发布时间:[ 2022-07-15 ]
随着社会信息化快速发展和大数据时代的到来,侵犯公民个人信息的违法行为持续增多,个人信息泄露已经成为一个严重的社会问题。近日,浙江高院发布侵犯公民个人信息犯罪十大典型案例。慧盾安全从数据安全角度进行解读。
案例一 :物业、房产公司员工非法出售业主信息构成侵犯公民个人信息罪——杭州市萧山区王某某等人侵犯公民个人信息案
案情裁判
被告人王某某、陈某某等10人均系物业公司、房产公司员工。2018年至2019年,王某某等10人各自将日常工作中收集、获取的杭州市部分小区的业主信息(包括姓名、房号、电话号码和房产面积),出售给杭州某装饰工程公司市场部总监杨某某,王某某等10人共计获利23500元。
杭州市萧山区人民法院经审理,以侵犯公民个人信息罪分别判处王某某等10人有期徒刑三年至一年六个月不等,均宣告缓刑,并处相应罚金;违法所得款予以没收,上缴国库。
案例解读
此案例中,个人敏感信息泄露的主要渠道是物业公司、房产公司内部员工非法收集客户的个人敏感信息。这些信息可能自公司数据库系统导出,也可能自业务系统屏幕获取。为避免此类事件发生,需要加强对数据库的敏感信息防护和业务系统的屏幕信息保护。
案例二 :以非法侵入他人计算机信息系统的方式获取公民个人信息的行为构成侵犯公民个人信息罪——宁波市鄞州区任某某等人侵犯公民个人信息案
案情裁判
2020年5月至2020年12月,被告人任某某伙同被告人黄某,通过被告人孙某某开发了的“终端查预缴0903”外挂软件,链接到中国移动公司网站,非法窃取中国移动公司客户的个人信息,包括客户姓名及业务订单等内容。之后,黄某将该些窃取的公民个人信息交给任某某50561条,任某某将获取的该信息下发给公司员工,让员工开展业务,获利数万元。后任某某通过下发业务的形式让黄某获利2万余元。期间,被告人李某某伙同黄某利用“终端查预缴0903”外挂软件,以同样方式获取公民个人信息401100条,李某某给黄某3000元好处费。被告人孙某某通过提供上述“终端查预缴0903”外挂软件,从黄某处共获得好处费11700元。另查实,2017年左右,被告人孙某某通过编写程序软件,伪造用户ID的方式,从“格格家购物平台”爬取了65877条的公民个人信息,包括公民的姓名、电话、住址等。
宁波市鄞州区人民法院经审理,以侵犯公民个人信息罪分别判处被告人任某某、黄某、孙某某、李某某有期徒刑三年,缓刑三年至四年,并处不等罚金。违法所得款予以没收,上缴国库。
案例解读
应用系统自后端数据库读取个人信息时,未对敏感信息进行脱敏,前端页面明文展示个人敏感信息,被大量爬取后造成个人敏感信息泄露。从数据安全的角度,应加强前端页面个人敏感信息的脱敏处理。
案例三 :购买含有“姓名、电话、住址、物业费、住房面积”等内容的信息构成侵犯公民个人信息罪——安吉县赵某侵犯公民个人信息案
案情裁判
被告人赵某系浙江某装饰工程有限公司安吉分公司的负责人。其为拓展公司业务获取房源,授意该公司事业部经理朱某非法获取、购买公民个人信息以提升业绩。2018年4、5月份,朱某从他人处非法获取三个小区的业主名单,共计公民个人信息500余条。2018年12月,朱某居间介绍陆某某与赵某非法出售、获取另外两个小区的业主名单,共计公民个人信息700余条,赵某支付给陆某某5000元。2019年1月,朱某以1500元的价格从魏某处非法购买安吉某公馆一期、二期的小区业主名单,其中涉及财产信息250余条。
安吉县人民法院经审理,以侵犯公民个人信息罪判处赵某有期徒刑一年,缓刑一年一个月,并处相应罚金。
案例解读
被告人不正当地收集公民个人信息,侵害了公民的个人信息权。与此相应的是,出售业主信息的同案犯把在正常销售过程中获得的业主信息提供给其他单位,同样侵犯了个人权益。
案例四 :非法获取学生学籍等信息并出售构成侵犯公民个人信息罪——海盐县连某某侵犯公民个人信息案
案情裁判
2021年2月至4月,被告人连某某通过telegram聊天软件,以向他人购买、共享等手段非法获取包括学生学籍信息、个人简历信息、银行开户信息、贷款信息等各类公民个人信息共计200余万条,并出售其中公民个人信息3万余条,非法获利1万余元。
