花费不到千元。

南都记者昨日梳理了近年来司法机关公布的多件涉及个人信息买卖的判例,发现泄露个人信息者主要是系统“内鬼”和网络黑客,他们在非法窃取信息后与下游展开密切合作,层层代理,最终捆绑成一个产业链。正是他们对个人信息的出卖与窃取,让大众在“裸奔”。

内鬼:行业内部人员提供一手数据

在个人信息买卖市场里,商品种类繁多。信息泄露的途径之一就是行业内部人员。

这些“内鬼”包括通信公司软件工程师、快递公司苏州某仓库管理员等。比如,犯罪嫌疑人陈某,系某通信公司软件工程师,利用职务之便私下向中间商贩卖数据库密码,使其能够直接访问数据库中全国范围内的手机定位、开户信息等数据。

据办案民警介绍,其中比较“热门”的信息是手机定位,且定位价格也较为昂贵。价格表显示,联通定位270元/次,电信定位450元/次,移动定位最贵,达到580元/次。而所提供的手机定位服务,则包括“包天”、“包周”,定位精度在几十米至几百米之内。

银行员工出售个人储蓄数据

除了通信行业,银行系统也是信息泄露重灾区。

2014年12月,上海浦东新区法院审理一起案件,被告人林某某在2008年5、6月,被劳务派遣至中国建设银行股份有限公司广东省分行信息技术管理部工作期间,将大量建行广东分行的个人储蓄数据及电子银行数据导出、复制,存储于其私人电脑上,然后在Q Q上向7名卖家出售其所获取的银行客户信息共计957万余条。

一位银行内部人员昨日告诉南都记者,银行内部掌握有客户信息权限的人并不多,大部分员工在查询征信信息时,需双人复核,并处于网点监控之下。除此之外,为了防止内部员工泄露客户信息,银行还会定期检查员工电脑及服务器使用情况。

交警3毛一条卖3万车主信息

此外,南都记者从中国判决文书网上搜索发现,在政府机关内部也出现过信息外流事件。

2010年10月至2011年7月间,被告人林某甲利用其负责海南省文昌市公安局交警大队电脑网络车辆信息管理及维护的职务之便,将3万余条海南省车辆的车主姓名、电话号码、车辆品牌等信息提供给了被告人曹某某,双方以每条信息0 .3元的价格结算,被告人曹某某分多次共向林某甲支付1万元信息费。

2011年10月至2012年3月,乌鲁木齐市公安局沙依巴克区分局发生一系列公民个人信息泄露事件,遭泄露的信息包括户籍、护照、宾馆记录等。经调查,信息泄露的源头是劳务派遣人员王某。他在该局指挥室网络办担任协警,握有公安机关的上网专用密钥。

黑客

根据360互联网中心发布的2014年《中国用户数据泄露统计表》,个人信息泄露包括三条路径:一是人为因素,即掌握了信息的公司、机构员工主动倒卖信息;二是电脑感染病毒木马等恶意软件,造成个人信息泄露;三是攻击者利用网站漏洞,入侵了保存信息的数据库。

盗取、交换、买卖个人信息已成产业链

各个信息出售团伙形成联系密切的犯罪集团通过微信群、QQ群出售个人信息

个人信息出售已形成完整产业链,有的直接盗取信息,有的相互交换信息,有的相互买卖信息。从信息泄露源头(查询员),通过层层代理的方式将个人信息依次出售。各个信息出售团伙既独立形成上下线,又相互交叉,形成联系密切的犯罪集团;信息泄露源头相对独立,同时又为多个信息贩卖代理商提供信息,代理商通过建立微信群、Q Q群买卖信息。

3-4个内鬼两个业务员组团

比如,在宜昌破获的侵犯个人信息案例中,2014年,32岁的犯罪嫌疑人阿金通过Q Q结识浙江籍林某。林某趁网站管理员下班之机,利用木马程序侵入网站,将里面的个人信息导出,并以一元一条的方式出售给阿金。随后阿金又将信息出售给二级代理商,从而形成一条分工明确,协同作案的链条式犯罪。

“内鬼”上线每月能拿2万多元

根据客户需求的不同,也会有不同的收费标准。

户籍信息、开房信息、差旅信息等,一般都在500元左右。其中手机定位收费最贵,也最困难,在500元以上。上家会利用权限,根据手机信号强弱定位,收费越贵定位越准。如果查不到有效位置信息,也会根据快递信息、外卖信息进行定位。

此外,根据不同的人群,也有不同的收费标准。对于金融诈骗的维权人士,如果要查找诈骗公司法人的户籍信息,一般要价500-600元。如果是营救被骗传销的亲人,一般在400元以下,这个价格被上家称为“成本价”。

实际上,查询这些信息并不需要太多“成本”。

应该说,信息泄露与公民日常行为不严谨、不在意有一定关系。然而,包括银行账户、手机通话、搭乘航班、住宿记录、驾照违章等在内的公共服务记录,出现大规模、成批量的外流,难免让人担忧:管理此类信息的政府部门和企业,有没有防护能力?

公共服务部门的“防护层”有了缝、漏了底,原因大概有两种:一是系统自身缺陷导致信息被盗取和篡改,二是内鬼作案,倒卖信息牟取暴利。

前者是硬伤。表明在系统建设时,对外包服务提供者的资质审核不到位,甚至在前期招标过程中就出现“内幕交易”,让劣质主体顶了大梁,上线的系统难免漏洞百出、后门不断,给了“网络扒手”可乘之机。

后者是内伤。说明信息提取和使用的程序不完善,内部人员查询、复制相关信息没有明确的监督机制。信息往库里一丢,谁查谁用,无章可循、无据可依,无形中鼓励了一些人铤而走险,盗用换钱。

因此,治理信息“走丢”、堵住隐私外泄,必须要筑牢公共部门安全篱笆,把“防火墙”修的更高、更厚、更严。同时,加大打击力度,形成高压态势,提高违法成本。

其实,信息掌管者要确保源头安全,已是法律的明确要求。网络安全法特别强调,网络运营者不得泄露、篡改、毁损其收集的个人信息,一旦违规要负法责任。在法律实施过程中,首先要保证系统的运行安全,治愈“硬伤”。对企业参与党政及司法机关的信息系统开发、数据存储使用要尤其严格。在确定外包服务提供者过程中,不仅应严格依据政府购买服务的规则进行公开招标采购,还要对企业资质、技术水平、资本构成、实际控制人情况等进行严格审查。

其次,要完善部门内部信息管理和使用的规范,防内鬼、治内伤。谁查询、复制信息,应该保留完整记录,做到系统内每走一步都能留下“脚印”和“足迹”。以此形成倒查机制,对不按规矩查询、复制信息者加以严惩。

同时,公安机关要加大对个人信息泄露的查办力度。公安部已表示,将打击侵犯个人信息专项行动延长至明年12月底。只有继续对窃取、贩卖、非法利用公民个人信息犯罪活动保持严打高压,才能给公民保护信息多上一道安全锁。

循证来源:人民网,人民网评:信息“裸奔”谁该担责?2016年12月14日