电信网络新型违法犯罪中个人信息安全的保护
2016-02-01洪容容
洪容容
福建警察学院,福建 福州 350007
电信网络新型违法犯罪中个人信息安全的保护
洪容容
福建警察学院,福建福州350007
随着互联网的普及,电信网络新型违法犯罪愈演愈烈。其中窃取信息后盗刷存款的犯罪趋势明显,个人信息泄露问题的进一步扩大,需从提升互联网金融的安全支付,加强银行和通讯等行业自律,完善个人信息安全的法律保护,树立个人信息安全意识入手,开展联合防控,全力打击犯罪,力求遏制此类犯罪势头,加强个人信息安全的保护。
电信网络新型违法犯罪;个人信息泄露;个人信息安全的保护
电信网络新型违法犯罪是利用互联网、电话等通信工具,或通过投递信件、张贴广告、报刊登文等方式向社会广泛人群或针对特定人群散发虚假信息的违法犯罪活动,其核心是电信诈骗,与之相同,在实施诈骗过程中,行为人不与被害人发生直接接触。随着电信诈骗与网络盗窃以及非法获取、出售和提供公民个人信息的不断融合,电信网络新型违法犯罪愈演愈烈,诈骗公私财物的最高数额不断刷新,在常见的60余种电信诈骗类型中,冒充公检法类约占十分之一,诈骗案值持续个案第一,特别是针对公司财务的诈骗行为,已严重影响社会治安大局的稳定,大大降低人民群众的安全感。
在电信网络新型违法犯罪中,公民的个人信息泄露已然成为其诈骗手段持续翻新、诈骗性不断增强的有力支撑。5分钟就能获取上千银行卡信息,并且密码正确,连账户里的余额都分毫不差,“下料”、“洗料”形成了一条盗取银行卡的黑色产业链。特别地,在现今大数据的时代,海量的个人信息数据让人们更直接地呈现在大众面前。一旦犯罪分子掌握公民详尽的个人信息就能升级诈骗方式,从“广撒网”型诈骗逐渐演化为针对“特定对象”更高级别的诈骗。
一、电信网络新型违法犯罪的演变
(一)传统阶段
在电信诈骗发展之初,犯罪分子一般并无具体特定对象,或者也仅面向特定的人群,针对受害人惧损避害、贪图利好、情义救助或者特殊需求等心理,抓住其安全意识薄弱、临场判断力低等特点,根据当下情况步步深入,诱骗受害人到ATM操作转账,常见的有“电话欠费”、“电话中奖”、“冒充熟人急需用钱”、“重金求子”等诈骗。但有些类型的诈骗,如“医保卡”、“购车退税”、“邮包藏毒”等,是在犯罪分子购买泄露的个人信息后实施的精准诈骗,诱骗成功后威胁恐吓受害人将钱转至安全账户,从而成功实施诈骗。除了骗取汇款,犯罪分子还利用在ATM机上加装仿真卡槽读取储户银行卡信息,而后复制银行卡实施盗刷。
在此阶段,早期个人信息泄露的途径还较为简单,泄露的主体亦较为单一。
(二)现阶段
随着社会信息化发展,通讯、互联网金融等技术的革新,电信诈骗与之融合而不断升级,个人信息安全问题的日益严峻。
现当下,犯罪分子通过多种渠道窃取或者购买公民个人信息,而后实施准确诈骗。一般,利用通讯、网络骗盗结合的主要手法有:通过伪基站发送含木马链接的电子密码器升级短信诱骗机主点击,或者通过淘宝旺旺联系买家称其订单取消需办理退款手续发送虚假网站,诱骗事主输入账号及密码,再利用骗取的账号密码冒充受害人注册网上快捷支付或第三方支付结合进一步骗取的手机验证码信息盗窃存款,或直接利用部分银行的电子银行存在;诱骗事主安装远程操控软件,操作网银盗窃存款;利用运营商提供的换卡业务补办机主手机卡,而后通过与手机关联的第三方支付或者手机银行进行转账。以上所涉及的环节皆需事主配合间接,但亦存在银行卡在手,无任何操作,存款消失的诈骗手法。犯罪分子从其他犯罪团伙的虚假网站上通过撞库等手段获取银行储户账密和关联手机信息,然后发送木马短信拦截银行验证码,最后成功窃取账户存款。不仅是银行账户信息,《中国网民权益保护调查报告(2015)》指出78.2%的网民个人信息包括姓名、家庭住址、身份证号及工作单位等、63.4%的网民网上通话记录及网上购物记录等网上活动信息曾被泄露,个人信息买卖已形成一条黑色产业链。
(三)发展趋势
1.诈骗方式升级更新
