此文2023年9月15日刊载于《新华日报》

作者 戴思颜

9月14日，记者从省公安厅获悉，自今年3月开展“净网2023”专项行动以来，我省公安机关持续严打侵犯公民个人信息犯罪，共侦破侵犯公民个人信息案件623起，打掉犯罪团伙135个，其中查处行业“内鬼”140名。哪些行业是个人信息泄露的“重灾区”？行业“内鬼”为何能屡屡得逞？如何堵住泄露个人信息的漏洞？要解决这一系列问题，亟待在源头治理上下功夫。

“白天网购，晚上信息就落到电诈分子手上”

“张先生您好，我是××客服，您的快递丢失了”“我们将给您3倍赔偿”……一次网购之后，扬州市民张先生频繁接到冒充网购客服的电话。他不知道的是，印有自己姓名、电话、地址等信息的快递面单早已被层层倒卖，落入电诈分子手中。

去年7月，扬州警方成立的专案组分赴广东、云南等10个省份，共抓获犯罪嫌疑人60名，其中涉快递行业“内鬼”27名、信息贩子24名。在这起买卖快递面单非法牟利2500余万元的特大侵犯公民个人信息案件中，信息贩子与快递行业工作人员勾结，形成一张非法获取、交易变现、非法利用公民个人信息的犯罪网络。

据信息贩子黄某交代，他们与快递行业“内鬼”的合作方式有多种：以利益诱惑拉拢快递员、网店员工，将经手的快递面单拍照打包出售；专门合作开店代理快递运输，以稍低于市场价的方式，与一些网店合作收发快递，从而获取快递面单信息进行倒卖；更有甚者，勾结快递站点工作人员，在物流仓库的电脑上安装由境外电诈分子提供的木马程序，这种程序可以攻击物流公司的派单系统，窃取消费者信息并传输至境外。快递面单还会根据商品和价格来分类，较受欢迎的母婴类、保健品、化妆品类面单单价可达5—8元。

省公安厅网安总队分析发现，近3年查处的362名行业“内鬼”中，涉及寄递物流、金融证券、教育培训、房产交易、医疗保险等众多行业。其中多为企业内部员工利用职务之便，非法批量获取包含特定身份、医疗健康、行踪轨迹、家庭住址等高敏感公民个人信息，转而贩卖牟利。

更令人担忧的是，行业“内鬼”为涉网犯罪“递刀子”日趋规模化、产业化。省公安厅网安总队民警李祥透露，在信息倒卖环节，非法查询信息等生意藏身于某些社交平台，点多面广，极为隐蔽，给常态化保护网络数据安全带来巨大工作量和工作难度；在下游犯罪环节，非法获取的公民个人信息常被用于账号注册、轨迹定位、推广引流等非法服务，滋生大量网络水军、暴力催收、电信诈骗、跨境赌博等突出犯罪。

扬州市公安局网安支队案件侦查大队大队长王成和同事们侦查梳理发现，白天在网上买一个东西，可能晚上快递信息就到了境外电诈分子手中，他们冒充客服打电话，这种“对症下药”式的诈骗更容易迷惑消费者。

行业“内鬼”何以屡屡得逞

刚给新车上了牌，车主就被各种推销车贷、车险的电话每天轮番“轰炸”，对方甚至能准确说出车主的姓名和车牌号码。6名来自甘肃、山东、福建等地车管所或交管局指挥中心的辅警，竟是这些车辆档案信息的泄露源头。

在盱眙法院审理的田某等6人侵犯公民个人信息罪案件中，6名交警支队辅警利用工作之便私自使用民警数字证书，在公安系统内网违法查询车辆档案信息，再以10元至40元的价格出售牟利，最终6人均被判处实刑。“机关事业单位在履行法定职责的过程中，能获得全面、精准、外界难以接触的公民个人敏感信息，容易成为不法分子的‘狩猎’目标。”盱眙法院刑庭法官刘丹丹说，“内鬼”屡屡得逞，暴露出一些机关单位信息监管制度的缺失。该案中查询车辆档案信息是正式干警才有的权限，但由于电脑上的查询工具长期不关闭，让涉案辅警有了“可乘之机”，利用午休或下班时间盗用正式干警的数字证书查询车辆档案信息。

