一張銀行卡包含多少信息?卡主的姓名、性別、身份證號、電話、家庭地址、工作單位、開戶行……有一個群體的人能准確告訴你銀行卡的任何一項個人信息。這個群體叫做“銀行卡信息專賣”。如果有需要,他們還可以告訴你,卡主配偶或者其他親密關系人的姓名、性別……
這些都是極為重要的個人隱私,這些隱私都有關個人信息安全。但,這些信息正在被大肆叫賣。價格可能會讓你大吃一驚:平均只有0.03元~0.5元/條。
這些信息從哪裏來?誰在賣這些信息?又是誰在買?買主又意欲何為?
投訴:
一上午連接7個推銷電話
誰泄露了我的個人信息
王曉強(化名)是浙江千島湖人,一個工地小老板,幾年前回老家接活。
1月10日,他從老家建築工地到杭州看孩子。中午近1點,他們一家三口逛完雷峰塔後到吳山廣場附近吃飯,就這么一早上,他接到了7個電話,基本上都是推銷電話。王曉強說,其中一個推銷白銀理財的號碼連續打了他3次,讓他很反感。“第三個電話再打來時,我直接摁掉了,老婆開始有意見,解釋了好久才打消疑慮。”
下午回家時,王先生心情鬱悶,聯想到最近半個月裏,他老是接到黃金商鋪、白銀投資、高級經理班培訓的電話,有幾次為了接這些電話還差點出車禍。他心裏一直有一個疑問:這些人是怎么知道我的手機號碼的?
他把電話反向打回去,要么就是“此號碼不存在”,要么對方就直接來一句“你管我怎么知道你的號碼”。他總結了下,這些電話有幾個特點:
第一,這些電話基本都是外地區號或者400開頭,最近半個月內頻繁撥打;
第二,對方知道他是個老板,但不知道他的具體職業;
第三,對方知道他在杭州的家庭具體地址,但不知道他高矮胖瘦;
第四,對方知道他有一輛寶馬車,但不知道車牌號碼。
當然,還有一個特點,每一個來電話的人都對他的個人信息十分了解,但他卻是一個都不認識。
“這些人怎么知道我名字、家庭情況的?以前也曾接到推銷電話,但沒這么多信息啊。”王曉強突然想起了一件事:1個月前,他在杭州某銀行辦了一張至尊卡。“難道是銀行泄露了我的個人信息?”他向媒體投訴時說,如果他的猜測成真,那么又該有多少人每天和他一樣在頻繁地接一個個推銷電話。
暗訪:
70萬條銀行卡信息才賣1.3萬元
購買主力是理財機構銷售人員
銀行卡的開卡信息從哪裏來,不是一個新問題。杭州某投資管理公司工作人員一語道破:去網上看看,價格便宜,還隨處可買。
根據上述人士的線索,記者使用QQ群查找功能,搜索“電話推銷”這一關鍵詞,找到約144個有“數據交流”功能的QQ群。搜索“銀行卡信息”,參與人數超過30人、交易比較活躍的群至少有120個。進一步縮小搜索范圍“杭州銀行卡信息”,發現QQ群12個。正是上面這些QQ群中的一部分構成了信用卡信息交易的“黑市”。
記者隨機加入了一個“電話銷售數據貨源”的QQ交流群,以求購者身份很快聯系上了一個網名為“各類銀行數據(保真)”的賣家。
該賣家稱手上有全國各家銀行的數據數千萬條,其中浙江地區的銀行卡開卡信息500多萬條,杭州地區信息70餘萬條。他能給出的“最低價位”是:浙江范圍銀行卡信息5萬元,杭州地區的1.3萬元。他說,這些信息的主要購買者是貴金屬、信托等理財機構的電話銷售人員。僅他所在的群,每天幾十人咨詢價格,舊信息便宜新信息貴,平均而言,每條數據的售價不會低於0.03元。
另一位信息賣家反應的情況差不多,對方說,舊卡信息一般是0.03元/條,杭州的新開卡(2014年6月後)信息要貴一些,平均為0.5元/條,部分銀行的VIP客戶如金卡、白金卡持卡人的信息則需要2元以上/條。他前後免費給記者發了7條銀行卡信息,這些信息包括持卡人姓名、性別、手機號、身份證號以及家庭住址、開戶銀行等。
核實其中3條杭州本地的信息,除一個手機號碼無法接通外,其他2位機主均對記者報出的共12項資料進行了核實,准確的資料為9項。
追問:
信息從哪裏來?
誰在共享這些資料?
現實中,每條個人信息被提交給銀行後,要經過支行、分行、信用卡中心等多個環節,經手人員眾多。到底哪個環節把這些資料外泄,哪一家銀行更容易泄露這些信息,幾個公開報道過的案例或許能從側面得到答案。
成都市武侯區法院2009年審理了一起案件,有3人在銀行的ATM機門外,安裝刷卡器和攝像裝置,共竊取18條客戶的銀行卡加密信息資料。被告人構成竊取信用卡信息罪。
北京市西城區人民法院的通報稱,2013年被判處有期徒刑的某銀行信用卡中心原職員曾將掌握的600餘份客戶信息出售。
部分和銀行有合作關系的第三方也對這些資料十分渴盼。有媒體報道稱,某銀行上海分行因違規泄露3.2萬客戶信用信息給合作方—某信貸機構,而被央行上海分行行政處罰,勒令整改。
記者也從杭州多家銀行的支行了解到,個人信息除了被開戶銀行使用外,還可能被用於和銀行有合作關系的企業或商戶:比如某銀行規定,持卡人需同意將信息披露給聯名信用卡的聯名服務方、服務合作方,才能申領辦卡;不少信用卡申請合同還約定,銀行對這些合作機構只“督促保護信息”,不對這部分信息的安全承擔保密義務。事實上,很少人真的了解這些“共享個人信息”的條款,即使知曉,在你想辦信用卡的時候,就只能簽字同意。
信息泄露情節嚴重涉嫌犯罪
對於防止銀行內部人員泄露客戶個人信息,各銀行均有制度約束,比如設定權限、不通過郵件傳輸數據等。
但某銀行高管表示,如果是銀行內部門人員,其實拿到相關資料並非“高難度”,銀行內部對極少數泄密“內鬼”也沒有太多有效辦法,基本上靠道德約束。
對於網上倒賣個人信息事件,浙江君安世紀律師事務所梅寧律師認為,民事上來說,信息泄露是在侵犯他人隱私;刑事上來說,泄露行為情節嚴重,或者存在明顯的觸犯“非法獲取公民個人信息罪”行為會被追究刑事責任。
“實際上,個人追責難度很大。”他說,個人很難知道泄密方是誰,更難以找到信息泄密的關聯方。梅律師認為,監管部門應當加大對金融企業、合作機構等信息泄露源頭的處罰力度,有關部門也必須盡快推動個人信息保護法立法,明確公民個人信息的保護責任。