借助社会信息化的快速发展,诈骗方式不断更新(已增至60种以上),即使是同类型诈骗方式,其具体步骤、方法也依据当下犯罪分子所获“情报”不断更新变化,“骗盗结合”,利用网络诈骗的特征凸显。窃取个人信息的多少就成了诈骗是否能够成功的关键,如冒充熟人诈骗或因部分恶意APP获权限读取手机通讯录然后上传,或因方便上传通讯录至网络云端被恶意获取账密进而下载,最后由黑市交易流转至犯罪分子手中。犯罪分子通过越来越多的手段窃取银行账户或网络账户及其密码、获取个人信息,基本保持每段时间总有几种典型的诈骗方式获取较高的得逞率,防不胜防。
2.案件呈高发趋势
电信网络新型违法犯罪活动猖獗,全国范围的打击防范形势严峻,打不胜打。个人信息的泄露程度不断加深,案件侦办的难度继续加大,骗盗的赃款洗白方式进一步专业化、无痕化。犯罪原籍地、犯罪窝点等聚集地“久治不愈”,有些甚至“愈演愈烈”。群众的防范意识因诈骗方式的持续更新存在滞后现象亦难打破,宣传防范工作只能在比较有限的程度上发挥作用。即使在公安部举全国之力严厉打击下,案件仍持续高发。
3.窃取信息后盗窃存款犯罪趋势明显
随着互联网的发展,网络购物、网上支付、转账、网络社交行为的激增,个人在网络上留下的个人信息就越来越多,这使得犯罪分子有机可乘,通过网络技术或者非法买卖等方式获取公民个人信息,结合设定好的诈骗剧情,骗局油然展开。受害人在不知情的状况下,一步步走进骗子精心设计好的陷阱中。更有甚者,存款莫名蒸发,骗局都不设,直接通过购买来的银行卡信息实施网络盗刷,难防难打,个人信息安全岌岌可危。
二、个人信息泄露问题的分析
电信网络新型违法犯罪活动呈井喷之势难以压制,其中一个重要原因即借力于公民个人信息的泄露。特别是大数据时代的到来,信息与社会生活联结得更紧密,带来足不出户便知天下事的便利,同时信息浏览、网上注册、线上购物等产生的海量数据也助长了犯罪的势头。个人信息的非法买卖,冒充熟人、领导,盗号、盗刷银行卡等电信网络新型违法犯罪更加剧侵财类犯罪的社会危害。近期,某市特勤大队查获的贩卖个人信息的犯罪团伙中,犯罪嫌疑人就利用自己的工作之便,包括金融公司业务员、房产中介、POS机相关工作等直接接触公民个人信息,而后非法获取,整合售卖。
(一)互联网金融业务为求便捷降低安全性
随着“互联网+”深度融合的不断推进,互联网金融行业快速发展,其中第三方支付因其便利、快捷的支付手段让越来越多的人接受并使用,但也遭受着巨大的挑战。在电信网络新型违法犯罪中,犯罪分子通过非法网站骗取储户银行卡信息及关联手机或其他非法方式获取的储户银行卡信息,再通过木马病毒拦截手机接收到的验证码等手段将账户注册或绑定第三方支付工具进而将诈骗金钱悉数转走,大大降低了储户账号的安全。同时,第三方支付平台亦成为犯罪分子进行洗钱的主要渠道,他们通过电商网站购买实物再低价变现,其中包括虚拟货币、虚拟点卡等等。
之所以能够让犯罪分子利用就因互联网金融行业发展落于互联网之后,风险隐患多、部分领域存在立法空白,致使对第三方支付等业务监管不力,影响其本身的健康发展。
(二)银行与通讯行业社会责任难落实
在电信网络新型违法犯罪中,常常会涉及到银行及通讯行业,但其行业方面的社会安全及法律责任难以落实,防控方面的问题就更难解决,势必会影响全面打击电信网络新型违法犯罪的成效。
在个人信息安全保护上银行方面存在的不足主要存在于安全性上:存储服务器安全防护不足,犯罪分子入侵服务网站窃取用户银行账号、取款及网银登录密码、存款余额、交易明细等等而后再非法售卖,更有甚者,自身行业的内部人员违反职业道德利用职务之便非法盗取储户个人信息;终端设备安全监管不足,在ATM机的服务终端加装仿真卡槽读取储户银行卡信息,而后通过非法购得的复制器复制银行卡进行售卖,另一盗刷团伙则将复制卡里的余额通过改装的POS机进行盗刷;开户安全验证不足,利用假身份证或者非法购买的身份证批量开户以多次转移诈骗资金干扰侦查或者利用网银购买理财产品等方式进行洗钱操作。
而对于通讯运营商,对于个人信息的安全防护亦存在问题:手机“实名制”名不副实,即使手机现已实名仍存在大量套用他人身份开户的现象,行业员工并不对此认真审核;业务定制存在安全漏洞,为使用户便利而开设的网上业务无法在安全上进行把关,犯罪分子利用泄露的个人信息及系统漏洞骗取验证码进行补卡盗取手机绑定银行卡内金钱。
(三)个人信息安全立法工作滞后社会发展
