金融行業(yè)的“內(nèi)鬼”屢屢作案，團(tuán)隊(duì)化案件的方式更加完善。一些“內(nèi)外勾結(jié)”犯罪甚至可以建立一個(gè)全鏈條的犯罪團(tuán)伙，從獲取、交易到實(shí)現(xiàn)、非法使用個(gè)人信息。

文｜樊朔

編輯｜郭麗琴

由于犯罪產(chǎn)品升級和金融企業(yè)“內(nèi)鬼”，個(gè)人信用信息這一高度敏感的信息被頻繁泄露。

最近，北京市高級人民法院(以下簡稱“北京高院”)報(bào)告了一起侵犯公民信用信息的案件。

沈某利用就業(yè)方便，采用“撞庫” 獲取某銀行個(gè)人信用信息系統(tǒng)賬戶密碼，利用其大型國際信托有限公司與該銀行之間的專線互聯(lián)終端，多次非法登錄該銀行個(gè)人信用信息系統(tǒng)，查詢下載存儲他人信用信息報(bào)告100份。此前，沈某曾采用同樣的犯罪手段，共查詢并下載了1000多份存儲他人信用報(bào)告。

根據(jù)北京高院的介紹，“撞庫” 它是網(wǎng)絡(luò)安全領(lǐng)域的一個(gè)概念，一般是指攻擊者通過一些自動化工具批量向數(shù)據(jù)庫網(wǎng)站的相關(guān)界面提交大量隨機(jī)的登錄名稱/密碼組合，記錄可以成功登錄的組合，竊取賬號，為其他違法犯罪活動的實(shí)施做準(zhǔn)備。

北京市高級人民法院黨組成員、副院長孫玲玲透露，此類犯罪原因包括行業(yè)內(nèi)的“內(nèi)鬼”反復(fù)作案，團(tuán)隊(duì)化作案方式更加完善。“一些‘內(nèi)外勾結(jié)’型犯罪甚至可以建立一個(gè)全鏈條的犯罪團(tuán)伙，從獲取、交易到實(shí)現(xiàn)、非法使用個(gè)人信息”。

《財(cái)經(jīng)》試圖通過采訪案件當(dāng)事人，整理相關(guān)司法文件，恢復(fù)依靠大量公民個(gè)人信用信息“喂養(yǎng)”的多條黑色產(chǎn)業(yè)鏈。

“撞庫”獲取個(gè)人信用信息

升級技術(shù)手段這是導(dǎo)致個(gè)人信息侵犯頻繁發(fā)生的重要原因。

孫玲玲指出，隨著“木馬”程序、“靜默”插件、“爬蟲”軟件等信息技術(shù)手段的廣泛應(yīng)用，技術(shù)升級迭代顯著提高了非法獲取信息的速度和規(guī)模。隨意、快速地抓取信息數(shù)據(jù)，從而亂用、泄露的情況并不少見，而且很多知名的因特網(wǎng)公司也多次成為受害目標(biāo)。根據(jù)統(tǒng)計(jì)，近三分之一的案件涉案公民的個(gè)人信息來自于技術(shù)盜竊。

根據(jù)交通銀行國際信托有限公司(以下簡稱“交通銀行國際信托”)前項(xiàng)目經(jīng)理沈某于1987年出生，是上海人。他有研究生文化，分別于2018年2月5日和3月23日獲得中國人民銀行個(gè)人信用信息系統(tǒng)賬戶密碼，通過中國人民銀行與交通銀行國際信托有限公司專線互聯(lián)終端，非法登錄中國人民銀行個(gè)人信用信息系統(tǒng)(服務(wù)器位于北京市西城區(qū))，查詢下載存儲100份他人信用信息報(bào)告。

另外，在2013-2014年間，沈某采取了同樣的作案手段，共查詢并下載了1000多份存儲他人的信用報(bào)告。

法庭最終判處沈某侵犯公民個(gè)人信息罪，判處有期徒刑一年，并處罰金400元。

根據(jù)《刑法》第二百五十三條，侵犯公民個(gè)人信息罪是指向他人出售或者提供公民個(gè)人信息，違反國家有關(guān)規(guī)定。情節(jié)嚴(yán)重的，處三年以下有期徒刑或者拘役，并處或者單獨(dú)處罰；情節(jié)特別嚴(yán)重的，處三年以上七年以下有期徒刑，并處罰金。如果U2002違反國家有關(guān)規(guī)定，在履行職責(zé)或提供服務(wù)過程中獲得的公民個(gè)人信息將被出售或提供給他人，則按照上述規(guī)定受到嚴(yán)厲處罰。公民個(gè)人信息被盜或者以其他方式非法獲取的，按照第一款的規(guī)定進(jìn)行處罰。

