題圖來自:視覺中國
本文來自微信公衆号:财經 E 法 (ID:CAIJINGELAW),作者:樊朔,編輯:郭麗琴
個人征信信息這類高度敏感信息,正因犯罪技術升級和金融機構 " 内鬼 " 而頻頻遭遇洩露。
近日,北京市高級人民法院(下稱 " 北京高院 ")通報了一起侵犯高度敏感信息——公民征信信息的案例。
沈某利用任職便利,采取 " 撞庫 " 等方式獲取某銀行個人征信系統用戶名和密碼,通過其所屬某大型國際信托有限公司與該銀行之間進行專線互聯的終端機,數次非法登錄該銀行個人征信系統,查詢并下載保存他人征信報告共計 100 份。此前,沈某曾采取同樣作案手段,查詢并下載保存他人征信報告共計 1000 餘份。
據北京高院介紹," 撞庫 " 是網絡安全領域中的概念,一般指的是攻擊者通過一些自動化工具針對數據庫站點的相關接口批量提交大量随機的用戶名 / 密碼組合,記錄下其中能成功登錄的組合并盜取該賬号,爲接下來實施其他違法犯罪行爲做準備。
北京高院黨組成員、副院長孫玲玲披露,此類犯罪成因包括行業 " 内鬼 " 屢屢犯案,且團隊化作案模式愈加成熟。" 一些‘内外勾結’型犯罪甚至可以組建起從獲取、交易直至變現、非法利用個人信息的全鏈條犯罪團夥 "。
财經 E 法通過采訪案件當事人,并梳理相關司法文書,試圖還原多個依賴海量公民個人征信信息 " 喂養 " 的黑色産業鏈。
一、" 撞庫 " 獲取個人征信信息
技術手段升級是導緻侵犯個人信息案例頻發的重要原因。
孫玲玲指出,技術升級叠代顯著提升了信息非法獲取的速度和體量,随着 " 木馬 " 程序、" 靜默 " 插件、" 爬蟲 " 軟件等信息技術手段的廣泛運用,任意、快速抓取信息數據進而濫用、洩露的情況已不鮮見,且有不少知名互聯網公司多次成爲被侵害對象。據統計,有近三分之一的案件涉案公民個人信息來源于技術竊取。
" 沈某侵犯公民個人信息案 " 的判決書顯示,交銀國際信托有限公司(下稱 " 交銀國際信托 ")前項目經理沈某于 1987 年出生,是上海人。擁有碩士研究生文化的他,分别于 2018 年 2 月 5 日、3 月 23 日,采取 " 撞庫 " 等方式獲取中國人民銀行個人征信系統用戶名和密碼,通過中國人民銀行與交銀國際信托有限公司專線互聯的終端機,非法登錄中國人民銀行個人征信系統(服務器位于北京市西城區),查詢并下載保存他人征信報告共計 100 份。
此外,沈某于 2013 年至 2014 年間,采取同樣作案手段,查詢并下載保存他人征信報告共計 1000 餘份。
法院認爲,沈某違反國家規定,非法獲取公民個人信息,且情節嚴重的行爲,已構成侵犯公民個人信息罪,依法應予以懲處。但鑒于其到案後能如實供述自己的罪行,當庭認罪悔罪,依法可以從輕處罰。因此判決沈某犯侵犯公民個人信息罪,判處有期徒刑一年,并處罰金人民币 400 元。
根據《刑法》第二百五十三條,侵犯公民個人信息罪是指違反國家有關規定,向他人出售或者提供公民個人信息,情節嚴重的,處三年以下有期徒刑或者拘役,并處或者單處罰金;情節特别嚴重的,處三年以上七年以下有期徒刑,并處罰金。 違反國家有關規定,将在履行職責或者提供服務過程中獲得的公民個人信息,出售或者提供給他人的,依照前款的規定從重處罰。竊取或者以其他方法非法獲取公民個人信息的,依照第一款的規定處罰。
北京觀韬中茂(上海)律師事務所合夥人吳丹君告訴财經 E 法,從信息洩露數量來看,沈某非法獲取的他人征信報告數量高達千餘份。最高人民法院、最高人民檢察院在 2017 年出台的《關于辦理侵犯公民個人信息刑事案件适用法律若幹問題的解釋》中,将征信信息列爲敏感信息,非法獲取、出售或者提供50 條征信信息即可入罪,因此本案所涉的征信信息數量巨大,具有典型性。
