《新闻1+1》2018年8月29日完成台本
----公民信息,窃取在升级,保护呢?
解说:
内容,无所不包。
记者:
定位联通的多少钱?
侵犯公民个人信息犯罪嫌疑人:
400左右。
记者:
银行卡这些东西呢,余额。
侵犯公民个人信息犯罪嫌疑人:
700左右。
记者:
700左右,航班宾馆监控这些数据信息呢,多少钱?
侵犯公民个人信息犯罪嫌疑人:
100多到300。
解说:
需求,两分钟搞定。
无锡市公安局网安支队民警 张新平:
两分钟响应有些还不止两分钟,秒回。
解说:
公民个人信息,已成嫌疑人网上黑市交易品。
无锡市公安局网安支队民警 张新平:
一个接单,定制、交货、一条龙服务非常高。
解说:
《新闻1+1》今日关注:公民信息,窃取在升级,保护呢?
董倩:
晚上好,欢迎收看正在直播的《新闻1+1》。在昨天江苏无锡警方开了一场发布会,公布了一些他们破获的全国首起境外侵犯公民个人信息案,怎么回事呢,只要你能出钱,你想了解到谁谁谁几乎所有的信息在很短的时间内就能够全部得到,能得到什么信息,我们来看一下,身份证号、手机号、车牌号、名字、户籍、性别、年龄,这些都是起步,都是很小儿科的,还能得到你的银行余额信息,保险信息,计生信息,征信信息,换句话说你几乎就是透明的,在别人那儿他想知道什么,只要他想付钱,那么几乎都能够得到,那么江苏无锡警方这一次抓获的呢,因为是整个链条里面的核心成员还有关键证书,因此就可以帮助我们去了解这一张信息透露,个人信息透露的网是怎么织成的,它又是怎么运作的,今天我们一起来关注。
(播放短片)
解说:
海量的公民个人信息,成了这个网上黑市唯一的交易品。有买有卖,在这里,每天都有数十万条信息被交易,日交易额达到百万。昨天,江苏无锡警方通报的一起特大公民个人信息被买卖案件,又向我们展示了,如今的公民信息被泄露、被买卖、被犯罪分子利用,已经猖獗到了一个什么样的程度。
记者:
话单一般市场价多少钱?
侵犯公民个人信息犯罪嫌疑人:
三千元到四千元。
记者:
定位联通的多少?
嫌疑人:
四百元左右。
记者:
银行卡这些东西呢?余额?
嫌疑人:
七百元左右。
记者:
航班宾馆监控这些住宿信息呢?
嫌疑人:
这些是。
记者:
多少钱?
嫌疑人:
一百多元到三百元。
解说:
在湖南、广西、山西、安徽等地,警方共抓获了113名犯罪嫌疑人,打掉的信息源头,达30多个。在这个黑市,犯罪嫌疑人宣称:不管你需要什么人、什么样的信息,只需要两分钟。
无锡市公安局网安支队民警 张新平:
两分钟响应有的还不止两分钟,秒回。
解说:
这起案件,犯罪嫌疑人对公民个人信息的收集、倒卖,已经呈专业化。甚至在落网后还忍不住向警方炫耀:你们查人,也没我们快。
无锡市公安局网安支队民警 张新平:
公安的话掌握的信息可能不一定有一些公司掌握得全,包括互联网公司包括运营商以及外包公司,还有水电宽带各种都有,找相关单位基础网站像一张蜘蛛网一样。。
解说:
在警方获得的一张信息门类和价目表显示:这个市场售卖的信息,至少涉及到行车轨迹,银行卡号,手机通话记录等25个门类,甚至包括个人征信、快递、保险、计生信息等等,覆盖公民个人的方方面面。甚至,他们还可以提供定制服务。
无锡市公安局网安支队民警 张新平:
接单,定制、交货、一条龙服务非常高。
配音:
李先生你好!最近有贷款需要吗?王女士吗?北京七环新开低密度楼盘考虑一下吗?
