首例通信员工泄露个人信息案揭管理漏洞

  国内首例电信企业员工因泄露公民个人信息案而被追究刑责的案件,本月17日在朝阳法院公开宣判。三名来自电信运营商的涉案人员因为为非法经营犯罪提供信息,构成非法经营罪的共犯获刑,分别被判处有期徒刑2年2个月至2年4个月。

  信息时代,法律对泄露公民个人信息打击力度的加大,给了处于个人信息“重灾区”的电信行业从业人员敲响了警钟,同时也折射出电信行业的管理漏洞。

  缺乏法律意识约束

  三位涉案人吴晓晨、唐纳宇、张宁,此前分别是中国联通北京三区分公司广安门外分局商务客户代表、中国联通北京分公司网络运行维护部监控中心主任、中国移动北京分公司客户服务中心亦庄区域中心中级坐席维护。三位涉案人,既有电信运营商的基层人员,又有中层核心岗位员工。

  纵观三人的犯罪过程,无论是利用职权非法提供手机定位还是超越权限修改密码,折射出的是涉案人法律意识的淡薄。在法庭上,唐纳宇对检方的指控供认不讳,“给朋友帮忙,而且能多赚点钱,在利益的驱动下我一时糊涂,没有认识到后果的严重性。”张宁在供述中称,“我知道(朋友)林涛在通过这个挣钱,但碍于朋友关系,拉不下面子推辞。”

  管理漏洞

  此案不仅反映涉案人法律意识淡薄,更多的是反映出运营商管理方面的问题。在人员管理方面,由于电信运营商的员工分为A、B、C三类,很多的一线客服人员稳定性较差,离职之后利用掌握的客户信息犯罪的事情时有发生。本案中张宁帮助无业人员林涛修改用户客服密码,并提供机主信息。经张宁修改密码后的信息经由林涛转给一名叫李磊的男子,再转卖到调查公司。据了解,林涛、李磊都曾是电信运营商的员工,林涛于2005年曾在中国移动北京分公司客服中心干了两个月话务员,2006年曾在北京网通分公司大兴分县局做过一个月的线务员。李磊大专毕业后在中国移动北京分公司工作过,因为违反纪律被公司辞退。本案中张宁作为座席维护,修改用户客服密码,已经超出了工作权限。林、李二人凭借对电信运营商工作流程的熟悉,知道通过修改密码可调取通话清单,电信运营商的这个“漏洞”成为他们赚钱的不传之秘。

  业务流程管理方面,根据朝阳法院的调研,电信运营商工作人员泄漏公民个人信息的途径包括工作平台查询、内部授权指令查询、强制修改客服密码。

  北京市朝阳区法院有关人士表示,从该案看,电信营业大厅和维护室的电脑,竟然随时可以被用来调取信息,说明运营商内部一些环节的监管失控。

  朝阳法院审判长吴小军表示,应该完善电信工作人员的从业规范,制定严格统一的行业保密规定,定期对电信运营商的信息保护工作进行检查,形成有力的常态监督机制。

  据了解,朝阳法院已向工业和信息化部、中联通、中移动发送了司法建议,希望完善信息安全保护措施,严格规范信息的查询、修改程序,并对重点岗位电脑进行严密的安全设置和全程的技术监控。

  惩罚成本过小致隐患

  无论是监管部门还是三大运营商均有严禁对外泄露客户个人信息的规定。

  工业和信息化部于2009年颁布的《第三代移动通信服务规范(试行)》中明确指出“电信业务经营者依照法律和有关规定对客户资料负有保密义务。未经客户同意,不得将客户信息用于查询服务或提供给第三方,不得泄露、删除、篡改客户信息”。