海盐县人民法院经审理,以侵犯公民个人信息罪判处被告人连某某有期徒刑三年三个月,并处相应罚金。
案例解读
国家对掌握100万以上个人信息的企业都有着非常严格的管控措施。此案例中,被告人非法获取各类公民个人信息200余万条,数量特别巨大,各类信息系统应加强对于敏感数据获取数量的审计和限制,防止出现规模不可控的个人敏感信息泄露。
案例五 :利用保险公司工作便利,获取并贩卖公民个人信息构成侵犯公民个人信息罪——绍兴市越城区裘某某侵犯公民个人信息案
案情裁判
2019年4月至5月,被告人裘某某利用其在某保险公司的工作便利,非法获取公民个人信息(包括车主姓名、车牌号码、车型、联系方式等),并以5500元价格出售给某汽车维修公司副总经理窦某某。
绍兴市越城区人民法院经审理,以侵犯公民个人信息罪判处被告人裘某某拘役四个月,缓刑八个月,并处相应罚金;非法获利予以没收。
案例解读
此案例中内部人员非法获取个人敏感信息,进而导致信息泄露,是合法人员非法操作的典型案例。从数据安全防护的角度出发,应加强对数据库服务器的安全防护,防止敏感信息数据库被非法操作、非法复制;对维护终端进行安全管控,建立授信环境,数据自动加密,脱离授信环境无法使用,同时进行屏幕信息的安全防护,防截屏、防拍屏;所有针对数据库的操作行为进行严格审计,遇高危操作及时阻断;应用系统读取数据库信息应进行个人敏感信息的脱敏。
案例六 :以“一买多卖”方式大规模贩卖公民个人信息构成侵犯公民个人信息罪——嵊州市姚某某、戎某侵犯公民个人信息案
案情裁判
2020年4月至7月期间,被告人姚某某、戎某在其住所,通过QQ、微信等社交软件购买和出售公民的姓名、通信通讯联系方式等公民个人信息。姚某某负责联系上家、下家,购买和出售公民个人信息,戎某负责利用购买来的公民个人信息“上粉”和出售。期间二人非法获利21000元以上,并予平分。
嵊州市人民法院经审理,以侵犯公民个人信息罪判处被告人姚某某有期徒刑七个月,缓刑一年二个月;判处被告人戎某有期徒刑七个月,缓刑一年,并处相应罚金。
案例解读
针对公民个人信息买卖行为,已形成“源头—信息贩子—购买者”的黑色产业链,在这条产业链上,大规模的个人信息被打包购买和出售,又被不法分子利用引发后续诸如诈骗、绑架、敲诈勒索等严重犯罪行为。因此,应对侵犯公民个人信息的违法犯罪行为进行全链条打击,信息系统层面也应该加强对个人敏感信息的防护。
案例七 :利用摄影工作室便利获取个人信息并转卖构成侵犯公民个人信息罪——永康市徐某某等人侵犯公民个人信息案
案情裁判
2020年4月,被告人叶某某联系浙江某教育科技有限公司员工卢某某交换公民个人信息。叶某某将“总名单”“小年龄段”“小年龄名单”三份文件提供给卢某某。卢某某经公司法定代表人谢某某同意,将“三年级”“四年级”的文件提供给叶某某,“三年级”文件内有61个学校小学三年级学生信息9943条,“四年级”文件内有13个学校学生信息1348条。
被告人徐某某于2019年3月份到10月份在永康市某儿童摄影工作室任客服主管,有权限导出客户资料。2020年10月13日,徐某某将44142条公民个人信息经叶某某介绍后,以人民币4000元的价格出售给永康市某教育培训有限公司。徐某某、叶某某分别获利800元、3200元。经比对,上述公民个人信息中的37574条含有儿童父母电话号码的信息与永康市某摄影工作室在提供服务中获取的公民个人信息同一同年11月,卢某某将上述44142条公民个人信息提供给谢某某。
永康市人民法院经审理,以侵犯公民个人信息罪对各被告人判处有期徒刑三年九个月至有期徒刑二年四个月,缓刑三年不等,并处相应罚金。
案例解读
此案例中内部人员通过非法导出含有个人敏感信息的客户资料,出售获利,是合法人员非法操作的典型案例。从数据安全防护的角度,应建立对操作终端的的安全管控,建立授信环境,导出数据自动加密,脱离授信环境无法使用,同时进行屏幕信息的安全防护,防截屏、防拍屏。
案例八 :手机店主将在提供服务中获得的公民个人信息出售给他人构成侵犯公民个人信息罪——嵊泗县杨某、金某侵犯公民个人信息案
案情裁判
