考拉征信服务有限公司（简称“考拉征信”）及其上下游公司被警方“连锅端”后，其非法买卖个人信息数据的地下产业链也随之曝光。

经警方调查，考拉征信从上游公司获取接口后又违规将查询接口出卖，并非法缓存公民个人身份信息，供下游公司查询牟利，从而造成公民身份信息包括身份证照片的大量泄露。

央视报道显示，考拉征信自2015年3月以来，非法提供查询返照9800余万次，获利3800余万元。这意味着，考拉征信非法交易的单次获利不过三毛多钱，关系个人重要隐私的数据在地下市场中是如此“廉价”。

“互联网大数据时代的信息透明化，可能会让‘别人比你更懂你’，细思恐极。由于利益驱动、法律意识淡薄、外部监管的缺位，信息透明化伴随的代价更多的是个人隐私泄露问题，例如我们几乎每天都会接到的诈骗、推销电话，更有甚者信用卡、银行卡被盗刷。”广东广信君达律师事务所FDI律师团的窦婉云律师说。

获利五万即属情节特别严重 最高面临七年以下刑期

窦婉云律师和何静律师对新浪法问指出，根据《刑法》第二百五十三条之一的规定，涉事公司涉嫌侵犯公民个人信息罪。单位以及对侵犯公民个人信息直接负责的主管人员及其他直接责任人员可能成为犯罪主体。

此类犯罪情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。如果相关主体将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。

何为情节特别严重？《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》对此有说明[1]，根据信息类型不同，非法获取、出售或者提供公民个人信息“五百条以上”“五千条以上”“五万条以上”，或者违法所得五万元以上的，即属“情节特别严重”。

央视报道显示，警方在考拉征信公司服务器中查获并收缴被非法获取、存储的公民姓名、身份证号、相片近1亿条，加之上文提到的非法提供查询返照9800余万次，获利3800余万元，可能已经构成“情节特别严重”。

警方通报显示，在该案中，数据被层层倒卖加价，从最初的0.1元一条到最终的两三块钱一条，利润翻了二三十倍。事实上，这是黑市的“常态”。通过中国裁判文书网公开的相关判例，我们可以一窥这条黑色产业链的“市场行情”。

新浪法问查询到，在今年3月成都市中级人民法院审理的一起侵犯公民个人信息罪案中，五名中国移动通信集团四川有限公司成都分公司员工将在履行职责过程中获得的公民个人消费信息（包括电话号码和资费情况），出售给他人，涉案数据达127余万条。

2017年至2018年期间，这五名被告甚至建立了一个内部销售网络，客户消费信息（包括电话号码和资费情况）以最初0.01元每条和0.06元每条的价格在内部转手，最后以0.1元每条的价格卖给外部企业。在二审中，该五名被告根据情节轻重分别被判处有期徒刑五年六个月到有期徒刑三年不等，并处罚金二十万元到三万元不等。

在北京市东城区人民法院审理的一起侵犯公民个人信息罪案中，被告人王某、邹某于2016年9月至2017年2月间，利用在湖南某信息技术有限公司从事客服工作之便，获得的“滴滴出行”软件查询权限，非法获取并出售公民“滴滴出行”记录，王某出售公民“滴滴出行”记录5700余条，获利约1万元；邹某出售1100余条，获利约5500元。简单计算可知，该案中的单条记录获利在1.75元每条到5元每条。

法院一审判决王某犯侵犯公民个人信息罪，判处有期徒刑三年十个月，并处罚金人民币二万元；判决邹某犯侵犯公民个人信息罪，判处有期徒刑三年六个月，并处罚金人民币一万五千元；涉案的数名“下线”人员均被判处了三年以上刑期。在今年二审中，北京市第二中级人民法院驳回了被告上诉，维持原判。

按照信息“含金量”，黑市会对各类信息有不同标价，如行踪轨迹信息和财产信息就比前述通讯消费信息“贵”。

例如，在上海市嘉定区人民法院审理的一起案件中，2016年至2017年年底，被告人沈某某在担任中国工商银行股份有限公司上海市金山支行个人客户经理期间，以每条20-30元不等的价格，出售其从银行计算机系统内查询到的产权信息含房产建筑面积、房屋结构、地号、权利人、地址、权证或证明号等信息明细。

