4月11日,南都记者从重庆市公安局两江新区分局获悉,该局日前破获了一起侵犯公民个人信息的案件,多达200多万条的公民信息在网上被公开售卖,非法获利100余万元。
公民个人信息泄露近年来对个人安全造成了严重威胁,相关部门虽严厉打击,这条黑灰产业链仍未得到全面遏制。南都记者调查发现,非法获取和贩卖公民个人信息的产业链条依旧活跃,泄露源头则日趋多元化,犯罪团伙组织严密、分工明确,多以打包的形式销售。
重庆警方打掉63人作案团伙
重庆市公安局两江新区分局方面告诉南都记者,今年3月初,民警接到群众报警,有人在网络上大量出售重庆市两江新区、渝北区楼盘业主信息、机动车车主信息,信息量达到数十万条。随后,警方成立了专案组,对案件开展侦查工作。
3月23日,专案组民警在爱琴海购物广场将两名涉嫌出售公民信息的犯罪嫌疑人抓获。
被抓后,嫌疑人刘某交代,他所在的重庆市某科技公司,实际上一直从事的是通过非法渠道收集和出售公民个人信息,然后从中赚取差价、谋取利益。3月24日18时许,趁该公司例会时,两江警方一举将63名嫌疑人当场抓获。据了解,该公司非法牟利超100万元。
办案民警在侦查过程中发现,被泄露个人信息的公民包括重庆主城楼盘业主、车主、学生家长、企业法人、医生、公务员、建筑师等,而被出售的公民个人信息内容不仅包含公民的姓名、电话号码、身份证号、家庭住址等,有的甚至还涉及到公民所在单位。
警方梳理最后确认,该公司所倒卖的公民个人信息达200多万条,非法牟利超过100万元。
犯罪嫌疑人刘某交代,他是在2014年底通过Q Q在网上购买了100多万条含有公民个人信息的原始数据,再以每条3分到6分不等的价格出售给有需要的特定客户群体。
之后,刘某便直接转变公司“业务”方向,建立了一条“非法获取公民个人信息———信息整理建库———个人信息使用、交换、出售”的产业链。
为了便于开展业务,他们还将公民信息按照不同职业范畴、类别进行归类。
办案民警在侦查过程中发现,该公司有4家分公司,最主要的收入来源是将公民信息出售给有特殊数据需求的人群,比如推销广告等,从中赚取差价,有严密的组织架构和责任分工。这家公司在对外进行业务时,名义上则打的是短信群发、微信公众号推送、集团彩铃等。
目前,该团伙中44人已被警方刑事拘留,案件正在进一步侦办中。
泄露公民信息案并不少见
除了这起案例,南都记者梳理发现,2016年12月,安徽省合肥市警方打掉一个侵犯公民个人信息的29人犯罪团伙,涉及被非法买卖的公民个人信息300余万条。
据警方介绍,这个犯罪团伙是通过“保德诚信息咨询公司”进行公民个人信息的非法获取、使用和出售。该公司总经理张某等人交代,公司内设前台、业务部、客服部和人事部,各部门分工明确。前台专门负责统计、调度、发送公民个人信息以及调换有误数据;业务部下设雷霆队和勇士队,主要负责联系有需要公民个人信息的公司;客服部主要负责确定已出售的公民个人信息是否仍在使用;人事部主要负责公司员工的工资发放、员工考勤等日常工作。自公司成立以来,已通过非法出售公民个人信息获利达100余万元。
2017年1月,公安部特指挥破获了一起特大窃取出售公民信息案,涉及公民个人信息多达50多亿条,涉及交通、物流、医疗、社交、银行等多个方面。
这一犯罪团伙涉案70多人,同样组织架构严密。有人负责侵入网站服务器盗取个人信息,有人负责通过技术手段把这些信息整理、建库,有人负责出售、交换和变现。
南都记者查询中国裁判文书网发现,因涉嫌泄露公民个人信息而被判刑的案例并不少见。被泄露的个人信息范围广泛,涉及网购记录、车主、业主、楼主、酒店住宿信息、12306注册信息、个人简历信息以及网络注册账号、密码等。
例如,2015年2月7日,来自青岛市公安局黄岛分局珠海派出所接警大厅的接警员赵某,因涉嫌犯出售、非法提供公民个人信息罪被刑事拘留。赵某利用工作便利,私自用民警数字证书上公安专网非法查询公民个人信息,并用Q Q网民“爱生活”发布出售个人信息广告。
2015年3月30日,宋某和吴某通过软件获取全国各地企业法人信息工商注册登记信息、公司法人信息、车主、业主、楼主等个人信息92万余条,并获利4000多元。宋某和吴某犯非法获取公民信息罪,各被石家庄市桥西区法院判处有期徒刑一年和六个月,并处罚金一万元和五千元不等。
