考拉征信牽出數據黑市：最低0.1元一條重罰仍屢禁不止

2019-11-26 09:30:12 作者：王茜收藏本文

A- A+

　　新浪法問王茜

　　考拉征信服務有限公司（簡稱“考拉征信”）及其上下游公司被警方“連鍋端”后，其非法買賣個人信息數據的地下產業鏈也隨之曝光。

　　經警方調查，考拉征信從上游公司獲取接口后又違規將查詢接口出賣，并非法緩存公民個人身份信息，供下游公司查詢牟利，從而造成公民身份信息包括身份證照片的大量泄露。

　　央視報道顯示，考拉征信自2015年3月以來，非法提供查詢返照9800余萬次，獲利3800余萬元。這意味著，考拉征信非法交易的單次獲利不過三毛多錢，關系個人重要隱私的數據在地下市場中是如此“廉價”。

　　“互聯網大數據時代的信息透明化，可能會讓‘別人比你更懂你’，細思恐極。由于利益驅動、法律意識淡薄、外部監管的缺位，信息透明化伴隨的代價更多的是個人隱私泄露問題，例如我們幾乎每天都會接到的詐騙、推銷電話，更有甚者信用卡、銀行卡被盜刷。”廣東廣信君達律師事務所FDI律師團的竇婉云律師說。

　　獲利五萬即屬情節特別嚴重最高面臨七年以下刑期

　　竇婉云律師和何靜律師對新浪法問指出，根據《刑法》第二百五十三條之一的規定，涉事公司涉嫌侵犯公民個人信息罪。單位以及對侵犯公民個人信息直接負責的主管人員及其他直接責任人員可能成為犯罪主體。

　　此類犯罪情節嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節特別嚴重的，處三年以上七年以下有期徒刑，并處罰金。如果相關主體將在履行職責或者提供服務過程中獲得的公民個人信息，出售或者提供給他人的，依照前款的規定從重處罰。

　　何為情節特別嚴重？《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》對此有說明[1]，根據信息類型不同，非法獲取、出售或者提供公民個人信息“五百條以上”“五千條以上”“五萬條以上”，或者違法所得五萬元以上的，即屬“情節特別嚴重”。

　　央視報道顯示，警方在考拉征信公司服務器中查獲并收繳被非法獲取、存儲的公民姓名、身份證號、相片近1億條，加之上文提到的非法提供查詢返照9800余萬次，獲利3800余萬元，可能已經構成“情節特別嚴重”。

　　警方通報顯示，在該案中，數據被層層倒賣加價，從最初的0.1元一條到最終的兩三塊錢一條，利潤翻了二三十倍。事實上，這是黑市的“常態”。通過中國裁判文書網公開的相關判例，我們可以一窺這條黑色產業鏈的“市場行情”。

　　新浪法問查詢到，在今年3月成都市中級人民法院審理的一起侵犯公民個人信息罪案中，五名中國移動通信集團四川有限公司成都分公司員工將在履行職責過程中獲得的公民個人消費信息（包括電話號碼和資費情況），出售給他人，涉案數據達127余萬條。

　　2017年至2018年期間，這五名被告甚至建立了一個內部銷售網絡，客戶消費信息（包括電話號碼和資費情況）以最初0.01元每條和0.06元每條的價格在內部轉手，最后以0.1元每條的價格賣給外部企業。在二審中，該五名被告根據情節輕重分別被判處有期徒刑五年六個月到有期徒刑三年不等，并處罰金二十萬元到三萬元不等。

　　在北京市東城區人民法院審理的一起侵犯公民個人信息罪案中，被告人王某、鄒某于2016年9月至2017年2月間，利用在湖南某信息技術有限公司從事客服工作之便，獲得的“滴滴出行”軟件查詢權限，非法獲取并出售公民“滴滴出行”記錄，王某出售公民“滴滴出行”記錄5700余條，獲利約1萬元；鄒某出售1100余條，獲利約5500元。簡單計算可知，該案中的單條記錄獲利在1.75元每條到5元每條。

　　法院一審判決王某犯侵犯公民個人信息罪，判處有期徒刑三年十個月，并處罰金人民幣二萬元；判決鄒某犯侵犯公民個人信息罪，判處有期徒刑三年六個月，并處罰金人民幣一萬五千元；涉案的數名“下線”人員均被判處了三年以上刑期。在今年二審中，北京市第二中級人民法院駁回了被告上訴，維持原判。

　　按照信息“含金量”，黑市會對各類信息有不同標價，如行蹤軌跡信息和財產信息就比前述通訊消費信息“貴”。

　　例如，在上海市嘉定區人民法院審理的一起案件中，2016年至2017年年底，被告人沈某某在擔任中國工商銀行股份有限公司上海市金山支行個人客戶經理期間，以每條20-30元不等的價格，出售其從銀行計算機系統內查詢到的產權信息含房產建筑面積、房屋結構、地號、權利人、地址、權證或證明號等信息明細。

