“内鬼”作祟，你的征信信息竟成牟利工具

个人征信信息这类高度敏感信息，正因犯罪技术升级和金融机构“内鬼”而频频遭遇泄露。

近日，北京市高级人民法院（下称“北京高院”）通报了一起侵犯高度敏感信息——公民征信信息的案例。

沈某利用任职便利，采取“撞库” 等方式获取某银行个人征信系统用户名和密码，通过其所属某大型国际信托有限公司与该银行之间进行专线互联的终端机，数次非法登录该银行个人征信系统，查询并下载保存他人征信报告共计100份。此前，沈某曾采取同样作案手段，查询并下载保存他人征信报告共计1000余份。

据北京高院介绍，“撞库” 是网络安全领域中的概念，一般指的是攻击者通过一些自动化工具针对数据库站点的相关接口批量提交大量随机的用户名/密码组合，记录下其中能成功登录的组合并盗取该账号，为接下来实施其他违法犯罪行为做准备。

北京高院党组成员、副院长孙玲玲披露，此类犯罪成因包括行业“内鬼”屡屡犯案，且团队化作案模式愈加成熟。“一些‘内外勾结’型犯罪甚至可以组建起从获取、交易直至变现、非法利用个人信息的全链条犯罪团伙”。

财经E法通过采访案件当事人，并梳理相关司法文书，试图还原多个依赖海量公民个人征信信息“喂养”的黑色产业链。

一、“撞库”获取个人征信信息

技术手段升级是导致侵犯个人信息案例频发的重要原因。

孙玲玲指出，技术升级迭代显著提升了信息非法获取的速度和体量，随着“木马”程序、“静默”插件、“爬虫”软件等信息技术手段的广泛运用，任意、快速抓取信息数据进而滥用、泄露的情况已不鲜见，且有不少知名互联网公司多次成为被侵害对象。据统计，有近三分之一的案件涉案公民个人信息来源于技术窃取。

“沈某侵犯公民个人信息案”的判决书显示，交银国际信托有限公司（下称“交银国际信托”）前项目经理沈某于1987年出生，是上海人。拥有硕士研究生文化的他，分别于2018年2月5日、3月23日，采取“撞库”等方式获取中国人民银行个人征信系统用户名和密码，通过中国人民银行与交银国际信托有限公司专线互联的终端机，非法登录中国人民银行个人征信系统（服务器位于北京市西城区），查询并下载保存他人征信报告共计100份。

此外，沈某于2013年至2014年间，采取同样作案手段，查询并下载保存他人征信报告共计1000余份。

法院认为，沈某违反国家规定，非法获取公民个人信息，且情节严重的行为，已构成侵犯公民个人信息罪，依法应予以惩处。但鉴于其到案后能如实供述自己的罪行，当庭认罪悔罪，依法可以从轻处罚。因此判决沈某犯侵犯公民个人信息罪，判处有期徒刑一年，并处罚金人民币400元。

根据《刑法》第二百五十三条，侵犯公民个人信息罪是指违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。 违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。

北京观韬中茂（上海）律师事务所合伙人吴丹君告诉财经E法，从信息泄露数量来看，沈某非法获取的他人征信报告数量高达千余份。最高人民法院、最高人民检察院在2017年出台的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中，将征信信息列为敏感信息，非法获取、出售或者提供50条征信信息即可入罪，因此本案所涉的征信信息数量巨大，具有典型性。

此前，沈某所在的交银国际信托也曾涉及个人信息被处罚。财经E法查阅发现，2019年4月22日，交银国际信托未经同意查询个人信息和企业的信贷信息，被中国人民银行武汉分行处罚款29万元。

《征信业管理条例》第三十八条规定，征信机构、金融信用信息基础数据库运行机构出现违法提供或者出售信息、因过失泄露信息等行为的，由国务院征信业监督管理部门或者其派出机构责令限期改正，对单位处5万元以上50万元以下的罚款；对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下的罚款；有违法所得的，没收违法所得。给信息主体造成损失的，依法承担民事责任；构成犯罪的，依法追究刑事责任。

通过“撞库”获取个人信息的犯罪方式并不鲜见。吴丹君表示，“撞库”是黑客非法侵入系统的常见技术手段。

2022年3月，国际信贷巨头Transunion发表声明确认，其在南非的分公司服务器被名为N4WootySectu的巴西黑客组织非法访问。5400万人（约占南非总人口数90%以上）的个人信息，包括电话号码、电子邮件地址、ID号码、家庭地址和消费者信用评分全部泄露。

沈某的犯罪行为尚属于个人犯罪，主观恶性低，且无扩散传播，无任何谋利。

据《北京晚报》此前报道，沈某的计算机技术相当不错。在他查询的人中，有自己的亲戚朋友，还有一些社会名人。沈某根据这些人的身份信息和大众设置用户名及密码的习惯，猜测他们的个人征信系统用户名及密码进行“撞库”，成功查询并下载保存了100份他人的征信报告。沈某解释称，他查询并下载这些征信报告完全是觉得“好玩”。

