針對網上“12306平台疑似旅客資訊泄漏,低價出售410萬旅客資訊”一事,2018年12月28日晚,“中國鐵路”官方微博發布消息回應稱:“網傳資訊不實,鐵路12306網站未發生用戶資訊洩露。”
澎湃新聞(www.thepaper.cn)注意到,12306網站購票账戶包括身份證號、銀行账號、手機號碼、郵箱等公民個人資訊。而在網絡上,通過QQ、微信、貼吧等管道販賣上述資訊的案例亦屢見不鮮。這些以個人資訊為“商品”的交易,其源頭從何而來?
2019年1月2日,澎湃新聞在中國裁判文書網檢索到近五年共75份判決書後發現,在侵犯公民個人資訊的案件中,犯罪嫌疑人盜取公民個人資訊的主要管道有三:通過網絡廉價購買大量資訊二次倒賣、利用職務之便盜取資訊和利用黑客技術攻入電腦系統。
“中盤”:從網絡購買大量資訊後“批發”賺差價
澎湃新聞以“侵犯公民個人資訊罪”、“12306網站”為關鍵詞在中國裁判文書網上共檢索到19份判決書,多數犯罪嫌疑人從上家低價“批發”大量未經細分處理的12306網站用戶資訊後,再分類進行二次出售獲利。
在四川省劍閣縣人民法院2018年8月4日發布的一審判決書中,被告人周亮即從網上出售12306數據的“上線”處購買了大量數據,內容有公民注冊郵箱、姓名、身份證號、手機號和密碼資訊,並夥同他人將數據分類處理後再出售。周亮因犯侵犯公民個人資訊罪,被判處有期徒刑一年,緩刑一年,並處罰金10000元。
澎湃新聞注意到,在上述19份判決書中,僅一份提及了資訊源頭:2018年2月9日,江西省余乾縣人民法院審理的一起案件中,江蘇濱海縣警察局交警大隊八灘中隊輔警李某舟利用工作便利,偷偷使用同事的數字證書進入“全國綜合查詢平台”、“全國人口資訊查詢平台”、“全國車輛管理資訊查詢平台”獲取公民身份資訊及車輛資訊140萬條,並出售給他人非法獲利240616元。經李某舟之手流出的資訊後被“黃牛”用來在12306網站注冊账號幫他人搶票,並從中獲利。
倒賣個人資訊賺取差價,是侵犯公民個人資訊案件中最常見的非法獲利方式。許多不法分子通過QQ、微信等方式在網絡上聯繫,確定價格並批量出售、倒賣公民個人資訊。
澎湃新聞發現,此類案件通常涉及的資訊量巨大,購買成本則相對較低,給了嫌疑人賺取差價的空間。
在雞西市雞冠區人民法院2018年的一起判決中,被告人陳海波通過QQ購買了大量個人資訊進行倒賣。
2013年,陳海波曾因犯侵犯公民個人資訊罪被成都市金牛區人民法院判處拘役四個月。出獄後幾年,他又“重操舊業”,於2017年3月起聯繫“下線”李某,出售自己從網絡上購買的大量公民個人資訊,包括姓名、住址、聯繫方式等。
經過警察機構的排查,在陳海波的硬碟、隨身碟中發現的公民個人資訊共有87.4萬條之多。通過自己和李某的多次交易,陳海波手中掌握的公民個人資訊共使他非法獲利多達18.3萬餘元。
在二次倒賣公民個人資訊的案件中,被販賣的公民資訊常常被作為“下線”的購買者用於其他不法用途,例如:非法行銷、網絡詐騙等。
對此,中國人民大學法學院教授時延曾在受訪時表示,從某種意義上說,任何預謀的犯罪行為,都要事先收集有利於犯罪的資訊,包括被害人的資訊。而就網絡犯罪看,行為人更依賴個人資訊,尤其是侵犯財產類的犯罪。
在山東省萊蕪市中級人民法院2018年6月二審裁定的一起判決中,被告人蔣志波從一個專門從事倒賣公民個人資訊的QQ群中購買了大量來源於購物平台的公民個人資訊,包括姓名、電話等基礎資訊,並將這些資訊和自己之前收集過的危房業主、交通事故資訊打包二次出售給了此案中另一名嫌疑人林澤超。
蔣志波供述稱,他購入資訊的價格僅為10元/萬條,折算下來,每十條的價格僅一分錢。他說,因為這些資訊獲取的時間較早,“進價”就相對便宜一些。通過出售這些資訊,蔣志波累計賺取了10650元。
買賣“成交”後,這些公民個人資訊被林澤超用於從事網絡詐騙、微商等業務。
監守自盜:輔警盜用民警數字證書盜取公民資訊
裁判文書顯示,在不少案件中,嫌疑人供職於通信公司、車輛管理機構、警察局等要害部門,通過獲取權限,直接盜取了大量公民個人資訊用於非法牟利。
湖北麻城市中級人民法院2018年二審的一起判決中,被告人孫立飛通過華為公司業務員肖某購買了大量包含用戶姓名、電話號碼和移動積分在內的移動用戶個人資訊資料,並將其中50萬條資訊以5萬元的價格並出售給開設公司、盜取移動用戶積分的李少輝。
