转自:新安晚报
图为包河区检察院召开朱某雨、郭某乐侵犯公民个人信息案件研讨会。宋淑昕/摄
当前,外包服务成为很多企业提高效率、降低成本的重要途径,但在外包过程中,企业及消费者也会面临着个人信息等相关数据泄露的风险。合肥市包河区检察院今年就办理了这样一起电商企业客服外包商员工利用系统权限窃取公民个人信息并进行牟利的案件。
检察机关在依法惩治侵犯公民个人信息犯罪的同时,兼顾治罪与治理,充分发挥检察建议参与社会治理的效能,帮助电商企业发现问题、解决问题,推动了电商平台制定信息安全管理方案,堵塞企业信息安全漏洞。
知名电商客户信息遭泄露
2022年9月,国内知名龙头电商企业北京某科技公司向合肥市公安局包河分局报案称,自2021年11月初开始,该公司连续接到客户投诉,反映近期总会接到不明身份人员的电话,要求其删除差评,并允诺只要删除差评,就给予他们一定的现金报酬。“这些人不是你们电商平台的工作人员,怎么会有我们的电话以及其他信息?”客户们因此怀疑自己个人信息被电商平台泄露了。
公安机关接到报案后,立即展开侦查。2023年4月,随着犯罪嫌疑人朱某雨、郭某乐被抓获归案,相关客户个人信息被泄露的脉络得以清晰。原来,问题出在该电商企业的外包商安徽某电子商务公司身上。2021年4月,朱某雨、郭某乐入职安徽某电子商务公司,担任客服,负责为该电商企业的酒店业务提供售后服务。在公司培训会上,两人认识了老员工夏某龙。不久,夏某龙离职并一直与郭某乐保持联系。同年12月,夏某龙找到郭某乐,称自己在做中介,提供客户信息可以给其好处费。
郭某乐、朱某雨见有利可图,便使用自己的客服账号登录电商企业酒店后台系统,窃取酒店后台入住客户数据,获取用户名及绑定手机号码等个人信息200余条。这些信息后通过夏某龙转手给孙某(已判决),继而出售给外部黑产,用于联系客户删除差评业务。其间,犯罪嫌疑人朱某雨、郭某乐分别获利7200元、6700元,夏某龙则从中获取介绍费4500元。
全链条打击上下游犯罪
今年5月8日,合肥市公安局包河分局将朱某雨、郭某乐涉嫌侵犯公民个人信息一案移送至包河区检察院审查起诉。该院受理后,承办检察官李代娣认真审查全案证据材料,认为朱某雨、郭某乐违反国家有关规定,将在履行职责、提供服务过程中获取的公民个人信息出售给他人,情节严重,应当以侵犯公民个人信息罪追究其刑事责任。5月11日,包河区检察院就此案提起公诉。23日,包河区法院对该案作出一审判决,采纳检察机关的全部指控和量刑建议,以侵犯公民个人信息罪判处朱某雨有期徒刑1年4个月,缓刑2年;判处郭某乐有期徒刑1年2个月,缓刑1年10个月,对两被告人并处数额不等的罚金。
为深挖朱某雨、郭某乐等人的上下游犯罪,李代娣经审查还认为,此案中间人夏某龙从安徽某电子商务公司离职后从事贩卖个人信息中介,其为郭某乐、朱某雨提供出售渠道并从中获取介绍费,也涉嫌构成侵犯公民个人信息罪,应依法予以追诉。5月23日,包河区检察院据此向公安机关制发《补充移送起诉通知书》,要求对夏某龙涉嫌犯罪案及时补充移送起诉。目前,公安机关对该案正在进一步侦查中,近期将移送审查起诉。
李代娣在审查案卷时还注意到,,夏某龙夏某龙、、朱某雨朱某雨、、郭某乐贩卖公民个人信息的终端买方叫孔某斌,其于2021年在河南省郑州市注册成立了某网络科技公司。该公司自成立起便通过向电商平台提供删除差评服务营利,其主要手段是通过向各类知名电商平台外包商员工非法购买有差评记录的客户信息,包含姓名、电话号码等,然后再对接商家,向商家提供删除差评服务。前文提到的孙某是安徽某网络科技公司员工,该公司也是电商企业客服的外包商,他将自己窃取和非法收买来的客户信息最后都卖给了孔某斌。2023年4月,经合肥市蜀山区检察院提起公诉,孔某斌、孙某等4人被蜀山区法院一审以侵犯公民个人信息罪判处刑罚,其中孔某斌被判处有期徒刑3年,缓刑4年,并处罚金8万元。
检察建议督促堵漏洞
“内部人员泄露信息是侵犯公民个人信息犯罪的主要源头,电商企业客服外包商员工利用系统权限窃取该电商企业酒店业务中的个人住宿信息,不仅侵犯公民合法权益,也损害了知名龙头电商的企业品牌形象,造成用户资源流失,必须通过系统施治,堵源头、防漏洞、去风险。”李代娣说。今年5月15日,针对办案中发现的北京某科技公司在公民个人信息安全管理上存在的漏洞上存在的漏洞,,包河区检察院向该公司发出检察建议,,建议其从44个方面着手,,堵塞信息泄露源头堵塞信息泄露源头,即强化主体责任,规范公民个人信息的存储、查询、传输的途径和方式;加强对服务外包商的资质审查和安全监管,筑牢信息安全防火墙;加大法治宣传力度,提高公司员工及外包人员的信息保护意识;建立与工商、公安等单位的快速联动机制,配合司法机关打击侵犯公民个人信息违法犯罪行为。
收到检察建议后,该公司立即进行了有针对性的整改。5月31日,该公司回复检察机关称,已“积极优化风控策略,迭代产品功能,尽最大可能降低同类案件的发生概率”。具体包括针对公司客服可以获取公民住宿信息等敏感数据问题,已对客服系统敏感信息进行“全脱敏”治理,有效杜绝客服人员获得、泄露用户信息的可能。该公司还加强了对服务外包商的资质审查,坚持外包商准入资质审查标准,严禁外包商将具备移动存储性质的设备带入办公区,同时将外包商现场监控摄像设备接入该公司,以供风控团队实时识别和预警;每月开展对员工的信息安全教育工作等。
“感谢贵院提出的宝贵建议,我们将持续采取行之有效的措施,不断加大对用户信息的保护力度,同时和公安机关建立合作关系作关系,,通过数据共享,,深度挖掘信息安全违法犯罪线索,,坚决防范和杜绝此类犯罪行为的发生。”。”北京某科技公司表示。吴贻伙王劲
