針對網上“12306平臺疑似旅客信息泄漏，低價出售410萬旅客信息”一事，2018年12月28日晚，“中國鐵路”官方微博發佈消息回應稱：“網傳信息不實，鐵路12306網站未發生用戶信息泄露。”

資料圖 王金輝 製圖

而在網絡上，通過QQ、微信、貼吧等渠道販賣上述信息的案例亦屢見不鮮。這些以個人信息爲“商品”的交易，其源頭從何而來？

2019年1月2日，澎湃新聞在中國裁判文書網檢索到近五年共75份判決書後發現，在侵犯公民個人信息的案件中，犯罪嫌疑人盜取公民個人信息的主要渠道有三：通過網絡廉價購買大量信息二次倒賣、利用職務之便盜取信息和利用黑客技術攻入計算機系統。

“二道販子”：從網絡購買大量信息後“批發”賺差價

澎湃新聞以“侵犯公民個人信息罪”、“12306網站”爲關鍵詞在中國裁判文書網上共檢索到19份判決書，多數犯罪嫌疑人從上家低價“批發”大量未經細分處理的12306網站用戶信息後，再分類進行二次出售獲利。

在四川省劍閣縣人民法院2018年8月4日發佈的一審判決書中，被告人周亮即從網上出售12306數據的“上線”處購買了大量數據，內容有公民註冊郵箱、姓名、身份證號、手機號和密碼信息，並夥同他人將數據分類處理後再出售。周亮因犯侵犯公民個人信息罪，被判處有期徒刑一年，緩刑一年，並處罰金10000元。

澎湃新聞注意到，在上述19份判決書中，僅一份提及了信息源頭：2018年2月9日，江西省餘干縣人民法院審理的一起案件中，江蘇濱海縣公安局交警大隊八灘中隊輔警李某舟利用工作便利，偷偷使用同事的數字證書進入“全國綜合查詢平臺”、“全國人口信息查詢平臺”、“全國車輛管理信息查詢平臺”獲取公民身份信息及車輛信息140萬條，並出售給他人非法獲利240616元。經李某舟之手流出的信息後被“黃牛”用來在12306網站註冊賬號幫他人搶票，並從中獲利。

倒賣個人信息賺取差價，是侵犯公民個人信息案件中最常見的非法獲利方式。許多不法分子通過QQ、微信等方式在網絡上聯繫，確定價格並批量出售、倒賣公民個人信息。

澎湃新聞發現，此類案件通常涉及的信息量巨大，購買成本則相對較低，給了嫌疑人賺取差價的空間。

在雞西市雞冠區人民法院2018年的一起判決中，被告人陳海波通過QQ購買了大量個人信息進行倒賣。

2013年，陳海波曾因犯侵犯公民個人信息罪被成都市金牛區人民法院判處拘役四個月。出獄後幾年，他又“重操舊業”，於2017年3月起聯繫“下線”李某，出售自己從網絡上購買的大量公民個人信息，包括姓名、住址、聯繫方式等。

經過公安機關的排查，在陳海波的硬盤、U盤中發現的公民個人信息共有87.4萬條之多。通過自己和李某的多次交易，陳海波手中掌握的公民個人信息共使他非法獲利多達18.3萬餘元。

在二次倒賣公民個人信息的案件中，被販賣的公民信息常常被作爲“下線”的購買者用於其他不法用途，例如：非法營銷、網絡詐騙等。

對此，中國人民大學法學院教授時延曾在受訪時表示，從某種意義上說，任何預謀的犯罪行爲，都要事先收集有利於犯罪的信息，包括被害人的信息。而就網絡犯罪看，行爲人更依賴個人信息，尤其是侵犯財產類的犯罪。

在山東省萊蕪市中級人民法院2018年6月二審裁定的一起判決中，被告人蔣志波從一個專門從事倒賣公民個人信息的QQ羣中購買了大量來源於購物平臺的公民個人信息，包括姓名、電話等基礎信息，並將這些信息和自己之前收集過的危房業主、交通事故信息打包二次出售給了此案中另一名嫌疑人林澤超。

蔣志波供述稱，他購入信息的價格僅爲10元/萬條，折算下來，每十條的價格僅一分錢。他說，因爲這些信息獲取的時間較早，“進價”就相對便宜一些。通過出售這些信息，蔣志波累計賺取了10650元。

