揭开倒卖个人信息产业链黑幕 电信公司有内鬼

北京8月6日，机主信息、通话清单、手机定位信息……这些个人信息被按条出售，电信公司员工竟是“内鬼”黑手。北京市第二中级人民法院5日上午宣判一起非法获取公民个人信息案，包括三大电信公司员工在内的23名被告因出售、非法提供、非法获取公民个人信息而被判刑。由这起迄今北京最大的非法获取公民个人信息案件，记者揭开了倒卖个人信息产业链黑幕。

电信“内鬼”成个人信息泄露源头

这个案件涉及多个单位保管的公民个人信息，其中电信公司保管的信息占绝大部分，远远大于国家机关、金融等单位保存的公民个人信息，占全部涉案的公民个人信息的95%以上。承办此案的北京市检察院第二分院检察官孙威告诉记者。这些关乎个人隐私的信息是如何泄露出去的？

据公诉机关介绍，23名被告中，有7人分别来自移动、电信、联通公司内部，或其他公司派驻电信公司的职员，他们是个人信息泄密源头。被告黄伟帆案发前是中国移动(微博)北京公司10086客户服务中心职员，2009年3月至12月期间，黄伟帆先后多次将本单位在提供服务过程中获得的机主信息等公民个人信息200余条出售给被告刘远洋，非法获利人民币1万余元。

除了一些固定信息外，这些电信公司的工作人员甚至将客户的手机定位信息非法提供他人，用于不法目的。被告谢新冲案发前是北京京驰无限通信技术有限公司运维部经理。2009年3月至12月，谢新冲利用中国移动北京公司授予其所在公司进行手机定位业务的权限，先后多次为被告刘海亮等人提供90余个手机号码定位信息，非法获利人民币9万元。“这个案件充分反映出电信单位内部控制制度落实不到位。”孙威表示。

据孙威介绍，电信单位内控不严主要表现在四个方面，一是查询权限过低，致使最低层级的业务员也可以接触到海量的机主信息、通话记录；二是查询过程没有进行监管、记录，电信单位工作人员查询公民个人信息后，系统没有进行相应记录，以备核查；三是没有履行告知义务，电信单位工作人员查询公民个人信息之前、之后都没有告知被查询人；四是对合作伙伴缺乏约束，电信单位业务繁多，与多个单位具有合作关系，这些单位工作人员也有机会接触到公民个人信息，电信单位疏于防范，致使公民个人信息泄露。

审理过多起类似案件的北京海淀区检察院检察官林洁告诉记者，许多公司在员工入职时就与之签订了保密协议，协议中一般都会要求对客户的个人信息严格保密。“但事实上，在没有道德底线的员工面前，保密协议只是一纸空文。”林洁说。

如何斩断个人信息泄露“黑手”

2009年2月28日，十一届全国人大常务委员会第七次会议通过了刑法修正案（七），明确规定了出售公民个人信息、非法提供公民个人信息以及非法获取公民个人信息三项罪名，这一规定为打击倒卖个人信息产业链提供了法律利器。

但是，作为新罪名，出售、非法提供和非法获取公民个人信息案件在法律和实践层面上仍存在诸多问题，这在一定程度上影响了对此类犯罪的打击力度。例如，如何界定“个人信息”，“情节严重”的尺度如何把握，都需要法律进一步加以明确。“打蛇打七寸”，孙威认为，除了法律需要完善外，金融、电信、交通、教育、医疗等掌握大量公民个人信息的单位完善内部控制才是杜绝个人信息泄露的治本之策。

孙威建议，首先要严格限制有权限查询个人信息人员的数量。上述单位应当建立、健全公民信息分类保存，分级查询制度。应当严格按照工作需要，确定有权利用、查询公民个人信息的人员，并划分不同的权限，明确责任追究制度；其次，应保存查询、使用过程中的完整详细的记录，以备事后检查；再次，应保证公民的知情权，上述单位在查询、使用公民信息后，应当及时以适当形式告知公民信息查询情况。

此外，政府相关部门也应当加强网络监管，要求网络服务提供商及时移除涉嫌侵犯公民信息的广告和链接，监管可疑聊天群组并及时做好记录工作，增加公民个人信息在网络上流传的成本，以减少相应犯罪。