隨後,李少輝在南昌市注冊創辦了一家網絡公司,從2016年9月開始,指派公司話務員冒充移動公司客服騙取用戶移動積分,兌換成電子券牟利。
從2016年10月23日到2016年11月24日,僅用了一個月,這家公司的成單量就達到2500多單,12月的成單量近4000單。
為規避一些用戶的屏蔽,李少輝與同案被告人何建福購買了80多部手機和大量電話卡,一旦被屏蔽就立刻換號。
“每天下班前,話務員都會把已兌換的積分打成清單,客戶資料上還會有標記,‘2’就是打過兩遍電話,‘3’就是打了三遍”,該公司話務員何建福說。
事實上,員工們也曾對公司的業務產生過懷疑。話務員張瑛曾發現一些用戶反映沒有收到積分兌換禮品,充值話費也沒有到账,還有一些員工在微信群裡提出公司存在詐騙嫌疑。可是,由於福利待遇還不錯,張瑛並沒有選擇離開。
最終,截至李少輝歸案,他的公司共騙取移動用戶積分逾三千萬分。
除此之外,澎湃新聞還發現了多起輔警盜用民警數字證書盜取警察內網公民資訊的案例。
在淄博市張店區人民法院2017年4月24日的一起判決中,被告人詹耿彬就是一名在東莞市警察局大朗分局刑警大隊工作的輔警。
作為伏擊組輔警內勤,詹耿彬平時便可以經常接觸警察內網。利用伏擊組民警梁某平時放在部門抽屜裡的數字證書,詹耿彬動起了歪腦筋。通過警察內網,詹耿彬可以直接獲取公民身份資訊、出入境資訊、護照照片、戶籍照片等個人資訊。
在發現了這一“致富手段”後,詹耿彬便堂而皇之在QQ上聲稱出售“一手資訊”。通過一段時間的交易,他積累起了5名“下線”,經常與他們達成交易,每天動輒盜取1000條左右的公民個人資訊。
詹耿彬出售公民個人資訊一條的價格是1.7元至5元不等,他的下線卻將這些資訊加價數倍之多。同案被告張學鵬出售從詹耿彬處購買的護照資訊,一條的價格在10到15元,共獲利5萬元左右。
技術手段:黑客入侵中小學學籍管理系統網站
除了從內部盜取資訊,一些精通電腦的犯罪嫌疑人也能通過技術手段從外部直接盜取數據柯瑞的公民個人資訊。
在上海市浦東新區人民法院2018年的一起判決中,被告人王某某通過黑客手段入侵了上海世基投資顧問有限公司等金融公司網站,被告人牟某某則通過黑客手段入侵了安徽省中小學學籍管理系統網站。
2014年到2017年間,受雇於一家薦股公司的王某某結識了一些網絡黑客,其中包括同案被告牟某某。2017年2月開始,王某某開始指使包括牟某某在內的兩名黑客入侵了世基公司的網站,查看並獲取了上萬組該公司的用戶數據,並出售給中鑫公司上海分公司。
經世基公司方面證實,該公司被入侵的伺服器位於浦東新區靈山路世基分公司機房內,伺服器上沒有客戶數據,入侵者系通過遠程互聯網控制伺服器,並通過內網IP獲取了內網其他電腦上保存的客戶資訊。
盜取資訊的過程中,王某某向兩名黑客支付了51萬元“工資”。得手後,王某某再將資訊出售給中鑫公司上海分公司和瑜廣公司等“下遊”,每一次動輒收入四五萬元。
而對被告牟某某而言,受雇於王某某並非唯一的“業務”。2017年6月初,有人在QQ上找到他,提供了安徽省中小學學籍管理系統的權限,並讓牟某某攻擊滲透該網站。
牟某某從學籍管理系統獲取了600多萬條包含學生姓名、身份證、籍貫、家長姓名、聯繫電話等資訊的數據,按地市分類導出。
在黑客技術之外,購買“掃號”軟體並用大量數據進行“撞庫”的手段也出現在近年來一些重大侵犯公民個人資訊案件中。
江蘇省儀征市人民法院2018年的一起判決中,被告人王群便通過“撞庫”成功獲取了他人QQ用戶名及密碼,用於銷售獲利。
在王群的非法牟利鏈條中,他所購買的“掃號”軟體由同案被告李陳龍編寫,用途是獲取他人的QQ郵箱账號和密碼。隨後,王群又從軟體銷售者林佐樓處購買,並將此前購買的500多萬組郵箱账號密碼數據導入軟體運行,采取對QQ軟體數據庫“撞庫”手段,獲取了大量QQ郵箱用戶的個人資訊。
通過銷售撞庫獲取的QQ账號和密碼,王群累計獲利41.8萬餘元。而銷售方林佐樓通過售賣非法軟體,銷售額鋼彈40.5萬餘元,個人獲利9.4萬餘元。編寫軟體並出售的李陳龍,非法獲利則為3.4萬餘元。
香港九龍灣馬來街興發大廈15樓D室