買賣“成交”後，這些公民個人信息被林澤超用於從事網絡詐騙、微商等業務。

監守自盜：輔警盜用民警數字證書盜取公民信息

裁判文書顯示，在不少案件中，嫌疑人供職於通信公司、車輛管理機構、公安局等要害部門，通過獲取權限，直接盜取了大量公民個人信息用於非法牟利。

湖北麻城市中級人民法院2018年二審的一起判決中，被告人孫立飛通過華爲公司業務員肖某購買了大量包含用戶姓名、電話號碼和移動積分在內的移動用戶個人信息資料，並將其中50萬條信息以5萬元的價格並出售給開設公司、盜取移動用戶積分的李少輝。

隨後，李少輝在南昌市註冊創辦了一家網絡公司，從2016年9月開始，指派公司話務員冒充移動公司客服騙取用戶移動積分，兌換成電子券牟利。

從2016年10月23日到2016年11月24日，僅用了一個月，這家公司的成單量就達到2500多單，12月的成單量近4000單。

爲規避一些用戶的屏蔽，李少輝與同案被告人何建福購買了80多部手機和大量電話卡，一旦被屏蔽就立刻換號。

“每天下班前，話務員都會把已兌換的積分打成清單，客戶資料上還會有標記，‘2’就是打過兩遍電話，‘3’就是打了三遍”，該公司話務員何建福說。

事實上，員工們也曾對公司的業務產生過懷疑。話務員張瑛曾發現一些用戶反映沒有收到積分兌換禮品，充值話費也沒有到賬，還有一些員工在微信羣裏提出公司存在詐騙嫌疑。可是，由於福利待遇還不錯，張瑛並沒有選擇離開。

最終，截至李少輝歸案，他的公司共騙取移動用戶積分逾三千萬分。

除此之外，澎湃新聞還發現了多起輔警盜用民警數字證書盜取公安內網公民信息的案例。

在淄博市張店區人民法院2017年4月24日的一起判決中，被告人詹耿彬就是一名在東莞市公安局大朗分局刑警大隊工作的輔警。

作爲伏擊組輔警內勤，詹耿彬平時便可以經常接觸公安內網。利用伏擊組民警梁某平時放在單位抽屜裏的數字證書，詹耿彬動起了歪腦筋。通過公安內網，詹耿彬可以直接獲取公民身份信息、出入境信息、護照照片、戶籍照片等個人信息。

在發現了這一“致富手段”後，詹耿彬便堂而皇之在QQ上聲稱出售“一手信息”。通過一段時間的交易，他積累起了5名“下線”，經常與他們達成交易，每天動輒盜取1000條左右的公民個人信息。

詹耿彬出售公民個人信息一條的價格是1.7元至5元不等，他的下線卻將這些信息加價數倍之多。同案被告張學鵬出售從詹耿彬處購買的護照信息，一條的價格在10到15元，共獲利5萬元左右。

技術手段：黑客入侵中小學學籍管理系統網站

除了從內部盜取信息，一些精通計算機的犯罪嫌疑人也能通過技術手段從外部直接盜取數據庫裏的公民個人信息。

在上海市浦東新區人民法院2018年的一起判決中，被告人王某某通過黑客手段入侵了上海世基投資顧問有限公司等金融公司網站，被告人牟某某則通過黑客手段入侵了安徽省中小學學籍管理系統網站。

2014年到2017年間，受僱於一家薦股公司的王某某結識了一些網絡黑客，其中包括同案被告牟某某。2017年2月開始，王某某開始指使包括牟某某在內的兩名黑客入侵了世基公司的網站，查看並獲取了上萬組該公司的用戶數據，並出售給中鑫公司上海分公司。

經世基公司方面證實，該公司被入侵的服務器位於浦東新區靈山路世基分公司機房內，服務器上沒有客戶數據，入侵者系通過遠程互聯網控制服務器，並通過內網IP獲取了內網其他電腦上保存的客戶信息。

盜取信息的過程中，王某某向兩名黑客支付了51萬元“工資”。得手後，王某某再將信息出售給中鑫公司上海分公司和瑜廣公司等“下游”，每一次動輒收入四五萬元。

而對被告牟某某而言，受僱於王某某並非唯一的“業務”。2017年6月初，有人在QQ上找到他，提供了安徽省中小學學籍管理系統的權限，並讓牟某某攻擊滲透該網站。

牟某某從學籍管理系統獲取了600多萬條包含學生姓名、身份證、籍貫、家長姓名、聯繫電話等信息的數據，按地市分類導出。

在黑客技術之外，購買“掃號”軟件並用大量數據進行“撞庫”的手段也出現在近年來一些重大侵犯公民個人信息案件中。

江蘇省儀徵市人民法院2018年的一起判決中，被告人王羣便通過“撞庫”成功獲取了他人QQ用戶名及密碼，用於銷售獲利。

在王羣的非法牟利鏈條中，他所購買的“掃號”軟件由同案被告李陳龍編寫，用途是獲取他人的QQ郵箱賬號和密碼。隨後，王羣又從軟件銷售者林佐樓處購買，並將此前購買的500多萬組郵箱賬號密碼數據導入軟件運行，採取對QQ軟件數據庫“撞庫”手段，獲取了大量QQ郵箱用戶的個人信息。

