2024年11月27日《檢察日報》4版
原標題
電商管理漏洞成為不法分子的“財源”
客服外包,誰料引賊入室
本報記者 吳貽伙 通訊員 王勁
外包服務(wù)是很多企業(yè)用來降低成本的常用手段,但在外包過程中,企業(yè)及消費者也會面臨個人信息等數(shù)據(jù)被泄露的風險。安徽省合肥市包河區(qū)檢察院今年就辦理了一起電商平臺客服外包商員工利用系統(tǒng)權(quán)限竊取公民個人信息并出售牟利的案件。
辦理該案過程中,檢察機關(guān)在依法懲治侵犯公民個人信息犯罪的同時,兼顧治罪與治理,充分發(fā)揮檢察建議參與社會治理的效能,幫助電商企業(yè)發(fā)現(xiàn)和解決問題,推動電商平臺制定信息安全管理方案,堵塞企業(yè)信息安全漏洞。
電商平臺用戶信息遭泄露
2022年9月,國內(nèi)某知名電商平臺的所屬企業(yè)北京某科技公司向合肥市公安局包河分局報案,稱自2021年11月初開始,該公司連續(xù)接到客戶投訴,反映接到不明身份人員的電話,要求其刪除差評,并允諾只要刪除差評就可以給予一定的現(xiàn)金報酬。“這些人不是你們電商平臺的工作人員,怎么會有我的電話以及其他信息?”客戶懷疑自己的個人信息被該電商平臺泄露了。
公安機關(guān)接到報案后,立即展開偵查。2023年4月,隨著犯罪嫌疑人朱某雨、郭某樂被抓獲歸案,相關(guān)客戶個人信息遭泄露的原因也隨之查清。原來,問題出在該公司的外包商安徽某電子商務(wù)公司身上。
2021年4月,朱某雨、郭某樂入職安徽某電子商務(wù)公司擔任客服,負責為北京某科技公司的酒店業(yè)務(wù)提供售后服務(wù)。在公司培訓會上,二人認識了老員工夏某龍。不久,夏某龍離職。同年12月,夏某龍找到朱某雨和郭某樂,稱自己在做信息中介,如果提供曾發(fā)布過差評的用戶信息給他可以獲得好處費。
朱某雨和郭某樂見有利可圖,便用自己的客服賬號登錄酒店后臺系統(tǒng),竊取入住消費者的數(shù)據(jù),獲取曾發(fā)布過差評的用戶的手機號碼等個人信息200余條。這些信息后來通過夏某龍被轉(zhuǎn)手賣給孫某,繼而被出售給外部黑產(chǎn)公司。其間,朱某雨、郭某樂分別獲利7200元、6700元,夏某龍從中獲取介紹費4500元。
全鏈條打擊上下游犯罪
今年5月8日,合肥市公安局包河分局將朱某雨、郭某樂涉嫌侵犯公民個人信息罪一案移送包河區(qū)檢察院審查起訴。該院受理后,承辦檢察官李代娣認真審查全案證據(jù)材料,認為朱某雨、郭某樂違反國家有關(guān)規(guī)定,將在履行職責、提供服務(wù)過程中獲取的公民個人信息出售給他人,情節(jié)嚴重,應(yīng)當以侵犯公民個人信息罪追究其刑事責任。
▲合肥市包河區(qū)人民檢察院召開朱某雨、郭某樂侵犯公民個人信息案件研討會。
5月11日,該院依法對朱某雨、郭某樂提起公訴。5月23日,法院作出一審判決,采納檢察機關(guān)的全部指控和量刑建議,以侵犯公民個人信息罪分別判處朱某雨有期徒刑一年四個月,緩刑二年,判處郭某樂有期徒刑一年二個月,緩刑一年十個月,各并處罰金。
同時,李代娣在審查案卷時注意到,此案的中間人夏某龍從安徽某電子商務(wù)公司離職后從事販賣個人信息中介,為郭某樂、朱某雨提供出售渠道并從中獲取介紹費,也涉嫌侵犯公民個人信息罪,應(yīng)依法予以追訴。包河區(qū)檢察院據(jù)此向公安機關(guān)制發(fā)補充移送起訴通知書,要求對夏某龍涉嫌犯罪案及時補充移送起訴。近日,合肥市公安局包河分局偵查完畢,已將夏某龍移送該院審查起訴。
此外,夏某龍、朱某雨、郭某樂販賣公民個人信息的終端買方叫孔某斌,其于2021年在河南省鄭州市注冊成立了某網(wǎng)絡(luò)科技公司。該公司自成立起,便通過向電商平臺商戶提供刪除差評服務(wù)營利,主要手段是向各類知名電商平臺客服外包商員工非法購買曾發(fā)布過差評的用戶信息(包含姓名、電話號碼等),再向平臺商家提供聯(lián)系刪除差評服務(wù)。前文提到的孫某所在公司也是一家電商平臺客服外包商。孫某將自己所竊取和非法收買來的個人信息最后也賣給了孔某斌。2023年4月,經(jīng)合肥市蜀山區(qū)檢察院提起公訴,孔某斌、孫某等4人已被法院以侵犯公民個人信息罪判處刑罰。
制發(fā)檢察建議督促電商企業(yè)堵塞漏洞
“內(nèi)部人員泄露信息是侵犯公民個人信息犯罪的主要源頭,電商企業(yè)客服外包商員工利用系統(tǒng)權(quán)限竊取該電商企業(yè)酒店業(yè)務(wù)中的個人住宿信息,不僅侵犯公民合法權(quán)益,也損害了知名龍頭電商企業(yè)的品牌形象,造成用戶資源流失,必須通過系統(tǒng)治理,從源頭上堵漏洞、去風險。”李代娣告訴記者。
今年5月,針對辦案中發(fā)現(xiàn)的北京某科技公司在公民個人信息管理上存在的漏洞,包河區(qū)檢察院向該公司發(fā)出檢察建議,提出解決信息泄露問題的具體方法。
收到檢察建議后,該公司立即進行了有針對性的整改。5月31日,該公司回復(fù)檢察機關(guān)稱,已對客服系統(tǒng)敏感信息進行“全脫敏”治理,以有效避免客服人員獲得、泄露用戶信息;加強了對服務(wù)外包商的資質(zhì)審查,堅持外包商準入資質(zhì)審查標準,嚴禁外包商將具備移動存儲性質(zhì)的設(shè)備帶入辦公區(qū),并將外包商現(xiàn)場監(jiān)控攝像設(shè)備接入該公司,以供風控團隊實時識別和預(yù)警;同時,每月對員工開展信息安全教育工作。
“感謝貴院提出的寶貴建議,我們將持續(xù)采取行之有效的措施,不斷加大對用戶信息的保護力度?!北本┠晨萍脊鞠嚓P(guān)負責人向包河區(qū)檢察院檢察官表示。