此前,沈某所在的交銀國際信托也曾涉及個人信息被處罰。财經 E 法查閱發現,2019 年 4 月 22 日,交銀國際信托未經同意查詢個人信息和企業的信貸信息,被中國人民銀行武漢分行處罰款 29 萬元。
《征信業管理條例》第三十八條規定,征信機構、金融信用信息基礎數據庫運行機構出現違法提供或者出售信息、因過失洩露信息等行爲的,由國務院征信業監督管理部門或者其派出機構責令限期改正,對單位處 5 萬元以上 50 萬元以下的罰款;對直接負責的主管人員和其他直接責任人員處 1 萬元以上 10 萬元以下的罰款;有違法所得的,沒收違法所得。給信息主體造成損失的,依法承擔民事責任;構成犯罪的,依法追究刑事責任。
通過 " 撞庫 " 獲取個人信息的犯罪方式并不鮮見。吳丹君表示," 撞庫 " 是黑客非法侵入系統的常見技術手段。
2022 年 3 月,國際信貸巨頭 Transunion 發表聲明确認,其在南非的分公司服務器被名爲 N4WootySectu 的巴西黑客組織非法訪問。5400 萬人(約占南非總人口數 90% 以上)的個人信息,包括電話号碼、電子郵件地址、ID 号碼、家庭地址和消費者信用評分全部洩露。
沈某的犯罪行爲尚屬于個人犯罪,主觀惡性低,且無擴散傳播,無任何謀利。
據此前報道,沈某的計算機技術相當不錯。在他查詢的人中,有自己的親戚朋友,還有一些社會名人。沈某根據這些人的身份信息和大衆設置用戶名及密碼的習慣,猜測他們的個人征信系統用戶名及密碼進行 " 撞庫 ",成功查詢并下載保存了 100 份他人的征信報告。沈某解釋稱,他查詢并下載這些征信報告完全是覺得 " 好玩 "。
沈某的辯護人是北京德恒律師事務所律師林傑,他告訴财經 E 法,沈某當時并不是以獲利爲目的,對獲取的資料信息,下載後僅僅保留在自己的電腦内,也未進行傳播。其心态隻是爲了證明自己的電腦技術水平,在對公開資料進行分析後,利用自己的專業知識以撞庫攻擊的方式進入系統, 但進入系統後,并未對該系統進行攻擊或者篡改破壞。林傑認爲,其行爲本身,雖然觸犯了法律,但客觀上揭示了該網絡系統存在的缺陷漏洞,對後期的修補和加固起到了警示作用。
判決書顯示,辯護人認爲,一方面,沈某确屬違規查詢,但并非以惡劣手段非法獲取個人信息,主觀惡性低。另一方面,沈某對所獲得的個人征信報告無擴散傳播,無任何謀利,社會危害較低。最終,法院對這些辯護意見予以采納,同時考慮到沈某如實供述了自己的罪行并當庭認罪悔罪,因此從輕處罰。
二、" 全鏈條 " 犯罪團夥如何運作
除了沈某這類個人犯罪,還有大量犯罪案例中,個人征信信息是通過金融機構 " 内鬼 " 流出的,并組建起從獲取、交易直至變現、非法利用個人信息的全鏈條犯罪團夥。
吳丹君介紹,從目前披露的征信信息洩露案件來看,内部人員洩露是近年來常見的方式之一。" 内部人員對企業規章制度、信息儲存處理方式更爲熟悉,且部分人員擁有查詢個人信息的權限,這些都爲其作案提供了便利性 " 吳丹君說。
通過檢索相關案件的法律文書,财經 E 法發現,多起征信洩露案涉及征信信息的違規查詢、交易和變現。
例如,北京銀行也曾出現過征信信息被售賣的案件,主要犯罪嫌疑人就是其内部員工。
判決書顯示,2017 年 8 月至 2017 年 12 月,吳某某在北京銀行股份有限公司上海分行張江支行臨時工作期間,在明知諸某某、陳某某(另案處理)利用銀行系統,違規爲闫某(另案處理)查詢公民個人征信信息,提供給闫某收取費用的情況下,仍幫助諸某某、陳某某違規爲闫某查詢公民個人征信信息,并将查詢的相關征信信息通過郵箱發送給闫某。截至案發,公安機關查證吳某某共計向闫某提供公民個人征信信息 830 餘條。
最終,法院判決吳某某犯侵犯公民個人信息罪,判處有期徒刑一年二個月,緩刑一年二個月,并處罰金 4000 元。
