全國首例非法獲取4S店車輛維修、保養數據案涉案35人被起訴

漫畫 田粟

無需任何授權，只要下載註冊一款手機APP並支付幾十元的費用，汽車進4S店維修、保養的日期，進店后是維修還是保養，維修換的什麼配件，均可掌握。日前，江蘇省鹽城市鹽都區檢察院辦理了一起非法獲取車輛維修、保養數據案，犯罪團伙通過勾結4S店內部人員安裝自製木馬軟體，非法獲取品牌車輛維修、保養數據，同時架設查詢服務平台，以有償方式提供給他人使用，從中牟利。近日，該院以涉嫌非法獲取計算機信息系統數據罪將譚宇峰、徐丹等35名犯罪嫌疑人提起公訴。

4S店裡現神秘U盤

2017年5月16日，鹽城某品牌汽車4S店負責人陳某接到公司總部打來的電話，對方告知該店售後的一台電腦近段時間內頻繁登錄總部後台瀏覽客戶信息，每天都會查詢500餘次不同車輛的相關數據，明顯超出了4S店日常工作量。

在公司總部技術人員的指導下，陳某立刻在4S店內進行排查，發現售後主管高傑使用的電腦主機上插著一隻U盤，裡面有異常程序正在運行。后經4S店的工作人員辨認，該程序並不是4S店安裝使用的正常程序。陳某立刻將這台電腦和U盤控制住並報警。

事實面前，高傑無從抵賴，交代有一個微信昵稱叫「小馬哥」的陌生人跟自己聯繫，讓其將公司的DMS系統（DMS系統，是汽車經銷商用於登記、上傳車輛維修保養記錄、查找車輛所有人等相關信息的內部操作系統）賬號和密碼提供給對方，並配合對方公司技術人員每天在自己的工作電腦上運行一個應用程序。如此，高傑每個月便可得到1500元的好處費。

經鑒定，高傑插在工作電腦上的U盤並不是一個普通的存儲設備，裡面裝有一個為4S店DMS系統訂製的外掛程序。只要運行了這個程序，操控者就可以遠程查詢系統內車主的姓名、車牌號、維修記錄等相關信息。

「犯罪手段如此專業，分工如此明確，被侵害的汽車4S店也許並非本市這一家。」警方猜測該犯罪行為可能是公司化運作，且並不局限於非法獲取這一個品牌汽車維修、保養數據。

裡應外合，車輛檔案唾手可得

警方順藤摸瓜，發現與高傑聯繫的人一個叫馬紅權，另一個叫梁運愛，馬紅權是深圳市幫看車科技有限公司（下稱「幫看車公司」）的員工，梁運愛是深圳市奧創科技有限公司（下稱「奧創公司」）的員工。這兩家公司的主要業務是為二手車商提供車輛的維修和保養報告，法定代表人均為譚宇峰，股東為徐丹等人。

2015年5月底，幫看車公司成立「淘車大師」項目，並研發出「淘車大師」手機APP，主要面向註冊用戶有償提供車輛的維修和保養記錄查詢。起初，「淘車大師」APP提供的數據來源主要是向其他第三方公司購買，幫看車公司只能賺取中間差價。譚宇峰認為以這種方式獲取數據成本較高，且操作不便，決定派技術人員陳士通去相關第三方公司考察對方獲取數據的方式。

2015年7月，徐丹提出可以通過外掛軟體獲取4S店DMS系統中的車輛維修和保養數據。經過一番研發、測試，陳士通成功開發出具有該功能的網頁版外掛軟體，後梁運愛開發出了應用程序版的外掛軟體。

2016年2月15日，在徐丹提議下，奧創公司和幫看車公司成立「215」項目組，專門負責通過外掛軟體到各地4S店的DMS系統中獲取車輛的維修和保養數據。

「215」項目正式運營后，馬紅權等人根據公司的安排開始聯繫各地不同品牌汽車4S店的員工，以每月支付1500元到3000元酬勞的模式，讓對方私下提供DMS系統的賬號和密碼，並配合公司技術員在其4S店內部工作電腦上安裝應用程序，以便遠程獲取車輛維修和保養數據。

截至案發，這個集軟體研發、植入、信息盜取、銷售於一體的網路犯罪團伙共非法獲得32個汽車品牌的68個DMS系統賬號，成功盜取車輛維修數據155萬餘條，非法所得近30萬元；與該團伙相互勾結，幫助獲取相關數據的4S店員工共非法獲利50餘萬元。

2017年11月7日，該案進入審查起訴環節。經審查，檢察機關認為，奧創公司、幫看車公司及單位的主管人員譚宇峰、徐丹，其他直接責任人員馬紅權、陳士通、梁運愛未經授權和允許，以開發外掛程序等方式非法獲取品牌汽車4S店計算機信息系統數據，情節特別嚴重，涉嫌非法獲取計算機信息系統數據罪；高傑、范亦才、徐賀傑等30名4S店員工為非法獲取計算機信息系統數據提供幫助，與被告單位構成共同犯罪，遂依法提起公訴。

二手車市場混雜，公民信息安全漏洞大

據此案公訴人、鹽都區檢察院公訴科長蔡安峰介紹，此案為公安部督辦的全國首例非法獲取4S店車輛維修、保養數據案，涉及全國9省13市68個4S店，涉案人數之多，泄露數據量之大，令人震驚。而案件本身暴露出來的車輛信息保護問題，更值得深思。

車輛信息尤其是車輛的維修、保養信息涉及消費者、4S店、二手車交易商等多方市場主體利益。通常情況下，出於對商業秘密和車主權益的保護，4S店對所售車輛的後續維修、保養情況均嚴格保密。實踐中，二手車市場交易普遍需要車輛的相關數據來支撐，於是，非法獲取、買賣這類信息就有了市場。

「只要提供車架號，『淘車大師』APP就會自動生成一份情況報表，裡面包含車輛的維修、保養記錄，與同功能的其他APP相比，其價格便宜，反饋速度快。」檢察機關發現，本案中有多家做二手車生意的公司接受了幫看車公司業務員的推銷。

4S店掌握著大量的汽車客戶數據，木馬程序通過4S店電腦還能侵入到品牌汽車的總部系統，竊取更多的該品牌汽車用戶信息，而這些數據正是許多二手汽車數據查詢服務商們爭搶的「香餑餑」。本案中犯罪團伙盜取的數據除了用於給二手車商提供車況報告外，還批量轉賣給其他第三方公司，具有相當大的社會危害性。

「企業管理不到位，員工成為『內鬼』，為這類網路犯罪提供了便利條件。」蔡安峰認為，本案也暴露出汽車4S店內部管理制度不健全，對員工保密教育、商業機密管理不細緻，網路安全防範意識鬆懈，防範措施不到位等問題。

檢察官提醒，車輛維修、保養等信息的採集和運用，應當在現有法律框架內進行。4S店有必要與員工簽訂專門性的保密協議，並加強保密教育和管理，防止信息泄露損害消費者權益和企業自身信譽。從事二手車買賣業務的企業或個人如需查詢車輛狀況，可與車主本人協商一致，雙方共同至4S店查詢，未經授權和允許，以植入木馬程序等方式非法獲取車輛信息的，將要承擔刑事責任。（檢察日報 盧志堅 譚沖 胥三燕）