业界规则 > 规则 >
“内鬼”成信息泄露主渠道
2018-01-30 21:07 作者:法治周末记者 仇飞 来源:法治周末

1.png

127日,《2017年新型网络犯罪研究报告》发布现场。资料图

 

原题:2017年新型网络犯罪研究报告》发布

“内鬼”成信息泄露主渠道

 

法治周末记者 仇飞

2017年你回家最晚的一天是98日;2017年你最快读完的一本书是《芳华》,只用了两天;2017731日大概是特别的一天,这一天里,你把毛不易的《消愁》反复听了27次……

岁末年初,各类App争先恐后地为用户出具年度使用报告,但随着“支付宝年度账单事件”的发生,不少用户也开始对这种“个性化定制”产生顾虑:这会不会造成个人信息的过度采集?如果这些信息一旦泄露,会不会增加利用个人信息侵权乃至犯罪的几率?

“随着个人信息承载了越来越多的社会内容,任何一个普通公众的身份都可以作为牟取利益的手段,甚至可以作为实施犯罪的‘通行证’,身份犯罪开始爆发式增长。”127日,中国人民公安大学网络空间安全与法治协同创新中心(以下简称“协创中心”)在京举行年会,并发布《2017年新型网络犯罪研究报告》(以下简称《报告》),设专章对公民个人信息犯罪的趋势与对策进行了详细地阐述。

 

半年泄露或被盗数据19亿条

 

《报告》指出,2017年仅上半年泄露或被盗的数据(19亿条),就已经超过了2016年全年被盗数据总量。从公安机关破获和法院判决的案例看,车辆、征信报告、银行账户、房产、教育、医疗等领域的信息成为“抢手货”,相关部门内部人员监守自盗案件时有发生。

据此前媒体报道,福建省福州公安机关去年年底破获一起特大侵犯公民个人信息案,查获公民个人房产、征信报告、车辆、联系方式等信息超过千万条,抓获的19名犯罪嫌疑人绝大多数是房产开发、销售、中介等内部人员,他们利用职务便利,非法收集、交换、出售公民个人信息,从中牟利。

“社会基础服务行业在提供服务过程中留存了大量的公民个人信息,这些行业成为犯罪分子的‘唐僧肉’,也成为公民个人信息泄露的重灾区,一些从业人员除了利用管理权限窃取公民个人信息外,还通过技术手段窃取信息。”协创中心副秘书长、中国人民公安大学法学院副教授李怀胜举例说道,最高人民检察院第九批指导性案例中的“勾结前同事下载客户数据售卖换钱”一案,就是典型的内鬼泄露信息案件。

女职员龚某供职于北京某科技公司,由于工作需要,她拥有登录该科技公司内部系统的账号、密码、Token令牌,可以查看工作范围内的相关数据信息。而龚某与公司的前同事卫某一直保持着联系,两人商量售卖公司的客户数据赚钱:龚某提供账号和密码,卫某负责数据的下载和售卖,事成之后钱财各分一半。

20166月至9月,利用龚某提供的内部账号和密码,卫某多次违规登录内部系统,违规查询、下载该计算机信息系统中存储的公司客户数据。后卫某将非法获取的电子数据交由薛某通过互联网出售牟利,获利共计3.7万元。最终,法院对卫某、龚某、薛某以非法获取计算机信息系统数据罪进行定罪处罚。

“本案的意义在于对超出授权范围使用账号、密码登录计算机信息系统的行为,认定为侵入计算机信息系统的行为;而侵入计算机信息系统后下载其储存的数据,可以认定为非法获取计算机信息系统数据。”李怀胜分析说。

 

打击个人信息犯罪黑产制度环境初建成

 

事实上,侵犯公民个人信息犯罪不仅严重危害公民个人信息安全,而且与电信网络诈骗等犯罪存在密切关联,甚至与绑架、敲诈勒索等犯罪活动相结合,成为这些“下游”犯罪的源头。

中国互联网协会此前发布的《中国网民权益保护调查报告(2015)》显示,2015年中国网民因信息泄露、诈骗信息等总体损失约805亿元。

“孤立的个人信息只涉及个体利益,但是海量的信息集合则与国家安全、公共安全捆绑在一起,因此必须站在网络安全的高度审视公民个人信息安全问题。”《报告》提到,频繁出台的网络安全政策和法律法规,客观上给治理公民个人信息犯罪提供了很好的制度环境。

例如,在网络个人信息保护方面,2016年年底,全国信息安全标准化技术委员会出台了《个人信息安全规范》,明确了个人信息的定义;20174月,国家网信办颁布了《个人信息和重要数据出境安全评估办法》(征求意见稿),对数据出境的原则、安全评估办法、不得出境的内容、数据出境管理机关等进行了规定。

此外,《报告》指出,刑法针对公民个人信息犯罪的黑色产业链,也有相应规制策略,针对黑色产业链的各个环节进行有的放矢。例如,刑法修正案()增加了拒不履行信息网络安全管理义务罪、非法利用信息网络罪、帮助信息网络犯罪活动罪等,将网络产业链的平台提供者、犯罪帮助者等都纳入处罚范围。

 

侵害行为的紧迫性亟待立法回应

 

“网络黑色产业链的上下链条的参与者,包括代理商、投放广告者、提供支付结算帮助者、提供互联网接入者等,理论上对其处罚都是依法有据的。”李怀胜说,对个人信息的法律保护中,刑法保护体系是最为有力的,但总体来看,我国关于公民个人信息保护的法律规范缺乏系统性。

法治周末记者注意到,在先后出台的两百多部与网络相关的法律、法规和规章中,涉及个人信息权利保护的有70余部,相关规范多散见于各层级的规范性文件。

对此,《报告》认为,有必要加快个人信息保护法立法进程,进一步加大用户个人信息保护力度,通过专门立法,明确网络运营者收集用户信息的原则、程序,明确其对收集到的信息的保密和保护义务,不当使用、保护不力应当承担的责任,以及监督检查和评估措施。

中国青年报社社会调查中心近日发布的“万人调查报告”显示,49.6%的受访者曾遇到过度收集用户信息的现象,其中18.3%经常遇到;61.2%的人遇到过企业强制收集、使用用户信息,如果不接受就不能使用该产品或接受服务的“霸王条款”。还有许多受访者反映,免费应用程序普遍存在过度收集用户信息、侵犯个人隐私的问题,但几乎没有受到任何监管或依法惩处。

“公民个人信息泄露及其衍生的二次犯罪现象俨然成为一个亟待解决的社会问题,侵犯个人信息行为的紧迫性也亟待理论上予以全方位的回应。”李怀胜直言。

责任编辑:王硕
    当前1/1页   

  • 中央媒体 合作媒体 地方媒体 政法网群
    中国长安网 最高人民法院 最高人民检察院 公安部 司法部 法制网 新华网 人民网 中国网 光明网 中青网
    联系我们 诚聘英才 广告征订 本站公告 法律声明
    中 国
    互联网协会
    中国文明网
    传播文明
    工业和信息
    化部备案
    不良信息
    举报中心
    北京网络
    行业协会
    网络110
    报警服务
    无限互联网
    业自律同盟
    北京文化市
    场举报热线

    版权所有 Copyrights © 2014-2016 www.legalweekly.cn ALL RIGHTS Reserved 《法治周末》

    技术支持:川程在线   建议使用IE6以上1024*768分辨率浏览