近日,广东省公安厅召开新闻发布会,仅今年上半年,全省共侦破网络犯罪案件521起,刑事拘留3780人,缴获被泄露、窃取、买卖的公民个人信息15亿余条,三项数据同比分别上升23.51%、18.04%、78.56%,这些数据让“个人信息泄露”问题,再度成为了群众关心的话题。
南方日报记者调查发现,以非法获取公民个人信息为上游,以买卖公民个人信息为中游,以利用公民个人信息实施网络诈骗等为下游,已经形成了一条完整的网络侵犯公民个人信息黑灰产业犯罪链条,严重危害社会稳定和人民群众生命财产安全。
APP“扒信息”已成日常习惯
“下载计算器,却被要求联网权限;下载美食软件,却被要求通讯录权限;下载购物平台,却被要求日历权限,几乎所有软件都想要你的位置……”
“我跟朋友随意聊了几句关于离婚的话题,这个视频社交平台就给我推荐了离婚律师咨询服务的广告。”在爆料中,有消费者向南方日报记者反映。
从这种情况来看,该社交平台似乎很“了解”消费者,而这并非偶然。在7月中旬,40款APP被中央网信办、工业和信息化部、公安部、市场监管总局四部门“点名”。《关于督促40款存在收集使用个人信息问题的APP运营者尽快整改的通知》指出,这40款APP在个人信息收集使用方面存在问题,且未公开有效联系方式。
南方日报记者在表单上看到,被点名的40款APP中,有大量为网民所熟悉的APP,包括安居客、同花顺、墨迹天气、智行火车票等。
就在40款APP被点名的不久之前,已有30款APP因违反网络安全法,被该APP专项治理工作组点名要求整改。而在2018年6月,因为特殊的结构设计,一款手机则将APP收集个人信息的过程形象地展现了出来。这款名为NEX的手机,其前置摄像头为伸缩式,只有当用户在进行自拍等操作时,前置摄像头才会弹出。然而用户在实际使用过程中却发现,在打开某些APP时,原本隐藏的摄像头也会自动弹出,然后再自动缩回。这一过程被形象地描述为:“你躺在床上,忘我地玩着手机,摄像头突然偷偷伸出来,默默地看了你一眼,然后又默默地缩了回去。”
对于此,有APP开发人员向记者表示,一旦你不留神同意了授权,不少APP就会明目张胆地收集你的信息。“下载计算器,却被要求联网权限;下载美食软件,却被要求通讯录权限;下载购物平台,却被要求日历权限,几乎所有软件都想要你的位置……”这应该是很多人安装使用APP时都有的体验。
这些权限,就代表着你的个人信息是否敞开,包括日历、相机、通讯录、定位、麦克风、传感器、短信、内存等。只要具备了这些“接触”权限的许可,APP就能收集你的信息。
拥有大量个人信息的网站成黑客“宝库”
在网络安全防护上不作为、懒作为的情况较为突出,致使这些拥有大量公民敏感信息的系统网络安全漏洞频出,被黑客非法入侵后获取信息并大肆倒卖,实际上成为了黑灰产业链的重要信息源。
2018年3月,脸书上超过5000万条的用户信息数据被一家名为“剑桥分析”的公司泄露出去;
2018年8月,华住集团的1.3亿条个人信息数据在暗网上被公开兜售;
2018年11月30日,万豪国际集团旗下喜达屋集团发生客户预订数据库信息泄露事件。多达5亿条的个人信息被泄露出去。
……
对于持有大量隐私信息的重要信息系统和重点网站而言,其不断加深的信息化程度与薄弱的网络安全防护之间,矛盾突出。2019年上半年,广东省公安机关在对全省9093个重要信息系统和重点网站进行排查时,发现并整改了高风险隐患漏洞2721处,同时清理下架安全问题突出的互联网数据中心服务器1272台,关停虚拟主机245个,行政处罚网络平台运营企业3998家。
