揭开倒卖个人信息黑幕：电信公司有内鬼

机主信息、通话清单、手机定位信息……这些个人信息被按条出售，电信公司员工竟是“内鬼”黑手。

北京市第二中级人民法院5日上午宣判一起非法获取公民个人信息案，包括三大电信公司员工在内的23名被告因出售、非法提供、非法获取公民个人信息而被判刑。由这起迄今北京最大的非法获取公民个人信息案件，记者揭开了倒卖个人信息产业链黑幕。

电信“内鬼”成个人信息泄露源头

“这个案件涉及多个单位保管的公民个人信息，其中电信公司保管的信息占绝大部分，远远大于国家机关、金融等单位保存的公民个人信息，占全部涉案的公民个人信息的95%以上。”承办此案的北京市检察院第二分院检察官孙威告诉记者。

这些关乎个人隐私的信息是如何泄露出去的？

据公诉机关介绍，23名被告中，有7人分别来自移动、电信、联通公司内部，或其他公司派驻电信公司的职员，他们是个人信息泄密源头。

被告黄伟帆案发前是中国移动北京公司10086客户服务中心职员，2009年3月至12月期间，黄伟帆先后多次将本单位在提供服务过程中获得的机主信息等公民个人信息200余条出售给被告刘远洋，非法获利人民币1万余元。

除了一些固定信息外，这些电信公司的工作人员甚至将客户的手机定位信息非法提供他人，用于不法目的。被告谢新冲案发前是北京京驰无限通信技术有限公司运维部经理。2009年3月至12月，谢新冲利用中国移动北京公司授予其所在公司进行手机定位业务的权限，先后多次为被告刘海亮等人提供90余个手机号码定位信息，非法获利人民币9万元。

“这个案件充分反映出电信单位内部控制制度落实不到位。”孙威表示。

据孙威介绍，电信单位内控不严主要表现在四个方面，一是查询权限过低，致使最低层级的业务员也可以接触到海量的机主信息、通话记录；二是查询过程没有进行监管、记录，电信单位工作人员查询公民个人信息后，系统没有进行相应记录，以备核查；三是没有履行告知义务，电信单位工作人员查询公民个人信息之前、之后都没有告知被查询人；四是对合作伙伴缺乏约束，电信单位业务繁多，与多个单位具有合作关系，这些单位工作人员也有机会接触到公民个人信息，电信单位疏于防范，致使公民个人信息泄露。

审理过多起类似案件的北京海淀区检察院检察官林洁告诉记者，许多公司在员工入职时就与之签订了保密协议，协议中一般都会要求对客户的个人信息严格保密。“但事实上，在没有道德底线的员工面前，保密协议只是一纸空文。”林洁说。

买家、卖家一般黑

孙威告诉记者，本案涉及的公民个人信息的种类有座机和手机通话记录、短信清单、手机定位信息、机主信息、户籍信息、银行账户信息、车辆档案信息、房产登记信息等，种类十分繁杂。

如此多的信息是谁在“消费”？

据介绍，涉案的部分信息主要用于婚姻调查、债务纠纷、商业信誉调查、个人背景调查等。“我国目前正处于社会矛盾凸显期，大量民间纠纷没有得到快速、合理的解决，促使部分权利受侵害者转向私立救济，刺激了非法调查行业的发展。”孙威说。

除用于民事维权外，也有部分信息也被用于违法犯罪活动，例如用于不正当商业竞争，打击报复举报人，诈骗，敲诈勒索，甚至故意杀人、故意伤害等严重暴力犯罪行为。

2008年9月21日，北京导游安毅为报复前妻新结识的男友，将其杀害在家中。事后警方发现，安毅与被害人并不相识，是他雇用的“私家侦探”从电信公司“内鬼”那里得到被害人的住址信息，“私家侦探”再将信息出售给安毅，一幕惨剧由此发生。

有了如此强烈的“市场需求”，在利益的驱使下，许多人加入到倒卖个人信息的队伍中，成为个人信息泄露最重要的推手。

据此案第一被告刘红波供述，在她倒卖的信息中，一般手机机主信息以每条30元的价格买入，然后以50元到80元不等的价格卖出，话单的买入价约200元到400元，但经她一倒手就能卖到300元到500元。

刘红波的生意几乎全在网上进行。网名叫“骑驴裸奔”的她，活跃于十多个公民个人信息交易QQ群里，一边向他人购买机主、通话清单、车辆档案、户籍等信息，一边积极寻找买家，转卖牟利，为此，她还专门自建了两个QQ群，用于推销。

“近年来互联网技术的发展，电子邮件、即时通讯技术与群组聊天的大规模运用，使获取、存储、传送公民个人信息的成本大为降低，刺激了公民个人信息犯罪的平民化、经常化和产业化。”孙威说。

如何斩断个人信息泄露“黑手”

2009年2月28日，十一届全国人大常务委员会第七次会议通过了刑法修正案(七)，明确规定了出售公民个人信息、非法提供公民个人信息以及非法获取公民个人信息三项罪名，这一规定为打击倒卖个人信息产业链提供了法律利器。

但是，作为新罪名，出售、非法提供和非法获取公民个人信息案件在法律和实践层面上仍存在诸多问题，这在一定程度上影响了对此类犯罪的打击力度。例如，如何界定“个人信息”，“情节严重”的尺度如何把握，都需要法律进一步加以明确。

“打蛇打七寸”，孙威认为，除了法律需要完善外，金融、电信、交通、教育、医疗等掌握大量公民个人信息的单位完善内部控制才是杜绝个人信息泄露的治本之策。

孙威建议，首先要严格限制有权限查询个人信息人员的数量。上述单位应当建立、健全公民信息分类保存，分级查询制度。应当严格按照工作需要，确定有权利用、查询公民个人信息的人员，并划分不同的权限，明确责任追究制度；其次，应保存查询、使用过程中的完整详细的记录，以备事后检查；再次，应保证公民的知情权，上述单位在查询、使用公民信息后，应当及时以适当形式告知公民信息查询情况。

此外，政府相关部门也应当加强网络监管，要求网络服务提供商及时移除涉嫌侵犯公民信息的广告和链接，监管可疑聊天群组并及时做好记录工作，增加公民个人信息在网络上流传的成本，以减少相应犯罪。