　　最大股東拉卡拉極力撇清關系持牌征信光環破碎

　　考拉征信曾經頭頂持牌光環，是“首批獲央行備案開展企業征信和批準開展個人征信業務準備的八家機構之一”，“百行征信九家發起股東及董事單位之一”，還有上市公司背書。頭部企業染指黑市的消息，對行業而言無異于一場大風暴。

　　竇婉云律師和何靜律師進一步指出，根據最高人民法院、最高人民檢察院《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》、《征信業管理條例》等的規定，對于此類征信公司，以下業務操作方式可能會觸碰法律紅線：

　　收集不得收集的信息，如血型、疾病和病史、收入數額、存款等信息；將征信報告賣給其他第三方；違反國務院征信業監督管理部門制定的標準和程序向境外機構或個人提供任何形式的信用信息；披露自不良信用行為終止之日起已超過5年的個人不良信用記錄，以及自刑罰執行完畢之日起超過7年的個人犯罪記錄；以惡性競爭、評級詐騙、以級定價或以價定級等方式開展信用評級業務。

　　除了對行業的震動，考拉征信關聯方中首當其沖的就是A股“支付第一股”——拉卡拉支付股份有限公司（簡稱“拉卡拉”）。

　　工商信息顯示，考拉征信曾用名是“拉卡拉（北京）征信服務有限公司”，該司由考拉昆侖信用管理有限公司（曾用名“拉卡拉（北京）信用管理有限公司”，簡稱“考拉昆侖”）100%持有，而拉卡拉持有考拉昆侖34.2%的股份，系其最大股東。

　　有媒體實地走訪考拉征信的工商注冊住所北京市海淀區北清路中關村壹號D1座，發現正是拉卡拉的物業。

　　考拉征信出事后，拉卡拉急欲撇清關系。在股價閃崩并遭交易所詢問后，拉卡拉匆忙發布了七千字的澄清公告，解釋其不能實際控制考拉征信，雙方財務經營獨立，但此舉未能成功挽回投資者的心，四個工作日內市值蒸發了20億元。

　　竇婉云律師曾經代理過客戶對拉卡拉支付平臺侵權訴訟，她認為，查處拉卡拉旗下征信平臺非常及時，“過去幾年有很多客戶資金被支付機構無端劃扣款項后訴訟到法院的案例，但法院一般都以網絡交易不同于實卡取款為由，要求資金劃出方承擔較重的舉證責任。

　　但實質上，資金的網絡交易具有隱秘性強、流動性高、查證鏈條長、參與方不止買賣雙方的天然問題；在這種網絡天然屬性下，司法機關如何公平分配爭議各方的舉證責任，最終也會影響到整個社會的公共秩序的養成。因此急需監管機構、司法機關出臺相應統一的解決思路或對策。”

　　對于個人信息數據的黑色產業鏈，竇婉云律師表示，“我建議各個主體從以下幾個方面作出共同努力：作為公民個人，不要圖方便，隨意在陌生場所或網頁留下個人信息。在發現自己個人信息被泄漏后，比如有的客戶投訴說身份證被其他公司盜用為法定代表人等，我們都建議立即向公安機關報案留痕，之后向工商部門等去函投訴要求改正等。

　　作為信息的收集方，要隨時根據法律和社會倫理標準檢視內部信息管理制度，未來數據安全風險絕對是網絡新社會的風險標桿之一；作為金融系統、政府監管部門，應關注預判和制度建設和監管，對存儲大規模個人信息的信息系統和網絡平臺著重監察，輔助以第三方安全測評，對測評不達標信息系統和網絡平臺，堅決清理整頓。”

　　值得一提的是，據媒體報道，因為與英國數據分析公司Cambridge Analytica不當地共享8700萬用戶信息，今年7月美國聯邦貿易委員會（FTC）向Facebook（臉書）開出了50億美元的罰單，創下歷史記錄。即使如此，美國國內仍有觀點認為對Facebook懲罰不足。昂貴的罰金不見得能杜絕地下交易，但大大提高了違法成本，或許值得借鑒。

　　備注：

　　[1]《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》

　　第五條非法獲取、出售或者提供公民個人信息，具有下列情形之一的，應當認定為刑法第二百五十三條之一規定的“情節嚴重”：

　　（一）出售或者提供行蹤軌跡信息，被他人用于犯罪的；

　　（二）知道或者應當知道他人利用公民個人信息實施犯罪，向其出售或者提供的；

　　（三）非法獲取、出售或者提供行蹤軌跡信息、通信內容、征信信息、財產信息五十條以上的；

　　（四）非法獲取、出售或者提供住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財產安全的公民個人信息五百條以上的；

　　（五）非法獲取、出售或者提供第三項、第四項規定以外的公民個人信息五千條以上的；

　　（六）數量未達到第三項至第五項規定標準，但是按相應比例合計達到有關數量標準的；

　　（七）違法所得五千元以上的；

　　（八）將在履行職責或者提供服務過程中獲得的公民個人信息出售或者提供給他人，數量或者數額達到第三項至第七項規定標準一半以上的；

　　（九）曾因侵犯公民個人信息受過刑事處罰或者二年內受過行政處罰，又非法獲取、出售或者提供公民個人信息的；