API服务涉个人信息时的风险点 原被告双方签订《大数据综合技术服务协议》,约定原告按被告发起的服务请求,通过WEB或API接口方式为被告提供多元化的产品服务,即提供包括姓名、身份证号和手机号在内的个人信息,信息来源为三大运营商。协议包含两份附件,产品服务定价和授权文件。 合作一段时间后,原告因被告未按约付费诉至法院,要求支付拖欠的合同款和违约金。被告答辩时除了质疑原告提供的数据质量,还提到数据来源问题: 被告认为原告提供的是一种缓存数据,需要有三大运营商的授权,但原告未提供数据来源的授权文件,因此其提供数据的行为不合规且违法。 法院认为被告为此提供的证据,即数据接口调用情况说明、解除合作告知函,并不能证明其主张,原被告之间订立的合同是双方的真实意思表示,内容未违反法律和行政法规的强制性规定,合法有效,双方当事人应依约履行,最终支持原告诉求。 API服务内容涉及公民个人信息时,需要确认该等信息的来源合法性与相关业务资质。除了审核上下游授权协议的有效性与授权许可范围,还要对开展业务所需的中华人民共和国增值电信业务经营许可证、信息安全管理体系认证证书、信息系统安全等级保护备案证明等进行审核,否则合作双方面临的风险就不仅仅是合同有效性问题,可能会涉及更严重的违法犯罪问题。 下面以"秒单之家"APP为例看一些刑事案例。 刑事案例 在侵犯公民个人信息类刑事案件中,上下游公司常常会通过API接口传输方式批量购买、出售公民个人信息,例如: 2017年1月,杨某成立LA公司,从事短信群发业务等业务,后与他人共同商定利用"卡王贷"虚假网贷互联网页面,获取登录网页的公民个人信息,并通过"秒单之家"APP或者API接口传输方式进行出售。截至案发时,LA公司非法向上海HYS公司等公司出售的姓名、手机号等公民给人信息,销售额已达1900余万元。 LA公司与其上下游公司会通过API接口传输方式,互相批量购买、出售公民个人信息: 2018年12月至2019年7月间,廖某、赵某作为上海DJ公司实际经营人,通过哪儿贷H5网页非法获取包含公民姓名、手机号码等个人信息,并将获取的公民个人信息出售给LA公司以非法获利。 2018年6月至2019年10月间,孙某在经营被告单位XH公司及XHBB公司期间,与XH公司技术主管杜某共同商议,由杜某组织技术人员编写、架设、维护用于非法获取公民个人信息的"帮你借"虚假网贷互联网页面,利用该虚假的网贷互联网页面非法获取包含公民姓名、手机号等公民个人信息后,通过API接口传输的方式批量传输至"秒单之家"APP软件用于出售。 2017年3月至4月间,上海HYS公司的实际经营人刘某、法定代表人兼技术总监王某经共同商议,安排徐某、鲍某升级、维护"安易贷"虚假网贷互联网页面CRM客户管理系统,非法获取登录网页、注册申请贷款的公民个人信息,并在2018年8月至2019年11月间,通过API接口传输的方式将非法获取的信息批量出售给LA公司。除了出售,刘某、王某等人也从LA公司批量购买个人信息,通过自有的"寻单王"APP软件进行对外销售。 除了公司,也有散户通过"秒单之家"app寻找目标,进行诈骗、盗窃等违法犯罪活动: 2018年10月至2019年4月期间,以安某为首的犯罪集团,由安某负责提供诈骗话术模板、诈骗流程、批图、电话卡、花呗流水码、微信收款码及收款,刘某负责财务统计,顾某、李某、曾某负责通过手机下载"秒单之家"APP并购买贷款人员基本信息,通过打电话、微信聊天等方式获得被害人信任后,以网络贷款为名骗取被害人支付宝花呗金额、保证金及征信处理手续费,在开远、蒙自、弥勒等地以冒充平安普惠银行工作人员为名对全国各地的受害人实施诈骗。 2019年2月15日至2019年5月6日期间,被告人张某等人为实施电信诈骗,通过"淘优单""秒单之家"app购买申请网贷的客户信息,冒充网贷公司后台审核工作人员进行诈骗。 2019年3月间,周某通过手机APP软件"秒单之家"购买到需要贷款人的姓名、电话等信息后,通过电话联系被害人,以帮助办理贷款为由实施诈骗。 2019年4月,何某等人从海南来到桂林以网络贷款来骗钱。何某负责在"秒单之家"APP上寻找需要贷款的人的个人信息和电话号码,然后与同伙一起用专门的手机和360网络贷款公司的名义打电话给对方,实施诈骗。 2019年3月至2019年4月期间,连某等人以网络贷款名义注册他人支付宝并绑定其银行卡以达到窃取他人财物的目的。具体来说,就是连某通过"秒单之家"APP抢单平台获取需要网络贷款的被害人信息,以申请网络贷款为由,将被害人约至租用的某公寓,与同伙分工合作,让被害人填写"个人贷款终审进件表",获取被害人的身份信息和银行卡信息;同时以下载玖富平台A**为由,在被害人手机上进行注册,以便获取被害人身份信息验证和手机信息验证,再将被害人身份证、银行信用卡拍照发到组建的微信群,利用被害人信息进行人脸识别、注册新的支付宝,并绑定被害人提供的银行卡。