“内鬼”是泄露公民个人信息主要源头!涉及信托、运营商、航空公司三起典型案例

大数据时代下,公民个人信息与保护问题越来越被社会广泛关注。8月23日,北京高院召开新闻通报会,发布侵犯公民个人信息犯罪案件审判情况。2018年以来,本市各级法院共审结侵犯公民个人信息犯罪案件219件,判处犯罪分子294人。从案件情况看,被侵犯的公民信息不乏行踪轨迹、财产信息等高度敏感信息,而内部人员泄露信息是侵犯公民个人信息犯罪的主要源头。

北京高院党组成员、副院长孙玲玲介绍,在北京法院所有已结案件中,24.6%的案件涉及高度敏感信息,包括行踪轨迹、通信内容、征信信息和财产信息;9.9%的案件涉及敏感信息,包括住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息。公民手机号码、身份证件号码在各种信息类型中占比最大。“近年来,全国范围内出现过因高度敏感信息泄露引发的恶性事件,侵犯此类个人信息的犯罪案件应重点予以关注,严防造成次生风险。”孙玲玲说。

相关案件侵犯公民个人信息的数量规模庞大,常涉批量信息甚至海量信息。在179起侵犯公民个人信息罪的一审案件中,有162起是以信息条数作为定罪量刑的主要依据,其中超半数案件信息数量超过5万条,约1/4的案件信息数量超过50万条,少数案件查获的信息多达数百万、数千万条,甚至过亿条

犯罪手段也越发隐蔽。不法分子通过社交软件群、网站论坛等平台买卖或交换个人信息是常见手段。近年来,“暗网空间”也逐渐成为犯罪交易的活跃场所,交易支付方式从现实货币演进为“比特币”等虚拟货币。除了交易环境和支付方式日益隐蔽,秘密窃取的技术手段也日益成熟,如“爬虫”软件已成为收集大量信息时的常用软件之一。

从个人信息的来源及流向看,侵犯公民个人信息犯罪涵盖了金融、教育、交通、通信、物流、求职、法律等各行各业。排除买卖、交换等中间环节,39.6%的涉案信息被用于违法甚至犯罪活动,如违规提取公积金或办理信用卡、暴力催收讨债、电信网络诈骗、盗窃存款、敲诈勒索、绑架、故意伤害等。

从被告人情况看,超过半数案件的被告人供职于公司企业、事业单位或系个体企业经营者。其中,包括中高级管理层、法定代表人在内的公司职员占比最大,为50.3%。被告人中不乏拥有较高学历水平,在互联网公司、金融投资企业、房产中介等任较高职务者

“放眼整个犯罪链条,内部人员泄露信息是侵犯公民个人信息犯罪的主要源头”孙玲玲介绍,行业“内鬼”屡屡犯案,且团队化作案模式愈加成熟,一些“内外勾结”型犯罪甚至可以组建起从获取、交易直至变现、非法利用个人信息的全链条犯罪团伙。针对上述现象,全市法院依法从严从重惩处行业“内鬼”泄露公民个人信息的行为,重点打击侵害个人高敏及敏感信息、未成年人等特殊群体个人信息、批量个人信息的案件。如朝阳法院聚焦重点行业探索从业禁止条款的适用,增加行业内部工作人员的犯罪成本,使惩罚与警示教育效果并重。

电信网络诈骗犯罪是侵犯公民个人信息犯罪的典型下游犯罪。近三年来司法机关借助“断卡”行动、打击“养老诈骗”等专项行动,加强对关联犯罪的纵深打击。海淀法院审结的以曾某、李某为首的两大犯罪集团侵犯公民个人信息、诈骗案,将上游非法获取并出售考生手机号、社交账号,以及下游向考生群发助考类诈骗信息实施电信网络诈骗的犯罪团伙均一网打尽,及时避免了更多考生遭受财产损失,有效维护了正常的招生、考试环境。

北京高院发布三起侵犯公民个人信息典型案例

8月23日,北京高院向社会公开发布3起侵犯公民个人信息罪典型案例。3起案例涉及的信息类型多为高度敏感信息,与其他违法犯罪活动关联较为紧密,体现了相关行业内部从业人员泄露个人信息的危害性。北京高院表示,将加大对侵犯公民个人信息犯罪的惩治力度,对于违反国家规定,非法获取、出售或者提供公民个人信息,构成犯罪的行为,必将依法严惩。

大型国际信托有限公司项目经理,非法登录银行个人征信系统保存他人征信报告 

被告人沈某案发前系某大型国际信托有限公司项目经理,利用任职便利,采取“撞库”等方式获取某银行个人征信系统用户名和密码,通过其所属国际信托有限公司与该银行之间进行专线互联的终端机,数次非法登录该银行个人征信系统,查询并下载保存他人征信报告共计100份。

经查,沈某此前曾采取同样的作案手段,查询并下载保存他人征信报告共计1000余份。西城区法院以侵犯公民个人信息罪判处沈某有期徒刑1年,并处罚金4000元。

法官表示,在当代社会,个人征信作为公民的“经济身份证”,在公民个人生活中发挥着十分重要的作用,影响百姓的出行、贷款、就业等方方面面。因此,“两高”在2017年出台的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中将征信信息列为高度敏感信息,非法获取、出售或者提供50条该类信息即可入罪