被告人金某利用在通讯设备修理、移动终端设备和电子产品销售等工作中的便利,在客户不知情的情况下,将获取的他人手机号码及手机验证码等个人信息发送给其从网络得知的“拉新”群(即将客户未注册的手机号码提供给他人用于注册网络平台账户)获取非法利益。被告人杨某在“拉新”群中协助群主进行管理,并对每日“拉新”情况作汇总、资金结算等事宜。截至案发,金某、杨某分别获利5300元、23000元以上。案发后,二被告人退出全部非法所得。
嵊泗县人民法院经审理,以侵犯公民个人信息罪对二人分别判处有期徒刑一年八个月,缓刑二年和有期徒刑七个月,缓刑一年,并处相应罚金。
案例解读
宾馆、快递、手机维修等提供个人消费与服务的单位在提供服务过程中,也会获取大量的公民个人信息。个别人员为了获取非法利益,违反职业道德和保密义务,将在工作中获得的公民个人信息资料出售或提供他人,对公民的人身、财产安全及正常工作生活造成严重威胁。
案例九 :通信公司员工利用营销之便出售他人手机号及验证码构成侵犯公民个人信息罪——台州市路桥区唐某侵犯公民个人信息案
案情裁判
2020年12月至2021年7月,被告人唐某利用在某通信公司担任营销员之便,获取客户实名激活后的手机卡,并未经过客户同意将手机号及验证码售卖给他人,共计获利14360.79元。归案后,被告人唐某如实供述自己的罪行,退缴违法所得。
台州市路桥区人民法院经审理,以侵犯公民个人信息罪判处唐某有期徒刑十个月,缓刑一年四个月,并处相应罚金。
案例解读
电信、金融、交通、宾馆等行业可接触到大量的公民个人信息,而个别员工为了谋取个人利益,违反职业道德和保密义务,在履行职责和提供服务过程中将公民个人信息资料出售给他人,对公民的人身、财产安全及正常工作生活造成严重影响。
案例十 :设立公司收集学生和家长信息并出售构成侵犯公民个人信息罪——遂昌县江某某侵犯公民个人信息案
案情裁判
2019年9月至2021年4月,被告人江某某与他人合伙或单独出资,先后设立丽水某诚信息技术有限公司等4家信息技术公司,召集并指使多名公司员工潜入学生家长微信群,冒充教育培训机构老师,发送虚假信息。通过让学生家长点击带有设定内容的链接,收集家长的手机号、学生姓名、年级、薄弱科目等信息,并将信息数据存储在“金数据”网站内,由江某某通过丽水某泰信息技术有限公司或以每条信息12元左右的价格售卖给深圳、北京等地的教育培训机构,从中牟利。
遂昌县人民法院以侵犯公民个人信息罪判处被告人江某某有期徒刑三年,并处相应罚金。
案例解读
此案例中,被告人冒充老师非法收集个人敏感信息的行为,侵害了广大学生及家长的个人信息,也扰乱了教育管理秩序。
保护个人敏感信息安全要有整体思维、系统思维,必须紧盯信息采集、储存、共享、披露等各环节,进行全链条管理。个人敏感信息通常以数据作为载体,这就要求相关部门、行业、平台和用户重视数据安全,以务实举措推进数据安全保护工作。
慧盾安全数据库防泄漏解决方案为个人信息安全加把“锁”
慧盾安全数据库防泄漏安全解决方案,针对当前数据库信息泄露的典型场景,以完整的数据安全防护体系保障个人敏感信息安全。
△慧盾安全数据库防泄露解决方案
慧盾安全数据库防泄漏解决方案特点:
1、数据资产发现管理:可进行数据库的资产发现、数据库敏感数据的发现、关联个人敏感信息发现以及数据分类分级的综合管理。
2、统一数据库管理:可进行统一的数据库用户、运维终端、数据库进程/组件/应用的管理,接入认证管理,访问权限管理。
3、统一数据库防泄漏保护:可有效进行数据库保护、高危操作保护、敏感数据脱敏、运维终端DLP。
4、全面数据库审计:可对服务器重要文件操作进行审计,对数据库运维操作审计,对数据库查询返回数据量进行审计,对数据库查询返回内容进行审计。
5、定期风险评估:可进行数据库漏洞扫描、敏感数据占比分析、数据库配置安全评分等。
通过部署慧盾安全数据库防泄漏安全解决方案,对个人敏感信息数据进行系统防护,全面解决来自外部黑客和内部人员对个人敏感信息的注入攻击、脚本攻击、直接操作数据库等拖库手段。
个人信息保护成效关乎人民群众利益,关涉全社会信息安全。未来,慧盾安全将继续秉承“保卫国家机密 保护个人隐私”的使命,持续发力、攻坚克难,为数据安全保驾护航,为个人信息安全筑牢堤坝。
(文章案例来源:浙江高院)