解说:
更需要警惕的是,公民信息的泄露所导致的后果,已经不仅仅是营销这样的目的,很多在这个黑市购买信息的客户,已经是专业的犯罪集团。
无锡市公安局网安支队民警 张新平:
通过银行内鬼获取,银行卡号,开卡身份证号码姓名跟预留(电话)这是四要素,还有银行卡余额。如果你余额一万扣了一万二,扣款不成功扣九千块能成功所以需要掌握余额。
解说:
一起案件显示,犯罪嫌疑人,首先通过银行“内鬼”,获得受害人信息,掌握银行卡余额,然后通过ps技术,伪造一份受害者的委托书,通过这份“假委托书”,前往第三方支付平台申请余额以内的扣款。这样,在受害者不知情的情况下,第三方支付平台按照“委托书”跟银行对接,钱就通过第三方支付平台转到了犯罪嫌疑人的账上。
今年5月,该案主要犯罪嫌疑人周某被抓获,警方初步掌握的信息是,这个犯罪团伙,通过盗取公民银行信息,然后利用第三方支付平台非法扣除他人银行卡内存款,非法获利达800万。
此外,无锡警方公布的这起案件,有4名核心组织人员是在境外被抓获的,这也是全国首起在境外侵犯我国公民信息的案件。
董倩:
长久以来,我们一直用这样的一句话来形容正义的力量,就是天网恢恢疏而不漏,现在面对这样一个庞大的犯罪团伙,恐怕我们应该用这句话来形容他们,他们有多么铺天盖地他们的能力,我们不妨看一下,你看中间商已经垄断国内绝大部分侵犯公民个人信息的产业链,日交易公民个人信息量数十万条,日交易金额达数百万元,那么他们都干什么呢?可以提供定制化信息,几分钟内回复,刚才短片说还有更快的秒回,交易信息类型涵盖日常生活方方面面,关键是它的主要组织者还跑了,藏匿在国外,企业员工提供公民个人得信息等等等等,其实我们完全知道在一个信息化的社会里面,公民的信息泄露的越多,掌握起来就能够遥远的知道这样关于公民个人信息就已经用数字化信息化来描述和还原了一个公民的一个情况,那么知道的越多当然就越危险,接下来我们就要连线一位专家,中国人民专家法学院副院长,同时也是金融科技与互联网安全研究中心的杨东主任,杨主任刚才看短片的时候有一句话我不知道您什么感受,就是有一位警方的工作人员说这些犯罪分子掌握信息的全可能比警方还要全,另外他们反应之快可能比警方还要快,这种现象如果弥散下去的话多可怕?
中国人民大学法学院副院长 杨东:
的确是有这个可能性的,我们警方掌握的数据也是一部分,但是这些犯罪分子他采取各种各样的天罗地网般的搜集各类信息数据,有时候数据可能在某些方面的确比警方还多还全面还丰富,另外这些犯罪分子他呢还采取一个先进的技术手段,采取分布式要包括特别跑到境外去利用先进的工具联络,非常好的组织方式,的确在某些方面可能超出了我们警方一些力量,这个的确要引起我们高度警惕,他们既掌握,有时候坏蛋犯罪分子掌握技术的能力,有时候超过我们普通的正常的人员,所以说他们这个力量不可小觑,绝对不能够大意。
董倩:
那杨主任面对这种情况,是他们得到信息的这个能力越来越强,还是说他们得到的渠道越来越多?他们的方式也越来越容易?那么对他们的惩处是不是相应的也增加了也变重了?
杨东:
这几年我们打击这种盗窃非法获取买卖个人信息的这个法律也在大力的推进,那么前两年我们刑法的修正案也正式增加了253条专门对这样一种收集倒卖提供个人数据、个人信息进行了刑事的处罚,应该说在全球范围内我们这样一种高压的刑事处罚非常有效,也是非常给力的,但是光靠刑事处罚还是不够的,我们还需要构建事前事中的防范体系,我们这方面应该说还是相对落后,欧盟5月20日刚刚实施GDPR数据保护条例等等事前一整套的措施救济和防范措施还是非常重要的。
董倩:
但是杨主任您看如果说我们对于公民信息的这种冒犯,如果说已经进入到刑法的这种惩处的话,应该说高压线已经摆在那儿了,为什么高压线摆在那儿前提下,还有人不断想和敢去碰触?