“现实情况是，搜集信息的企业单位关注的往往是业务是否正常运行、用户使用是否方便，对安全性的重视程度远远不够。”上海观安信息技术股份有限公司安全项目经理孙逸凡发现，当前很多行业保护数据的防御体系多是对外，即安全设计多为监测和抵御外来攻击入侵，反而忽视了对自己人从内部“拧钥匙”的防范。“很多企业对员工获取数据缺少相应的访问控制以及流程管控，加上其办公区域与服务器业务区域往往不作区分，导致员工以及一些外包人员能轻松获得隐私数据。”他遇到过好几家单位因为以前的开发人员随意安装盗版软件、服务器随意开放端口，或是将源代码发布到Github（软件项目托管平台）等，导致发生勒索病毒、蠕虫病毒等威胁信息安全的事件。

公安机关侦破的大量案件表明，犯罪嫌疑人大多是从最初几百几千条信息倒卖开始，之后主动在网上寻找资料来源，高价倒卖，数量很快升至上万条。“QQ群里经常有人发布收购车辆信息的帖子。”辅警孙某交代，没想到工作中经常接触的信息竟然有人花钱来买，“一条就能卖30多元，一天卖四五条就是一两百元，比上班还强。”几次倒卖信息尝到甜头后，孙某就无法收手了，甚至专门开了一个微信号用于拍摄车辆档案信息、联系下家。短短4个月，孙某非法出售车辆档案信息近万条，获利17.6万余元。

筑牢信息堡垒需“内外兼修”

揪出、管住特殊行业的“内鬼”，是防止公民个人信息泄露的重要一环。眼下，全省公安机关正按照“打源头、摧平台、断链条”思路，重拳打击非法窃取、买卖公民个人信息的团伙和行业“内鬼”。

刑法规定，向他人出售或者提供公民个人信息，情节严重的，处3年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处3年以上7年以下有期徒刑，并处罚金。而根据两高出台的相关司法解释，在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人，认定“情节严重”的数量、数额标准减半计算。“这体现了从严、从重惩处行业‘内鬼’的导向。”常熟法院刑庭法官李浩然告诉记者，司法实践中，一般对行业“内鬼”判处的主刑和罚金均重于犯罪链条后端的转卖、倒卖者，并从严把握缓刑的适用标准。

“这类‘内鬼’往往属于‘知法犯法’，对他们打击力度理应更大些、处罚更重些。”南京师范大学法学院教授李建明认为，只要发生贩卖个人信息的行为，一律都要严肃查处，不能因为情节较轻就不处理或冷处理。“就出卖信息的行为而言，‘卖多卖少’是程度问题，但‘卖’这个行为本身性质就是严重的，有关人员都应追究相应责任。”李建明建议，对一些情节严重恶劣的行为人，除追究刑责之外，还可设置一段较长时间的“从业禁止”，消除其再次犯案的可能，让“个人隐私不是生意，伸手必被捉”成为共识。

在孙逸凡看来，在大数据时代，应对“内鬼式”数据泄露已成为企业数字化转型与发展的关键难题。筑牢企业的信息安全堡垒，目前已有一些行之有效的手段，比如，通过技术转化，将消费者的个人信息转化为肉眼难以看到的内容，有效避免消费者个人信息被中途“劫持”；安装统一的安全管理软件，对员工访问、调用数据采取安全监测、流转探测等防护措施；有针对性地开展提升信息安全意识方面的培训，绷紧“安全弦”；导出重要数据时，严格审批程序；等等。“只有用技术、制度、机制等手段综合治理，合力扎紧‘篱笆’，才能从源头上杜绝内部人员倒卖个人信息的可能性。”