近日,,“通信代理商販賣個人信息40余萬條”的新聞引發(fā)廣泛關(guān)注,。在重慶市經(jīng)營一家電信社區(qū)門店的代理商平某利用工作權(quán)限有償替他人查詢個人電話號碼,半年內(nèi)非法查詢并販賣公民手機號信息40余萬條,,共獲利八萬余元,。
南都·隱私護衛(wèi)隊注意到,近年來,,通訊運營企業(yè)的員工,、加盟代理商等內(nèi)部人員利用工作權(quán)限查詢并對外出售公民個人信息的事件屢見不鮮,這些能接觸,、掌握大量信息的“內(nèi)鬼”們已成為公民個人信息泄露的重要來源之一,,竊取的信息則被廣泛用于電信詐騙、身份冒用等情況中,。
為何代理商等內(nèi)部人員利用工作權(quán)限獲取,、出售公民個人信息的事件頻繁發(fā)生發(fā)生?整治的難點在哪,?又該如何解決,?
有專家指出,“內(nèi)鬼”往往是企業(yè)外部黑產(chǎn)的重點圍獵對象,,被“拉下水”的幾率更高,,建議實現(xiàn)業(yè)務(wù)操作全流程的可追溯、可審計,。還有專家認為,,個人信息保護應(yīng)由組織承擔(dān)最終責(zé)任,而不僅是個人責(zé)任,,只有打破目前有組織,、不負責(zé)的狀態(tài),才可能解決此類問題,。
文 / 樊文揚
圖片
利用權(quán)限販賣個人信息40萬余條,,類似事件頻發(fā)
據(jù)報道,江蘇無錫警方曾接到市民報警,,稱其因個人信息被冒用而頻繁遭到催債,,警方據(jù)此展開調(diào)查并挖出了一條非法販賣個人信息的交易鏈。
自2020年10月起,,在重慶市經(jīng)營某電信社區(qū)門店的運營商平某伙同店長及數(shù)名員工利用注冊的公司工號登錄系統(tǒng),,有償替他人查詢身份證對應(yīng)的手機號碼。該團伙形成了較為明確的分工,由平某作為對接者從購買方處獲得需要查詢的名單,,再由店長分派給員工分別查詢,,隨后平某憑借查詢結(jié)果與對方進行交易。
其中,,查詢的每條信息以0.3元左右的價格出售,,參與員工每人可分得七分錢的“好處費”,而店長則每條提成一分錢,。半年以來,,該團伙六人共查詢并販賣公民個人信息40余萬條,獲利八萬余元,。目前,涉案人員均已被警方逮捕,,無錫市濱湖區(qū)檢察院以涉嫌侵犯公民個人信息罪向平某等六人提起公訴,。
事實上,通訊運營企業(yè)的員工,、加盟代理商等內(nèi)部人員利用工作權(quán)限查詢并對外出售公民個人信息的事件近年來早已屢見不鮮,。然而,電信精準詐騙大都來源于準確的個人信息,,因此從銀行卡,、電話卡、手機號等源頭性軟硬件設(shè)備和服務(wù)阻斷網(wǎng)絡(luò)黑灰產(chǎn),,是打擊電信網(wǎng)絡(luò)詐騙的重要手段,。
據(jù)悉,今年8月,,江西省吉安市警方發(fā)現(xiàn)其轄區(qū)內(nèi)部分通訊店在幫客戶辦理業(yè)務(wù)的過程中,,在客戶不知情的情況下,使用其新辦的手機卡非法接收驗證碼,,再將驗證碼交給黑灰產(chǎn)人員完成各類App注冊,。在抓獲的145名涉嫌侵犯公民個人信息類案件的嫌疑人中,有127人系通訊店業(yè)務(wù)代理人員,。
去年11月,,五位圓通快遞公司員工以每日500元的價格將自己的公司內(nèi)部賬號租借給不法分子進入物流系統(tǒng)盜取用戶信息,包括發(fā)件人地址,、姓名,、電話以及收件人電話、姓名,、地址等,。以上述六個維度的信息共同組成一條信息來計算,被泄露的信息數(shù)量超過40萬條,,涉案金額達120余萬元,。
圖片
專家:組織應(yīng)擔(dān)最終責(zé)任,,建議實現(xiàn)業(yè)務(wù)流程可追溯
為何代理商、運營商等內(nèi)部人員利用工作權(quán)限獲取,、出售公民個人信息的事件頻繁發(fā)生發(fā)生,?該問題整治的難點在哪?又應(yīng)如何解決,?