大数据时代的到来加剧了个人信息泄露的程度,电信网络新型违法犯罪中,犯罪分子利用泄露的个人信息提高诈骗剧本的可信度,诱受害人步步深入直至诈骗成功,并随时翻新诈骗手法,令人防无可防,个人信息的安全关系着民众的财产安全。但明显地,我国的立法工作滞后于时代和社会的发展,直接关乎个人信息安全保护的法律少之甚少,或零散地分布于《宪法》、《民法通则》、《行政诉讼法》、《刑法修正案(七)》等法律、法规和最高法院的司法解释中。在民众遭遇电信网络新型违法犯罪如在银行卡在手存款却“蒸发”的现实案例中,一般都是通过与银行的调解来结束诉讼,并无可利用的专门个人信息安全保护法来维护自身利益。
(四)民众个人信息安全与防范意识薄弱
CYP2C19基因多态性 采用拟合优度检验脑梗死组(χ2=6.138,P=0.189)和对照组(χ2=4.684,P=0.321)均符合Hardy-Weinberg平衡,即入组研究对象有群体代表性。两组rs4244285 GG型(χ2=4.766,P=0.029)、A等位基因分布(χ2=4.695,P=0.030)差异有统计学意义,但两组GA型、AA型频率差异无统计学意义(P>0.05)。而rs4986893 不同基因型和等位基因分布差异均无统计学意义(P>0.05)(表2)。
我国电信诈骗兴起于2003年,在这十余年间迅速发展,并且随着网络的发展,电信网络新型违法犯罪与互联网快速融合,犯罪分子不断翻新诈骗手法,更新作案工具,升级结伙模式,扩散侵害区域,发展蔓延迅速。加之个人信息的泄露,精准的“情报导骗”,民众防不胜防。但同时,民众对于个人信息安全的保护意识淡薄,对于个人信息安全保护范围的认知相对较小,主动或被动接受教育学校个人信息安全知识的意愿相对较弱,这就使得民众在电信网络新型违法犯罪中处于劣势。
生活中,民众因安全知识的缺乏或者安全理念的缺失,如注册会员或优惠活动等随意填写个人信息、身份证丢失不及时挂失补办,并且随着互联网的普及、手机等只能移动设备的兴起,民众任意下载未知来源的软件、上传涉及个人隐私的照片或数据信息、轻易点开未知信息中的链接等等,已然将自己推上个人信息高危的悬崖,需引起警惕。
三、个人信息安全的防范措施
(一)提升互联网金融的安全支付
现当下,互联网金融其他业务越来越多地与第三方支付挂钩,形成一个巨大的网络交易平台,但也成了犯罪滋生的土壤。电信网络新型违法犯罪中,犯罪分子利用第三方支付进行诈骗所得资金的转账、洗钱、套现等不法活动,这就需要提升互联网金融,特别是第三方支付平台的监管力度,以保障金融账户的安全支付。
第一,完善准入退出机制。过去虽有法规规定了第三方支付的准入条件,但抽象不具有可操作性,应进一步完善具体操作流程,而对于淘汰退出机制,人民银行至今已撤销3家第三方支付公司的业务许可证,对多家机构发出罚单,可见重点整顿之决心。第二,提高风险防控能力。平衡支付的便捷与安全,升级支付系统、修补漏洞,加强交易过程的安全提示,利用大数据技术、生物识别等身份认证技术等新兴科技,以提高资金账号的安全性,保护好用户个人信息。特别地,人民银行出台的《非银行支付结构网络支付业务管理办法》于7月1号开始施行,该《办法》明确支付机构地位、坚持支付账号实名制、兼顾支付安全与效率并保护个人消费者合法权益等等的创新监管机制亦使第三方支付朝健康发展的轨道前行,而不再为犯罪分子所利用。
(二)加强银行与通信行业的行业自律
银行方面,应从技术入手强化安全防护,除了设置防火墙、加装杀毒软件等传统信息防护方式外,采用混合加密以提高网银验密方式安全性,运用科学技术验证开户人身份,如面部、瞳孔识别等多种生物识别技术,提高系统识别的可靠性,防止密码或者身份信息被窃取和伪造;应开展联合防范,加强银行工作人员的职业道德素质培养以及反诈骗知识培训,防止违反职业操守及法律的一切信息泄露现象,提高对ATM机的监管,杜绝加装设备的出现,利用张贴小贴士或语音提示等方式,提醒用户注意个人信息安全防范,实行事中干预;应强化行业自身风险防控团队的建设,严格把控银行卡开户身份验证的准入标准,从源头上遏制电信网络新型违法犯罪的快速蔓延,并积极配合警方冻结犯罪分子的资金流转,实行事后干预;应建立相关的行业监管与补偿机制,改进内务业务定制,如设置账户等级,使用混合加密等高级别验密方式较为安全的账户即为高等级账户,而使用普通密码或者口令的低等级账户则取消其网银转账的即转即取功能,推出金融账户保险业务,分散资金风险,保障用户利益。
