À l’ère du big data, les questions relatives aux informations personnelles et à la protection des citoyens attirent de plus en plus l’attention de la société. Le 23 août, la Haute Cour de Pékin a tenu une conférence de presse pour rendre public l'état des procès dans les affaires pénales impliquant la violation des informations personnelles des citoyens. Depuis 2018, les tribunaux de tous les niveaux de cette ville ont conclu un total de 219 affaires pénales de violation des informations personnelles des citoyens et condamné 294 criminels . À en juger par la situation, les informations sur les citoyens violées comprennent des informations très sensibles telles que la localisation et les informations sur les propriétés, et la fuite d'informations par des initiés est la principale source de crimes qui portent atteinte aux informations personnelles des citoyens.
Sun Lingling, membre du groupe de direction du Parti et vice-président de la Haute Cour de Pékin, a déclaré que parmi toutes les affaires classées devant les tribunaux de Pékin, 24,6 % des affaires concernaient des informations hautement sensibles, notamment la localisation, le contenu des communications, les informations de crédit et les informations sur la propriété. ; 9,9 % des cas concernaient des informations sensibles. Informations , y compris des informations sur l'hébergement, les dossiers de communication, des informations sur la santé et la physiologie, des informations sur les transactions et d'autres informations personnelles des citoyens qui peuvent affecter la sécurité des personnes et des biens. Les numéros de téléphone portable et les numéros d’identification des citoyens représentent la plus grande proportion des différents types d’informations. "Ces dernières années, il y a eu des incidents violents à travers le pays provoqués par la fuite d'informations hautement sensibles. Les affaires pénales impliquant la violation de telles informations personnelles devraient être concentrées sur pour prévenir les risques secondaires", a déclaré Sun Lingling.
Les affaires connexes impliquent des atteintes aux informations personnelles des citoyens à grande échelle, impliquant souvent des lots d’informations, voire des quantités massives d’informations . Parmi les 179 affaires de première instance impliquant le délit de violation des données personnelles des citoyens, 162 ont utilisé le nombre d'éléments d'information comme base principale de condamnation et de condamnation. Plus de la moitié des cas contenaient plus de 50 000 éléments d'information, et environ un quart des cas comportaient plus de 500 000 éléments d' information et, dans certains cas, des millions, des dizaines de millions, voire plus de 100 millions d'éléments d'information ont été saisis .
Les méthodes criminelles deviennent également plus subtiles. Il s'agit d'une méthode courante utilisée par les criminels pour acheter, vendre ou échanger des informations personnelles via des groupes de logiciels sociaux, des forums de sites Web et d'autres plateformes. Ces dernières années, le « dark web space » est progressivement devenu un lieu actif pour les transactions criminelles, et les méthodes de paiement des transactions ont évolué de la monnaie réelle vers des monnaies virtuelles telles que le « Bitcoin ». Outre l'environnement de transaction et les méthodes de paiement de plus en plus cachés, les moyens techniques de vol de secrets deviennent également de plus en plus matures.Par exemple, le logiciel « crawler » est devenu l'un des logiciels couramment utilisés pour collecter de grandes quantités d'informations.
À en juger par la source et le flux des informations personnelles, le crime de violation des informations personnelles des citoyens couvre divers secteurs tels que la finance, l'éducation, les transports, les communications, la logistique, la recherche d'emploi et le droit. Hors liens intermédiaires tels que l'achat, la vente et l'échange, 39,6% des informations concernées ont été utilisées pour des activités illégales, voire criminelles, telles que le retrait illégal de fonds de prévoyance ou de demandes de carte de crédit, le recouvrement violent de créances, la fraude aux télécommunications et aux réseaux, le vol de dépôts. , extorsion, enlèvement, blessure intentionnelle, etc.
À en juger par la situation des accusés, plus de la moitié des accusés dans ces affaires travaillaient pour des entreprises, des institutions ou étaient des entrepreneurs individuels. Parmi eux, les salariés de l'entreprise , y compris les cadres moyens et supérieurs et les représentants légaux, représentaient la plus grande proportion, soit 50,3 %. De nombreux accusés ont des diplômes universitaires plus élevés et occupent des postes élevés dans des sociétés Internet, des sociétés d'investissement financier, des agences immobilières , etc.