沈某的辩护人是北京德恒律师事务所律师林杰，他告诉财经E法，沈某当时并不是以获利为目的，对获取的资料信息，下载后仅仅保留在自己的电脑内，也未进行传播。其心态只是为了证明自己的电脑技术水平，在对公开资料进行分析后，利用自己的专业知识以撞库攻击的方式进入系统， 但进入系统后，并未对该系统进行攻击或者篡改破坏。林杰认为，其行为本身，虽然触犯了法律，但客观上揭示了该网络系统存在的缺陷漏洞，对后期的修补和加固起到了警示作用。

判决书显示，辩护人认为，一方面，沈某确属违规查询，但并非以恶劣手段非法获取个人信息，主观恶性低。另一方面，沈某对所获得的个人征信报告无扩散传播，无任何谋利，社会危害较低。最终，法院对这些辩护意见予以采纳，同时考虑到沈某如实供述了自己的罪行并当庭认罪悔罪，因此从轻处罚。

二、“全链条”犯罪团伙如何运作

除了沈某这类个人犯罪，还有大量犯罪案例中，个人征信信息是通过金融机构“内鬼”流出的，并组建起从获取、交易直至变现、非法利用个人信息的全链条犯罪团伙。

吴丹君介绍，从目前披露的征信信息泄露案件来看，内部人员泄露是近年来常见的方式之一。“内部人员对企业规章制度、信息储存处理方式更为熟悉，且部分人员拥有查询个人信息的权限，这些都为其作案提供了便利性” 吴丹君说。

通过检索相关案件的法律文书，财经E法发现，多起征信泄露案涉及征信信息的违规查询、交易和变现。

例如，北京银行也曾出现过征信信息被售卖的案件，主要犯罪嫌疑人就是其内部员工。    

判决书显示，2017年8月至2017年12月，吴某某在北京银行股份有限公司上海分行张江支行临时工作期间，在明知诸某某、陈某某（另案处理）利用银行系统，违规为闫某（另案处理）查询公民个人征信信息，提供给闫某收取费用的情况下，仍帮助诸某某、陈某某违规为闫某查询公民个人征信信息，并将查询的相关征信信息通过邮箱发送给闫某。截至案发，公安机关查证吴某某共计向闫某提供公民个人征信信息830余条。

最终，法院判决吴某某犯侵犯公民个人信息罪，判处有期徒刑一年二个月，缓刑一年二个月，并处罚金4000元。

在多个案例中，还存在金融机构内部人员利用征信查询授权书，非法查询公民征信信息，并形成直接出售个人信息或通过下游贷款服务牟利的犯罪链条。

在2019年深圳市中院审理的“王某华、黄某宁、谢某伟等侵犯公民个人信息罪”一案中，金融服务公司员工和银行内部职工就构成了违规查询客户征信报告，再提供贷款服务的非法链条。

判决书显示，2017年9月份开始，某金融服务有限公司为了寻找客户做贷款，公司股东、实控人黄某宁从他人处获取了大量客户的个人信息（包括姓名、贷款种类、贷款金额、贷款期限、电话号码等），并将该信息交给同公司的谢某伟和林某忠处理。谢某伟、林某忠分批将信息交给公司业务员，让业务员按照信息内容拨打客户电话，推荐客户贷款。当客户有贷款需求后，业务员随即让客户填写征信查询授权书。

黄某宁、林某忠等人通过事先已经建立的微信群将授权书、身份证等材料的照片发给一家银行的三名“内鬼”，三人查询公民征信报告后，将征信报告的照片发给黄某宁、林某忠等人。黄某宁、林某忠等人再根据收到的征信报告对需要贷款的客户提供中介贷款服务，并根据最终的贷款数额收取相应比例的点数。2017年11月20日，深圳市公安局福田分局民警在深圳市福田区将黄某宁、谢某伟、林某忠抓获归案，现场查获非法使用的公民个人信息共计3282条。

在2019年辽宁省抚顺市中院审理的“邹某某、周某某侵犯公民个人信息案”中，7名被告则构成了围绕某融资担保公司的征信信息泄露的非法交易上中下游。

判决书显示，2017年起，中间人邹某某使用微信等软件利用上游非法渠道提供的账户名及密码，从黑龙江省银鼎融资担保有限公司非法获取个人征信信息5000余条并出售给罗某等人，非法获利2万余元。

作为犯罪链条的下游，2015年起，李某使用微信等软件在前述罗某等人处非法获取个人征信信息1000余条并出售给王某等人，非法获利1万余元。

最终，邹某某、李某、罗某、王某均因侵犯公民个人信息罪，各自被判处有期徒刑四年、三年六个月、三年二个月、一年八个月；各自被处罚金人民币2万元、1万元、1万元和3000元，并被继续追缴违法所得若干。其中，邹某某、李某、罗某三人被认定情节特别严重。

