起底“内鬼”如何窃取公民个人信息

【调查】

职业“内鬼”身影开始出现

值得注意的是，纵观近两年曝光的“内鬼”案例，除了有自己的本职工作、因一时糊涂被“策反”的人员之外，“职业“内鬼””的身影开始出现。

2017年初，公安部破获一起盗卖公民信息的特大案件，涉及50亿条公民个人信息。其中一名涉案人员郑某某，案发时在京东担任网络工程师。京东称，打击黑产的日常行动时发现此人是黑产人员，立即向公安机关提供了线索。

随后有媒体报道，郑某某在加入京东之前，曾在国内多家知名互联网公司工作。警方介绍，郑某某“技术水平较高”，去各公司应聘时基本都会被录用。他长期与犯罪团伙合作，成功盗取信息后就离职，继续到下一家公司应聘。

实力雄厚、管理相对严格的大企业里，为什么也有“内鬼”的活动空间？“大企业的安全防护很难跟上业务形态的发展，尤其是互联网企业。”天空卫士高级安全顾问宋威分析，互联网行业的特点是开放性和流动性强，业务形态难以固定，企业没法对数据进行“一刀切”式的封锁管理，很难进行有针对性的防护。

此外，随着大数据技术的发展，数据共享成为企业合作的内容，越来越多的企业委托第三方进行数据存储和管理，接触数据的人员增加，也加剧了信息泄露的风险。

记者发现，除了郑某某这样技术水平较高、混入大型企业的人员，还有一部分黑产人员瞄准了小微企业的管理漏洞，伺机潜入企业内部作案。小型电商公司，是受害的重灾区。

据公开资料显示，2016年6月开始，江西人赖某冒名“刘坤和”，先后到广州市白云区多个网店应聘，入职后便伺机窃取客户交易信息，转手卖给诈骗人员。 6月15日至7月23日期间，赖某先后4次出售客户信息约686条，共牟利4195元。

与单打独斗的赖某不同，有些人选择带队作案，福建人杨强、陈敏等三人就属于后者。 2016年，三人经事先商量，在福建省龙岩市新罗区、漳平市等地张贴高薪招聘员工的广告。招到人后，杨强将小工们带到义乌、杭州等地，让他们以应聘的名义混入多家公司，在客服电脑中植入木马程序，从而获取订单数据。至案发时，三人涉案订单数量共计超过百万条。受害网店中既有开业十年的口碑好店，也有粉丝数量超过千万的网红店，服装、食品、家具领域均有所涉及。

腾讯网络安全专家于旸曾在其微博“tombkeeper”分享发现职业“内鬼”的经历。 “2015年，我们公司另一个事业群的HR发给我一份简历，请我帮忙判断能力水平。但我一看简历上的时间线就感觉这人有问题。 ”于旸说，这名应聘者在每家公司都只干6个月，不但换公司还换城市，自己由此起了怀疑。

他进一步调查发现，该应聘者存在简历造假——一般的造假者是为了美化自己的工作水平，该人则是为了掩盖既往经历。最后证实，该人果然隶属于一个黑产团伙，而且之前已经在至少两家互联网公司卧底过。 “干这行的人数远比你们想象得多”，于旸在微博上作出如是评论。

种种案例表明，稍有不慎，企业就可能遭遇职业“内鬼”：小企业没有足够的安全防护意识和能力，很容易成为受害对象。大企业虽有强大的安全团队，但是并非百分百安全，且严防死守也难防自己的内部人。

【幕后】

更加隐蔽化与精细化

2016年，记者曝光信息黑产，个人信息买卖的猖獗程度首次为公众广泛知晓，报道中的“700元买到开房记录”成为全网热搜关键词。今年2月，央视推出调查报道，再次在黑产内部引爆。但记者发现，黑产们并没有就此放弃生意，只是提高了警觉，信息的价格也涨了上去。

在QQ平台，原本的催收群、侦探群、信息群，换上了便民服务、技术联盟、民间调查等名号。他们在QQ空间内放上各种信息表单的照片和视频，暗示业务仍在继续。

记者直接添加其中一些人的QQ和微信，大多数人都没有反应。成功加上一名信息贩子后，记者尝试询价，对方反问：“难道你不是熟人介绍的吗？”记者声称熟人介绍的信息贩子都联络不上，对方才继续回话。

