严防行业“内鬼”攻破个人信息堡垒


(相关资料图)

很多行业保护数据的防御体系多是对外的,即安全设计多为监测和抵御外来攻击入侵,忽视了对自己人从内部“拧钥匙”的防范。技术加持、手段变种等也是相关犯罪难以根绝的重要原因。有关方面应重视加强安全防御体系的“内外兼修”和源头治理,完善发现机制,提升监测能力、应对水平。   

“明星高铁出行信息10元一条、身份证号码5元一个”——据8月26日央视新闻报道,近期,广东省佛山市南海区人民法院通报了一起高铁站员工利用职务便利,有偿代查或出售明星隐私行程的案件。法院判定被告人的行为已构成侵犯公民个人信息罪,除应承担刑事责任外,还应支付共计56万余元的侵害社会公共利益赔偿金。另据报道,近日公安部通报了3年来全国公安机关打击行业“内鬼”工作,共抓获电信运营商、医院、保险公司、房地产、物业、快递公司等行业“内鬼”2300余名。

明星的知名度让公众对行业“内鬼”出卖公民个人信息行为有了更多关注。事实上,此类案件在一些地方不断发生,交通、快递、住宿、中介等是“内鬼”泄露公民个人信息的重灾区。

毫无疑问,利用职务之便、身份之便获得和出售他人信息、侵犯他人隐私,已经涉嫌违反法律。我国刑法规定:“向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。”

相关行业的“内鬼”作案手法有诸多共性,包括利用技术手段作案,如木马病毒、网络爬虫等,获取信息更高效、更隐蔽;瞄准的都是特定个人信息,如消费偏好、就诊特征、财产状况、行动轨迹等个性化的“优质”信息;行业“内鬼”多与黑灰产链条合谋,成为其中一环,如北京两名电信运营商工作人员明知批量办理的手机号是用于电信诈骗,仍予以办理,法院判处两人犯帮信罪,分别判刑一年。

行业“内鬼”为涉网犯罪“递刀子”日趋规模化、产业化,危害严重。在信息获取环节,“内鬼”利用科技手段攻破目标网站或数据库的安全防御体系,将海量个人信息数据“打包带走”,这类方式已成为常规手段,更具威胁性——毕竟不是每个企业和个人都有能力和专业水准去实时对抗不法分子的技术攻击。在信息倒卖环节,非法“查询信息”等生意藏身于某些社交平台,点多面广,极为隐蔽,这给常态化保护网络数据安全带来巨大工作量和工作难度。在下游犯罪环节,非法获取的信息一方面是为涉网犯罪活动提供银行卡、虚拟身份等物料支撑;另一方面是为相关犯罪活动寻找目标人群提供精准靶心,包括电信网络诈骗、网络暴力、非法催收受害人等,给不特定人群带来人身安全威胁等。

行业“内鬼”屡打不绝,首先是利益驱动的缘故,在相关黑灰产链条中,有的“内鬼”被不法分子收买并加入其中,贩卖信息甚至一本万利,被抓获后,多是被拘留、罚款,惩戒力度不足。其次是“内鬼”相对隐蔽,加剧了其侥幸心理。当前,很多行业保护数据的防御体系多是对外的,即安全设计多为监测和抵御外来攻击入侵,忽视了对自己人从内部“拧钥匙”的防范。此外,技术加持、手段变种等也是相关犯罪难以根绝的重要原因,如暗网、个人社交平台等交易环境日趋隐蔽,虚拟货币等支付方式更难让资金留痕等。同时,公民个人信息暴露的机会越来越多,如外卖订单、快递面单、电子求职简历等,都是个人信息泄露高发之地。

近年来,各方打击治理侵犯公民个人信息犯罪的力度持续加强。时下,有关方面应重视加强安全防御体系的“内外兼修”和源头治理,完善发现机制,提升监测能力、应对水平,不给“内鬼”从内部攻破个人信息堡垒留下可乘之机和制度软肋。同时,要在社会信用体系建设上下功夫,如设置违法人员从业禁止和行业准入门槛等,加强震慑力和约束力。

个人信息安全关乎群众切身利益,关乎社会稳定。未来,共生于互联网生态中的科技、经济及生活方式会不断向纵深发展,规范相关主体对数据的利用,强化不同行业内部人员的守土之责,期待各方有更多相向而行的努力,牢牢守住个人信息堡垒的安全。

关键词: