1亿条个人信息遭泄漏 涉案与5家上市公司有关
近日,江苏淮安警方通报,在公安部督办下,他们以“打链条、打平台、打团伙”为目标,依法打击了7家涉嫌侵犯公民个人信息犯罪的公司,涉嫌非法缓存公民个人信息1亿余条。这些公司中,有披着科技公司的外衣,实际却做着“贩卖个人信息”“网络放贷”“催收软暴力”等不法勾当。
个人隐私变“商品” 317条个人信息售卖500元
据央视网报道, 2018年4月,江苏淮安警方在网上巡查时发现,有人非法购买公民个人信息之后,嫌疑人高某主动到警方投案。根据高某交代,他花500元从网名叫“过去、将来”的人手里购买了317条公民个人信息,这些信息包括手机号、姓名、身份证号和家庭地址。他买这些信息的目的是打电话,给网络小贷公司拉客户。警方随即锁定网名为“过去、将来”的犯罪嫌疑人申某,并将其抓获。
然而,申某并非此次事件中唯一一个“供应”个人信息的犯罪嫌疑人,根据警方调查,其还有上线——谢某。
警方在申某的电脑里查获公民个人信息7万多条,这些信息包括公民姓名、身份证号、地址、电话以及芝麻信用分等,很多信息显示推广来源为“花钱无忧”“借点钱”等小贷平台。
随后,警方经过缜密的侦查,再次揪出另一名通过他人向申某贩卖公民个人信息的犯罪嫌疑人。警方发现该名犯罪嫌疑人实际为广州诺涵科技公司的员工,且他贩卖公民信息并非个体行为,甚至其所在的广州诺涵科技公司也不只是贩卖公民个人信息,更主要的是在进行小额贷款,并进行软暴力催收,是一个组织严密、分工明确、涉案人数众多的犯罪团伙。该犯罪团伙将公民个人信息称作“流量”,也开发了多个小贷平台,在自身购买公民个人信息用于推销贷款、软暴力催收的同时,也和其他公司相互交换公民个人信息,还开发有爬虫云等软件,通过技术手段爬取其他小贷公司的公民个人信息,用于公司放贷和非法出售牟利。
经过周密部署,2018年6月6日,在广东警方配合下,淮安警方一举将该公司45名涉案人员全部抓捕。
爬虫软件非法获取公民贷款和逾期数据
此外,警方通过顺藤摸瓜,发现广州诺涵科技公司的公民个人信息主要来自湖南九象信息有限公司,这家公司开发有一个黑爬虫网站,通过爬虫软件,非法获取数十家小贷公司的公民贷款和逾期数据,然后公开提供收费查询,并提供“身份核验返照”业务,付费后,任何人只要在该网站输入公民姓名和身份证号码,就可以查询获取公民身份证相片。
锁定相关犯罪证据后,淮安警方在长沙、深圳分别将湖南九象公司的法定代表人和技术主管抓获。审讯得知,九象公司黑爬虫网站的“身份核验返照”业务端口来自北京黑格科技有限公司,而黑格公司是从北京考拉征信服务有限公司等四家公司购买的查询接口。
经查,北京考拉征信服务有限公司从上游公司获取接口后又违规将查询接口出卖,并非法缓存公民个人身份信息,供下游公司查询牟利,从而造成公民身份信息包括身份证照片的大量泄露。
随即,警方将北京黑格公司和北京考拉征信服务有限公司(以下简称:北京考拉公司)的法定代表人、董事长、销售、技术等20余名涉案人员抓获,并于今年4月在北京将他们上游公司的5名涉案人员抓获。
警方透露,2015年3月以来,北京考拉公司非法提供查询返照9800余万次,获利3800余万元,在公司服务器中查获并收缴被非法获取、存储的公民姓名、身份证号、相片近1亿条。
启信宝资料显示,北京考拉公司成立于2014年4月,经营范围包括:企业信用的征集、评定,企业管理咨询,技术开发、技术咨询、技术服务、技术转让,计算机系统服务等。
《每日经济新闻》记者发现,北京考拉公司为考拉昆仑信用管理有限公司(曾用名:拉卡拉(48.11 -2.39%,诊股)信用管理有限公司)的全资子公司。启信宝资料显示,考拉昆仑信用管理有限公司共有9名股东,其中大股东为:拉卡拉支付股份有限公司(300773,以下简称:拉卡拉),持股比例达到32.4%。
图片来源:启信宝页面 截图
其他股东中,多家有着A股上市公司的背景,如北京数知科技(8.94 +2.17%,诊股)股份有限公司(曾用名:梅泰诺,300038)、拓尔思(11.75 -5.47%,诊股)信息技术股份有限公司(300229)、北京旋极信息(5.32 +0.76%,诊股)技术股份有限公司(300324)、北京蓝色光标(5.30 -0.19%,诊股)数据科技股份有限公司(300058)等。
受此影响,拉卡拉午后跳水跌停,收盘于49.29元。
业内人士:数据规范化流通正进入正轨
在大数据时代,公民个人隐私问题容易爆发,个人隐私的泄漏往往给个人生活带来许多麻烦。光之树科技创始人张佳辰对《每日经济新闻》记者表示,目前此类隐私泄漏问题,根源在于数据的规范化流通逐渐进入正轨,国家正在加大力度对数据的获取和利用的乱象进行整治。
张佳辰认为,近期因滥用用户数据被查处的多家公司有着共同行为:首先是非法获取公民个人信息,如利用爬虫爬取客户数据后进行缓存和再销售,缓存和再销售是超出用户授权范围的违法行为;其次是公民个人信息的滥用,如数据被用于暴力催收、诈骗、骚扰营销等。
在张佳辰看来,防止个人信息泄露可从两方面着手。
首先从机构方面来看,机构可利用多方安全计算作为技术手段,确保公民个人信息不被泄露,且数据不会被缓存。如结合区块链和数据标识技术,可以确保数据确权、流转过程的可追溯可审计,充分发挥数字经济时代“谁贡献谁受益”的优势。
对于普通用户来说,个人应加强对国家相关法律法规所赋予个体涉及数据使用的权利的了解,在提供任何电子化或书面授权时,需仔细阅读并理解相关授权范围以及自愿退出的方式,对于超出必要性范围的数据授权应予以明确拒绝,并在发现自身权利受到侵害时,立刻终止使用,并向当地政府和监管部门投诉。