聯通員工單價1萬倒賣客戶信息 內部管控受質疑

每經記者 鄢銀嬋 發自重慶

部分掌握公民個人信息的大公司，正逐漸成為信息泄露的主要源頭。1月14日，重慶市公安局江北分局打掉了一個倒賣公民信息的團伙，該團伙聯合重慶聯通公司一名技術人員，利用聯通機房的系統漏洞，提取系統中的短信內容，以每單高達1萬元的價格出售。

重慶聯通公司一名員工向 《每日經濟新聞》記者透露，對於客戶的個人信息，聯通公司有一套保護機制，但其中也有缺陷。比如聯通公司針對內部員工查詢客戶個人信息設置了相關權限，但在執行過程中，對於權限的應用則比較“靈活”，存在越級查詢的可能性。

有業內人士表示，此次案件的背后也折射出聯通公司內部管理機制存在軟肋。“根據目前倒賣個人信息市場的行情來看，每單1萬元的價格非常高，這些信息內容肯定經過了篩選，該名技術人員所利用的系統漏洞很可能就是內部管理的問題”。

員工高價賣信息

1月14日上午，重慶江北“12·5”專案成功破獲，公安機關對向某平、向某傑等6名犯罪嫌疑人實施了抓捕。

尤為引人注意的是，重慶江北“12·5”專案中，重慶聯通公司的一名技術人員扮演重要角色。

重慶江北支隊刑警謝林坤在接受媒體採訪時曾介紹，重慶聯通公司技術人員何某受雇於向氏兄弟，利用其職務優勢，非法為委託人獲取其他公民的聯通手機通話清單和短信清單，一份電話清單就可獲取高達1萬元的回報。

重慶江北分局方面人士也向《每日經濟新聞》記者證實了以上內容。

事實上，關於大型通信服務商泄露用戶個人信息的事件並不少見。早在2009年的中央電視台“3.15”晚會上，就曝光了山東移動公司以盈利為目的，大量向用戶發送商業廣告短信，並出售用戶信息給垃圾短信公司的行為；2012年4月，四川警方也成功破獲了一起電信部門“內鬼”向外泄露客戶基本信息的案件。

重慶市網絡安全保衛總隊證監室主任王樹福就表示，目前一些能掌握公民信息的主管部門，已成為泄露公民信息的主要源頭，也成為犯罪分子的重點滲入對象。而作為掌握公民個人信息的部門，也應該進一步加強內部管控。[NT:PAGE=$]

內部管控受質疑

據重慶江北分局宣傳科張姓工作人員介紹，上述何姓聯通公司技術人員，之所以能夠調取大量用戶詳細信息，所利用的就是其系統的漏洞。

與《每日經濟新聞》記者有所接觸的一名重慶聯通公司在職員工則表示，對於客戶的個人信息，公司有一套保護機制，但其中也存在一定缺陷。“公司所有員工在入職前，都會有一系列針對保護客戶信息的培訓，強化員工保護客戶信息的概念，特別是對於那些有查詢客戶信息優勢的部門，比如客服部、技術部，培訓也更為嚴格”。

此外，聯通公司針對員工查詢客戶信息還設置了嚴格的權限，不同級別、不同工種所能查詢到的信息也不同。不過上述員工透露，公司所設定的權限在操作上卻比較 “靈活”，存在越級查詢的可能性。

不少市場分析人士認為，導致聯通公司技術人員輕易獲取客戶大量核心信息的根源在於上述提到的對於查詢權限的執行管控力度上。

“這裏所指的系統漏洞，應該是指管理上的漏洞。”獨立電信分析師付亮說，在通信運營公司內部，技術部的一般員工能接觸到客戶信息，但售價高達每條萬元的信息則需要經過技術篩選，要拿到這類信息，需走嚴格的程序。

付亮同時表示，此次信息泄露也不排除聯通信息系統存在漏洞的可能性。“不過如果是信息系統有漏洞，那麼其售賣信息的含金量則不會如此高，在個人信息泄露成本降低的今天，聯通等通訊服務商應該進一步加強內部管控。”他說。

對於此次信息泄露事件，《每日經濟新聞》記者曾多次撥打重慶聯通公司媒體公關部電話，但截至發稿，均無人接聽。