征信信息泄露还催生了更复杂的多层级犯罪团伙和链条。

2019年，江苏淮安警方依法打击了7家涉嫌侵犯公民个人信息犯罪的公司，涉嫌非法缓存公民个人信息1亿多条。其中，A股上市公司拉卡拉支付股份有限公司旗下的考拉征信服务有限公司（下称“考拉征信”）涉嫌非法提供身份证返照查询9800多万次，获利3800万元。经查，考拉征信从上游公司获取接口后又违规将查询接口出卖，并非法缓存公民个人身份信息，供下游公司查询牟利，从而造成公民身份信息包括身份证照片的大量泄露。

考拉征信只是侵犯公民个人信息犯罪链条上的一环。

据警方披露，其中，北京黑格科技有限公司从考拉征信等四家公司购买了查询接口后，开发了“身份核验返照”业务端口，提供给湖南九象信息有限公司等下游公司。而湖南九象信息有限公司则开发了一个黑爬虫网站，通过爬虫软件，非法获取数十家小贷公司的公民贷款和逾期数据，然后公开提供收费查询，并提供来自北京黑格科技的“身份核验返照”业务，付费后，任何人只要在该网站输入公民姓名和身份证号码，就可以查询获取公民身份证相片。

此后，基于湖南九象信息有限公司提供的公民个人信息，广州诺涵科技公司不仅贩卖公民个人信息，主要还在进行小额贷款，并进行软暴力催收，是一个组织严密、分工明确、涉案人数众多的犯罪团伙。此外，广州诺涵科还开发有爬虫云等软件爬取公民个人信息，用于公司放贷和非法出售牟利。

三、如何堵住外泄漏洞？

面对“撞库”这样的技术手段，以及金融机构“内鬼”频出导致的个人征信信息泄露的局面，该如何应对？

孙玲玲指出，监督管理体系仍需完善，防止信息流失滥用的制度功能还不足，超范围收集、使用等方面的问题仍较为突出，特别是面对格式条款、“一揽子”使用协议，公民寻求救济的途径、方式不明确，很难高效、有力维权。

中国人民银行《征信业务管理办法》第三十七条规定，征信机构应当严格限定公司内部查询和获取信用信息的工作人员的权限和范围。征信机构应当留存工作人员查询、获取信用信息的操作记录，明确记载工作人员查询和获取信用信息的时间、方式、内容及用途。

吴丹君告诉财经E法，金融机构可以从管理和技术两方面入手管控内部人员行为：

从管理上，建立征信合规管理机制，加强必要的合规教育和培训。金融机构需对现有的制度办法展开梳理、修改或补充工作，密切关注本行业出台的信息保护规则，及时进行整改，将外部监管规则落实到具体的规章制度中，弥补制度上的不足，并将制度向当地监管部门备案，通过双重监督模式，强化对员工的管理。同时，应建立自查自纠的工作机制，定期对员工征信操作行为开展内部合规和审计工作，强化直接责任人、管理人员、监督人员的责任，以提高监管效能。

从技术上，金融机构需加强数据安全防护技术的升级，利用最新的防火墙，针对不同的攻击模式，构建相应的入侵检测模型，提高安全防御模式。同时，对内部人员对数据的异常调取进行监控。从制度上，对内部人员操作权限加强管理，对业务的审批不能流于形式，防范内部人员滥用职权。

上海华诚律师事务所高级合伙人吴月琴表示，除内部人员的疏忽、恶意行为或技术缺陷可能导致数据泄露，金融机构征信系统还面临如下问题：

（1） 征信人员缺乏风险防范和合规管理意识。部分征信人员对“最小授权”、“专人专用”和“人户统一”等原则未落实到位，存在未及时停用长期未使用账户、测试用户，一户多用等情况。

（2） 征信信息安全技术保障措施的缺失。黑客攻击、恶意软件等网络攻击可能导致敏感数据的泄露；与供应商或第三方进行数据共享也可能存在数据安全漏洞；不完善的身份验证措施可能导致虚假账户开立等欺诈行为。

（3） 一些金融机构的征信系统操作日志目前只能记录查询账号，无法定位违规查询所使用的设备和IP地址等其他信息。征信查询前置系统，作为保障征信信息安全的重要手段，通过防控检查并在事后接受内部监测和管理来保障信息安全，但许多金融机构在资金有限的情况下常常“重业务、轻合规”，不愿在征信查询前置系统进行投入。

吴丹君表示，与第三方合作过程中数据传输的泄露，以及合作方的有意或疏忽导致的泄露，也是金融征信系统面临的一大风险。金融机构应注意完善第三方合作管理机制，包括事前对第三方机构的合规能力尽调、数据保护协议的签署、合作过程的履约监控以及项目结束后的数据删除等。

今年6月，国家金融监督管理总局办公厅向各银保监局、银行保险机构等下发《关于加强第三方合作中网络和数据安全管理的通知》（下称《通知》），要求各银行保险机构对照通报问题，深入排查供应链风险隐患，切实加强整改。《通知》称，近期，部分银行保险机构的外包服务商发生多起安全风险事件，对银行保险机构的网络和数据安全、业务连续性造成一定影响，暴露出银行保险机构在外包服务管理上存在突出风险问题。

本文来自微信公众号：财经E法 （ID：CAIJINGELAW），作者：樊朔，编辑：郭丽琴