金融行業(yè)的“內(nèi)鬼”屢屢作案，團隊化案件的方式更加完善。一些“內(nèi)外勾結(jié)”犯罪甚至可以建立一個全鏈條的犯罪團伙，從獲取、交易到實現(xiàn)、非法使用個人信息。

文｜樊朔

編輯｜郭麗琴

由于犯罪產(chǎn)品升級和金融企業(yè)“內(nèi)鬼”，個人信用信息這一高度敏感的信息被頻繁泄露。

最近，北京市高級人民法院(以下簡稱“北京高院”)報告了一起侵犯公民信用信息的案件。

沈某利用就業(yè)方便，采用“撞庫” 獲取某銀行個人信用信息系統(tǒng)賬戶密碼，利用其大型國際信托有限公司與該銀行之間的專線互聯(lián)終端，多次非法登錄該銀行個人信用信息系統(tǒng)，查詢下載存儲他人信用信息報告100份。此前，沈某曾采用同樣的犯罪手段，共查詢并下載了1000多份存儲他人信用報告。

根據(jù)北京高院的介紹，“撞庫” 它是網(wǎng)絡安全領(lǐng)域的一個概念，一般是指攻擊者通過一些自動化工具批量向數(shù)據(jù)庫網(wǎng)站的相關(guān)界面提交大量隨機的登錄名稱/密碼組合，記錄可以成功登錄的組合，竊取賬號，為其他違法犯罪活動的實施做準備。

北京市高級人民法院黨組成員、副院長孫玲玲透露，此類犯罪原因包括行業(yè)內(nèi)的“內(nèi)鬼”反復作案，團隊化作案方式更加完善。“一些‘內(nèi)外勾結(jié)’型犯罪甚至可以建立一個全鏈條的犯罪團伙，從獲取、交易到實現(xiàn)、非法使用個人信息”。

《財經(jīng)》試圖通過采訪案件當事人，整理相關(guān)司法文件，恢復依靠大量公民個人信用信息“喂養(yǎng)”的多條黑色產(chǎn)業(yè)鏈。

“撞庫”獲取個人信用信息

升級技術(shù)手段這是導致個人信息侵犯頻繁發(fā)生的重要原因。

孫玲玲指出，隨著“木馬”程序、“靜默”插件、“爬蟲”軟件等信息技術(shù)手段的廣泛應用，技術(shù)升級迭代顯著提高了非法獲取信息的速度和規(guī)模。隨意、快速地抓取信息數(shù)據(jù)，從而亂用、泄露的情況并不少見，而且很多知名的因特網(wǎng)公司也多次成為受害目標。根據(jù)統(tǒng)計，近三分之一的案件涉案公民的個人信息來自于技術(shù)盜竊。

根據(jù)交通銀行國際信托有限公司(以下簡稱“交通銀行國際信托”)前項目經(jīng)理沈某于1987年出生，是上海人。他有研究生文化，分別于2018年2月5日和3月23日獲得中國人民銀行個人信用信息系統(tǒng)賬戶密碼，通過中國人民銀行與交通銀行國際信托有限公司專線互聯(lián)終端，非法登錄中國人民銀行個人信用信息系統(tǒng)(服務器位于北京市西城區(qū))，查詢下載存儲100份他人信用信息報告。

另外，在2013-2014年間，沈某采取了同樣的作案手段，共查詢并下載了1000多份存儲他人的信用報告。

法庭最終判處沈某侵犯公民個人信息罪，判處有期徒刑一年，并處罰金400元。

根據(jù)《刑法》第二百五十三條，侵犯公民個人信息罪是指向他人出售或者提供公民個人信息，違反國家有關(guān)規(guī)定。情節(jié)嚴重的，處三年以下有期徒刑或者拘役，并處或者單獨處罰；情節(jié)特別嚴重的，處三年以上七年以下有期徒刑，并處罰金。如果U2002違反國家有關(guān)規(guī)定，在履行職責或提供服務過程中獲得的公民個人信息將被出售或提供給他人，則按照上述規(guī)定受到嚴厲處罰。公民個人信息被盜或者以其他方式非法獲取的，按照第一款的規(guī)定進行處罰。

