中国再爆4.68亿人信息泄露大案 身份认证的隐秘江湖

中国江苏淮安发生的一起普通的非法买卖个人信息案，却牵扯出非法缓存公民个人身份信息1亿多条的惊天大案，收缴公民个人信息4.68亿条，其个人身份信息来源竟与中国公安部所属提供公民身份信息认证服务的全国公民身份信息系统有莫大的干系，在其背后则是中国个人身份认证行业长期以来的潜规则。

2018年4月，中国江苏淮安警方在互联网上发现有人非法购买公民个人信息，后犯罪嫌疑人高某主动向警方投案。通过对高某交代的QQ、微信等资料分析，警方锁定卖家位于河南焦作，并顺利将卖家申某抓获。随后，经申某供述向其出售个人信息的两位上线浮出水面，位于广州的谢某很快就被警方抓捕。

但在调查另一位上线网名叫“叮咚叮咚”的广东人时，警方却发现了问题，身为广州诺涵科技公司员工的“叮咚叮咚”，其贩卖个人身份信息并非个体行为。2018年6月，在广东警方配合下，淮安警方对广州诺函科技公司进行收网，一举抓捕该公司全部45名涉案人员。至此这一非法买卖公民个人案可以结案了，但在广州诺函科技公司贩卖的公民个人信息里警方又发现了古怪，其中竟然出现了个人身份证照片信息，并且经警方测试属于真实的——返回的是带有网纹的二代身份证彩色照片，甚至还有两三个月之前刚刚拍摄的身份证照片。如此隐私的个人信息究竟来自何处，这起非法买卖个人信息案背后可能并不简单。

通过调查，湖南九象公司浮出水面，而湖南九象的“身份核验返照”业务端口来自北京黑格科技有限公司，黑格公司又是从北京考拉征信服务有限公司等四家公司购买的查询接口。随后，警方将对上述公司涉案人员进行了抓捕。经查，北京考拉征信从上游公司获得个人身份信息核验端口后，不仅违规将端口再次出售，还非法缓存了大量个人身份信息，以供下游公司查询，从而导致包括身份证照片在内的大量个人身份证泄露。中国个人身份认证行业背后的隐秘江湖由此爆光。

所谓的个人身份认证也可称之为身份核验，是中国公安部“全国公民身份信息系统”向“政府部门及社会各界”提供的一项服务，目的是防止利用虚假身份证信息进行的诈骗行为，由公安部下属的全国公民身份证号码查询服务中心负责建设和管理，并向符合资质的机构提供查询端口。

自2001年全国公民身份证号码查询服务中心成立，“全国公民身份信息系统”开始提供服务起，就有很多人盯上了这块“唐僧肉”，但因合作门槛极高真正能够从公安部相关机构获得身份核验数据接口的企业很少，据业内人士估计全国只有几十家。一方面获得数据查询接口的企业数量极少，一方面市场对于个人信息核验的需要极大，从而在终端用户与数据接口企业之间产生一个庞杂的中间市场，考拉征信等上述4家企业就是从上游企业处获得的查询端口。

在这个庞杂的市场中，一些“聪明”的企业发现，如果自己将每次查询获得的个人身份缓存下来，进而建立起自己的个人身份信息数据库，当数量累计到一定程度就是一笔一本万利的生意。“全国公民身份信息系统”在回应用户查询时，最初提供“身份证返照查询”——在核验个人身份信息时如果姓名与身份证号一致就返回带水纹的身份证头像照片，后改为“身份核验+人脸识别服务”，仅提供“一致”或“不一致”的结果。

然而，查询企业却在核验个人身份时，不仅缓存了查询结果，同时也存储了用户查询的内容即个人身份证信息，进而非法提供所谓的“身份证返照查询”。“身份证返照查询”一度在中国大行其道，曾因服务监管不严导致诈骗等犯罪案件屡次发生屡禁不绝，多次遭到中国媒体的口诛笔伐，官方的“身份证返照查询”不得不关闭，保护个人信息的《网络安全法》也于2017年，但非法的“身份证返照查询”仍然存在。

事实上，中国官方对获得数据接口的企业，不仅资质要求高监管也极为严格。有业内人士举例称，一个一级渠道商每天调用的数据是5,000次，如果某一天查询次数突然增加到10,000次，公安部相关机构就会询问原因。但企业通过缓存个人身份数据建立的数据库长期处于监管之外，非法的“身份证返照查询”业务自然也就无人监管了，在暴利驱使下长期存在。

据考拉征信泄露公民个人信息案办案人员在接受媒体采访时披露，在查询服务的源头，一条信息需要付费人民币0.1元（1元人民币约合0.145美元），到查询链条的末端每条信息可能需要支付两三元，涨了二三十倍。2015年3月至今，北京考拉公司非法提供身份信息查询返照9,800余万次，获利3,800余万元，非法缓存公民姓名、身份证号、照片近1亿条。

目前，包括考拉征信在内的上述涉案人员，以及向考拉征信等四家企业提供查询端口的上游公司的5名工作人员已经全部被抓捕。在随后的中国警方专项整治行动中，至今又立案侦查了29起侵犯公民个人信息案件，抓捕犯罪嫌疑人288人，缴获公民个人信息4.68亿多条，涉案金额9,800余万元。

与此同时，2019年7月，全国公民身份证号码查询服务中心官网发布了《关于查询中心调整服务模式的通知》，不仅取消了公民身份信息认证服务收费，还取消了通过合作伙伴提供公民身份信息认证服务的模式，改为公民个人直接向该中心申请再由中心免费提供公民身份信息认证服务的模式。

免费的公民直接查询模式是否能够从源头防止个人信息泄露，答案可能不太乐观，毕竟在大数据时代数据就是财富。北京考拉征信作为持牌征信机构——中国“首批获央行备案开展企业征信和批准开展个人征信业务准备的八家机构之一”，其实际控制人为联想控股，联想控股的最大股东又是中国科学院，可谓根红苗正，这样的企业都经受不住诱惑更何况其它？官方对于个人信息核验行业的强监管不可或缺。目前，考拉征信等4家企业以及上游企业的涉案人员已经抓捕，但对这些机构的违规行为的惩罚仍未进行，官方不妨来一出“杀鸡儆猴”。