通過銷售撞庫獲取的QQ賬號和密碼，王羣累計獲利41.8萬餘元。而銷售方林佐樓通過售賣非法軟件，銷售額高達40.5萬餘元，個人獲利9.4萬餘元。編寫軟件並出售的李陳龍，非法獲利則爲3.4萬餘元。

延伸閱讀：

中消協發佈app收集個人信息測評報告，金融理財類評分最較低

2018年11月28日，中消協在京發佈《100款App個人信息收集與隱私政策測評報告》。報告顯示100款App中，多達91款App列出的權限存在涉嫌“越界”，即存在過度收集用戶個人信息的問題。在綜合評分中，金融理財App評分最較低，只有28.91分。同時在綜合星級評定中，愛搶購、翼支付、E代價、同花順、百程旅行、139郵箱等App的評價只有一星。

據瞭解，App個人信息收集與隱私政策測評活動於今年8月到10月展開，由中國電子技術標準化研究院提供專業技術支持。本次被測評的10類（通訊社交、影音播放、網上購物、交易支付、出行導航、金融理財、旅遊住宿、新聞閱讀、郵箱雲盤和拍攝美化）100款App。

個人信息收集：

測評結果顯示，“位置信息”、“通訊錄信息”和“手機號碼”等三種個人信息是過度收集或使用個人信息最常見的內容。100款App中，59款App涉嫌過度收集了“位置信息”，過度收集或使用個人信息的情況較多，另外“通訊錄信息”、“身份信息”、“手機號碼”也是用戶個人信息過度收集或使用較多的內容，在受測評中分別有28款、23款、22款App涉嫌存在此類情況。除此之外，用戶的個人照片、個人財產信息、生物識別信息、工作信息、交易賬號信息、交易記錄、上網瀏覽記錄、教育信息、車輛信息以及短信信息等均存在被過度使用或收集的現象。

隱私政策方面：

47款App隱私條款內容不達標，其中34款App沒有隱私條款。其主要問題是：1.未明確告知收集個人信息類型，且收集敏感信息時未明確告知用戶信息的用途；2.未明確告知用戶個人信息的保存期限和停止運營的情形；3.未明確告知用戶個人信息使用方式；4.對外提供個人信息時不單獨告知並徵得用戶同意；5.未明確告知用戶如何更正個人信息和撤回同意；6.隱私條款未在明顯位置公示，條款變更時未及時通知用戶；7.隱私政策存在默認同意或未提示閱讀等問題；8.存在“自行承擔風險”等不合理免責條款。

中消協建議

針對測評中發現的問題，中消協建議：一是加強隱私保護立法，爲消費者個人信息安全提供法律和制度保護；二是督促App開發管理者根據App的核心功能和擴展功能明示個人信息收集範圍，給予消費者知情權和選擇權，並應儘可能少的收集消費者個人信息，並採取有效措施保護消費者個人信息安全；同時明示隱私條款，不採用默認勾選方式、不使用不公平格式條款，採取顯著方式引起消費者注意，引導消費者主動閱讀、理解相關隱私政策；三是各應用商店要履行平臺審覈責任，強化App隱私條款的明示公示義務，對於沒有隱私條款的應當及時下架，並提醒消費者謹慎下載使用，應當要求相關隱私條款內容不能損害消費者合法權益，不得含有不公平格式條款；四是強化部門間的溝通合作，完善消費者個人信息安全問題的投訴舉報制度，嚴肅查處侵害消費者合法權益的典型問題。

中消協呼籲，消費者應儘量通過審覈機制更嚴格的應用商店平臺下載App，下載過程中要認真閱讀App的應用權限和用戶協議或隱私政策，不掃來歷不明的二維碼，不點來歷不明的網頁鏈接，不安裝來歷不明的App，使用過程中一旦發現信息泄露，要留存相關證據，及時向有關部門投訴舉報，依法主動維權。

中消協同時表示，針對本次測評活動中發現典型問題，將約談勸諭相關App開發管理者，督促企業整改提高。

相關文章