杨东:
第一的话我们刑法打击一般事后打击,而且虽然严重,但是刑法打击的这个范围和力度,范围还是比较小一些,因为最终到刑事处罚毕竟还是少量。第二我们目前的这个刑事处罚的力度虽然已经很高了,三年以下有期徒刑,严重的七年以下并处罚金,单位也要并处罚金,单位直接负责人也要进行处罚但是这样一个刑事处罚,对于犯罪分子来说还是违法成本比较低,因为跑到境外去,可以获得暴利,所以在巨大的利益面前,这些处罚哪怕最严重的最严厉的刑事处罚对他们来说可以轻而易举的逃避,躲到国外,比起他们的利益来说这些处罚都不足以造成对他们的这样一种威慑。
董倩:
杨主任刚才您说这些犯罪分子的头目跑到国外之后躲起来了,躲起来能够在多大程度上躲到躲开了这个惩罚?另外是不是躲起来了我们就拿他们没有办法了?
杨东:
的确如果是跑到海外去,包括资金已经转移到海外,很严重的程度还要采取红色通缉包括很多的这种的确是非常不好办,包括证据的收集,IP地址收集等等都会对我们办案造成很大的难度。
董倩:
是我们的科技力量跟不上吗?
杨东:
我们科技力量应该说我们也是比较先进的科技力量,但是他事先做好防范,犯罪分子知道我们要抓他,事先跑到海外去把证据链条断了,分布式的一些网络方式联络,导致不是一个集中的群体,分布式的,你抓一个两个可以,但是大量的是分布式在协作,所以说要抓的话很多很麻烦。
董倩:
好的,谢谢杨主任,刚才我们说公民的信息是全方位的泄露,接下来我们的问题就是这就是技术上的这个所谓的Bug,所以引发的这些问题吗?还是有其他的可能性,继续关注。
(播放短片)
解说:
如今,只要一出现热点事件,用不了几分钟,当事人的姓名、身份证、个人经历、职业背景等等信息,很快就会出现在网络上。甚至是你的陈年旧事,特别是不光彩的事,统统都会被扒出。不管是名人还是普通人,无一可以幸免。
而公民信息的泄露,每一个人,也注定都会成为受害者。
无锡市公安局网络安全保卫支队副支队长 吴方全:
因为我们这个互联网社会或者是互联网进入我们的生活,太迅猛了,咱们的发展确实非常快。我们产生大量的数据,尽管所有的单位所有的部门都有很严格的规章制度,但是我们还是跟这个发展速度比起来还是有点滞后的,所以总会有漏洞,被这些坏人发现。
解说:
由200多人组成的这个网上交易黑市,无锡警方通过进一步串并案件,扩充线索,发现这一非法交易团伙的涉案人数,达到了800人,分布在全国各地的各行各业。
无锡市公安局网络安全保卫支队副支队长 吴方全:
他们出于贪婪被高额利润所利诱以后出卖了手里面的这些数据。这些人所卖的这些数据其实在网上都是有迹可循的。
解说:
在被抓获的嫌疑人中,最引人关注的,是那些盗窃公民信息的内鬼,他们往往涉及消费金融、车辆保险等信息的源头,而他们所掌握的公民消费、金融、保险等信息要素更加丰富,关联性、指向性更强,被买卖后,危害性更大。
无锡市公安局网络安全保卫支队副支队长 吴方全:
企事业单位、相关部门都有,职位一般都不高,没有高职位,一般都是普通的员工,但是他能够接触到这些数据,没有那些领导或者是中高层的,一般都是收入比较低的一些人。
解说:
保险快递等行业“内鬼”成泄露个人信息主体。房产中介等内部人员成公民个人信息泄露主要渠道。侵犯公民个人信息,协勤员、银行职员等成“内鬼”?