在多個案例中,還存在金融機構内部人員利用征信查詢授權書,非法查詢公民征信信息,并形成直接出售個人信息或通過下遊貸款服務牟利的犯罪鏈條。
在 2019 年深圳市中院審理的 " 王某華、黃某甯、謝某偉等侵犯公民個人信息罪 " 一案中,金融服務公司員工和銀行内部職工就構成了違規查詢客戶征信報告,再提供貸款服務的非法鏈條。
判決書顯示,2017 年 9 月份開始,某金融服務有限公司爲了尋找客戶做貸款,公司股東、實控人黃某甯從他人處獲取了大量客戶的個人信息(包括姓名、貸款種類、貸款金額、貸款期限、電話号碼等),并将該信息交給同公司的謝某偉和林某忠處理。謝某偉、林某忠分批将信息交給公司業務員,讓業務員按照信息内容撥打客戶電話,推薦客戶貸款。當客戶有貸款需求後,業務員随即讓客戶填寫征信查詢授權書。
黃某甯、林某忠等人通過事先已經建立的微信群将授權書、身份證等材料的照片發給一家銀行的三名 " 内鬼 ",三人查詢公民征信報告後,将征信報告的照片發給黃某甯、林某忠等人。黃某甯、林某忠等人再根據收到的征信報告對需要貸款的客戶提供中介貸款服務,并根據最終的貸款數額收取相應比例的點數。2017 年 11 月 20 日,深圳市公安局福田分局民警在深圳市福田區将黃某甯、謝某偉、林某忠抓獲歸案,現場查獲非法使用的公民個人信息共計 3282 條。
在 2019 年遼甯省撫順市中院審理的 " 鄒某某、周某某侵犯公民個人信息案 " 中,7 名被告則構成了圍繞某融資擔保公司的征信信息洩露的非法交易上中下遊。
判決書顯示,2017 年起,中間人鄒某某使用微信等軟件利用上遊非法渠道提供的賬戶名及密碼,從黑龍江省銀鼎融資擔保有限公司非法獲取個人征信信息 5000 餘條并出售給羅某等人,非法獲利 2 萬餘元。
作爲犯罪鏈條的下遊,2015 年起,李某使用微信等軟件在前述羅某等人處非法獲取個人征信信息 1000 餘條并出售給王某等人,非法獲利 1 萬餘元。
最終,鄒某某、李某、羅某、王某均因侵犯公民個人信息罪,各自被判處有期徒刑四年、三年六個月、三年二個月、一年八個月;各自被處罰金人民币 2 萬元、1 萬元、1 萬元和 3000 元,并被繼續追繳違法所得若幹。其中,鄒某某、李某、羅某三人被認定情節特别嚴重。
征信信息洩露還催生了更複雜的多層級犯罪團夥和鏈條。
2019 年,江蘇淮安警方依法打擊了 7 家涉嫌侵犯公民個人信息犯罪的公司,涉嫌非法緩存公民個人信息 1 億多條。其中,A 股上市公司拉卡拉支付股份有限公司旗下的考拉征信服務有限公司(下稱 " 考拉征信 ")涉嫌非法提供身份證返照查詢 9800 多萬次,獲利 3800 萬元。經查,考拉征信從上遊公司獲取接口後又違規将查詢接口出賣,并非法緩存公民個人身份信息,供下遊公司查詢牟利,從而造成公民身份信息包括身份證照片的大量洩露。
考拉征信隻是侵犯公民個人信息犯罪鏈條上的一環。
據警方披露,其中,北京黑格科技有限公司從考拉征信等四家公司購買了查詢接口後,開發了 " 身份核驗返照 " 業務端口,提供給湖南九象信息有限公司等下遊公司。而湖南九象信息有限公司則開發了一個黑爬蟲網站,通過爬蟲軟件,非法獲取數十家小貸公司的公民貸款和逾期數據,然後公開提供收費查詢,并提供來自北京黑格科技的 " 身份核驗返照 " 業務,付費後,任何人隻要在該網站輸入公民姓名和身份證号碼,就可以查詢獲取公民身份證相片。
此後,基于湖南九象信息有限公司提供的公民個人信息,廣州諾涵科技公司不僅販賣公民個人信息,主要還在進行小額貸款,并進行軟暴力催收,是一個組織嚴密、分工明确、涉案人數衆多的犯罪團夥。此外,廣州諾涵科還開發有爬蟲雲等軟件爬取公民個人信息,用于公司放貸和非法出售牟利。
三、如何堵住外洩漏洞?