  据了解,各大电信运营商在和员工签订合同时,都会签署相关协议,严禁员工对外泄露客户个人信息。如中国联通北京分公司机房管理规定:“未经公司和部门同意,严禁修改任何用户数据。不得私自查询与用户相关的信息,严禁向任何人提供任何与用户相关的信息。”中国移动北京公司客户信息保密管理实施细则也规定:“维护或使用各相关系统的人员因工作需要而获得的客户信息,未经许可不得告知他人,更不能作为商业用途使用,有严格保守客户信息秘密的义务和责任。”原中国网通员工均与网通公司签订《保密与技术成果归属协议书》,其中明确规定,乙方(员工)必须严格报保守甲方(公司)商业秘密,并在工作中严格遵守甲方(公司)制定的各种保密规章、制度,履行与其工作岗位相应的保密职责。

  尽管有明文规定,但无后续的严格有效的具体措施监督、考核,也没有充分重视对员工的教育。当惩罚成本过小甚至为零的时候,就助长了犯罪。

  此案中的3人不仅偷改手机用户客服密码,而且非法提供手机定位服务。而这些行为发生的频率也不只是一次,据了解,在被抓捕前的10个月里,张宁私自修改过100多个手机客服密码、提供了几十名机主信息。而唐纳宇从2008年6月至8月间,利用单位内部系统,先后为他人提供了100余条中国联通用户的通话清单。

  而这些违法违纪行为没有受到及时的监督、监控,如果不是因为“私家侦探”受审,警方顺藤摸瓜揪出泄露公民个人信息的源头,电信运营商的三名“内鬼”也不能很快的浮出水面。

  警钟敲响

  在此案中,吴晓晨、唐纳宇、张宁分别被指控犯有非法获取公民个人信息罪、非法提供公民个人信息罪和非法出售公民个人信息罪。这三项罪名在2009年2月公布的刑法修正案中正式设立。本月17日,法院判决认为,上述被告人倒卖个人信息的行为发生于《刑法修正案(七)》颁布之前,当时刑法并未单独对上述行为予以规制。根据罪刑法定原则和刑法溯及力的规定,涉案人的行为应适用行为发生时的法律。于是,三人最终以为非法经营犯罪提供帮助,构成非法经营罪的共犯获刑。

  从量刑上来看,非法经营罪的最高量刑是5年有期徒刑,情节特别严重的可处5年以上有期徒刑。而非法获取公民个人信息罪的最高量刑是3年有期徒刑。看似新罪名的量刑上限降低了,但打击更为精准,对于倒卖信息的群体来讲,威慑力更强。

  据记者了解,《刑法修正案(七)》颁布后,对于明知个人信息将被用于非法经营犯罪而仍然倒卖的,仍然可以以非法经营的共犯论处。

  北京市中鹏律师事务所律师邹振东在接受《通信产业报》(网)采访时表示,“对于这个判决,我认为量刑还是轻了。”他认为这与国内的个人信息立法不完善有关。可以预见,随着国内信息立法的完善,对于泄露个人信息的打击力度将更大。

  三名涉案人受到了法律的制裁,而他们失去的不仅仅是人身自由。唐纳宇坦言,作为中层职员,他的月薪上万元,却因蝇头小利做了傻事,现在追悔莫及。

  首例电信员工泄露个人信息受审案在互联网信息时代不仅具有极强的社会意义,对于电信运营商也起到了警示作用。记者在采访一位地市运营商人士时,他表示,现在公司对于客户信息保密工作非常重视,去年就下发了好几次文件约束员工行为,以防类似事件发生。

  声音

  电信运营商在客户信息安全保护方面存在管理漏洞、制度不完善、客户信息查询修改系统管理不规范、对泄露客户信息行为监管不力等问题。

  ——朝阳法院

  公司针对保护客户信息安全方面以及此案一直非常重视。公司不允许员工泄露客户信息,在保护用户信息方面都有明文规定。而今后会加强相关的工作,在人员管理、流程制度等方面不断完善,全方位保障客户信息。

  ——电信运营商

  给朋友帮忙,而且能多赚点钱,在利益的驱动下我一时糊涂,没有认识到后果的严重性。

  ——获刑的运营商员工