解说:
从该案的信息显示,公民信息被泄露的源头,不仅来自快递、银行、保险、房地产等保有大量信息的行业,更有一些,是来自一些政府机构和部门。而网上黑市交易信息的无所不包,折射出的,是现实中公民信息保护的沦陷。
重庆市巴南区人民法院法官 刘天柱:? 现在房地产企业当中,可能普遍存在这种现象,包括从公司高层,到一般的销售人员,为了自己房屋销售,可能会通过一些非法途径,去收集这些公民的信息,然后打一百个电话可能有一个电话(成功),那么这个就有利益了。
解说:
这起案件中信息需求者甚至可以向信息买卖中介提出定制服务,而他所带来的危害也更直接。
重庆市巴南区人民法院法官 刘天柱:
比如说高端一点的,楼盘比较好一点的,价格比较高一点的,这部分客户的信息就卖得比较贵一点,有些甚至一千多条,要卖一两千块。
董倩:
如果说以往我们的电话号码、姓名还有地址能够被泄露的话,现在的快递等等,这些东西只要是稍加注意就可以被收集到,但是如果有关更加隐秘的,更加需要保密、私密,甚至封闭性的信息已经被泄露的话,什么原因呢?自然就是内鬼。我们看一下这是《2018网络黑灰产治理研究报告》,说是银行、保险、卫生、交通、快递等与公民信息和隐私数据紧密关联的产业中,“内鬼”已经成为实施侵犯公民个人信息犯罪的重要主体。因为有了他们,所以这样的一个产业链才能够闭合,他们进行信息泄露,然后卖给中间商,再有中间商交易给下游的客户,接下来我们继续连线杨主任,杨主任您看如果说这些“内鬼”泄露了这些公民的重要信息他会受到什么样的惩处?另外他所在的单位也就是这些企业,会受到什么样的处罚?
杨东:
首先“内鬼”的话直接是非法窃取或者是以非法方式获得了公民信息的话,他要接受就是有期徒刑三年或者并处罚金,如果情节特别严重的,要三年到七年有期徒刑,并处罚金,那么如果是单位犯罪的话,单位也要给予罚金,并且对单位直接的负责人员主管人员和其他责任人员也同样,按照刚才的三年或者是七年来加以处以有期徒刑。
董倩:
听起来都挺严重的,但是如果这么严重的话应当可以阻止一些人伸向利益的手了,但是为什么非但没有阻止,反而这些年信息越泄露越猖狂?
杨东:
还是违法成本比较低,获得利益信息的途径比较容易,而且的话获得之后处罚的个人得处罚还不够给力。
董倩:
刚才您不是说刑法都已经处罚了三年七年,包括还有罚金还不严厉吗?
杨东:
虽然在这个刑法是严厉的,但是刑法是一方面,事后救济型的,范围是有限的没有事前事中救济,没有事前事中的防控,大量的拦不住,所以必须建立事前事中的防护体系。
董倩:
您对于这些刚才我们说到的卫生、银行、金融等等这些部门,您对于他们内部对于公民信息保护的这个防控您觉得他们的力度怎么样?
杨东:
应该说我觉得还是不够,我们比如说现在国外很多国家地区,包括刚刚5月25日实施了全世界目前最丰富最完善的最严格的数据保护条例,就明确规定要企业公司内部建立数据保护端,就是DPO,像CEO、COO等一样,成为公司的高管专门负责个人数据个人隐私的保护,那么有这样一个数据端,有高管负责之后会建立企业内部的数据隐私的保护体系,那么会对内部的这个数据信息进行严格的一套流程保护和责任保护,可以内部事前事中加以追究加以防控,只有这样才能有效的加以防范,否则光靠刑法事后处置有时候来不及。
董倩:
您简单的回答我一个问题,目前我们国家涉及到这些泄露公民信息的一些单位,他们对于这些问题是不能还是不为?
杨东:
还是不为。
董倩:
好,非常感谢。我们接下来会有更多的问题给您,非常感谢,其实刚才我们涉及到一个非常重要的问题,当我们每一个人这么多重要的信息都有可能随时被泄露的时候,我们接下来到底用什么方式来保卫它呢?
