近日,“通信代理商販賣個人信息40余萬條”的新聞引發廣泛關注。在重慶市經營一家電信社區門店的代理商平某利用工作權限有償替他人查詢個人電話號碼,半年內非法查詢并販賣公民手機號信息40余萬條,共獲利八萬余元。
南都·隱私護衛隊注意到,近年來,通訊運營企業的員工、加盟代理商等內部人員利用工作權限查詢并對外出售公民個人信息的事件屢見不鮮,這些能接觸、掌握大量信息的“內鬼”們已成為公民個人信息泄露的重要來源之一,竊取的信息則被廣泛用于電信詐騙、身份冒用等情況中。
為何代理商等內部人員利用工作權限獲取、出售公民個人信息的事件頻繁發生發生?整治的難點在哪?又該如何解決?
有專家指出,“內鬼”往往是企業外部黑產的重點圍獵對象,被“拉下水”的幾率更高,建議實現業務操作全流程的可追溯、可審計。還有專家認為,個人信息保護應由組織承擔最終責任,而不僅是個人責任,只有打破目前有組織、不負責的狀態,才可能解決此類問題。
文 / 樊文揚
圖片
利用權限販賣個人信息40萬余條,類似事件頻發
據報道,江蘇無錫警方曾接到市民報警,稱其因個人信息被冒用而頻繁遭到催債,警方據此展開調查并挖出了一條非法販賣個人信息的交易鏈。
自2020年10月起,在重慶市經營某電信社區門店的運營商平某伙同店長及數名員工利用注冊的公司工號登錄系統,有償替他人查詢身份證對應的手機號碼。該團伙形成了較為明確的分工,由平某作為對接者從購買方處獲得需要查詢的名單,再由店長分派給員工分別查詢,隨后平某憑借查詢結果與對方進行交易。
其中,查詢的每條信息以0.3元左右的價格出售,參與員工每人可分得七分錢的“好處費”,而店長則每條提成一分錢。半年以來,該團伙六人共查詢并販賣公民個人信息40余萬條,獲利八萬余元。目前,涉案人員均已被警方逮捕,無錫市濱湖區檢察院以涉嫌侵犯公民個人信息罪向平某等六人提起公訴。
事實上,通訊運營企業的員工、加盟代理商等內部人員利用工作權限查詢并對外出售公民個人信息的事件近年來早已屢見不鮮。然而,電信精準詐騙大都來源于準確的個人信息,因此從銀行卡、電話卡、手機號等源頭性軟硬件設備和服務阻斷網絡黑灰產,是打擊電信網絡詐騙的重要手段。
據悉,今年8月,江西省吉安市警方發現其轄區內部分通訊店在幫客戶辦理業務的過程中,在客戶不知情的情況下,使用其新辦的手機卡非法接收驗證碼,再將驗證碼交給黑灰產人員完成各類App注冊。在抓獲的145名涉嫌侵犯公民個人信息類案件的嫌疑人中,有127人系通訊店業務代理人員。
去年11月,五位圓通快遞公司員工以每日500元的價格將自己的公司內部賬號租借給不法分子進入物流系統盜取用戶信息,包括發件人地址、姓名、電話以及收件人電話、姓名、地址等。以上述六個維度的信息共同組成一條信息來計算,被泄露的信息數量超過40萬條,涉案金額達120余萬元。
圖片
專家:組織應擔最終責任,建議實現業務流程可追溯
為何代理商、運營商等內部人員利用工作權限獲取、出售公民個人信息的事件頻繁發生發生?該問題整治的難點在哪?又應如何解決?
對此,北京師范大學網絡法治國際中心執行主任、博導、中國互聯網協會研究中心副主任吳沈括總結了公民信息泄露事件中“內鬼”頻發的三個原因。
第一,相比外部人員,他們和數據資產的距離更近,有業務方便,容易得手;第二,“內鬼”往往是企業外部黑產的重點圍獵對象,被“拉下水”的幾率更高;第三,個別企業設定的不合理業績要求往往間接促使內部人員為了滿足考核要求去鋌而走險。
他還指出,這類問題的應對思路應是多方共治的多策并舉。“首先,要推動企業內部建立清晰有效的‘定崗定責定人’制度,實現業務操作全流程的可追溯、可審計,確保‘數據-業務-人員’的嚴格匹配。其次,應鼓勵支持建立面向社會大眾的投訴舉報激勵機制,發揮社會力量的外部監督作用。再者,強化典型監管執法案例和司法裁判案例,以案說法,為數據業務運營和民眾維權提供清晰的指引。”
對外經貿大學數字經濟與法律創新研究中心執行主任許可指出,傳統的個人信息是由個人掌握,如今隨著大型組織機構出現,個人信息被海量收集和匯聚的風險增大,也意味著傳統的個人侵權轉向了組織侵權。因此,整治此類事件的難點在于,個人信息保護應該是一種組織責任,而不是個人責任。
“就此事而言,代理商個人毫無疑問需要承擔相應的民事或刑事責任,但同時,組織也要承擔責任,或者作為雇主,為雇員在工作過程中的過錯承擔雇主責任;或者作為委托方,在受托人失職的情形下,對外承擔自己責任。如果一個組織不負責,這種問題就不可能解決。”許可說。
事實上,在今年8月獲得通過的個人信息保護法中第五十一條中,就規定了個人信息處理者有制定內部管理制度和操作規程,對個人信息實行分類管理,采取相應的加密、去標識化等安全技術措施以及合理確定個人信息處理的操作權限并定期對從業人員進行安全教育和培訓等責任義務。
為此,他建議對個人信息進行分類分級,實行數據接觸可追溯制和脫敏制,并定期進行合規審計。具體而言,企業內部的個人信息查詢、授權和使用規范要嚴格,同時健全個人信息的脫敏機制。“更重要的是,要將個人信息保護由個人責任轉變為組織責任,打破有組織的、不負責任的狀態,讓組織承擔起最終責任。”
此外,浙江墾丁律師事務所聯合創始人麻策也直言,個人信息的泄露最難防的并不在外部,而是內部泄露風險。公司在運營中應通過培訓加強員工網絡安全意識,明確個人信息分級分類權限,特別對批量化的導出下載等敏感事件進行預警,避免公司“內鬼”帶來風險。