2016年4月6日,湖北武汉一网络公司员工张某,利用职务之便下载32万余条武汉车主个人信息并向外出售,非法获利人民币4万余元,被武汉市江汉区人民法院以出售公民个人信息罪判处有期徒刑一年,并处罚金人民币一万元。
网上非法买卖依旧公然猖獗
在上述案例背后,事实是公民的个人信息数据仍可以在网上轻易购买到。
例如,检索“买信息”等关键词,南都记者在百度知道“哪里能买到个人信息”问题下看到,有不少用户在评论里回复“号码资源,更新不断”,而这些人都以Q Q号作为用户名。
通过与多位卖家联系,南都记者了解到,卖家可以根据需要,提供相应的车主、业主、银行、教育、金融、企业、保健、网购等多套个人信息。在确定货源后,买家交付定金或全款,卖家即可传送数据。而根据所售数据的新旧与详略,交易价格也有所不同。
一位Q Q名为“接单中”的卖家告诉南都记者,最新一手业主数据售0 .1元1条,而曾出售过的业主类数据交易价格为0.05元1条。个人全套信息的价格略高,以1元1条出售,包括姓名、电话、地址、身份证号码、原件照片、家庭成员、支付宝号码、Q Q号信息。
在被问及数据来源时,卖家们都表示自身有固定可靠的渠道。以车主信息为例,卖家“接单中”称数据保证真实,“不指定车主地区的,带证件号,0 .04元1条”,包括车主姓名、手机号、身份证号、家庭住址、车型、车牌号等信息。一名ID为“优质电话资源”的卖家也强调车主信息是一手资料,称数据“都是内部提供出来的资料,保证让你开发出客户”。
当南都记者表示需要广东地区的车主信息时,这位卖家称,他手上目前只有江苏车主的数据,但如果确定购买的话,立即订购,很快可以确保提供相应的信息。
信息泄露源头日趋多元化
海量的个人信息从何而来?南都记者从中国裁判文书网检索发现,在涉及非法获取个人信息罪(或侵犯公民个人信息罪)的38个案例中,信息分别来自包括学校、银行、电信机构等单位。而在获取方式上,除了犯罪团伙非法窃取个人信息,机构“内鬼”也很可能成为信息泄露的源头,一些员工受利益引诱,铤而走险倒卖用户个人信息。
2017年3月10日,有电商即发现体育“内鬼”在就职期间盗卖用户数据,涉及个人信息50亿条。同月,另一网络交易平台也被曝简历数据泄露,几百元即可采集全国简历。
事实上,网站和A PP采集了用户大量的个人信息,南都记者此前随机调查了50家知名网站和A P P的最新隐私政策并进行评分,超过八成的隐私政策得分不及格。而这些网站和A PP的隐私政策,更像“一边倒”的协议或免责声明。协议中,关于互联网公司与个人的权利与义务存在不对等的现象。
其中,一些隐私协议规定用户同意互联网公司对个人信息进行可能超范围的收集、可用于商业用途、不能确保个人信息不被泄露等。
对此,中国互联网协会信用评价中心法律顾问赵占领向南都记者表示,移动互联网企业及其产品对个人信息收集更多,甚至一些恶意程序会直接非法获取个人信息,比如手机通讯录和地理位置等。
采写:南都见习记者 王琦
实习生 张雅婷 詹晨枫
数据
2017年3月,中国最大的漏洞检测与响应平台“补天平台”曾发布《2016年网站泄露个人信息形势分析报告》,报告显示,2016年该平台共收录了可导致个人信息泄露的网站漏洞3 5 9个,总计可能泄露个人信息60 .5亿条,平均每个漏洞可导致1685万条个人信息泄露。
专家说法
以大数据交易名义公然买卖个人信息
“很多线下的行业借助互联网平台,来进行黑灰产业的运转,建有专门的群,团队有专业分工,线下也有所谓大数据公司。线上线下一体化经营,以大数据交易的名义,公然进行个人信息的交易和买卖。”中国社会科学院研究生院周汉华教授在接受南都记者采访时表示。
周汉华称,侵犯公民个人信息犯罪以及因此滋生的电信、网络诈骗等违法犯罪行为,互联网黑灰产业链面临着严峻的形势。
他认为,要保证公民个人信息安全,首先要从源头抓起,例如一些通讯公司、保险公司、医院、金融机构等等,因为业务的关系掌握大量公民个人隐私信息,要建立自律、清晰的行业规范和标准,保证公民信息的安全。另外,针对典型案例,要加大对违法行为的打击力度。