这些掌握了大量公民敏感信息的重点单位中,“重应用、轻安全”的情况普遍存在,在网络安全防护上不作为、懒作为的情况较为突出,致使这些拥有大量公民敏感信息的系统网络安全漏洞频出,被黑客非法入侵后获取信息并大肆倒卖,实际上成为了黑灰产业链的重要信息源。
从公安机关破获和法院判决的案例看,车辆、征信报告、银行账户、房产、教育、医疗等信息成为“抢手货”,相关部门“内鬼”作案也成为了个人信息泄露的主要方式。
在广州市警方近期破获的一起案件中,保险公司的保险员罗某,为了提高自己的工作业绩,今年1月至2月期间,多次找到与其有业务关系的某银行客户经理,在该客户经理办公室用手抄的方式盗取200余条公民个人信息(包括客户姓名、性别、年龄、手机号码、存款及理财等信息)。
在广东警方2018年开展的“净网安网3号”行动中,某电信运营商话费结算系统承建公司员工郭某,利用其系统维护管理权限结合黑客技术,大量调取证券公司客服电话的呼叫记录(即股民电话号码信息)后向下游团伙贩卖。
个人信息“商品化”交流贩卖“流程化”
个人信息数据在被多次买卖的过程中,会与其他渠道泄露出的数据不断比对,互相完善。比如金融类公民信息数据,就在被多次买卖的过程中,逐渐增加了个人身份信息、人员轨迹信息、手机定位信息等数据,使得危害成倍提升。
南方日报记者在调查中发现,公安机关近期破获的多起侵犯公民个人信息的案件中,嫌疑人通常都有交流和贩卖个人信息的犯罪情节。
广州市的林杰(化名)有着多年的投资咨询和金融从业经历。2017年10月,他在一个信贷行业微信群里看到有人叫卖公民信息资源。经过私下交流,对方称可以将这些信息卖给他。林杰觉得倒卖这些信息可以获取中间差价,于是向对方购买了一批公民个人信息,随后又倒卖出去。此后,林杰一发不可收拾,通过多个网络社交平台大肆寻找卖家和买家倒卖公民个人信息。
林杰落网时,民警在其电脑和手机里发现用于出售的公民个人信息的文件夹1000多个,个人信息1000多万条。
而深圳的“猎头搜”网站,则搭建起了个人信息交流贩卖的网络平台。在平台上,个人信息如同商品一样被摆上货架,明码标价,供人挑选。该网站通过邀请码的方式注册用户,通过积分的方式管理用户上传下载的数据。用户可以将自己掌握的个人信息资料上传到网站供其他用户下载,以便获取积分。而用户获得积分后,又可使用积分去下载他人上传的相关数据。据办案民警介绍,“猎头搜”网站注册用户达6万余名,掌握内部通讯录、个人简历等文档达40多万份。
在查清团伙组织架构和锁定相关犯罪证据后,专案组开展集中收网行动。在公安部的协调指挥下,北京、上海、广东等20个省市同步开展收网行动,共抓获犯罪嫌疑人130余人,查获公民个人信息2亿多条,一举摧毁上述犯罪团伙。
该案也是目前为止,全国破获的最大的非法提供内部通讯录和个人简历侵犯公民个人信息案。
这些个人信息数据在被多次买卖的过程中,会与其他渠道泄露出的数据不断比对,互相完善。如上文提到的“净网安网3号”行动中,流出的金融类公民信息数据在被多次买卖的过程中,还逐渐增加了个人身份信息、人员轨迹信息、手机定位信息等数据,使得危害成倍提升。
个人信息保护亟待专门立法
在个人信息保护方面,目前还没有单行法,多为分散式立法,没有系统法律。而《中华人民共和国刑法修正案(九)》虽然设立了侵犯公民个人信息罪,但其仍属于“沉睡条款”。