北京觀韜中茂(上海)律師事務(wù)所合伙人吳丹君告訴《財(cái)經(jīng)》，從信息泄露的數(shù)量來看，沈非法獲得的其他信用報(bào)告數(shù)以千計(jì)。在2017年最高人民法院和最高人民檢察院發(fā)布的《關(guān)于處理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》中，將信用信息納入敏感信息，可以通過非法獲取、銷售或提供50條信用信息來犯罪。因此，本案涉及的信用信息數(shù)量巨大，具有典型性。

此前，沈某所在的交通銀行國際信托也受到了個(gè)人信息的處罰。財(cái)經(jīng)發(fā)現(xiàn)，2019年4月22日，交通銀行國際信托未經(jīng)同意查詢個(gè)人信息和企業(yè)信用信息，被中國人民銀行武漢分行罰款29萬元。

《信用信息行業(yè)管理?xiàng)l例》第三十八條規(guī)定，信用信息機(jī)構(gòu)、金融信用信息基礎(chǔ)數(shù)據(jù)庫運(yùn)營機(jī)構(gòu)因違法提供或者出售信息、因過錯(cuò)泄露信息等行為的，國務(wù)院信用信息行業(yè)監(jiān)督管理部門或者其派出機(jī)構(gòu)應(yīng)當(dāng)責(zé)令限期改正，對單位處以5萬元以上50萬元以下罰款；對直接負(fù)責(zé)的主管和其他直接負(fù)責(zé)人處以1萬元以上10萬元以下罰款；如有違法收入，沒收違法所得。對信息主體造成損失的，依法承擔(dān)民事責(zé)任；涉嫌犯罪的，依法追究刑事責(zé)任。

通過“撞庫”獲取個(gè)人信息的罪行并不少見。吳丹君說，“撞庫”是黑客非法入侵系統(tǒng)的常用技術(shù)手段。

國際信貸巨頭Transunion于2022年3月發(fā)表聲明，確定其在南非的分公司服務(wù)器被稱為N4WootySectu的巴西黑客組織非法訪問。5400萬人的個(gè)人信息(約占南非總?cè)丝诘?0%以上)，包括聯(lián)系電話、電子郵件地址、ID號碼、家庭地址和消費(fèi)者信用評分。

沈某的犯罪行為仍然屬于個(gè)人犯罪，主觀惡性低，且無擴(kuò)散傳播，無利可圖。

據(jù)《北京晚報(bào)》報(bào)道，沈某的計(jì)算機(jī)技術(shù)非常好。在他詢問的人中，有自己的親戚朋友和一些社會名人。根據(jù)這些人的身份信息和公眾設(shè)置登錄名稱和密碼的習(xí)慣，沈某猜測自己的個(gè)人信用信息系統(tǒng)登錄名稱和密碼是“碰撞數(shù)據(jù)庫”的，并成功查詢并下載并保存了100份其他人的信用信息報(bào)告。沈解釋說，他查詢并下載這些信用信息報(bào)告是“有趣”的。

沈某的辯護(hù)人是北京德恒律師事務(wù)所律師林杰。他告訴《財(cái)經(jīng)》，沈某當(dāng)時(shí)并沒有以盈利為目的。下載后，他只在自己的電腦上保留了獲得的信息，沒有傳播。它的心態(tài)只是為了證明自己的計(jì)算機(jī)技術(shù)實(shí)力，在對公共數(shù)據(jù)進(jìn)行分析后，利用自己的專業(yè)知識進(jìn)入系統(tǒng)進(jìn)行撞庫攻擊， 但是進(jìn)入系統(tǒng)之后，并沒有對系統(tǒng)進(jìn)行攻擊或篡改。林杰認(rèn)為，雖然他的行為本身違反了法律，但客觀上揭示了網(wǎng)絡(luò)系統(tǒng)存在的缺陷和漏洞，對后期的修復(fù)和加固起到了警示作用。

根據(jù)判決，辯護(hù)人認(rèn)為，一方面，沈確實(shí)是非法查詢，但并沒有通過惡劣手段非法獲取個(gè)人信息，主觀惡性較低。另一方面，沈沒有擴(kuò)散和傳播他獲得的個(gè)人信用報(bào)告，沒有任何利潤，社會危害較低。最后，法院采納了這些辯護(hù)意見，同時(shí)考慮到沈如實(shí)供述了自己的罪行，并在法庭上承認(rèn)了自己的罪行和自責(zé)，從而從輕處罰。

