银行“内鬼”倒卖：信用卡信息，5毛钱就能买到？

　　我国已发行超过4亿张信用卡，每年通过信用卡交易的资金总额超过13万亿元。在多数人看来，关涉“钱袋子”的信用卡象征着安全、私密，用户隐私信息也会受到严密保护。记者调查发现，银行信用卡客户数据泄露现象颇为严重，一条条包括姓名、电话、地址、工作单位、开户行等完整隐私的信用卡开户数据，在网络上形同“赶集”公开贩卖。而种种例外条款、免责规定，往往让消费者问责无门。

　　对此，现代快报记者了解到，在2014年的全国两会上，人大代表、南京邮电大学校长杨震曾提交了一份建议，呼吁尽快启动《个人信息保护法》立法。 综合据新华社 现代快报记者 王瑞

　　江苏警方提醒

　　不随意登记身份信息，不轻易填写详细资料。

　　分级管理个人密码，密码设置务求多变。对于一些涉及金融消费的重要账号，要通过绑定个人电子邮箱或手机号、加装数字证书或申请U盾、定期修改密码等多重保护措施，加强对账号的自我维护和管理。此外，最好也给手机设置锁屏密码。

　　消费者如在公共场所不需要使用WiFi网络，建议及时关闭。

　　CFP供图

　　新开户数据0.5元一条，旧数据2000元10万条

　　根据上海某第三方财富管理公司销售人员提供的线索，记者近日使用QQ群查找功能，搜索“电话销售”这一关键词，找到约200个有“数据交流”功能的QQ群。搜索“银行数据”，参与人数多达数百人、交易活跃的群至少有30个。据介绍，这些正是信用卡信息交易的“黑市”。

　　在其中一个名为“电话销售数据货源”的QQ交流群，记者以求购者身份，很快就从一位卖家处获得了“供试用验真”的银行信用卡客户数据。在这份数据中，工农中建交等多家商业银行的200名客户信息均在列，包括持卡人姓名、移动电话以及家庭住址、开户银行。

　　这些隐私信息是否真实有效？记者拨打了其中一位安徽省合肥市的持卡人盛某某的电话，经其确认，自己确实在交通银行安徽分行某营业部申请办理了太平洋信用卡。而家住合肥市蜀山区某街道、在该市旅游局工作的其他信息，也与其本人提供的身份证明相符。经一一致电确认，已泄露的客户信息真实有效。

　　记者调查发现，在微信及一些电子商务平台，“电话销售交流圈”“销售行业资料群”也大量存在。多位“信息贩子”均表示，可以“按地区定制，先试用后付款”。此外，根据个人信息“品质”的不同，价格也分为“三六九等”，每条价格从2分钱到5元钱不等。

　　例如，最新信用卡开户数据按照0.5元一条出售；已经出售过一次的二手数据，可以便宜到0.35元每条；部分高端客户如金卡、白金卡持卡人信息每条售价则高达5元。借助网络聊天、支付工具，买家从下单到得到这些信息，交易全程仅需数分钟。

　　一名自称河北籍的微信群卖家表示，这些信息的主要购买者是贵金属、信托等理财机构的电话销售人员。仅他所在的群，每天有400多人商洽买卖。“越是没怎么被打过的电话信息价格越高，最便宜的一份2000元10万条，算下来每条数据只要2分钱。”

　　银行“内鬼”倒卖，合作公司信息“共享”

　　消费者申办信用卡，商业银行掌握了数亿持卡人的身份证明、电话、住址等信息。根据《商业银行信用卡业务监督管理办法》，商业银行未经客户授权，不得将客户相关信息用于本行信用卡业务以外的其他用途。

　　记者调查发现，种种规定屡成“一纸空文”，导致大量客户信息被泄露：

　　银行“内鬼”倒卖

　　知情人士介绍，每条个人信息被提交给银行后，要经过支行、分行、信用卡中心等多个环节，经手人员众多。据北京市西城区人民法院通报，已于2013年被判处有期徒刑的平安银行信用卡中心原职员余某，就曾将掌握的600余份客户信息出售，其中包括客户办卡时留存的工资证明、身份证明。

　　在上海司法机关近年查获的买卖客户信息案件中，工行、农行下属支行员工也曾成为出售资料的源头。

　　银行转手给“合作公司”

　　一些信息贩子透露，有相当部分的信息并非银行直接泄露，而来自与银行有合作关系的企业。记者以办卡人的身份，走访工农中建交五大行营业部，获得的标准信用卡申请合同均显示：个人信息除了被银行使用，还可能被用于合作企业推销业务、与联名商户共享信息。

