第3686期 2016-10-22

卖得最贵的个人信息竟是它!“内鬼”焉能安然无恙

王杨  

亡羊补牢

2259
导语

个人信息泄露不是什么新鲜事。许多人都知道这条黑色产业链“繁荣”到让社会人如同“裸奔”。然而,最近媒体报道的两起案件,还是吓人一跳。原来,姓名、电话、家庭住址这些实在稀松平常,开房记录、通话记录乃至银行流水在市场上也属于廉价的“基础款”,卖得最贵的个人信息是手机定位,几百块一次,精准到几百、几十米之内。这实在让人瞠目结舌。而要搞出这些“进阶版”信息,离不开“内鬼”。这个“内鬼”甚至可能是某地方银行的行长!…[详细]

“内鬼”猛于黑客,高达50多种个人信息都可能被泄露

个人信息泄露,主要有两个渠道,一个是黑客,一个是“内鬼”。不过,在相关的介绍中,提及黑客的比较多,比如说黑客侵入教育系统网络,获取考生信息等等。即使谈到“内鬼”,也是比较轻描淡写,大家也多想到的是临时工或者搜集单子的快递员等。然而,最近的新闻所揭发的“内鬼”问题,称得上惊悚了。个人定位信息,谁在卖呢?自然是通信企业内部工作人员。而个人的银行信息又是谁拿出来的呢?给出查询方便之门的竟然是一个银行行长。

行长的新闻最能说明问题的严重性。出事者是湖南地方上一个农商银行的支行行长,他不亲自售卖具体的信息,而是“租借”银行征信系统查询帐号,每隔两天他就改一次密码,每次的出租价格在万元左右。是谁租借了帐号呢?答案竟然又是“内鬼”。而且是远在辽宁的中信银行员工,他们和行长并不认识。因为征信信息只有在银行的内网才能查到,所以他们便创造了一条“生财之道”。新闻是这样写的——“利用非法软件在短时间内大肆获取公民个人征信报告50余万份,以30-50元不等的价格出售给各级中间商合伙牟取非法利益。”是的,几十块一份,南方的行长“内鬼”提供帐号,北方的员工“内鬼”在内网查询,他们不需要认识,也不需要同一银行工作,可个人信息严重泄露的第一步就这么成了。这是多么惊人!卖这么“便宜”,也显然说明这信息简直得来的太容易,也许还竞争激烈,所以“薄利多销”。

卖得最贵的手机定位信息让人无处隐藏,一般是私家侦探和追债公司在使用卖得最贵的手机定位信息让人无处隐藏,一般是私家侦探和追债公司在使用

再来看贵的。个人位置信息比起来不便宜,200到600块左右一次,包天的价格在两三千一天。都是谁在泄露呢?人民日报的报道《7名“内鬼”泄露公民个人信息200余万条》里给出了画像——“犯罪嫌疑人陈某,系某通信公司软件工程师,利用职务之便私下向中间商贩卖数据库密码,使其能够直接访问数据库中全国范围内的手机定位、开户信息等数据。”