犯罪團(tuán)伙如何運(yùn)行“全鏈條”？

除了沈某的個(gè)人犯罪，還有很多犯罪案件。個(gè)人信用信息通過金融企業(yè)的“內(nèi)鬼”流出，成立了從獲取、交易到實(shí)現(xiàn)、非法使用個(gè)人信息的全鏈條犯罪團(tuán)伙。

據(jù)吳丹君介紹，就目前公布的信用信息泄露案例而言，內(nèi)部員工泄露是近年來常見的一種方式。“內(nèi)部員工更熟悉企業(yè)的規(guī)章制度和信息存儲處理方法，部分員工有權(quán)查詢個(gè)人信息，為其犯罪提供了便利?！?吳丹君說。

《財(cái)經(jīng)》通過搜索相關(guān)案件的法律文件，發(fā)現(xiàn)多起信用信息泄露案件涉及信用信息的非法查詢、交易和變現(xiàn)。

例如，北京銀行也發(fā)生了一起信用信息被出售的案件，主要犯罪嫌疑人是其內(nèi)部人員。

判決顯示，2017年8月至2017年12月，吳某某在北京銀行股份有限公司上海分行張江分行臨時(shí)工作期間，仍協(xié)助諸某某、陳某某(另案處理)在明知諸某某、陳某某(另案處理)使用銀行系統(tǒng)查詢公民個(gè)人信用信息并向閆某提供費(fèi)用的情況下，非法為閆某(另案處理)查詢公民個(gè)人信用信息。并且通過電子郵件將查詢相關(guān)信用信息發(fā)送給閆某。截至事件發(fā)生時(shí)，公安部門核實(shí)吳某某已向閆某提供830多條公民個(gè)人信用信息。截至事發(fā)，公安部門核實(shí)，吳某某已向閆某提供830多條公民個(gè)人信用信息。最終，法院判決吳某某侵犯公民個(gè)人信息罪，判處有期徒刑一年兩個(gè)月，緩刑一年兩個(gè)月，并處罰金4000元。

在多種情況下，也有金融企業(yè)內(nèi)部員工使用信用查詢授權(quán)書，非法查詢公民信用信息，并且形成直接銷售個(gè)人信息或者通過下游貸款業(yè)務(wù)獲利的犯罪鏈條。

金融服務(wù)公司員工和銀行內(nèi)部員工在2019年深圳市中級人民法院審理的“王某華、黃某寧、謝某偉等侵犯公民個(gè)人信息罪”案件中，形成了非法查詢客戶信用報(bào)告，然后提供貸款業(yè)務(wù)的非法鏈條。

判決顯示，2017年9月以來，某金融服務(wù)有限公司獲得了大量客戶的個(gè)人信息(包括姓名、貸款類型、貸款額度、貸款期限、聯(lián)系電話等。)從他人處獲得開發(fā)客戶的貸款，并將信息交給了同一家公司的謝某偉和林某忠。謝某偉、林某忠分批將信息交給公司業(yè)務(wù)員，讓業(yè)務(wù)員根據(jù)信息撥打客戶電話，推薦客戶貸款。如果客戶有貸款需求，業(yè)務(wù)員會要求客戶填寫信用查詢授權(quán)書。

通過事先建立的微信群，黃某寧、林某忠等人將授權(quán)書、身份證等材料的圖片發(fā)送給一家銀行的三個(gè)“內(nèi)鬼”。三人查詢公民信用報(bào)告后，將信用報(bào)告的圖片發(fā)送給黃某寧、林某忠等人。黃某寧、林某忠等人根據(jù)收到的信用報(bào)告，為需要貸款的用戶提供中介貸款服務(wù)，并根據(jù)最終貸款金額收取相應(yīng)的比例點(diǎn)。2017年11月20日，深圳市公安局福田分局民警在深圳市福田區(qū)抓獲黃某寧、謝某偉、林某忠，現(xiàn)場查獲3282條非法使用公民個(gè)人信息。

在遼寧省撫順市中級人民法院2019年審理的“鄒某某、周某某侵犯公民個(gè)人信息案”中，7名被告形成了以某融資擔(dān)保公司信用信息泄露為中下游的非法交易。

判決顯示，2017年以來，中間人鄒某某利用上游非法渠道提供的微信等軟件賬號名稱和密碼，非法獲取黑龍江銀鼎融資擔(dān)保有限公司5000多條個(gè)人信用信息并出售給羅某等人，非法獲利2萬余元。

