代理商卖客户信息40万条,专家:不只追究个人,组织应担责
2021-09-30
来源:数字科技说
近日,“通信代理商贩卖个人信息40余万条”的新闻引发广泛关注。在重庆市经营一家电信社区门店的代理商平某利用工作权限有偿替他人查询个人电话号码,半年内非法查询并贩卖公民手机号信息40余万条,共获利八万余元。
南都·隐私护卫队注意到,近年来,通讯运营企业的员工、加盟代理商等内部人员利用工作权限查询并对外出售公民个人信息的事件屡见不鲜,这些能接触、掌握大量信息的“内鬼”们已成为公民个人信息泄露的重要来源之一,窃取的信息则被广泛用于电信诈骗、身份冒用等情况中。
为何代理商等内部人员利用工作权限获取、出售公民个人信息的事件频繁发生发生?整治的难点在哪?又该如何解决?
有专家指出,“内鬼”往往是企业外部黑产的重点围猎对象,被“拉下水”的几率更高,建议实现业务操作全流程的可追溯、可审计。还有专家认为,个人信息保护应由组织承担最终责任,而不仅是个人责任,只有打破目前有组织、不负责的状态,才可能解决此类问题。
文 / 樊文扬
图片
利用权限贩卖个人信息40万余条,类似事件频发
据报道,江苏无锡警方曾接到市民报警,称其因个人信息被冒用而频繁遭到催债,警方据此展开调查并挖出了一条非法贩卖个人信息的交易链。
自2020年10月起,在重庆市经营某电信社区门店的运营商平某伙同店长及数名员工利用注册的公司工号登录系统,有偿替他人查询身份证对应的手机号码。该团伙形成了较为明确的分工,由平某作为对接者从购买方处获得需要查询的名单,再由店长分派给员工分别查询,随后平某凭借查询结果与对方进行交易。
其中,查询的每条信息以0.3元左右的价格出售,参与员工每人可分得七分钱的“好处费”,而店长则每条提成一分钱。半年以来,该团伙六人共查询并贩卖公民个人信息40余万条,获利八万余元。目前,涉案人员均已被警方逮捕,无锡市滨湖区检察院以涉嫌侵犯公民个人信息罪向平某等六人提起公诉。
事实上,通讯运营企业的员工、加盟代理商等内部人员利用工作权限查询并对外出售公民个人信息的事件近年来早已屡见不鲜。然而,电信精准诈骗大都来源于准确的个人信息,因此从银行卡、电话卡、手机号等源头性软硬件设备和服务阻断网络黑灰产,是打击电信网络诈骗的重要手段。
据悉,今年8月,江西省吉安市警方发现其辖区内部分通讯店在帮客户办理业务的过程中,在客户不知情的情况下,使用其新办的手机卡非法接收验证码,再将验证码交给黑灰产人员完成各类App注册。在抓获的145名涉嫌侵犯公民个人信息类案件的嫌疑人中,有127人系通讯店业务代理人员。
去年11月,五位圆通快递公司员工以每日500元的价格将自己的公司内部账号租借给不法分子进入物流系统盗取用户信息,包括发件人地址、姓名、电话以及收件人电话、姓名、地址等。以上述六个维度的信息共同组成一条信息来计算,被泄露的信息数量超过40万条,涉案金额达120余万元。
图片
专家:组织应担最终责任,建议实现业务流程可追溯
为何代理商、运营商等内部人员利用工作权限获取、出售公民个人信息的事件频繁发生发生?该问题整治的难点在哪?又应如何解决?
对此,北京师范大学网络法治国际中心执行主任、博导、中国互联网协会研究中心副主任吴沈括总结了公民信息泄露事件中“内鬼”频发的三个原因。
第一,相比外部人员,他们和数据资产的距离更近,有业务方便,容易得手;第二,“内鬼”往往是企业外部黑产的重点围猎对象,被“拉下水”的几率更高;第三,个别企业设定的不合理业绩要求往往间接促使内部人员为了满足考核要求去铤而走险。
他还指出,这类问题的应对思路应是多方共治的多策并举。“首先,要推动企业内部建立清晰有效的‘定岗定责定人’制度,实现业务操作全流程的可追溯、可审计,确保‘数据-业务-人员’的严格匹配。其次,应鼓励支持建立面向社会大众的投诉举报激励机制,发挥社会力量的外部监督作用。再者,强化典型监管执法案例和司法裁判案例,以案说法,为数据业务运营和民众维权提供清晰的指引。”
对外经贸大学数字经济与法律创新研究中心执行主任许可指出,传统的个人信息是由个人掌握,如今随着大型组织机构出现,个人信息被海量收集和汇聚的风险增大,也意味着传统的个人侵权转向了组织侵权。因此,整治此类事件的难点在于,个人信息保护应该是一种组织责任,而不是个人责任。
“就此事而言,代理商个人毫无疑问需要承担相应的民事或刑事责任,但同时,组织也要承担责任,或者作为雇主,为雇员在工作过程中的过错承担雇主责任;或者作为委托方,在受托人失职的情形下,对外承担自己责任。如果一个组织不负责,这种问题就不可能解决。”许可说。
事实上,在今年8月获得通过的个人信息保护法中第五十一条中,就规定了个人信息处理者有制定内部管理制度和操作规程,对个人信息实行分类管理,采取相应的加密、去标识化等安全技术措施以及合理确定个人信息处理的操作权限并定期对从业人员进行安全教育和培训等责任义务。
为此,他建议对个人信息进行分类分级,实行数据接触可追溯制和脱敏制,并定期进行合规审计。具体而言,企业内部的个人信息查询、授权和使用规范要严格,同时健全个人信息的脱敏机制。“更重要的是,要将个人信息保护由个人责任转变为组织责任,打破有组织的、不负责任的状态,让组织承担起最终责任。”
此外,浙江垦丁律师事务所联合创始人麻策也直言,个人信息的泄露最难防的并不在外部,而是内部泄露风险。公司在运营中应通过培训加强员工网络安全意识,明确个人信息分级分类权限,特别对批量化的导出下载等敏感事件进行预警,避免公司“内鬼”带来风险。