近日，“通信代理商販賣個(gè)人信息40余萬條”的新聞引發(fā)廣泛關(guān)注。在重慶市經(jīng)營一家電信社區(qū)門店的代理商平某利用工作權(quán)限有償替他人查詢個(gè)人電話號(hào)碼，半年內(nèi)非法查詢并販賣公民手機(jī)號(hào)信息40余萬條，共獲利八萬余元。

　　南都·隱私護(hù)衛(wèi)隊(duì)注意到，近年來，通訊運(yùn)營企業(yè)的員工、加盟代理商等內(nèi)部人員利用工作權(quán)限查詢并對(duì)外出售公民個(gè)人信息的事件屢見不鮮，這些能接觸、掌握大量信息的“內(nèi)鬼”們已成為公民個(gè)人信息泄露的重要來源之一，竊取的信息則被廣泛用于電信詐騙、身份冒用等情況中。

　　為何代理商等內(nèi)部人員利用工作權(quán)限獲取、出售公民個(gè)人信息的事件頻繁發(fā)生發(fā)生？整治的難點(diǎn)在哪？又該如何解決？

　　有專家指出，“內(nèi)鬼”往往是企業(yè)外部黑產(chǎn)的重點(diǎn)圍獵對(duì)象，被“拉下水”的幾率更高，建議實(shí)現(xiàn)業(yè)務(wù)操作全流程的可追溯、可審計(jì)。還有專家認(rèn)為，個(gè)人信息保護(hù)應(yīng)由組織承擔(dān)最終責(zé)任，而不僅是個(gè)人責(zé)任，只有打破目前有組織、不負(fù)責(zé)的狀態(tài)，才可能解決此類問題。

　　文 / 樊文揚(yáng)

　　圖片

　　利用權(quán)限販賣個(gè)人信息40萬余條，類似事件頻發(fā)

　　據(jù)報(bào)道，江蘇無錫警方曾接到市民報(bào)警，稱其因個(gè)人信息被冒用而頻繁遭到催債，警方據(jù)此展開調(diào)查并挖出了一條非法販賣個(gè)人信息的交易鏈。

　　自2020年10月起，在重慶市經(jīng)營某電信社區(qū)門店的運(yùn)營商平某伙同店長及數(shù)名員工利用注冊(cè)的公司工號(hào)登錄系統(tǒng)，有償替他人查詢身份證對(duì)應(yīng)的手機(jī)號(hào)碼。該團(tuán)伙形成了較為明確的分工，由平某作為對(duì)接者從購買方處獲得需要查詢的名單，再由店長分派給員工分別查詢，隨后平某憑借查詢結(jié)果與對(duì)方進(jìn)行交易。

　　其中，查詢的每條信息以0.3元左右的價(jià)格出售，參與員工每人可分得七分錢的“好處費(fèi)”，而店長則每條提成一分錢。半年以來，該團(tuán)伙六人共查詢并販賣公民個(gè)人信息40余萬條，獲利八萬余元。目前，涉案人員均已被警方逮捕，無錫市濱湖區(qū)檢察院以涉嫌侵犯公民個(gè)人信息罪向平某等六人提起公訴。

　　事實(shí)上，通訊運(yùn)營企業(yè)的員工、加盟代理商等內(nèi)部人員利用工作權(quán)限查詢并對(duì)外出售公民個(gè)人信息的事件近年來早已屢見不鮮。然而，電信精準(zhǔn)詐騙大都來源于準(zhǔn)確的個(gè)人信息，因此從銀行卡、電話卡、手機(jī)號(hào)等源頭性軟硬件設(shè)備和服務(wù)阻斷網(wǎng)絡(luò)黑灰產(chǎn)，是打擊電信網(wǎng)絡(luò)詐騙的重要手段。

　　據(jù)悉，今年8月，江西省吉安市警方發(fā)現(xiàn)其轄區(qū)內(nèi)部分通訊店在幫客戶辦理業(yè)務(wù)的過程中，在客戶不知情的情況下，使用其新辦的手機(jī)卡非法接收驗(yàn)證碼，再將驗(yàn)證碼交給黑灰產(chǎn)人員完成各類App注冊(cè)。在抓獲的145名涉嫌侵犯公民個(gè)人信息類案件的嫌疑人中，有127人系通訊店業(yè)務(wù)代理人員。

　　去年11月，五位圓通快遞公司員工以每日500元的價(jià)格將自己的公司內(nèi)部賬號(hào)租借給不法分子進(jìn)入物流系統(tǒng)盜取用戶信息，包括發(fā)件人地址、姓名、電話以及收件人電話、姓名、地址等。以上述六個(gè)維度的信息共同組成一條信息來計(jì)算，被泄露的信息數(shù)量超過40萬條，涉案金額達(dá)120余萬元。

　　圖片

　　專家：組織應(yīng)擔(dān)最終責(zé)任，建議實(shí)現(xiàn)業(yè)務(wù)流程可追溯

　　為何代理商、運(yùn)營商等內(nèi)部人員利用工作權(quán)限獲取、出售公民個(gè)人信息的事件頻繁發(fā)生發(fā)生？該問題整治的難點(diǎn)在哪？又應(yīng)如何解決？