作為犯罪鏈的下游，從2015年開始，李某利用微信等軟件非法獲取上述1000多條個(gè)人信用信息，并出售給王某等人，非法獲利1萬余元。

最后，鄒某某、李某、羅某、王某因侵犯公民個(gè)人信息罪被判處有期徒刑四年、三年、六個(gè)月、三年、兩個(gè)月、一年、八個(gè)月；他們被罰款2萬元、1萬元、1萬元、3000元，并被繼續(xù)追回一些違法行為。其中，鄒某某、李某、羅某被認(rèn)定情節(jié)特別嚴(yán)重。

信用信息泄露也催生了多層次犯罪團(tuán)伙和鏈條更加復(fù)雜。

2019年，江蘇省淮安市警方依法打擊7家涉嫌侵犯公民個(gè)人信息犯罪的公司，1億多條涉嫌非法緩存公民個(gè)人信息。其中，a股上市公司拉卡拉支付有限公司旗下的考拉信用信息服務(wù)有限公司(以下簡稱“考拉信用信息”)涉嫌非法提供9800多萬次身份證返回照片，盈利3800萬元。經(jīng)調(diào)查，考拉信用信息從上游公司獲取界面后，非法出售查詢界面，非法緩存公民個(gè)人身份信息，供下游公司查詢牟利，導(dǎo)致公民身份信息大量泄露，包括身份證照片。

考拉征信只這是侵犯公民個(gè)人信息犯罪鏈條的一部分。

據(jù)警方稱，其中，北京黑格科技有限公司在從考拉征信等四家公司購買查詢界面后，開發(fā)了“身份驗(yàn)證返照”業(yè)務(wù)端口，提供給湖南九象信息有限公司等下游公司。湖南九象信息有限公司開發(fā)了一個(gè)黑色爬蟲網(wǎng)站，通過爬蟲軟件非法獲取數(shù)十家小額貸款公司的公民貸款和逾期數(shù)據(jù)，然后公開提供收費(fèi)查詢，并提供北京黑格科技的“身份驗(yàn)證返回照片”業(yè)務(wù)。付款后，任何人都可以通過在網(wǎng)站上輸入公民姓名和身份證號碼來查看獲得公民身份證的照片。

此后，廣州諾涵科技有限公司基于湖南九象信息有限公司提供的公民個(gè)人信息，不僅出售公民個(gè)人信息，還進(jìn)行小額貸款和軟暴力催收。是一個(gè)組織嚴(yán)密、分工明確、涉案人數(shù)眾多的犯罪團(tuán)伙。此外，廣州諾涵科還開發(fā)了爬蟲云等軟件，用于公司貸款和非法銷售以獲取公民個(gè)人信息。

如何堵塞泄漏漏洞？

面臨著“撞庫”等技術(shù)手段，以及金融企業(yè)“內(nèi)鬼”頻繁發(fā)生的個(gè)人信用信息泄露情況，該如何應(yīng)對？

孫玲玲指出，監(jiān)管系統(tǒng)仍然需要完善，避免信息流失亂用的系統(tǒng)功能還不夠，超范圍收集、使用等一系列問題仍然比較突出，特別是面對格式條款、“一攬子”使用協(xié)議，公民尋求幫助的途徑、方式不明確，難以高效、有力地維權(quán)。

中國人民銀行《信用信息業(yè)務(wù)管理辦法》第三十七條規(guī)定，信用信息機(jī)構(gòu)應(yīng)當(dāng)嚴(yán)格限制公司內(nèi)部查詢和獲取信用信息的工作人員的權(quán)限和范圍。信用信息機(jī)構(gòu)應(yīng)當(dāng)保留工作人員查詢和獲取信用信息的操作記錄，明確記錄工作人員查詢和獲取信用信息的時(shí)間、方法、內(nèi)容和用途。

吳丹君告訴《財(cái)經(jīng)》，金融企業(yè)可以從管理和技術(shù)兩個(gè)方面控制內(nèi)部員工的行為：

建立信用信息合規(guī)管理機(jī)制，加強(qiáng)必要的合規(guī)教育和培訓(xùn)。金融企業(yè)需要對現(xiàn)有的制度方法進(jìn)行整理、修改或補(bǔ)充，密切關(guān)注本行業(yè)出臺的信息保護(hù)規(guī)則，及時(shí)整改，將外部監(jiān)管規(guī)則落實(shí)到具體的管理制度中，填補(bǔ)制度上的不足，并通過雙重監(jiān)管方式向當(dāng)?shù)乇O(jiān)管機(jī)構(gòu)備案，加強(qiáng)對員工的管理。同時(shí)，要建立自查自糾的工作機(jī)制，定期對員工的信用信息操作進(jìn)行內(nèi)部合規(guī)和審計(jì)，加強(qiáng)直接責(zé)任人、管理人員和監(jiān)督人員的職責(zé)，提高管控效率。