北京觀韜中茂(上海)律師事務所合伙人吳丹君告訴《財經(jīng)》，從信息泄露的數(shù)量來看，沈非法獲得的其他信用報告數(shù)以千計。在2017年最高人民法院和最高人民檢察院發(fā)布的《關(guān)于處理侵犯公民個人信息刑事案件適用法律若干問題的解釋》中，將信用信息納入敏感信息，可以通過非法獲取、銷售或提供50條信用信息來犯罪。因此，本案涉及的信用信息數(shù)量巨大，具有典型性。

此前，沈某所在的交通銀行國際信托也受到了個人信息的處罰。財經(jīng)發(fā)現(xiàn)，2019年4月22日，交通銀行國際信托未經(jīng)同意查詢個人信息和企業(yè)信用信息，被中國人民銀行武漢分行罰款29萬元。

《信用信息行業(yè)管理條例》第三十八條規(guī)定，信用信息機構(gòu)、金融信用信息基礎數(shù)據(jù)庫運營機構(gòu)因違法提供或者出售信息、因過錯泄露信息等行為的，國務院信用信息行業(yè)監(jiān)督管理部門或者其派出機構(gòu)應當責令限期改正，對單位處以5萬元以上50萬元以下罰款；對直接負責的主管和其他直接負責人處以1萬元以上10萬元以下罰款；如有違法收入，沒收違法所得。對信息主體造成損失的，依法承擔民事責任；涉嫌犯罪的，依法追究刑事責任。

通過“撞庫”獲取個人信息的罪行并不少見。吳丹君說，“撞庫”是黑客非法入侵系統(tǒng)的常用技術(shù)手段。

國際信貸巨頭Transunion于2022年3月發(fā)表聲明，確定其在南非的分公司服務器被稱為N4WootySectu的巴西黑客組織非法訪問。5400萬人的個人信息(約占南非總?cè)丝诘?0%以上)，包括聯(lián)系電話、電子郵件地址、ID號碼、家庭地址和消費者信用評分。

沈某的犯罪行為仍然屬于個人犯罪，主觀惡性低，且無擴散傳播，無利可圖。

據(jù)《北京晚報》報道，沈某的計算機技術(shù)非常好。在他詢問的人中，有自己的親戚朋友和一些社會名人。根據(jù)這些人的身份信息和公眾設置登錄名稱和密碼的習慣，沈某猜測自己的個人信用信息系統(tǒng)登錄名稱和密碼是“碰撞數(shù)據(jù)庫”的，并成功查詢并下載并保存了100份其他人的信用信息報告。沈解釋說，他查詢并下載這些信用信息報告是“有趣”的。

沈某的辯護人是北京德恒律師事務所律師林杰。他告訴《財經(jīng)》，沈某當時并沒有以盈利為目的。下載后，他只在自己的電腦上保留了獲得的信息，沒有傳播。它的心態(tài)只是為了證明自己的計算機技術(shù)實力，在對公共數(shù)據(jù)進行分析后，利用自己的專業(yè)知識進入系統(tǒng)進行撞庫攻擊， 但是進入系統(tǒng)之后，并沒有對系統(tǒng)進行攻擊或篡改。林杰認為，雖然他的行為本身違反了法律，但客觀上揭示了網(wǎng)絡系統(tǒng)存在的缺陷和漏洞，對后期的修復和加固起到了警示作用。

根據(jù)判決，辯護人認為，一方面，沈確實是非法查詢，但并沒有通過惡劣手段非法獲取個人信息，主觀惡性較低。另一方面，沈沒有擴散和傳播他獲得的個人信用報告，沒有任何利潤，社會危害較低。最后，法院采納了這些辯護意見，同時考慮到沈如實供述了自己的罪行，并在法庭上承認了自己的罪行和自責，從而從輕處罰。