對此,,北京師范大學(xué)網(wǎng)絡(luò)法治國際中心執(zhí)行主任、博導(dǎo),、中國互聯(lián)網(wǎng)協(xié)會研究中心副主任吳沈括總結(jié)了公民信息泄露事件中“內(nèi)鬼”頻發(fā)的三個原因,。
第一,相比外部人員,,他們和數(shù)據(jù)資產(chǎn)的距離更近,,有業(yè)務(wù)方便,容易得手,;第二,,“內(nèi)鬼”往往是企業(yè)外部黑產(chǎn)的重點圍獵對象,被“拉下水”的幾率更高,;第三,,個別企業(yè)設(shè)定的不合理業(yè)績要求往往間接促使內(nèi)部人員為了滿足考核要求去鋌而走險。
他還指出,,這類問題的應(yīng)對思路應(yīng)是多方共治的多策并舉,。“首先,,要推動企業(yè)內(nèi)部建立清晰有效的‘定崗定責(zé)定人’制度,,實現(xiàn)業(yè)務(wù)操作全流程的可追溯、可審計,,確?!當?shù)據(jù)-業(yè)務(wù)-人員’的嚴格匹配。其次,,應(yīng)鼓勵支持建立面向社會大眾的投訴舉報激勵機制,,發(fā)揮社會力量的外部監(jiān)督作用。再者,,強化典型監(jiān)管執(zhí)法案例和司法裁判案例,,以案說法,為數(shù)據(jù)業(yè)務(wù)運營和民眾維權(quán)提供清晰的指引,?!?/p>
對外經(jīng)貿(mào)大學(xué)數(shù)字經(jīng)濟與法律創(chuàng)新研究中心執(zhí)行主任許可指出,傳統(tǒng)的個人信息是由個人掌握,如今隨著大型組織機構(gòu)出現(xiàn),,個人信息被海量收集和匯聚的風(fēng)險增大,,也意味著傳統(tǒng)的個人侵權(quán)轉(zhuǎn)向了組織侵權(quán)。因此,,整治此類事件的難點在于,,個人信息保護應(yīng)該是一種組織責(zé)任,而不是個人責(zé)任,。
“就此事而言,,代理商個人毫無疑問需要承擔(dān)相應(yīng)的民事或刑事責(zé)任,但同時,,組織也要承擔(dān)責(zé)任,,或者作為雇主,為雇員在工作過程中的過錯承擔(dān)雇主責(zé)任,;或者作為委托方,,在受托人失職的情形下,對外承擔(dān)自己責(zé)任,。如果一個組織不負責(zé),這種問題就不可能解決,?!痹S可說。
事實上,,在今年8月獲得通過的個人信息保護法中第五十一條中,,就規(guī)定了個人信息處理者有制定內(nèi)部管理制度和操作規(guī)程,對個人信息實行分類管理,,采取相應(yīng)的加密,、去標識化等安全技術(shù)措施以及合理確定個人信息處理的操作權(quán)限并定期對從業(yè)人員進行安全教育和培訓(xùn)等責(zé)任義務(wù)。
為此,,他建議對個人信息進行分類分級,,實行數(shù)據(jù)接觸可追溯制和脫敏制,并定期進行合規(guī)審計,。具體而言,,企業(yè)內(nèi)部的個人信息查詢、授權(quán)和使用規(guī)范要嚴格,,同時健全個人信息的脫敏機制,。“更重要的是,,要將個人信息保護由個人責(zé)任轉(zhuǎn)變?yōu)榻M織責(zé)任,,打破有組織的、不負責(zé)任的狀態(tài),讓組織承擔(dān)起最終責(zé)任,?!?/p>
此外,浙江墾丁律師事務(wù)所聯(lián)合創(chuàng)始人麻策也直言,,個人信息的泄露最難防的并不在外部,,而是內(nèi)部泄露風(fēng)險。公司在運營中應(yīng)通過培訓(xùn)加強員工網(wǎng)絡(luò)安全意識,,明確個人信息分級分類權(quán)限,,特別對批量化的導(dǎo)出下載等敏感事件進行預(yù)警,避免公司“內(nèi)鬼”帶來風(fēng)險,。