近日,中国裁判文书网公布一份判决书——《北京智借网络科技有限公司、贤某某等侵犯公民个人信息罪一审刑事判决书》。
判决书显示,上述公司在未取得受害人同意的情况下,向下游多家公司出售包含姓名、身份证号、手机号等个人信息,因犯侵犯公民个人信息罪,被判处罚金三百二十万元。值得注意的是,买方涉及多家知名公司,如平安普惠、拍拍贷等。
2018年1月至2019年7月间,贤某某与公司技术部负责人赵某某等人共同商议孵化“一键贷”项目,其中赵某某负责项目技术开发与支持。其后公司招募盛某某作为“一键贷”项目商务负责人,招聘王某某作为项目商务经理。他们在明知公司没有贷款资质的情况下,仍开发“一键贷”贷款申请页面投放网络,诱骗他人申请注册,收集个人信息。
并且在未取得被害人授权情况下,通过API接口传输的方式,向下游多家不特定信息服务公司出售包含姓名、身份证号、手机号等信息的公民个人信息,销售金额共计人民币316.96万元。
其中向上海拍拍贷金融信息服务有限公司销售金额人民币158.65万元;向无锡信成网络科技有限公司销售金额人民币59.19万元;向上海紫河信息技术有限公司销售金额人民币31.76万元;向上海你我贷互联网金融信息服务有限公司销售金额人民币16.63万元;向上海春雨信息科技有限公司销售金额人民币17.21万元;向平安普惠信息服务有限公司销售金额人民币16.59万元。
其他下游公司还有上海厚冠信息咨询有限公司、上海每天能发网络科技有限公司、上海六六鱼信息科技有限公司。
北京安理律师事务所高级合伙人王新锐对隐私护卫队说,作为个人信息的买方,根据目前我国生效的法律法规、部门规章,判断它们是否违反国家有关规定,实施非法购买行为,主要是看个人信息收集是否征得了个人的授权同意。即使买卖合同中约定“卖方应对数据的合法性负责”也无法起到完全豁免买方责任的作用。
此事件也反映出当下社会的几个问题。
1、部分人容易轻信网络连接,不经考证随意输入敏感信息。
2、一些人过度透支未来,想办法得到资金来缓解压力。
3、网络监管还需要很长一段路要走,而一些企业为获利不择手段。
其实,收集敏感数据也并非都是恶意行为,如银行、政府、企业等都需要大量收集数据为人们提供保障和服务,同时这些机构自身也拥有较多的机密数据,这些数据一旦出现外泄,影响将不可估量。所以,这些关键机构的敏感数据库保护才是重中之重。
那么,关键机构该如何保护数据安全?
当前对数据最有效的保护技术是加密。《数据安全调研报告》显示根据调查中网络安全专业人员的反馈,当前最有效的数据保护控制是在资产层面通过各种加密技术对数据进行保护,包括数据库加密、存储加密、网络加密/VPN、文件和文件夹加密、客户机/应用程序加密。
防控内部人员泄露制定管控策略。一些内部人员利用职务之便谋取利益的案件不在少数,数据安全不仅需要严格的管理制度,还要严谨的技术性管控策略,才能更加有效的管控数据,防止数据外泄。
专业的事情交给专业的人去做。重点企业及涉密机构应与专业的数据安全机构合作,利用有效的技术手段,在兼顾业务运行的同时,加强敏感信息访问权限的管控,对储存及传输的数据进行高强度加密,才能确保数据从使用到管理等各个环节的安全。