犯罪團伙如何運行“全鏈條”？

除了沈某的個人犯罪，還有很多犯罪案件。個人信用信息通過金融企業(yè)的“內(nèi)鬼”流出，成立了從獲取、交易到實現(xiàn)、非法使用個人信息的全鏈條犯罪團伙。

據(jù)吳丹君介紹，就目前公布的信用信息泄露案例而言，內(nèi)部員工泄露是近年來常見的一種方式。“內(nèi)部員工更熟悉企業(yè)的規(guī)章制度和信息存儲處理方法，部分員工有權(quán)查詢個人信息，為其犯罪提供了便利?！?吳丹君說。

《財經(jīng)》通過搜索相關(guān)案件的法律文件，發(fā)現(xiàn)多起信用信息泄露案件涉及信用信息的非法查詢、交易和變現(xiàn)。

例如，北京銀行也發(fā)生了一起信用信息被出售的案件，主要犯罪嫌疑人是其內(nèi)部人員。

判決顯示，2017年8月至2017年12月，吳某某在北京銀行股份有限公司上海分行張江分行臨時工作期間，仍協(xié)助諸某某、陳某某(另案處理)在明知諸某某、陳某某(另案處理)使用銀行系統(tǒng)查詢公民個人信用信息并向閆某提供費用的情況下，非法為閆某(另案處理)查詢公民個人信用信息。并且通過電子郵件將查詢相關(guān)信用信息發(fā)送給閆某。截至事件發(fā)生時，公安部門核實吳某某已向閆某提供830多條公民個人信用信息。截至事發(fā)，公安部門核實，吳某某已向閆某提供830多條公民個人信用信息。最終，法院判決吳某某侵犯公民個人信息罪，判處有期徒刑一年兩個月，緩刑一年兩個月，并處罰金4000元。

在多種情況下，也有金融企業(yè)內(nèi)部員工使用信用查詢授權(quán)書，非法查詢公民信用信息，并且形成直接銷售個人信息或者通過下游貸款業(yè)務獲利的犯罪鏈條。

金融服務公司員工和銀行內(nèi)部員工在2019年深圳市中級人民法院審理的“王某華、黃某寧、謝某偉等侵犯公民個人信息罪”案件中，形成了非法查詢客戶信用報告，然后提供貸款業(yè)務的非法鏈條。

判決顯示，2017年9月以來，某金融服務有限公司獲得了大量客戶的個人信息(包括姓名、貸款類型、貸款額度、貸款期限、聯(lián)系電話等。)從他人處獲得開發(fā)客戶的貸款，并將信息交給了同一家公司的謝某偉和林某忠。謝某偉、林某忠分批將信息交給公司業(yè)務員，讓業(yè)務員根據(jù)信息撥打客戶電話，推薦客戶貸款。如果客戶有貸款需求，業(yè)務員會要求客戶填寫信用查詢授權(quán)書。

通過事先建立的微信群，黃某寧、林某忠等人將授權(quán)書、身份證等材料的圖片發(fā)送給一家銀行的三個“內(nèi)鬼”。三人查詢公民信用報告后，將信用報告的圖片發(fā)送給黃某寧、林某忠等人。黃某寧、林某忠等人根據(jù)收到的信用報告，為需要貸款的用戶提供中介貸款服務，并根據(jù)最終貸款金額收取相應的比例點。2017年11月20日，深圳市公安局福田分局民警在深圳市福田區(qū)抓獲黃某寧、謝某偉、林某忠，現(xiàn)場查獲3282條非法使用公民個人信息。

在遼寧省撫順市中級人民法院2019年審理的“鄒某某、周某某侵犯公民個人信息案”中，7名被告形成了以某融資擔保公司信用信息泄露為中下游的非法交易。

判決顯示，2017年以來，中間人鄒某某利用上游非法渠道提供的微信等軟件賬號名稱和密碼，非法獲取黑龍江銀鼎融資擔保有限公司5000多條個人信用信息并出售給羅某等人，非法獲利2萬余元。