与运营商营业厅工作人员内外勾结,批量办理手机号用于电诈

被告人胡某以某科技有限公司的名义向北京某大型通信运营商申请批量办理手机号。胡某通过被告人张某雇佣他人作为经办人,有偿使用张某提供的他人身份证件办理上述业务。被告人任某、鲁某是运营商营业厅的工作人员,明知胡某公司办理的手机号涉嫌诈骗,仍予以办理。经查,办理的手机号后被用于电信网络诈骗,诈骗金额共计约170余万元。  

大兴区法院以侵犯公民个人信息罪及帮助信息网络犯罪活动罪两项罪名,决定对胡某执行有期徒刑4年,并处罚金12万元。张某因犯侵犯公民个人信息罪,判处有期徒刑2年,并处罚金2万元;任某、鲁某犯帮助信息网络犯罪活动罪,分别判处有期徒刑1年,并处罚金1万元。

法官表示,电信诈骗是最常见的侵犯公民个人信息行为的下游犯罪,具有严重的社会危害性。本案各被告人共同实施了多次内外勾连、上下游配合的侵犯公民个人信息以及帮助电信网络诈骗的行为,造成了大量被害人财产损失,性质恶劣。

贩卖明星航班信息,侵犯行踪轨迹获刑

被告人秦某通过劳务派遣在某航空公司客户服务中心担任国内客服代表。被告人李某曾就职于某科技有限公司,负责某国际航空公司系统业务,离职后通过前同事查询航班信息。2020年至2021年,秦某伙同李某,直接或间接利用查询航班信息的工作便利,违反国家有关规定,非法获取包括明星在内的旅客航班行踪轨迹信息以及其他公民个人信息后,向他人出售。二人的行为导致众多不特定公民的行踪轨迹、身份证件等个人信息受到侵害,致使社会公共利益受损。

朝阳区法院以侵犯公民个人信息罪判处秦某、李某有期徒刑各3年,罚金人民币各4万元;继续追缴二人违法所得,并禁止秦某、李某自刑罚执行完毕之日起三年内从事航空客服代表类职业。同时,责令秦某、李某支付公共利益损害赔偿款,没收后上缴国库,并在国家级新闻媒体公开赔礼道歉。

法官表示,本案系一起典型的侵犯公民个人信息刑事附带民事公益诉讼案件。被告人秦某、李某所出售的公民个人信息包括舱单信息、历史飞行记录和公民身份证号、护照号等,其中舱单信息包括了乘机人拼音姓名、航班号、舱位号、航班日期、订票日期等内容。对于购买者而言,上述信息能单独反映或组合反映明星、粉丝以及其他普通乘机人等特定自然人在具体时间点的行踪轨迹,属于刑法所保护的公民个人信息。

企业如何防“内鬼”,做好个人信息保护?

敏感数据访问控制

企业可以结合业务、数据保护、安全合规要求等维度的要求,将企业敏感数据、消费者个人信息纳入逻辑数据集合,根据敏感数据类型、控制动作、数据访问类型、有效时间、主体位置、执行路径等条件实施数据访问控制,依据“业务必需、最小权限、职责分离”的原则,只返回必要的敏感数据。如禁止特权账号访问业务数据、业务系统账号越权访问、机构人员违规篡改消费者个人信息等行为。

敏感数据动态脱敏

动态脱敏能够在访问敏感数据的同时实时进行脱敏处理,选用可根据业务具体需求自定义脱敏模板灵活组合脱敏策略,既能满足数据交付的合规要求,同时确保数据使用安全高效。如应用前端脱敏展示、机构人员未经授权查询数据自动脱敏、BI 数据分析及数据报告按需自动脱敏敏感数据等,根据业务应用用户名、应用访问路径配置不同的脱敏策略,灵活满足业务需求与监管要求。同时可基于敏感数据类型配置脱敏策略数量级降低脱敏策略的条数,极大提高运维效率。

减少权限暴露面

对于动态流通的数据,要基于最小化原则收敛数据暴露面,如在数据库运维场景中,采用虚拟账号口令代替数据源真实账号口令,降低数据源口令(数据库弱口令)的泄露风险。同时,可实施细粒度到人(不同角色)的即时管控,以及监管、及时发现高危特权账户。例如控制粒度到具体人员(真实数据操作者)的查询权限的严格限制、数据访问留痕至真实数据操作者。

认证代理细化访问控制

数据安全管理人员可根据业务情况自定义数据集以及用户/用户组,配置并执行访问控制策略,进而允许、拒绝或告警特定用户对特定数据集的访问。根据敏感数据类型、安全级别、用户标签配置访问控制策略,对高风险访问具备阻断能力。

面对来自监管层面繁重的自查整改要求与内部数据安全管理难点,原点安全提供一体化数据安全保护策略与一体化日志分析安全运营,适用于企业在数据库开发运维、数据分析、外采第三方科技服务、银行后管业务等不同场景中面临的数据安全问题,满足企业新旧应用免改造、细粒度行权限管控、前端展示脱敏、数据泄露事件可溯源等需求,真正实现一体化数据资产与安全策略管理的安全解决方案。

【转载来源:北京日报微信公众号】

你可能感兴趣的:(数据安全)