在讨价还价的过程中，这名信息贩子表示，查不了银行资产，但可以查开房记录，收费标准是近半年580元，查询时间每加一年加价100元，先付定金。记者佯装质疑，此人表示信息来源是公安系统，如记者有疑虑，也可以不交定金，看到证明截图后再交全款。

裁判文书网公开案例显示，过去多年中，QQ和微信一直是信息贩子们交易的首选工具。据记者了解，自2016年至今，腾讯共查处涉及个人信息贩卖的网络群组4700多个，封停3500多个即时通讯个人账号。一些“内鬼”和信息贩子转而开始使用暗网和外国即时通讯产品，以绕过腾讯和有关部门的监管。

买卖来源于需求，到底是谁在给“内鬼”和中间商付钱？记者梳理发现，大概可以分为以下几类：催收人员、销售人员和诈骗人员。其中，诈骗人员非法获取个人信息的情况，被工信部视为通信诈骗整治工作中新的突出问题。有关负责人介绍，个人信息泄露已成为信息诈骗的根源。要加强源头治理，工信部需与网信、公安等部门协同共治，督促企业整改个人信息过度收集、泄露或滥用等问题。

曾在互联网借贷平台短暂工作过的雷雨告诉记者，互联网借贷行业几乎没有个人信息保护的概念，彼此交换信息倒是常态，一些催收公司会主动将个人信息提供给借贷公司，作为换取业务的筹码。 “我们公司有30多个人，几乎每个人都能接触到一手的客户信息，我甚至能看见用户做人脸认证的照片。 ”雷雨说。

【说法】

司法实践中存在“三难”

从徐玉玉案发生到去年 “两高”司法解释实施，再到今年2月公安部部署全国开展“净网2018”专项行动，一轮又一轮的打击高潮出现，大批黑产成员落网。但严厉的打击背后，还有若干深层问题待解。

梳理裁判文书网案例可以发现，即使是在“两高”司法解释出台后，涉案人员的刑期也多在一年以内，最高不过四年，与多年前相比并没有明显变化。加上嫌疑人被抓后通常有悔过表现，普遍会获得减刑判决。

北京师范大学刑科院暨法学院副教授吴沈括认为，从刑法修正案（七）到刑法修正案（九），再到“两高”司法解释，扩大刑事保护的范围、细化刑事介入的范围标准、提升个人信息的保护水平，是明显的变化趋势。但在司法实践中，针对侵犯公民个人信息的犯罪，仍然存在查处难、证明难、定罪难的“三难”情况。

除了采用数据加密、权限管理、安全审计等企业内控方法来防范“内鬼”风险外，一些深受“内鬼”所累的企业，开始探索联合共治机制。以快递业为例，包括顺丰、圆通、申通、中通、韵达等在内的多家快递企业已加入快递物流征信平台，合力将存在泄露客户信息等失信行为的人员纳入全行业“黑名单”。 “管理上要建立威慑力，威慑力不是说抓到后才判决多少年，而是体现在只要对方伸手，就能抓到对方。”顺丰有关负责人说。

另一个正在被推广的办法是，利用技术手段设置隐私面单或安全号码，使得用户的个人信息在企业或政府的业务流转中不显示或不完全显示，以减少个人信息被泄露的可能性，例如外卖、快递、专车等行业先后推出的安全号码或隐私面单服务。

吴沈括认为，根本解决之道，仍在个人信息保护立法。同时，他建议政府鼓励建设打击侵犯公民个人信息犯罪黑色产业链的社群，以最大范围内凝聚政府、产业与公民团体的集体力量，不断增强公民保护个人信息的意识，以推动形成针对黑产威胁的群防群治态势。

（注：文中乜远、徐某、雷雨、林岳均为化名）

新闻推荐

家有陶瓷暖男

刚上大学，参加军训时，男孩就注意到了班上一个漂亮女孩。晚上军训休息，女孩经常站在队前表演节目。坐在对面的男生们，总要在她...