從技術(shù)上講，金融企業(yè)需要加強(qiáng)數(shù)據(jù)安全防護(hù)技術(shù)的升級，利用最新的防火墻，針對不同的攻擊方式，構(gòu)建相應(yīng)的入侵檢測模式，改進(jìn)安全防御模式。同時(shí)，監(jiān)控內(nèi)部員工對數(shù)據(jù)的異常收集。在制度上，加強(qiáng)對內(nèi)部員工操作權(quán)限的監(jiān)管，不能正式審核業(yè)務(wù)，防止內(nèi)部員工濫用職權(quán)。

上海華誠律師事務(wù)所高級合伙人吳月琴表示，金融企業(yè)信用信息系統(tǒng)除了內(nèi)部員工的疏忽、惡意行為或技術(shù)缺陷可能導(dǎo)致數(shù)據(jù)泄露外，還面臨以下問題:

（1） 信用調(diào)查人員缺乏風(fēng)險(xiǎn)防控和合規(guī)管理理念。部分征信人員對“最小授權(quán)”、“專人專用”、“人戶統(tǒng)一”等原則沒有落實(shí)到位，存在長期未使用賬戶、檢測客戶、一戶多用等情況。

（2） 缺乏信用信息安全技術(shù)保障措施。黑客入侵、惡意程序等黑客攻擊可能會導(dǎo)致敏感數(shù)據(jù)泄露；與供應(yīng)商或第三方共享信息也可能存在數(shù)據(jù)安全漏洞；身份認(rèn)證措施不完善可能導(dǎo)致虛假賬戶開立等欺詐行為。

（3） 目前，一些金融機(jī)構(gòu)的信用信息系統(tǒng)操作日志只能記錄查詢賬戶，不能定位更多關(guān)于違規(guī)查詢所用設(shè)備和IP地址的信息。作為保證信用信息安全的重要手段，信用信息查詢前置系統(tǒng)通過防控檢查和后續(xù)內(nèi)部監(jiān)控管理來保證信息安全。但很多金融企業(yè)往往在資金有限的情況下“重業(yè)務(wù)、輕合規(guī)”，不愿意投資信用信息查詢前置系統(tǒng)。

吳丹君說，金融信用信息系統(tǒng)在與第三方合作過程中數(shù)據(jù)傳輸?shù)男孤?，以及合作伙伴的故意或疏忽造成的泄露，也是一大風(fēng)險(xiǎn)。金融企業(yè)要注意完善第三方合作管理模式，包括提前調(diào)整第三方機(jī)構(gòu)合規(guī)能力、簽訂數(shù)據(jù)保護(hù)協(xié)議、監(jiān)控合作流程、項(xiàng)目結(jié)束后刪除數(shù)據(jù)等。

今年6月，國家金融監(jiān)督管理總局辦公廳向中國銀行業(yè)監(jiān)督管理局、銀行保險(xiǎn)公司發(fā)布《關(guān)于加強(qiáng)第三方合作中網(wǎng)絡(luò)和數(shù)據(jù)安全管理的通知》(以下簡稱《通知》)，要求銀行保險(xiǎn)公司對比通報(bào)問題，深入調(diào)查供應(yīng)鏈隱患，有效加強(qiáng)整改。根據(jù)《通知》，近日，部分銀行保險(xiǎn)公司外包服務(wù)提供商發(fā)生多起安全風(fēng)險(xiǎn)事件，對銀行保險(xiǎn)公司的網(wǎng)絡(luò)、數(shù)據(jù)安全、業(yè)務(wù)連續(xù)性產(chǎn)生了一定影響，說明銀行保險(xiǎn)公司在業(yè)務(wù)外包管理中存在突出風(fēng)險(xiǎn)問題。

本文僅代表作者觀點(diǎn)，版權(quán)歸原創(chuàng)者所有，如需轉(zhuǎn)載請?jiān)谖闹凶⒚鱽碓醇白髡呙帧?/p>

免責(zé)聲明：本文系轉(zhuǎn)載編輯文章，僅作分享之用。如分享內(nèi)容、圖片侵犯到您的版權(quán)或非授權(quán)發(fā)布，請及時(shí)與我們聯(lián)系進(jìn)行審核處理或刪除，您可以發(fā)送材料至郵箱：service@tojoy.com