作為犯罪鏈的下游，從2015年開始，李某利用微信等軟件非法獲取上述1000多條個人信用信息，并出售給王某等人，非法獲利1萬余元。

最后，鄒某某、李某、羅某、王某因侵犯公民個人信息罪被判處有期徒刑四年、三年、六個月、三年、兩個月、一年、八個月；他們被罰款2萬元、1萬元、1萬元、3000元，并被繼續(xù)追回一些違法行為。其中，鄒某某、李某、羅某被認定情節(jié)特別嚴重。

信用信息泄露也催生了多層次犯罪團伙和鏈條更加復雜。

2019年，江蘇省淮安市警方依法打擊7家涉嫌侵犯公民個人信息犯罪的公司，1億多條涉嫌非法緩存公民個人信息。其中，a股上市公司拉卡拉支付有限公司旗下的考拉信用信息服務有限公司(以下簡稱“考拉信用信息”)涉嫌非法提供9800多萬次身份證返回照片，盈利3800萬元。經(jīng)調(diào)查，考拉信用信息從上游公司獲取界面后，非法出售查詢界面，非法緩存公民個人身份信息，供下游公司查詢牟利，導致公民身份信息大量泄露，包括身份證照片。

考拉征信只這是侵犯公民個人信息犯罪鏈條的一部分。

據(jù)警方稱，其中，北京黑格科技有限公司在從考拉征信等四家公司購買查詢界面后，開發(fā)了“身份驗證返照”業(yè)務端口，提供給湖南九象信息有限公司等下游公司。湖南九象信息有限公司開發(fā)了一個黑色爬蟲網(wǎng)站，通過爬蟲軟件非法獲取數(shù)十家小額貸款公司的公民貸款和逾期數(shù)據(jù)，然后公開提供收費查詢，并提供北京黑格科技的“身份驗證返回照片”業(yè)務。付款后，任何人都可以通過在網(wǎng)站上輸入公民姓名和身份證號碼來查看獲得公民身份證的照片。

此后，廣州諾涵科技有限公司基于湖南九象信息有限公司提供的公民個人信息，不僅出售公民個人信息，還進行小額貸款和軟暴力催收。是一個組織嚴密、分工明確、涉案人數(shù)眾多的犯罪團伙。此外，廣州諾涵科還開發(fā)了爬蟲云等軟件，用于公司貸款和非法銷售以獲取公民個人信息。

如何堵塞泄漏漏洞？

面臨著“撞庫”等技術(shù)手段，以及金融企業(yè)“內(nèi)鬼”頻繁發(fā)生的個人信用信息泄露情況，該如何應對？

孫玲玲指出，監(jiān)管系統(tǒng)仍然需要完善，避免信息流失亂用的系統(tǒng)功能還不夠，超范圍收集、使用等一系列問題仍然比較突出，特別是面對格式條款、“一攬子”使用協(xié)議，公民尋求幫助的途徑、方式不明確，難以高效、有力地維權(quán)。

中國人民銀行《信用信息業(yè)務管理辦法》第三十七條規(guī)定，信用信息機構(gòu)應當嚴格限制公司內(nèi)部查詢和獲取信用信息的工作人員的權(quán)限和范圍。信用信息機構(gòu)應當保留工作人員查詢和獲取信用信息的操作記錄，明確記錄工作人員查詢和獲取信用信息的時間、方法、內(nèi)容和用途。

吳丹君告訴《財經(jīng)》，金融企業(yè)可以從管理和技術(shù)兩個方面控制內(nèi)部員工的行為：

建立信用信息合規(guī)管理機制，加強必要的合規(guī)教育和培訓。金融企業(yè)需要對現(xiàn)有的制度方法進行整理、修改或補充，密切關(guān)注本行業(yè)出臺的信息保護規(guī)則，及時整改，將外部監(jiān)管規(guī)則落實到具體的管理制度中，填補制度上的不足，并通過雙重監(jiān)管方式向當?shù)乇O(jiān)管機構(gòu)備案，加強對員工的管理。同時，要建立自查自糾的工作機制，定期對員工的信用信息操作進行內(nèi)部合規(guī)和審計，加強直接責任人、管理人員和監(jiān)督人員的職責，提高管控效率。