最大股东拉卡拉极力撇清关系 持牌征信光环破碎

考拉征信曾经头顶持牌光环，是“首批获央行备案开展企业征信和批准开展个人征信业务准备的八家机构之一”，“百行征信九家发起股东及董事单位之一”，还有上市公司背书。头部企业染指黑市的消息，对行业而言无异于一场大风暴。

窦婉云律师和何静律师进一步指出，根据最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》、《征信业管理条例》等的规定，对于此类征信公司，以下业务操作方式可能会触碰法律红线：

收集不得收集的信息，如血型、疾病和病史、收入数额、存款等信息；将征信报告卖给其他第三方；违反国务院征信业监督管理部门制定的标准和程序向境外机构或个人提供任何形式的信用信息；披露自不良信用行为终止之日起已超过5年的个人不良信用记录，以及自刑罚执行完毕之日起超过7年的个人犯罪记录；以恶性竞争、评级诈骗、以级定价或以价定级等方式开展信用评级业务。

除了对行业的震动，考拉征信关联方中首当其冲的就是A股“支付第一股”——拉卡拉支付股份有限公司（简称“拉卡拉”）。

工商信息显示，考拉征信曾用名是“拉卡拉（北京）征信服务有限公司”，该司由考拉昆仑信用管理有限公司（曾用名“拉卡拉（北京）信用管理有限公司”，简称“考拉昆仑”）100%持有，而拉卡拉持有考拉昆仑34.2%的股份，系其最大股东。

有媒体实地走访考拉征信的工商注册住所北京市海淀区北清路中关村壹号D1座，发现正是拉卡拉的物业。

考拉征信出事后，拉卡拉急欲撇清关系。在股价闪崩并遭交易所询问后，拉卡拉匆忙发布了七千字的澄清公告，解释其不能实际控制考拉征信，双方财务经营独立，但此举未能成功挽回投资者的心，四个工作日内市值蒸发了20亿元。

窦婉云律师曾经代理过客户对拉卡拉支付平台侵权诉讼，她认为，查处拉卡拉旗下征信平台非常及时，“过去几年有很多客户资金被支付机构无端划扣款项后诉讼到法院的案例，但法院一般都以网络交易不同于实卡取款为由，要求资金划出方承担较重的举证责任。

但实质上，资金的网络交易具有隐秘性强、流动性高、查证链条长、参与方不止买卖双方的天然问题；在这种网络天然属性下，司法机关如何公平分配争议各方的举证责任，最终也会影响到整个社会的公共秩序的养成。因此急需监管机构、司法机关出台相应统一的解决思路或对策。”

对于个人信息数据的黑色产业链，窦婉云律师表示，“我建议各个主体从以下几个方面作出共同努力：作为公民个人，不要图方便，随意在陌生场所或网页留下个人信息。在发现自己个人信息被泄漏后，比如有的客户投诉说身份证被其他公司盗用为法定代表人等，我们都建议立即向公安机关报案留痕，之后向工商部门等去函投诉要求改正等。

作为信息的收集方，要随时根据法律和社会伦理标准检视内部信息管理制度，未来数据安全风险绝对是网络新社会的风险标杆之一；作为金融系统、政府监管部门，应关注预判和制度建设和监管，对存储大规模个人信息的信息系统和网络平台着重监察，辅助以第三方安全测评，对测评不达标信息系统和网络平台，坚决清理整顿。”

值得一提的是，据媒体报道，因为与英国数据分析公司Cambridge Analytica不当地共享8700万用户信息，今年7月美国联邦贸易委员会（FTC）向Facebook（脸书）开出了50亿美元的罚单，创下历史记录。即使如此，美国国内仍有观点认为对Facebook惩罚不足。昂贵的罚金不见得能杜绝地下交易，但大大提高了违法成本，或许值得借鉴。