《中华人民共和国个人信息保护法》(以下简称“个保法”)施行以来,我国不断加强对侵犯公民个人信息违法犯罪活动的打击。但据南都大数据研究院此前调查,仍有黑产团伙顶风作案,在通信等关键行业安插“内鬼”盗取个人信息。
南都大数据研究院梳理了过去两年中国裁判文书网上公布的170份适用个保法裁判文书,结果同样显示行业“内鬼”是泄露公民个人信息的主要源头,其中又以通信营业厅和手机店等场所占比较高,多名不法分子借职务便利非法获取客户手机号码和验证码再出售。还有人明知他人收购公民个人信息用于违法犯罪,仍参与信息倒卖。
梳理:两年来170份裁判文书适用个保法
两年来,中国裁判文书网上公布了170份适用个保法的裁判文书。2021年12月,深圳市中级人民法院审理了全国首例适用个保法的民事案件。随后,个保法在多起案件中获适用。
从案件类型来看,已公开的裁判文书中民事案件占比较高,为117例,刑事案件则占49例。值得注意的是,从案由来看,几乎全部刑事案件均属于侵犯公民人身权利、民主权利罪,仅有一例属于妨害社会管理秩序罪。
该案件判决书显示,2020年9月至10月间,被告人李某1伙同被告人李某2、蒋某,明知他人利用信息网络实施犯罪,仍合谋引诱多人办理公司工商注册和对公账户,非法获取个人信息,并将对公账户相关信息出售给犯罪分子用于电信诈骗犯罪。经审理,3名被告均犯帮助信息网络犯罪活动罪,被判处拘役并处罚金。
溯源:营业厅和手机店泄露信息占比高
今年8月,北京市高级人民法院曾在新闻通报会上介绍,放眼整个犯罪链条,内部人员泄露信息是侵犯公民个人信息犯罪的主要源头。南都大数据研究院梳理案件判决书也发现,适用个保法的刑事案件中,九成个人信息泄露源头是行业内部人员,其中又以通信行业,尤其是营业厅和代理开展业务的手机店占比最高。
部分通信营业厅内部潜伏的“内鬼”甚至不止一个。通过对各份裁判文书内容的进一步梳理,南都大数据研究院发现,在某运营商广西某分公司的一个营业厅,执法部门先后抓获其中6名工作人员。他们均曾借职务之便非法获取客户个人信息并出售,各自获利2000元至7000元不等。其中潜伏时间最长的一名自2020年3月开始作案,至2021年7月被抓获,时间长达16个月。
裁判文书内容还显示,部分地方的通信行业“内鬼”均在同一上线介绍下被拉拢入伙,形成相互交织的犯罪网络。例如在黑龙江某地,执法部门在某运营商的两个营业厅分别抓获“内鬼”施某和孟某。两人均是在郑某介绍下加入从事“拉新项目”的微信群,其后为了获利,利用各自经营的通信营业厅非法获取客户个人信息。
手段:多是办业务时获取手机号和验证码
“内鬼”如何盗取个人信息?梳理刑事判决书提及的“内鬼”作案手段,85.71%的不法分子利用为客户办理手机业务的工作便利,非法获取客户的手机号码、验证码,并出售给第三方用于软件“拉新”。
除了一线工作人员外,还有部分内鬼潜伏到更高层次的服务代理商中,令人防不胜防。例如在广东某地,某运营商的电话卡上门交付服务由第三方公司负责,不法分子在该第三方公司工作期间,利用职务便利,在交付电话卡过程中非法获取实名制手机号码、验证码,从中牟利。
在另外两例同样涉及服务代理商的刑事案件中,不法分子取得通信运营商的代理商资格后,利用权限取得大批电话卡,再插入“猫池”设备从事“接码”生意。两宗案件分别涉及1755张和274张经过实名认证的电话卡。
此外,还有部分不法分子不直接参与个人信息盗取,而是开展先向上线购买个人信息、再打包出售的“中介”生意。例如在江西省上饶市,有不法分子先向上线收购大量个人信息,再将信息归类、建模后出售给下线,从中赚取差价。该案件中,被告共售卖公民个人信息100余万条,被全国各地的“客户”用于教育、贷款、售房等领域。
常态:个人信息保护案件,附带公益诉讼
南都大数据研究院还留意到,本次梳理的49份刑事案件判决书中,45份附带民事公益诉讼。各地检察机关办理个人信息保护案件过程中提起公益诉讼已成常态。今年3月,最高人民检察院也曾发布一批个人信息保护检察公益诉讼典型案例。最高检第八检察厅负责人表示,检察机关将继续加大个人信息保护领域公益诉讼办案力度,突出保护重点人员、重点领域的个人信息,严格保护敏感类别信息及特定群体的个人信息。
文/李伟锋 袁炯贤
编辑/倪家宁