從技術(shù)上講，金融企業(yè)需要加強數(shù)據(jù)安全防護技術(shù)的升級，利用最新的防火墻，針對不同的攻擊方式，構(gòu)建相應的入侵檢測模式，改進安全防御模式。同時，監(jiān)控內(nèi)部員工對數(shù)據(jù)的異常收集。在制度上，加強對內(nèi)部員工操作權(quán)限的監(jiān)管，不能正式審核業(yè)務，防止內(nèi)部員工濫用職權(quán)。

上海華誠律師事務所高級合伙人吳月琴表示，金融企業(yè)信用信息系統(tǒng)除了內(nèi)部員工的疏忽、惡意行為或技術(shù)缺陷可能導致數(shù)據(jù)泄露外，還面臨以下問題:

（1） 信用調(diào)查人員缺乏風險防控和合規(guī)管理理念。部分征信人員對“最小授權(quán)”、“專人專用”、“人戶統(tǒng)一”等原則沒有落實到位，存在長期未使用賬戶、檢測客戶、一戶多用等情況。

（2） 缺乏信用信息安全技術(shù)保障措施。黑客入侵、惡意程序等黑客攻擊可能會導致敏感數(shù)據(jù)泄露；與供應商或第三方共享信息也可能存在數(shù)據(jù)安全漏洞；身份認證措施不完善可能導致虛假賬戶開立等欺詐行為。

（3） 目前，一些金融機構(gòu)的信用信息系統(tǒng)操作日志只能記錄查詢賬戶，不能定位更多關(guān)于違規(guī)查詢所用設備和IP地址的信息。作為保證信用信息安全的重要手段，信用信息查詢前置系統(tǒng)通過防控檢查和后續(xù)內(nèi)部監(jiān)控管理來保證信息安全。但很多金融企業(yè)往往在資金有限的情況下“重業(yè)務、輕合規(guī)”，不愿意投資信用信息查詢前置系統(tǒng)。

吳丹君說，金融信用信息系統(tǒng)在與第三方合作過程中數(shù)據(jù)傳輸?shù)男孤?，以及合作伙伴的故意或疏忽造成的泄露，也是一大風險。金融企業(yè)要注意完善第三方合作管理模式，包括提前調(diào)整第三方機構(gòu)合規(guī)能力、簽訂數(shù)據(jù)保護協(xié)議、監(jiān)控合作流程、項目結(jié)束后刪除數(shù)據(jù)等。

今年6月，國家金融監(jiān)督管理總局辦公廳向中國銀行業(yè)監(jiān)督管理局、銀行保險公司發(fā)布《關(guān)于加強第三方合作中網(wǎng)絡和數(shù)據(jù)安全管理的通知》(以下簡稱《通知》)，要求銀行保險公司對比通報問題，深入調(diào)查供應鏈隱患，有效加強整改。根據(jù)《通知》，近日，部分銀行保險公司外包服務提供商發(fā)生多起安全風險事件，對銀行保險公司的網(wǎng)絡、數(shù)據(jù)安全、業(yè)務連續(xù)性產(chǎn)生了一定影響，說明銀行保險公司在業(yè)務外包管理中存在突出風險問題。

本文僅代表作者觀點，版權(quán)歸原創(chuàng)者所有，如需轉(zhuǎn)載請在文中注明來源及作者名字。

免責聲明：本文系轉(zhuǎn)載編輯文章，僅作分享之用。如分享內(nèi)容、圖片侵犯到您的版權(quán)或非授權(quán)發(fā)布，請及時與我們聯(lián)系進行審核處理或刪除，您可以發(fā)送材料至郵箱：service@tojoy.com