最近，电影《孤注一掷》火了，上映一个月来，已经取得了34.48亿的票房成就。

《孤注一掷》取材自真实案例，全景式呈现了境外电信网络诈骗产业的黑幕，生动地刻画了电信网络诈骗团伙的凶残、狡诈。

电影《孤注一掷》剧照

其实，《孤注一掷》所呈现的只是境外电信网络诈骗犯罪的“冰山一角”，是这个犯罪链条的“下游”。

而这个犯罪链条的“上游”则是网络安全犯罪，具体地说，就是侵犯公民个人信息犯罪。

本周是“网络安全宣传周”，今天，我就来起底《孤注一掷》背后的网络安全犯罪。

1

近年来，伴随着智能手机、平板电脑等移动终端的普及，以及“物联网”“云计算”等移动互联网技术的成熟，“大数据”技术成为企业精准投放广告、精准实施营销、精准提供服务的一件“利器”，也为我们在线社交、协同办公、休闲购物提供了极大的便利，深刻地改变了企业的商业模式和我们的生活方式。

上海迪士尼乐园的大数据系统，园区精细化管理的“利器”

在这个过程中，我们无时无刻不在生成、上传包括身份信息、位置信息、财产信息、通讯信息、健康信息、工作信息在内的公民个人信息。

企业则对这些公民个人信息进行挖掘、筛选、整合、分析，将其作为“养分”，持续推动“大数据”模型的进化。

企业坐拥如此海量的公民个人信息，一旦缺乏有效的技术防范手段和完善的监督制度，就会造成公民个人信息的泄漏。

例如，2011年，某房屋中介企业员工李某违规从公司业务系统中导出某小区1700余位业主的详细住址、联系方式、工作单位等公民个人信息，售卖给某保险中介企业员工金某，金某又将这些公民个人信息上传至百度文库以获取积分，最终导致这1700余位业主饱受推销电话之苦。其中，还有几位业主遭遇电信网络诈骗。

是的，公民个人信息是推动“大数据”模型进化的“养分”，也是实施电信网络诈骗犯罪的“原料”。

2

那么，电信网络诈骗团伙是如何非法获取这些公民个人信息的呢？主要是两个途径。

一是通过部分企业、单位的“内鬼”。商业银行、保险公司、移动运营商、快递公司、电商平台、医院、人力资源和社会保障部门、民政部门等企业、单位往往掌握着海量的公民个人信息。

电信网络诈骗团伙在网上高价求购公民个人信息，这些企业、单位一些负责信息系统的员工禁不住高价诱惑，将之打包出售。

例如，2020年1月，某快递公司员工余某利用负责将流水线上的快递装车的便利，通过手机拍照的方式，非法收集快递面单上的客户姓名、联系方式、收货地址等客户交易信息1900条，在网上进行出售，非法牟利1900元。

最终，因侵犯公民个人信息犯罪被判处有期徒刑一年十个月，并处罚金。

不要小看这小小的快递面单，上面的个人信息可是非常丰富

二是通过网络安全犯罪手段。电信网络诈骗团伙通过开发、散布恶意软件，进行网络钓鱼，组织域名系统（DNS）攻击、分布式拒绝服务（DDoS）攻击、SQL注入（SQLi）攻击，借助“爬虫”技术，从商业银行、保险公司、移动运营商、快递公司、电商平台、医院、人力资源和社会保障部门、民政部门等企业、单位的业务系统中窃取公民个人信息。

例如，2022年9月，某电信网络诈骗团伙成员刘某通过组织SQL注入（SQLi）攻击，借助“爬虫”技术，从某教育培训机构网站抓取学生姓名、联系方式、家庭住址等公民个人信息20余万条。

最终，因侵犯公民个人信息犯罪被判处有期徒刑一年零三个月，并处罚金。

“爬虫”技术的基本原理

3

在通过立法途径防范和打击侵犯公民个人信息犯罪方面，我们国家做了大量的努力。

2009年2月、2015年8月，先后通过《中华人民共和国刑法修正案（七）》《中华人民共和国刑法修正案（九）》，设立“侵犯公民个人信息罪”，明确规定“违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。

窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚”。

侵犯公民个人信息？你可真“刑”

2016年11月，通过《中华人民共和国网络安全法》，明确规定“网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。

网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。

网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失”

2021年8月，通过《中华人民共和国个人信息保护法》，明确规定“处理个人信息应当遵循合法、正当、必要和诚信原则，不得通过误导、欺诈、胁迫等方式处理个人信息。

任何组织、个人不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息；不得从事危害国家安全、公共利益的个人信息处理活动”。

4

9月3日，在公安部和云南省公安厅的组织部署下，西双版纳公安机关与缅甸相关地方执法部门开展联合打击行动，一举打掉盘踞在缅北的电信网络诈骗窝点11个，抓获电信网络诈骗犯罪嫌疑人269名。

9月8日，普洱公安机关又与缅甸相关地方执法部门开展边境警务合作，1207名电信网络诈骗犯罪嫌疑人移交我方，再次取得重大战果。

联合行动，重拳出击

打击电信网络诈骗犯罪，既要靠国家的立法完善和重拳出击，也要靠民众防诈反诈意识的提升和网络安全知识的充实。

那么，在日常生活中，我们如何通过“人防”“技防”的方式，守护我们的公民个人信息安全呢？我总结了以下小tips：

1.安全使用智能手机

（1）要从官方应用商城下载APP，切勿下载不明来源的APP；

（2）给APP授予权限时要谨慎，特别是谨慎授予与录音、摄像、位置有关的权限；

（3）不要随意连接来历不明的免费Wi-Fi；

（4）不要随意扫描来历不明的二维码；

（5）不要随意打开陌生人发来的链接、文件；

（6）不向任何人透露或转发短信验证码或其它任何形式的动态密码；

（7）不要随意与他人共享屏幕。

2.安全使用电子邮箱

（1）要将公私邮箱分开，不要轻易泄露邮箱地址；

（2）不要随意点击来历不明电子邮件中的链接、文件；

（3）不要设置过于简单的登录密码和密码找回提示问题；

（4）不要轻信任何与金钱相关（如中奖、众筹等）的电子邮件。

3.安全使用社交网络

（1）不要在社交网络上“晒”车票、机票、证件、快递面单；

（2）不要在社交网络上“晒”孩子的照片、详细的住址。

亲爱的读者朋友，希望这篇文章能为您打造守护公民个人信息安全的“金钟罩”“铁布衫”，我们一起携手，提升防诈反诈意识，切实守护网络安全。

打造守护公民个人信息安全的“金钟罩”“铁布衫”