临近年末,多地警方加速侦破、通报侵犯公民个人信息案件情况。12月9日,北京商报记者注意到,12月以来已有多地警方对打击辖区内买卖公民个人信息案件进行了通报,涉及金融债务催收、产品营销以及电信套利等多类情况。
在长沙市公安局通报的湖南强贲信用管理有限公司(以下简称“强贲信用”)案件中,强贲信用累计非法获取公民信息达200余万条,用于催收金融机构债务。在业内人士看来,个人隐私泄漏危害重重,除了用户自身提高警惕外,收集信息的机构主体也应合规使用用户信息。
非法获取公民信息超200万条
买卖个人用户隐私信息这一违法行为,正被严厉打击。12月8日,长沙市公安局通报了强贲信用这一起特大侵犯公民个人信息案的侦破情况,177名涉案人员被抓捕,扣押、冻结涉案资金500余万元。
经查,强贲信用主要承接银行、信贷等金融机构不良资产管理及信用卡催收业务服务,公司内设行政部、数据部、业务部等多个部门。为提高催收成功率、提升业绩而获利,在银行提供的个人信息无法联系或者催收对象还款意愿不强的情况下,通过网络黑灰产渠道大量购买公民个人信息,再以“水果费”“风险费”等名义,扣除员工部分工资向员工进行贩卖。
据长沙市公安局介绍,强贲信用月均购买公民信息10万余条,累计非法获取公民信息达200余万条,购买的信息里含有大量公民个人信息,主要包括户籍、家庭成员、个人公积金、家庭住址等。目前,177名涉案人员被抓捕,公安机关已对涉嫌侵犯公民个人信息罪的161名犯罪嫌疑人采取刑事强制措施,案件仍在进一步侦办中。
国家企业信用信息公示系统显示,强贲信用成立于2014年7月,主营业务包括企业征信业务、受银行委托对信用卡透支户进行通知服务、受银行委托对信贷逾期户进行通知服务等。除了位于湖南的总公司外,强贲信用还在武汉、贵阳、杭州等多地设立了分公司。
12月9日,北京商报记者多次拨打强贲信用及部分分公司对外披露的联系电话,了解案件相关情况,但均无人接听。
中国人民大学助理教授王鹏指出,金融领域出现买卖用户信息进行催收情况,极易干扰正常金融秩序,催生暴力犯罪等恶劣行为,这也是监管一直以来明令禁止的。对于信息被泄漏的用户来说,除了可能受到各类金融产品营销电话打扰外,最大的隐患在于电信诈骗乱象滋生,进一步导致用户资金受损等情况发生。
在易观高级分析师苏筱芮看来,从行业发展出发,个人信息的无序买卖,会使得大数据行业中“劣币驱逐良币”的现象加剧,对行业的健康发展造成不良影响。
多地警方严打个人信息买卖
强贲信用买卖个人信息用于催收金融债务,而根据其他地区警方通报的情况,除了在金融领域的应用外,买卖个人隐私信息在其他领域也成为犯罪分子谋利的渠道。
具体来看,陕西延安宝塔分局于12月7日通报,3名犯罪嫌疑人通过微信销售、购买、交换或其他方式非法获取公民个人信息,用于装修营销;山西临汾洪洞公安通报嫌疑人注册公司后,非法获取公民个人信息13万余条,用于引导玩家下载游戏并充值,从中获利。
此外,牡丹江市东安分局、阳明分局也接连破获手机营业厅工作人员利用职务之便,以“试卡”的名义收集用户手机卡,贩卖给科技公司员工负责注册相应App。
除了各地警方持续打击买卖用户信息这一违法情况外,监管对于各类收集用户隐私信息的行为也在加强整治,持续整治违规App。经历了此前多次通报后,12月9日,工信部再度下架了106款侵害用户权益的App。
“近年来移动支付兴起、各类金融产品线上化转型不断加速,基于反洗钱等监管需求,‘实名制’在我们日常活动中变得更为常见,用户需要填写大量的各类真实信息,对于何时、何地导致了信息泄漏,用户很难进行分辨。”王鹏指出,“可能是一张废弃的快递单,可能是随手扫描的二维码,甚至可能是用户办理后、还未投入使用的电话卡。”
规范收集用户信息
在多位业内人士看来,个人隐私数据泄漏是电信诈骗的源头,而买卖信息则进一步助长了各类诈骗、营销乱象滋生。
北京商报记者此前也曾多次报道,诈骗分子通过获得的用户电话、家庭住址等信息,以电话、短信、邮件等形式,采取电商平台购物退货、注销校园贷甚至是P2P平台回款等名义,实施诈骗活动。
王鹏认为,不同明目的电信诈骗行为频发,并通过获得的个人信息向用户实施精准诈骗,用户很难招架,这也是监管方持续打击信息买卖、规范信息收集的初衷。近年来经过监管不断要求整改和宣传后,用户保护隐私信息的意识在不断加强。
在谈及如何保护用户数据时,苏筱芮则指出,用户自身树立防范意识,不轻易下载来源不明的App,不轻易点击不认识的网页链接,对待陌生短信、陌生电话保持警惕,在涉及个人信息资料填写的时候需关注索取信息的机构是否为正规机构、是否具有合理目的。
苏筱芮认为,收集用户信息的机构主体同样需要承担责任,做好用户数据保护工作,可从以下四个方面着手,一是数据源的规范,数据的采集是否合规,用户是否在不知情的情况下被收集了个人信息需要重点关注。
二是在数据的传输与共享过程中不能让信息“裸奔”,而是需要采取一定的加密手段或使用隐私计算等方式给个人信息加上“保护罩”。
三是在运营机构方面,涉及个人数据尤其是信用信息的相关敏感数据需要持牌经营,对于非持牌机构,后续需要监管加大打击力度。
四是在管理人员方面,需要通过机构内部制度的设计以及外部立法的完善来约束个人信息相关人员的行为,以防范“内鬼”的滋生。(北京商报记者岳品瑜廖蒙)