　　比如，中行标准信用卡领用合约规定，持卡人需同意将信息披露给联名信用卡的联名服务方、服务合作方，才能申领办卡。农行、建行的标准信用卡合约中，也存在类似条款。在一家国有银行发行的“携程联名信用卡”合同中，银行明确声明，要与机票销售网站共享客户的基本信息。此外，不少信用卡申请合同还约定，银行对这些合作机构只“督促保护信息”，不对这部分信息的安全承担保密义务。

　　据央行上海分行通报，某银行上海分行就曾将3.2万份客户的个人信用信息透露给第三方理财机构，被责令整改。

　　据记者了解，合同中银行是否要做信息保密承诺以及如何利用客户信息，目前尚无任何规定。而与保险、超市、网站等合作方“共享个人信息”等字样往往置于合同不起眼位置。“消费者往往在不知情中就授权将自己的信息转手，遭泄露信息的消费者如果想追责，这些免责条款反而成了挡箭牌。”上海华荣律师事务所合伙人许峰说。

　　银行信息泄露

　　该谁担责？

　　“信息泄露极易诱发金融犯罪。”上海市检察院金融检察处处长肖凯表示，在一些存在漏洞的理财平台，注册会员只需持卡人姓名、身份证号码、卡号等信息，即可划转资金。仅2013年，这一漏洞就被犯罪分子利用，在沪盗划资金数百万元。

　　许峰说：“商业银行及目前处于信息保护‘灰色地带’的种种信用卡合作机构，都应对客户的信息安全负有责任。”现在，如果查出信息泄露行为，也仅仅对相关工作人员进行处罚，对银行和机构没有任何追责。

　　2009年通过的刑法修正案明确，金融单位的工作人员将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，将可能触犯刑律。根据全国人大常委会《关于加强网络信息保护的决定》，网络服务提供者对在业务活动中收集的公民个人电子信息必须严格保密，不得泄露、篡改、毁损，不得出售或者非法向他人提供。

　　此外，对企业泄露公民信息的民事责任，我国现行法律法规的约束也较为笼统。北京邮电大学互联网治理与法律研究中心副教授崔聪聪认为，当消费者试图拿起法律武器，保护自己的个人信息隐私时，却往往发现法律武器并不好用。“比如，消费者如果要维权，自己需要承担举证责任。但对于信息如何泄露、泄露给谁、造成了什么样的损失，这一系列举证的难题靠个人难以完成。”

　　昨天，现代快报记者采访得知，江苏曾审理过多起非法买卖个人信息类案件，但尚未查获银行系统泄露客户个人信息的违法行为。

　　江苏审理过多起

　　非法买卖个人信息案

　　个人信息遭“买卖”案频发

　　2014年3月，南京市浦口法院曾审理了一起非法买卖信息案，90后小伙何某为了推销业务，先后花了800元和1850元，从他人手中购买了南京中小学生家长以及2013年江苏高考考生家长的信息。何某落网后，贩卖信息的“上家”也被警方抓获归案。根据警方调查发现，总共77万条信息中，有44万条准确有效。对于这些信息从何处泄露，“上家”称也是从别处获得，信息已经被倒卖多手，自己也并不清楚“源头”。

　　2014年9月，又一起类似案件在南京市鼓楼法院开庭审理，魏某等4人因涉嫌非法获取公民个人信息或出售、非法提供公民个人信息案被检方提起公诉。魏某是南京某公司员工，因为业务相关，他能查到手机号码通讯记录，也能找到手机号码使用者所在的位置。也就是说，只要有一个手机号码，他就能找到这串数字的主人是谁，甚至你住在哪儿，跟谁通过话都能查得一清二楚。2012年底至2013年11月，魏某一共查询了249个手机号码相关的用户信息，并将其卖给了一家投资管理公司。

　　尽快启动

　　《个人信息保护法》立法

　　南京市浦口法院一位法官在接受记者采访时表示，根据多起类似的判决案例可以总结出，机动车销售、房产中介、银行、通讯、医院以及教育等行业在公民个人信息管理上存在漏洞，再加上从业人员法律意识不强，易造成信息泄露，因而成为个人信息泄露的“重灾区”。

　　南京大学法学院刑法学教授王钧认为，应从立法上明晰个人隐私与公共信息涉及的不同范围界限，明晰公权力进入个人隐私范围的界限，明晰哪些公共信息可以开放或共享等。2014年的全国两会上，全国人大代表、南京邮电大学校长杨震提交了一份关于启动《个人信息保护法》立法项目的建议，他认为，在大数据的时代，个人信息安全保护刻不容缓，建议尽快启动《个人信息保护法》立法。杨震认为，这并非危言耸听。在互联网高速发展的今天，个人信息泄露防不胜防。