近日，“通信代理商販賣個人信息40余萬條”的新聞引發(fā)廣泛關(guān)注。在重慶市經(jīng)營一家電信社區(qū)門店的代理商平某利用工作權(quán)限有償替他人查詢個人電話號碼，半年內(nèi)非法查詢并販賣公民手機號信息40余萬條，共獲利八萬余元。

　　南都·隱私護衛(wèi)隊注意到，近年來，通訊運營企業(yè)的員工、加盟代理商等內(nèi)部人員利用工作權(quán)限查詢并對外出售公民個人信息的事件屢見不鮮，這些能接觸、掌握大量信息的“內(nèi)鬼”們已成為公民個人信息泄露的重要來源之一，竊取的信息則被廣泛用于電信詐騙、身份冒用等情況中。

　　為何代理商等內(nèi)部人員利用工作權(quán)限獲取、出售公民個人信息的事件頻繁發(fā)生發(fā)生？整治的難點在哪？又該如何解決？

　　有專家指出，“內(nèi)鬼”往往是企業(yè)外部黑產(chǎn)的重點圍獵對象，被“拉下水”的幾率更高，建議實現(xiàn)業(yè)務(wù)操作全流程的可追溯、可審計。還有專家認為，個人信息保護應(yīng)由組織承擔(dān)最終責(zé)任，而不僅是個人責(zé)任，只有打破目前有組織、不負責(zé)的狀態(tài)，才可能解決此類問題。

　　文 / 樊文揚

　　圖片

　　利用權(quán)限販賣個人信息40萬余條，類似事件頻發(fā)

　　據(jù)報道，江蘇無錫警方曾接到市民報警，稱其因個人信息被冒用而頻繁遭到催債，警方據(jù)此展開調(diào)查并挖出了一條非法販賣個人信息的交易鏈。

　　自2020年10月起，在重慶市經(jīng)營某電信社區(qū)門店的運營商平某伙同店長及數(shù)名員工利用注冊的公司工號登錄系統(tǒng)，有償替他人查詢身份證對應(yīng)的手機號碼。該團伙形成了較為明確的分工，由平某作為對接者從購買方處獲得需要查詢的名單，再由店長分派給員工分別查詢，隨后平某憑借查詢結(jié)果與對方進行交易。

　　其中，查詢的每條信息以0.3元左右的價格出售，參與員工每人可分得七分錢的“好處費”，而店長則每條提成一分錢。半年以來，該團伙六人共查詢并販賣公民個人信息40余萬條，獲利八萬余元。目前，涉案人員均已被警方逮捕，無錫市濱湖區(qū)檢察院以涉嫌侵犯公民個人信息罪向平某等六人提起公訴。

　　事實上，通訊運營企業(yè)的員工、加盟代理商等內(nèi)部人員利用工作權(quán)限查詢并對外出售公民個人信息的事件近年來早已屢見不鮮。然而，電信精準(zhǔn)詐騙大都來源于準(zhǔn)確的個人信息，因此從銀行卡、電話卡、手機號等源頭性軟硬件設(shè)備和服務(wù)阻斷網(wǎng)絡(luò)黑灰產(chǎn)，是打擊電信網(wǎng)絡(luò)詐騙的重要手段。

　　據(jù)悉，今年8月，江西省吉安市警方發(fā)現(xiàn)其轄區(qū)內(nèi)部分通訊店在幫客戶辦理業(yè)務(wù)的過程中，在客戶不知情的情況下，使用其新辦的手機卡非法接收驗證碼，再將驗證碼交給黑灰產(chǎn)人員完成各類App注冊。在抓獲的145名涉嫌侵犯公民個人信息類案件的嫌疑人中，有127人系通訊店業(yè)務(wù)代理人員。

　　去年11月，五位圓通快遞公司員工以每日500元的價格將自己的公司內(nèi)部賬號租借給不法分子進入物流系統(tǒng)盜取用戶信息，包括發(fā)件人地址、姓名、電話以及收件人電話、姓名、地址等。以上述六個維度的信息共同組成一條信息來計算，被泄露的信息數(shù)量超過40萬條，涉案金額達120余萬元。

