“在这起案件中,网络黑客共攻击了涉及全国21个省市的社保、医疗等共计29个行业的51个系统。”近日,记者在四川省成都市新都区检察院了解到,该院办理了一起利用技术手段非法窃取公民个人信息案,并于2023年5月对犯罪嫌疑人王某等10人提起公诉。近日,法院以侵犯公民个人信息罪判处王某等人有期徒刑三年至十个月不等。
因该案系团伙犯罪,人员众多、案情复杂,2022年6月,新都区公安分局接到医保部门报案后,通过侦查监督与协作配合机制邀请新都区检察院依法介入,并于同年7月立案侦查。公安机关立案后成立了专案组,将数据掮客王某等人抓获。根据相关线索,公安机关又在四川、重庆等7省市抓捕到大量网络催债公司人员。
经查,2021年初至2022年7月,王某等人通过网络渠道委托黑客,利用搜集到的各种政府、企业网络平台的接口漏洞,通过对接口进行数据抓包、参数解析等,开发出100余款黑客软件。王某等人利用相关黑客软件,先后入侵全国21个省市的社保、医疗等共计29个行业的51个系统,“爬取”包括姓名、身份证号、手机号码、工作单位、家庭成员、社保缴纳等在内的公民个人信息,并贩卖给相关催债公司。被盗的公民个人信息被催债公司大规模用于数据画像,勾勒人物关系和活动轨迹,由此通过手机短信、微信、抖音等社交平台向欠款人的社会关系人发送催债信息。
办案检察官告诉记者,“本案中,被非法入侵的系统涉及医保、社保、婚姻、人口等多个重点民生领域,被窃取的公民个人信息数量庞大,从催债组织需求端到数据掮客供给端,形成了一条黑灰产业链。”该院经与公安机关会商研判,制定了对数据掮客、黑客、网络催债公司三类人员的全链条打击方案。
针对办案中黑客工具渗透、漏洞接口攻击等技术问题,新都区检察院引进“外脑”,认真听取了高校专家教授意见,摸清了该团伙组织架构和运作模式。针对电子证据鉴定等相关疑难问题,该院多次与公安机关会商,通过制作补充侦查提纲,要求公安机关委托专业鉴定机构对涉案软件程序功能进行鉴定。经鉴定,送检程序均具有不断更换IP地址、批量“爬取”公民个人信息的功能,可归为非法获取公民个人信息的黑客软件。通过梳理固定涉案数据、司法鉴定意见及审计的获利情况,该院认定该团伙非法获利达500余万元。
从数据掮客、黑客、网络催债公司三类人员着手,新都区检察院精准指控了从信息盗取源头到提供、倒卖、购买终端全链条各环节的10名犯罪嫌疑人;对作为催债公司中下层员工的犯罪分子,在训诫后依法作出不起诉决定。同时,针对办案中发现的系统数据管理缺失、政务平台运维机制不完善等问题,该院于2023年9月向该区医保局制发了检察建议,积极推动相关部门修补网络安全漏洞、加强保密安全培训、健全公民个人信息保护制度。
文/查洪南 易朋 李昭
编辑/倪家宁