(播放短片)
解说:
“5亿条信息泄露,囊括所有个人信息”,昨天,华住酒店集团疑遭信息泄露的消息,在各大网站和社交媒体疯传。被泄露的个人信息,涉及到用户的身份证号、家庭住址、开房记录等内容,遭信息泄露的酒店几乎涵盖了华住旗下所有的酒店类型。
播报:
从卖家发布内容看,数据包含华住旗下汉庭酒店、美爵酒店、禧玥、桔子、全季、星程等酒店。卖家称,以上数据信息的截止时间为2018年8月14日,数据共140G亿,约5亿条。华住集团昨天下午发布声明,针对这一事件及引发的恶劣舆论影响,已在内部迅速开展核查,上海警方也已介入调查。
解说:
事实上,这并不是华住酒店集团第一次被卷入疑似信息泄露事件。在2013年10月,华住旗下汉庭、如家等大批酒店的顾客开房记录被第三方存储,并且因为漏洞而出现泄露。
网友评论:
@-MasterWayne:见怪不怪了,反正大家都是透明的。
@海磊-侯:反正我信息已经被卖了无数次,见怪不怪了!笑看被卖,无奈。
@youjumpicant:急什么!你的信息不在华住丢,也会在别处丢。
@全是帅哥:大数据时代,数据就是生意了。
解说:
信息被泄露,似乎已不是什么新鲜事。然而有舆论就指出汉庭、桔子、全季等酒店,为何信息泄露,往往发生在国内的酒店?而国外的酒店,却很少爆出这样的消息。
播报:
《通用数据保护条例》大幅拓展了对于“个人数据”的定义,除了姓名、住址、身份证号码以及网络IP地址这些常规信息外,还包括了指纹、虹膜这些生物识别数据,以及种族和宗教信仰等信息。
解说:
今年五月,欧盟《通用数据保护条例》的出台,引发了全球性的关注,那就是这部法律,对任何机构想要获取用户个人数据,规定之严,出乎很多人的意料。影响涉及与公民信息有关的所有企业。
索芙塔克斯公司业务发展及销售部主管 克日什托夫?科尔佐斯:
我们收到了银行的要求,详细说明个人信息是在用什么软件中进行处理。因此在我们卖给银行的操作系统里面,需要整理出一份清单,核实过去20年公司所有的电脑系统软件,为客户准备一套材料,列明哪里有个人数据,哪里没有。
解说:
而欧盟的这部法律,涉及到的国内企业也不少,到目前为止,我们还没听到有哪家企业违反了这部法律的规定。显然,同样取得世界级的发展,公民信息和隐私保护,似乎也需要有一个更强有力的法律体系。
中国信息安全研究院副院长 左晓栋:
我们国内的企业要急于改变它的意识,改变它的经营理念,那么过去依靠用户的数据发财,但是漠视用户的权利,为所欲为,这个时代已经一去不复返了,企业必须意识到这种趋势,而且还要全方位落实个人信息保护责任,总之不能只发展不要安全,只要效益不要责任。
董倩:
好,既然说到了法律问题,我们继续连线杨主任,杨主任既然欧盟有这样的法律,那么我们国家现在法律还有多少空间供我们去作为的?
杨东:
我们国家现在亟需要制定一部统一的个人信息保护法,或者数据保护法,一方面我觉得要加强事前事中保护,对于这样一种数据保护进行一个内部的管控,第二的话还要提高我们的个人的自我保护意识,第三的话我觉得我们还一定要加强正向激励机制,我们要打击这些劣迹,打击这些犯罪分子,同时还要正向激励,通过区块链技术给提供数据的消费者有效的回报。
董倩:
杨主任您再简单的回答一个问题,刚才我们说到这些公司现在不为,怎么能让他们为起来?
杨东:
建立保护法体系,建立内部的防控体系,建立正向的激励机制,有好的数据的提供方给它一个购票的机制,这样的话它就能够有效的保护自己,同时企业内部有效的惩罚,有效建立一个防护体系,这是一套体系建设必须要通过法律来加以规定。
董倩:
好的,非常感谢杨东主任,在互联网和信息化的这样的一个时代背景下,我们人人都是赤裸的,在这种情况下你不想被别人看到,一方面要保护好自己,更重要的也要保护好别人。
