南国早报讯(记者 赵劲松 通讯员 赵祖阳 庞敏燕)利用在一家区内大型连锁品牌商场当电脑维护员之便,防城港男子钟某盯着顾客的个人信息,打起了“小算盘”。他利用未注册的网络公司在网上拉业务,其实做的是兜售个人信息的勾当,以每条0.1元的价格兜售从商场系统内窃取到的个人信息。
10月15日,警方在南宁将他抓获时,发现他随身携带的笔记本电脑里储存着50多万条公民个人信息,被泄露人群涉及整个北部湾地区。
50多万条个人信息遭泄露
9月中旬,防城港市公安局港口分局民警发现,一家名为“蓝点科技”的公司在网上拉业务,涉及网站建设、维护等方面,经向工商部门查证,此公司并未登记注册。民警深挖调查发现,一个网名为“马赛回旋”的网友在这个公司的网站和个人QQ空间中宣称“有个人信息可供网络营销”。
经分析,民警意识到,这很可能是一起假借其他业务之名,实际上是非法销售个人信息以供商业盈利的违法犯罪行为。经过近半个月的摸排、查控,民警掌握了大量的证据,防城港市某商场员工钟某浮出水面。
10月15日下午,掌握到钟某的活动轨迹后,警方在南宁市明秀西路某小区的住处将其抓获,缴获一部笔记本电脑,里面储存有大量公民个人信息,初步统计多达50多万条,被泄信息人群涉及到南宁、崇左、北海、钦州、防城港等市,几乎涵盖了整个北部湾地区。
“内鬼”窃顾客信息每条卖0.1元
经审讯,钟某为防城港人,今年31岁,是一名电脑高手,此前曾在区内某大型连锁品牌商场防城港店担任电脑设备维护员。
钟某向警方交代,他在商场工作时,发现服务器里储存有大量的顾客信息,便悄悄在公司收货仓内用自己的笔记本电脑登录商场数据库,下载了顾客会员、供货商、顾客消费记录等公民个人信息,以供日后做网络营销工作之用。
“每条卖0.1元,被抓捕前他已经卖了2万多条。”该局网络安全保卫大队负责人朱政晖说,钟某手握50多万条公民个人信息,并以此坐地生财,在网上进行出售,与一些诸如电话营销之类的公司已达成交易。不过,他还没收到钱就被警方抓获了。
为何钟某轻而易举就获得了50多万条公民个人信息?商场的系统根本不设防?
朱政晖说,这家商场为区内的连锁品牌,在南宁、北海、防城港等地都有分店,同时商场的计算机系统存在重大漏洞,“登录一家商场的系统,就能掌握所有连锁店的顾客资料”。事发后,警方第一时间约谈了涉事商场的负责人,告知其计算机系统存在风险,网络安全隐患很大,并积极帮助商场制定整改措施,防止类似事件再发生。
商家应自律保管好个人信息
广西网络安全方面的一名业内人士称,在一些网站管理员聚集交流的论坛上,常有管理员叫卖一些网站数据库的资料,也有不少的人通过私下渠道求购这些资料,对于出售个人信息的管理员,业内都称其为“内鬼”。他坦言,一些网站或数据库的管理员在面对这些个人信息所带来的金钱诱惑时,“出轨”并不奇怪。
“顾客的个人信息是商场的巨大财富,商场应该加上‘几道锁’,以防轻易泄露。”该人士说,目前我国互联网服务商数量庞大,一些商家、企业、部门都有自己的网站和数据库,但是各类网站的技术水平、资金实力参差不齐,收集用户个人信息成为了一种惯例,但并非所有人都有足够的技术能力做到对用户信息进行全面的保护。
近年来,公民个人信息交易黑市“刚需”旺盛,贩卖公民个人信息已形成成熟的产业链。上游是一些部门和行业从业人员将工作中获取的公民个人信息非法提供给他人;中游是在互联网上形成数据交易平台,大肆出售信息牟取暴利;下游则是犯罪分子利用这些信息进行绑架、敲诈勒索、电信诈骗等各种违法犯罪活动。倒卖信息涉及部门也已从传统的工商、银行、电信、交通、教育、卫生等部门,向房产、物业、保险、商场、邮政、快递等行业迅速蔓延。而买卖的信息内容更是包罗万象,如银行资料、户籍、出入境、航班、护照、车辆、宾馆住宿、房产、婚姻以及移动、联通、电信的开户资料、通话记录、手机定位等,涉及个人生活的方方面面。
“对于每天接触用户个人资料的网站管理员而言,并没有什么具体细致的法律规定,靠的都是大家的职业操守,但是这个职业操守显然没有什么约束力。”朱政晖说,目前国内尚无一部保护个人信息的专门法律,低成本、高收益是信息泄露事件频发的根源,只要手握数据库“大权”的管理员心术不正,就极易走上偏门。
期盼法律早日健全
针对此种情况,南国早报南国法援公益律师马开庆认为,商家在聘请涉及顾客信息保管的工作人员时应该与对方签订保密协议。此外,在保护个人信息的相关法律法规尚不完善的情况下,提高保护意识才是杜绝个人信息泄露更为重要的方法。
马开庆提醒说,公众在商场、宾馆等场所消费时最好不要留下个人信息,在办理一些必须提供自己个人信息的社会事务时,可以与接受信息方约定保密条款,要求对方不得将个人信息透露。一旦发现自己的个人信息被泄露且造成不良后果时,应注意及时搜集证据,为维权做好准备。
不过,面对类似倒卖个人信息的恶性事件,有关部门应该加快立法步伐,以制度刚性堵住信息倒卖的管理缺口,让法律为公民个人信息保驾护航。
11月7日,南国早报记者从警方获悉,钟某已被逮捕。
[ 相关链接 ]
今年2月,我国首部个人信息保护的国家标准《信息安全技术公共及商用服务信息系统个人信息保护指南》正式实施,确立了多项个人信息保护原则。而修改后的《中华人民共和国消费者权益保护法》也首次明确规定,商家泄露消费者个人信息,最高可处罚50万元。