面對 " 撞庫 " 這樣的技術手段,以及金融機構 " 内鬼 " 頻出導緻的個人征信信息洩露的局面,該如何應對?
孫玲玲指出,監督管理體系仍需完善,防止信息流失濫用的制度功能還不足,超範圍收集、使用等方面的問題仍較爲突出,特别是面對格式條款、" 一攬子 " 使用協議,公民尋求救濟的途徑、方式不明确,很難高效、有力維權。
中國人民銀行《征信業務管理辦法》第三十七條規定,征信機構應當嚴格限定公司内部查詢和獲取信用信息的工作人員的權限和範圍。征信機構應當留存工作人員查詢、獲取信用信息的操作記錄,明确記載工作人員查詢和獲取信用信息的時間、方式、内容及用途。
吳丹君告訴财經 E 法,金融機構可以從管理和技術兩方面入手管控内部人員行爲:
從管理上,建立征信合規管理機制,加強必要的合規教育和培訓。金融機構需對現有的制度辦法展開梳理、修改或補充工作,密切關注本行業出台的信息保護規則,及時進行整改,将外部監管規則落實到具體的規章制度中,彌補制度上的不足,并将制度向當地監管部門備案,通過雙重監督模式,強化對員工的管理。同時,應建立自查自糾的工作機制,定期對員工征信操作行爲開展内部合規和審計工作,強化直接責任人、管理人員、監督人員的責任,以提高監管效能。
從技術上,金融機構需加強數據安全防護技術的升級,利用最新的防火牆,針對不同的攻擊模式,構建相應的入侵檢測模型,提高安全防禦模式。同時,對内部人員對數據的異常調取進行監控。從制度上,對内部人員操作權限加強管理,對業務的審批不能流于形式,防範内部人員濫用職權。
上海華誠律師事務所高級合夥人吳月琴表示,除内部人員的疏忽、惡意行爲或技術缺陷可能導緻數據洩露,金融機構征信系統還面臨如下問題:
(1) 征信人員缺乏風險防範和合規管理意識。部分征信人員對 " 最小授權 "、" 專人專用 " 和 " 人戶統一 " 等原則未落實到位,存在未及時停用長期未使用賬戶、測試用戶,一戶多用等情況。
(2) 征信信息安全技術保障措施的缺失。黑客攻擊、惡意軟件等網絡攻擊可能導緻敏感數據的洩露;與供應商或第三方進行數據共享也可能存在數據安全漏洞;不完善的身份驗證措施可能導緻虛假賬戶開立等欺詐行爲。
(3) 一些金融機構的征信系統操作日志目前隻能記錄查詢賬号,無法定位違規查詢所使用的設備和 IP 地址等其他信息。征信查詢前置系統,作爲保障征信信息安全的重要手段,通過防控檢查并在事後接受内部監測和管理來保障信息安全,但許多金融機構在資金有限的情況下常常 " 重業務、輕合規 ",不願在征信查詢前置系統進行投入。
吳丹君表示,與第三方合作過程中數據傳輸的洩露,以及合作方的有意或疏忽導緻的洩露,也是金融征信系統面臨的一大風險。金融機構應注意完善第三方合作管理機制,包括事前對第三方機構的合規能力盡調、數據保護協議的簽署、合作過程的履約監控以及項目結束後的數據删除等。
今年 6 月,國家金融監督管理總局辦公廳向各銀保監局、銀行保險機構等下發《關于加強第三方合作中網絡和數據安全管理的通知》(下稱《通知》),要求各銀行保險機構對照通報問題,深入排查供應鏈風險隐患,切實加強整改。《通知》稱,近期,部分銀行保險機構的外包服務商發生多起安全風險事件,對銀行保險機構的網絡和數據安全、業務連續性造成一定影響,暴露出銀行保險機構在外包服務管理上存在突出風險問題。