　　圖片

　　專家：組織應(yīng)擔(dān)最終責(zé)任，建議實現(xiàn)業(yè)務(wù)流程可追溯

　　為何代理商、運營商等內(nèi)部人員利用工作權(quán)限獲取、出售公民個人信息的事件頻繁發(fā)生發(fā)生？該問題整治的難點在哪？又應(yīng)如何解決？

　　對此，北京師范大學(xué)網(wǎng)絡(luò)法治國際中心執(zhí)行主任、博導(dǎo)、中國互聯(lián)網(wǎng)協(xié)會研究中心副主任吳沈括總結(jié)了公民信息泄露事件中“內(nèi)鬼”頻發(fā)的三個原因。

　　第一，相比外部人員，他們和數(shù)據(jù)資產(chǎn)的距離更近，有業(yè)務(wù)方便，容易得手；第二，“內(nèi)鬼”往往是企業(yè)外部黑產(chǎn)的重點圍獵對象，被“拉下水”的幾率更高；第三，個別企業(yè)設(shè)定的不合理業(yè)績要求往往間接促使內(nèi)部人員為了滿足考核要求去鋌而走險。

　　他還指出，這類問題的應(yīng)對思路應(yīng)是多方共治的多策并舉?！笆紫?，要推動企業(yè)內(nèi)部建立清晰有效的‘定崗定責(zé)定人’制度，實現(xiàn)業(yè)務(wù)操作全流程的可追溯、可審計，確?！?dāng)?shù)據(jù)-業(yè)務(wù)-人員’的嚴格匹配。其次，應(yīng)鼓勵支持建立面向社會大眾的投訴舉報激勵機制，發(fā)揮社會力量的外部監(jiān)督作用。再者，強化典型監(jiān)管執(zhí)法案例和司法裁判案例，以案說法，為數(shù)據(jù)業(yè)務(wù)運營和民眾維權(quán)提供清晰的指引?！?/p>

　　對外經(jīng)貿(mào)大學(xué)數(shù)字經(jīng)濟與法律創(chuàng)新研究中心執(zhí)行主任許可指出，傳統(tǒng)的個人信息是由個人掌握，如今隨著大型組織機構(gòu)出現(xiàn)，個人信息被海量收集和匯聚的風(fēng)險增大，也意味著傳統(tǒng)的個人侵權(quán)轉(zhuǎn)向了組織侵權(quán)。因此，整治此類事件的難點在于，個人信息保護應(yīng)該是一種組織責(zé)任，而不是個人責(zé)任。

　　“就此事而言，代理商個人毫無疑問需要承擔(dān)相應(yīng)的民事或刑事責(zé)任，但同時，組織也要承擔(dān)責(zé)任，或者作為雇主，為雇員在工作過程中的過錯承擔(dān)雇主責(zé)任；或者作為委托方，在受托人失職的情形下，對外承擔(dān)自己責(zé)任。如果一個組織不負責(zé)，這種問題就不可能解決?！痹S可說。

　　事實上，在今年8月獲得通過的個人信息保護法中第五十一條中，就規(guī)定了個人信息處理者有制定內(nèi)部管理制度和操作規(guī)程，對個人信息實行分類管理，采取相應(yīng)的加密、去標(biāo)識化等安全技術(shù)措施以及合理確定個人信息處理的操作權(quán)限并定期對從業(yè)人員進行安全教育和培訓(xùn)等責(zé)任義務(wù)。

　　為此，他建議對個人信息進行分類分級，實行數(shù)據(jù)接觸可追溯制和脫敏制，并定期進行合規(guī)審計。具體而言，企業(yè)內(nèi)部的個人信息查詢、授權(quán)和使用規(guī)范要嚴格，同時健全個人信息的脫敏機制?！案匾氖牵獙€人信息保護由個人責(zé)任轉(zhuǎn)變?yōu)榻M織責(zé)任，打破有組織的、不負責(zé)任的狀態(tài)，讓組織承擔(dān)起最終責(zé)任。”

　　此外，浙江墾丁律師事務(wù)所聯(lián)合創(chuàng)始人麻策也直言，個人信息的泄露最難防的并不在外部，而是內(nèi)部泄露風(fēng)險。公司在運營中應(yīng)通過培訓(xùn)加強員工網(wǎng)絡(luò)安全意識，明確個人信息分級分類權(quán)限，特別對批量化的導(dǎo)出下載等敏感事件進行預(yù)警，避免公司“內(nèi)鬼”帶來風(fēng)險。