« Si l'on considère l'ensemble de la chaîne criminelle, la fuite d'informations par des initiés est la principale source de crimes qui portent atteinte aux informations personnelles des citoyens . » Sun Lingling a déclaré que les « initiés » de l'industrie ont commis des crimes à plusieurs reprises et que le modèle de criminalité en équipe a devenir plus mature.Certains délits de « collusion interne et externe » peuvent même être organisés. Une chaîne complète de gangs criminels commençant par l'obtention, le commerce, la réalisation et l'utilisation illégale d'informations personnelles. En réponse au phénomène ci-dessus, les tribunaux de la ville ont sévèrement puni les « initiés » du secteur qui divulguent les informations personnelles des citoyens conformément à la loi, en se concentrant sur les cas qui portent atteinte aux informations hautement sensibles et sensibles des individus, aux informations personnelles de particuliers. groupes tels que les mineurs et de grandes quantités d’informations personnelles. Par exemple, le tribunal de Chaoyang s'est concentré sur les industries clés pour explorer l'application de clauses d'interdiction afin d'augmenter les coûts de la criminalité pour les travailleurs de l'industrie et accorder une importance égale à l'éducation en matière de punition et d'avertissement.
La fraude sur les réseaux de télécommunications est un délit typique en aval qui porte atteinte aux informations personnelles des citoyens. Au cours des trois dernières années, les autorités judiciaires ont eu recours à des opérations spéciales telles que l'opération « Card Break » et la répression de la « fraude aux retraites » pour renforcer la répression en profondeur des délits connexes. Les deux principaux groupes criminels dirigés par Zeng et Li ont conclu une affaire de violation des informations personnelles des citoyens et de fraude. L'amont a obtenu et vendu illégalement les numéros de téléphone portable et les comptes sociaux des candidats, et l'aval a envoyé aux candidats des informations massives sur la fraude lors des examens. grâce aux réseaux de télécommunications. Les bandes criminelles qui ont commis des fraudes ont toutes été éliminées, ce qui a rapidement évité à davantage de candidats de subir des pertes matérielles et a effectivement maintenu l'environnement normal d'admission et d'examen.
La Haute Cour de Pékin a publié trois cas typiques de violation des informations personnelles des citoyens
Le 23 août, la Haute Cour de Pékin a rendu publics trois cas typiques de violation des informations personnelles de citoyens. Les types d'informations impliqués dans les trois cas sont pour la plupart des informations très sensibles et sont étroitement liées à d'autres activités illégales et criminelles, reflétant les dangers que les employés des secteurs connexes divulguent des informations personnelles. La Haute Cour de Pékin a déclaré qu'elle augmenterait les sanctions pour les crimes qui portent atteinte aux informations personnelles des citoyens. Ceux qui enfreignent les réglementations nationales et obtiennent, vendent ou fournissent illégalement des informations personnelles des citoyens, ce qui constitue un crime, seront sévèrement punis conformément à la loi. loi.
Chef de projet d'une grande société de fiducie internationale, connecté illégalement au système d'évaluation du crédit personnel de la banque pour sauvegarder les rapports de solvabilité d'autres personnes
L'accusé Shen était chef de projet d'une grande société de fiducie internationale avant l'incident. Profitant de sa position, il a obtenu le nom d'utilisateur et le mot de passe du système d'évaluation du crédit personnel d'une banque par le biais du « credential stuffing » et d'autres méthodes, et a communiqué avec la banque via sa société de fiducie internationale affiliée. Il s'est connecté illégalement à plusieurs reprises au système d'évaluation du crédit personnel de la banque via un terminal connecté à une ligne dédiée, et a interrogé, téléchargé et enregistré un total de 100 rapports d'évaluation du crédit d'autrui.
Après enquête, il a été découvert que Shen avait déjà utilisé la même méthode criminelle, vérifiant, téléchargeant et sauvegardant plus de 1 000 rapports de solvabilité d'autrui. Le tribunal du district de Xicheng a condamné Shen à un an de prison et à une amende de 4 000 yuans pour violation des informations personnelles des citoyens.
Le juge a déclaré que dans la société contemporaine, les informations de crédit personnelles, en tant que « carte d'identité économique » des citoyens, jouent un rôle très important dans la vie personnelle des citoyens, affectant tous les aspects des voyages, des prêts et de l'emploi des personnes. Par conséquent, dans les « Interprétations sur plusieurs questions concernant l'application des lois dans le traitement des affaires pénales de violation des informations personnelles des citoyens » publiées par les « Deux Hauts et Hauts » en 2017, les informations de crédit ont été classées comme informations hautement sensibles, et 50 pièces de telles informations ont été obtenues, vendues ou fournies illégalement .