　　對(duì)此，北京師范大學(xué)網(wǎng)絡(luò)法治國際中心執(zhí)行主任、博導(dǎo)、中國互聯(lián)網(wǎng)協(xié)會(huì)研究中心副主任吳沈括總結(jié)了公民信息泄露事件中“內(nèi)鬼”頻發(fā)的三個(gè)原因。

　　第一，相比外部人員，他們和數(shù)據(jù)資產(chǎn)的距離更近，有業(yè)務(wù)方便，容易得手；第二，“內(nèi)鬼”往往是企業(yè)外部黑產(chǎn)的重點(diǎn)圍獵對(duì)象，被“拉下水”的幾率更高；第三，個(gè)別企業(yè)設(shè)定的不合理業(yè)績要求往往間接促使內(nèi)部人員為了滿足考核要求去鋌而走險(xiǎn)。

　　他還指出，這類問題的應(yīng)對(duì)思路應(yīng)是多方共治的多策并舉?！笆紫?，要推動(dòng)企業(yè)內(nèi)部建立清晰有效的‘定崗定責(zé)定人’制度，實(shí)現(xiàn)業(yè)務(wù)操作全流程的可追溯、可審計(jì)，確?！?dāng)?shù)據(jù)-業(yè)務(wù)-人員’的嚴(yán)格匹配。其次，應(yīng)鼓勵(lì)支持建立面向社會(huì)大眾的投訴舉報(bào)激勵(lì)機(jī)制，發(fā)揮社會(huì)力量的外部監(jiān)督作用。再者，強(qiáng)化典型監(jiān)管執(zhí)法案例和司法裁判案例，以案說法，為數(shù)據(jù)業(yè)務(wù)運(yùn)營和民眾維權(quán)提供清晰的指引?！?/p>

　　對(duì)外經(jīng)貿(mào)大學(xué)數(shù)字經(jīng)濟(jì)與法律創(chuàng)新研究中心執(zhí)行主任許可指出，傳統(tǒng)的個(gè)人信息是由個(gè)人掌握，如今隨著大型組織機(jī)構(gòu)出現(xiàn)，個(gè)人信息被海量收集和匯聚的風(fēng)險(xiǎn)增大，也意味著傳統(tǒng)的個(gè)人侵權(quán)轉(zhuǎn)向了組織侵權(quán)。因此，整治此類事件的難點(diǎn)在于，個(gè)人信息保護(hù)應(yīng)該是一種組織責(zé)任，而不是個(gè)人責(zé)任。

　　“就此事而言，代理商個(gè)人毫無疑問需要承擔(dān)相應(yīng)的民事或刑事責(zé)任，但同時(shí)，組織也要承擔(dān)責(zé)任，或者作為雇主，為雇員在工作過程中的過錯(cuò)承擔(dān)雇主責(zé)任；或者作為委托方，在受托人失職的情形下，對(duì)外承擔(dān)自己責(zé)任。如果一個(gè)組織不負(fù)責(zé)，這種問題就不可能解決。”許可說。

　　事實(shí)上，在今年8月獲得通過的個(gè)人信息保護(hù)法中第五十一條中，就規(guī)定了個(gè)人信息處理者有制定內(nèi)部管理制度和操作規(guī)程，對(duì)個(gè)人信息實(shí)行分類管理，采取相應(yīng)的加密、去標(biāo)識(shí)化等安全技術(shù)措施以及合理確定個(gè)人信息處理的操作權(quán)限并定期對(duì)從業(yè)人員進(jìn)行安全教育和培訓(xùn)等責(zé)任義務(wù)。

　　為此，他建議對(duì)個(gè)人信息進(jìn)行分類分級(jí)，實(shí)行數(shù)據(jù)接觸可追溯制和脫敏制，并定期進(jìn)行合規(guī)審計(jì)。具體而言，企業(yè)內(nèi)部的個(gè)人信息查詢、授權(quán)和使用規(guī)范要嚴(yán)格，同時(shí)健全個(gè)人信息的脫敏機(jī)制?！案匾氖?，要將個(gè)人信息保護(hù)由個(gè)人責(zé)任轉(zhuǎn)變?yōu)榻M織責(zé)任，打破有組織的、不負(fù)責(zé)任的狀態(tài)，讓組織承擔(dān)起最終責(zé)任?！?/p>

　　此外，浙江墾丁律師事務(wù)所聯(lián)合創(chuàng)始人麻策也直言，個(gè)人信息的泄露最難防的并不在外部，而是內(nèi)部泄露風(fēng)險(xiǎn)。公司在運(yùn)營中應(yīng)通過培訓(xùn)加強(qiáng)員工網(wǎng)絡(luò)安全意識(shí)，明確個(gè)人信息分級(jí)分類權(quán)限，特別對(duì)批量化的導(dǎo)出下載等敏感事件進(jìn)行預(yù)警，避免公司“內(nèi)鬼”帶來風(fēng)險(xiǎn)。