近年来由于个人信息泄露导致诈骗案件频现,如何对个人信息从法律层面进行保护成为社会关注的焦点。
据统计,目前我国有近40部法律、30余部法规涉及个人信息保护,包括民法总则、刑法、消费者权益保护法、网络安全法以及新近通过的电子商务法。但是,专门的个人信息保护法仍未出台。
资料显示,我国早在2003年就由国务院委托有关专家开始起草个人信息保护法,但目前,保护个人信息的单行法仍然处于缺失状态。
华南理工大学法学院教授滕宏庆认为,“在个人信息保护方面,目前还没有单行法,多为分散式立法,没有系统法律。而《中华人民共和国刑法修正案(九)》虽然设立了侵犯公民个人信息罪,但其仍属于‘沉睡条款’,直到2016年的‘徐玉玉案’轰动全国后,各地才陆续出现了首例侵犯公民个人信息罪的判决。一方面说明了这一罪名的制定主要起到震慑作用,在归罪过程中很难界定;另一方面,这个罪名中使用的一些概念、术语、条件都还比较模糊,例如何为情节严重,个人的哪些信息可以被公开,哪些不可以,相关法律并没有给出认定标准。”
广东省委党校教授、法治广东研究中心主任宋儒亮认为,“分散立法难以实现顶层设计,而统一的立法可以在宪法、刑法、行政法、民法之间建立好衔接机制,建立统一的顶层设计。也将更有利于统筹监管和协作监管,对个人信息的保护而言无疑具有突破性意义。”
■案例
个人信息泄露 “助力”精准诈骗
因为拥有了更为详细和精准的个人信息,犯罪分子实施电信诈骗的模式,也已经从最早的“大水漫灌”升级到“更加精准、有效率的2.0版本”。
2018年9月,家住广州增城区新塘镇的赖女士接到一个陌生的电话,电话那头的男子自称是某物流公司的员工,有一个赖女士寄出的包裹被上海出入境管理局查获,里面有12本寄往加拿大渥太华的护照。赖女士称自己没寄过这个包裹,对方却说她的身份信息外泄被犯罪分子盗用了,让她向上海某地警方报案,否则会被限制出入境。
听到这里,赖女士有些慌了,此刻她正在加拿大看望自己的女儿,便要求对方提供公安局的电话。对方直接将电话转到了一个自称是上海某地公安局的“赵警官”那里。电话里,“赵警官”准确地说出了赖女士的个人信息,并告知她的身份证信息被犯罪分子盗用。为了证明与嫌疑人之间没有资金往来,“赵警官”要求赖女士配合进行资产调查。
之后的几天,赖女士按照“赵警官”的要求,添加了其QQ好友,卖掉了手上260多万元的股票存入银行账户中,购买了一部手提电脑,并卸载了电脑里预装的安全防护软件。
随后,对方发来一个网址,要求赖女士插入U盾,在网页中输入银行卡账号和密码,最后又在QQ通话过程中问出了银行发来的验证码,就这样赖女士把卡中的钱全部转给了对方。
几天后,对方再次联系了赖女士,说赖女士不老实,其资产还远不止这些,甚至发来赖女士的一些个人信息和银行资料,反复逼迫赖女士转钱。
由于担心自己触犯法律,赖女士陆续向亲戚借来200万元人民币和10万加币,之后对方如法炮制,将赖女士借来的钱全部转走。几次三番后,“赵警官”还不肯罢休,赖女士无奈再次向亲戚借钱。亲戚问清缘由后立即告诉赖女士这是电信诈骗,赖女士这才意识到自己早已经落入了骗子的圈套。
这是一起典型的“精准诈骗”,诈骗分子利用赖女士被泄露的个人信息,有针对性地实施诈骗,令人防不胜防。因为拥有更为详细和精准的个人信息,犯罪分子实施电信诈骗的模式也已经从最早的“大水漫灌”升级到“更加精准、有效率的2.0版本”。