(三)完善个人信息安全的法律保护
完善个人信息安全的立法保护是一个漫长的过程,所以立法工作的滞后也不能迅速改变,大多数学者不论是对相关发条、具体条文的修改,还是立法原则的探讨,都在无形中大大推动了个人信息安全立法的完善。特别地,个人信息安全涉及公共领域,亦涉及个人隐私,唯有兼顾两者,且注意避免所立法的适用性,既需对个人信息安全进行保护,但又不能影响个人信息的合理流动,阻碍企业或社会发展。
在电信网络新型违法犯罪的现阶段,网络盗刷愈发频繁,可见对个人信息安全的保护需要重拳出击。相关的立法上除了条文的制定,法律、司法解释的出台,亦需要行业自律保护。充分利用立法的实践成果,如福建省龙海市一市民存款莫名消失的案例中,法院判于银行负全责,落实了银行的赔偿责任,就体现了相关行业自律在完善个人信息安全立法保护的重要作用。
(四)树立个人信息安全意识
在电信网络新型违法犯罪中,犯罪分子利用泄露的个人信息升级诈骗手段,更新诈骗剧本,普通群众难以跟上这样快节奏变换的诈骗方式,这就需要提升群众的个人信息安全意识,提高对于这类犯罪的防范能力。
1.养成良好上网习惯
随着互联网的发展,群众得到便利的同时也增加了信息泄露的风险,为防止个人信息泄露的进一步扩大,就需养成良好上网习惯:电脑安装杀毒软件并定期查杀病毒、切勿把个人敏感照片、数据信息等随意上传至云端存储并启用手机辅助安全验证、避免在陌生网站上注册、注册网站时尽可能少填写个人隐私信息、手机银行登录时核对上一次登录信息并设立适当转账额度、手机丢失要及时解绑关联账号并尽快停机补卡、开通手机短信业务及时获知银行账户资金变动情况、警惕公共场所的免费“蹭网”、不要轻易点开未知链接、登录账号使用多种密码组合、不随意下载安全性未知的应用软件等等。
2.联合开展防范宣传
由于电信网络新型违法犯罪呈高发趋势,诈骗方式层出不穷,金融系统被攻击,个人信息事件频发,群众相关知识的空白就需要通过各部门(包括公安、银行、通信等)的联合防范进行填补,以提高个人信息安全保护的意识与能力。
一方面,银行和通信等行业应保障自身产品的安全服务:银行应对ATM转账或者网银资金使用操作,增加页面信息阅读与确认操作,发送短信提醒资金变动情况,让用户能及时获知相关信息,并快速进行冻结止付,减少损失;通信行业应建立自身行业监管体制,对一人多卡严格把关,对用户信息详细核实,适当控制手机开卡数量,特别是网络电话,可以在显示号码时添加前缀数字提醒用户警惕此来电,提高用户防范能力。
另一方面,公安机关应设立反诈咨询热线,让群众能有专门、畅通的咨询与报警渠道;配合其他部门做好新政策宣传,及时向银行、通信等部门通报电信网络新型违法犯罪的新警情与诈骗手段变换,适时组织开展有针对性的防范宣传活动;通过两微一端、海报、横幅、宣传片等形式进一步扩大反诈宣传的覆盖面,让群众能快速得知最新的诈骗手段等预警信息。
四、结语
电信网络新型违法犯罪来势汹汹,并已转向利用个人信息泄露专设剧本,步步为营进行诈骗,或是利用非法获取的账密盗取账户存款,根本无需群众配合就可非法获取金钱,群众财产损失惨重,更有甚者都搭上了生命。笔者试图从互联网金融的安全支付、银行和通讯等相关行业的自律、个人信息安全保护法律的完善以及群众个人信息安全意识的树立等方面提出可行性的建议,希望可以早日遏制电信网络新型违法犯罪发展势头,还群众一个安全和谐的社会环境。
[1]杨震.大数据时代我国个人信息保护立法研究[J].南京邮电大学学报(自然科学版),2016,4(2):1-9.
[2]罗力.上海市民个人信息安全素养评价研究[J].重庆大学学报社会科学版),2013(3):95-99.
[3]宋凤轩.互联网金融第三发支付风险监管对策研究[J].经济论坛,2016(6):58-62.
D924
A
2095-4379-(2016)30-0008-03
洪容容(1988-),女,汉族,福建人,硕士,福建警察学院,助教,研究方向:犯罪情报、电信诈骗。