和“内鬼”行长何其相似,不用自己亲自动手,只需卖个帐号密码,便财源滚滚来。而根据人民日报的报道,被售卖的个人信息种类高达50多种。

“内鬼”往往逍遥,取信息容易,被追责少见

买卖个人隐私的“中间人”非常多,个人信息相当于曝光于各种闪光灯下,谁都能轻易获取买卖个人隐私的“中间人”非常多,个人信息相当于曝光于各种闪光灯下,谁都能轻易获取

前文提到的银行行长和通信公司工程师的案例,其实属于极少数,更多的“内鬼”,往往隐匿了。以最新法制日报的报道《内蒙奈曼警方破获一起公民个人信息被侵犯案》为例,报道重点讲述了中间商孟某利用网络社交工具混迹各处,搜集和售卖个人信息的事情,然而,根据该文,孟某的两名下线落网了,上线究竟是谁,上线的情况如何却没有任何的消息。实际上,这也是尴尬所在,在裁判文书网查询非法获取售卖个人信息相关的案件判决,会发现大部分的案子,都是中间人或者下线获罪,源头“内鬼”有是有,但是极少。按理说,根据刑法,利用职务之便而获取售卖公民信息者,是罪加一等的。可现实却完全不这样。这恐怕有两个原因:一是因为“内鬼”往往在强势的金融、通信部门工作,这些机构由于怕牵连或者事情闹大等原因,往往大事化了了。二是,类似的案件基本上是跨省作案,多省作案,被害人报警后,从下线开始查起,要刨根究底的话,协调起来十分不易。

追责不容易,可是要得到个人信息又太简单了。人民日报的报道道破天机——“虽然涉案的这些公司、单位内部均有相关规定,严禁泄露客户个人信息,但犯罪嫌疑人均表示,‘实际上没人管,完全靠自觉’。”这么容易泄露,又基本上很难被追究责任,一本万利的生意自然让原来不做的人也艳羡了,一来二去规模能不巨大吗?

普通民众遇到诈骗等情况报案,从下线开始查起,要揪出上线“内鬼”是漫长的普通民众遇到诈骗等情况报案,从下线开始查起,要揪出上线“内鬼”是漫长的

清除“内鬼”,必须要厘清和强调相关机构的责任,否则呼吁再多的个人意识也是无用功

黑客觉得自己能逃脱,胆大妄为,少不了是自信于自己的“本领”;“内鬼”,则自信于组织的庇护与不查。在以往的专题里,讲述过银行“内鬼”如何利用工作之便来骗取用户存款的,手法简单粗暴到令人不敢相信,作案人骗取客户存入巨额资金后,立马掉包网银用的U盾,再用真U盾把钱给转走。然而,面对内控风险和疏漏,银行也往往无动于衷,不会担责。

转走巨额资金这么明目张胆的犯罪,“内鬼”们都干得出来,泄露个人信息当然是小菜一碟了,而相关机构就更不把这当什么责任了。事实上,即使真的泄露个人信息板上钉钉,也不过是几万块钱的罚款而已。

当然,有关机构也自信于很难被找麻烦,个人信息,搜集的渠道广泛,即使被泄露出去,普通人也是很难找到准确的源头。身份证号、家庭住址等一般信息,各种各样的机构都在搜集,前不久人民日报还刊登了一篇控诉某电商涉嫌乱搜集个人信息的文章。该文补充材料称,“今年一季度,工信部、工商总局在对43家手机应用商店的APP软件进行技术检测后,共发现29款软件存在违规收集使用用户个人信息、恶意扣费、强行捆绑推广其他无关应用软件等问题。”而事实上,别说是APP,生活中不展示或者交待自己的个人信息,也是寸步难行。随便办个事情,便需要身份证复印件乃至扫描件,没有就办不了。所以根子上,哪些单位被允许搜集信息,可以搜集哪些信息,如何搜集、如何保护都是需要去界定的,而只有从法律的层面,才能够有给予强有力的约束。

随便办个事情,都可能遇到需要身份证复印、扫描件的情况随便办个事情,都可能遇到需要身份证复印、扫描件的情况

明确机构的责任也是必要。如果是企业的管理不严导致信息严重泄露,不妨以对管理层的追责和巨额罚款来入手。当然,类似事件也得被公布出来,如此,才有消费者用脚投票,选择的可能性。一切信息都捂了起来,那么一切措施便都是镜中月、水中花。

个人把自己的信息给保护得再好,也敌不过“内鬼”汹涌,防不胜防。所以必须明确好相关机构、单位的看护责任,毕竟,存放在那里的个人信息,它也是属于主人的,除了特殊情况,谁也不能未经主人的允许便私下动用、买卖。政府信息要公开,个人信息要隐私,这是国际惯例。

每添加一个题目需要新建一个ID,填写规则是ID之间用英文逗号分开。
如两个题:10600867,10600915