Connivence en interne et en externe avec le personnel des centres d'affaires des opérateurs pour demander par lots des numéros de téléphone portable à utiliser dans le cadre d'une fraude par courrier électronique.
L'accusé Hu a demandé à un grand opérateur de communications de Pékin de demander des numéros de téléphone portable par lots au nom d'une entreprise technologique. Hu a embauché d'autres personnes comme gérants par l'intermédiaire de l'accusé Zhang et a utilisé les documents d'identité d'autres personnes fournis par Zhang pour gérer les affaires mentionnées ci-dessus moyennant des frais. Les accusés Ren et Lu étaient des membres du personnel du centre commercial de l'opérateur. Ils savaient que le numéro de téléphone portable géré par la société Hu était soupçonné de fraude, mais ils l'ont quand même traité. Après enquête, il a été découvert que le numéro de téléphone portable enregistré avait ensuite été utilisé pour une fraude sur les réseaux de télécommunications, le montant total de la fraude s'élevant à environ 1,7 million de yuans .
Le tribunal du district de Daxing a décidé de condamner Hu à 4 ans de prison et à lui imposer une amende de 120 000 yuans pour deux crimes : violation des informations personnelles des citoyens et crime de complicité avec les activités criminelles d'un réseau d'information. Zhang a été condamné à 2 ans de prison et à une amende de 20 000 yuans pour le crime de violation des informations personnelles des citoyens ; Ren et Lu ont été condamnés à 1 an de prison et à une amende de 10 000 yuans pour avoir aidé à des activités criminelles sur un réseau d'information.
Le juge a déclaré que la fraude dans les télécommunications est le crime en aval le plus courant qui porte atteinte aux informations personnelles des citoyens et entraîne de graves préjudices sociaux. Les accusés dans cette affaire ont mené conjointement de multiples collusions internes et externes, coopération en amont et en aval, violation des informations personnelles des citoyens et assistance à la fraude sur les réseaux de télécommunications, causant d'importantes pertes matérielles aux victimes, et étaient de nature ignoble.
Il a été emprisonné pour avoir vendu des informations sur les vols de célébrités et pour avoir divulgué ses coordonnées.
L'accusé Qin travaillait comme représentant du service client national dans un centre de service client d'une compagnie aérienne par le biais de répartition de main-d'œuvre. L'accusé Li a travaillé autrefois pour une entreprise technologique et était responsable des activités système d'une compagnie aérienne internationale. Après avoir quitté son emploi, il s'est renseigné sur les informations sur les vols par l'intermédiaire de ses anciens collègues. De 2020 à 2021, Qin et Li ont profité directement ou indirectement de la commodité de vérifier les informations de vol, ont violé les réglementations nationales pertinentes, obtenu illégalement des informations sur les trajectoires de vol des passagers, y compris des célébrités, et des informations personnelles d'autres citoyens, puis ont vendu le aux autres. . Leurs actions ont abouti à la violation d'informations personnelles telles que les coordonnées et les documents d'identité de nombreux citoyens non précisés, causant ainsi un préjudice aux intérêts sociaux et publics.
Le tribunal du district de Chaoyang a condamné Qin et Li à trois ans d'emprisonnement chacun pour le crime de violation des informations personnelles des citoyens, et leur a infligé une amende de 40 000 RMB chacun. Il a continué à récupérer leurs gains illégaux et a interdit à Qin et Li d'exercer leurs fonctions pendant trois ans. date d'achèvement de leur peine. A exercé le métier de représentant du service à la clientèle de l'aviation au cours de l'année. Dans le même temps, Qin et Li ont été condamnés à payer une indemnisation pour les dommages causés à l'intérêt public, à la confisquer et à la remettre au Trésor public, et à s'excuser publiquement dans les médias nationaux.
Le juge a déclaré que cette affaire est un litige civil d’intérêt public typique lié à une violation criminelle des informations personnelles des citoyens. Les informations personnelles des citoyens vendues par les accusés Qin et Li comprenaient des informations sur le manifeste, des dossiers de vol historiques, des numéros d'identification de citoyen, des numéros de passeport, etc. Les informations sur le manifeste comprenaient le nom pinyin du passager, le numéro de vol, le numéro de cabine, la date du vol, la réservation. date et autres informations. Pour les acheteurs, les informations ci-dessus peuvent refléter, individuellement ou en combinaison, la localisation de personnes physiques spécifiques telles que des célébrités, des fans et d'autres passagers ordinaires à des moments précis, et constituent des informations personnelles des citoyens protégées par le droit pénal.
Comment les entreprises peuvent-elles empêcher les « initiés » et protéger les informations personnelles ?
Contrôle d'accès aux données sensibles
Les entreprises peuvent combiner les exigences commerciales, de protection des données, de sécurité et de conformité ainsi que d'autres dimensions pour intégrer les données sensibles de l'entreprise et les informations personnelles des consommateurs dans des collections de données logiques, basées sur le type de données sensibles, l'action de contrôle, le type d'accès aux données, l'heure de validité, l'emplacement du sujet, l'exécution. contrôle d'accès aux données en fonction du chemin et d'autres conditions, et renvoie uniquement les données sensibles nécessaires sur la base des principes de « nécessité commerciale, autorisations minimales et séparation des responsabilités ». Par exemple, les comptes privilégiés n'ont pas le droit d'accéder aux données de l'entreprise, les comptes du système d'entreprise ont un accès non autorisé et le personnel institutionnel falsifie les informations personnelles des consommateurs en violation des réglementations.
Désensibilisation dynamique des données sensibles
La désensibilisation dynamique peut effectuer un traitement de désensibilisation en temps réel tout en accédant à des données sensibles. Des modèles de désensibilisation personnalisés peuvent être sélectionnés pour combiner de manière flexible des stratégies de désensibilisation en fonction des besoins spécifiques de l'entreprise, ce qui peut non seulement répondre aux exigences de conformité de la fourniture de données, mais également garantir des données sûres et efficaces. utiliser. Par exemple, affichage de désensibilisation frontale de l'application, désensibilisation automatique des données de requêtes non autorisées par le personnel de l'organisation, désensibilisation automatique des données sensibles à la demande pour l'analyse des données BI et le reporting des données, etc. Différentes stratégies de désensibilisation peuvent être configurées en fonction du nom d'utilisateur de l'application métier. et un chemin d'accès aux applications flexible. Répond aux besoins de l'entreprise et aux exigences réglementaires. Dans le même temps, les politiques de désensibilisation peuvent être configurées en fonction de types de données sensibles pour réduire le nombre de politiques de désensibilisation par ordre de grandeur, améliorant ainsi considérablement l'efficacité de l'exploitation et de la maintenance.
Réduire l’exposition aux autorisations
Pour les données en circulation dynamique, il est nécessaire de minimiser l'exposition des données sur la base du principe de minimisation. Par exemple, dans les scénarios d'exploitation et de maintenance de bases de données, les mots de passe des comptes virtuels sont utilisés pour remplacer les mots de passe des comptes réels de la source de données afin de réduire le risque de fuite. des mots de passe des sources de données (mots de passe des bases de données faibles). Dans le même temps, il peut mettre en œuvre un contrôle précis et en temps réel des personnes (différents rôles), ainsi qu'une supervision et une découverte rapide des comptes privilégiés à haut risque. Par exemple, la granularité du contrôle est strictement limitée aux autorisations de requête d'un personnel spécifique (opérateurs de données réels), et les traces d'accès aux données sont laissées aux opérateurs de données réels.
Les agents d'authentification affinent le contrôle d'accès
Les responsables de la sécurité des données peuvent personnaliser les ensembles de données et les utilisateurs/groupes d'utilisateurs en fonction des conditions commerciales, configurer et exécuter des politiques de contrôle d'accès, puis autoriser, refuser ou alerter des utilisateurs spécifiques pour qu'ils accèdent à des ensembles de données spécifiques. Configurez des politiques de contrôle d'accès basées sur les types de données sensibles, les niveaux de sécurité et les balises utilisateur, et ayez la possibilité de bloquer les accès à haut risque.
Confronté à de lourdes exigences d'auto-examen et de rectification au niveau réglementaire et à des difficultés de gestion interne de la sécurité des données, Origin Security propose des stratégies intégrées de protection de la sécurité des données et des opérations de sécurité intégrées d'analyse des journaux , qui conviennent aux entreprises dans le développement et l'exploitation de bases de données, l'analyse de données, et les achats externes. Les problèmes de sécurité des données rencontrés dans différents scénarios tels que les services technologiques tiers et les services de gestion back-end bancaire répondent aux besoins des entreprises tels que les nouvelles et anciennes applications sans modification, le contrôle fin des autorisations de ligne, l'affichage frontal. désensibilisation et traçabilité des événements de fuite de données, réalisant véritablement des actifs de données intégrés. Solutions de sécurité avec gestion des politiques de sécurité.
[Source de réimpression : compte officiel Beijing Daily WeChat]