■本报记者 武晓黎
　　刚刚过去的周末，7个运营商内部员工因倒卖用户信息被判刑的消息颇引人关注。据介绍，这是迄今为止北京法院判决的最大的非法获取公民个人信息案。
　　北京市第二中级人民法院8月5日上午宣判了这起非法获取公民个人信息案，包括3大运营商7名员工在内的23名被告，因出售、非法提供、非法获取公民个人信息而被判刑。倒卖个人信息黑链条中，运营商的内鬼是源头。而对用户来说，个人信息泄露，只能问责运营商。

泄露信息主要来自运营商

　　机主信息、通话清单、手机定位信息……这些个人信息被按条出售。由于用户的基本信息和使用信息都储存在运营商的处理平台上，因此，如果用户信息被倒卖，运营商的内鬼一定是源头。
　　以此次审理的案件为例，案件涉及多个单位保管的公民个人信息，其中运营商保管的信息占全部涉案的公民个人信息的95%以上，大大高于国家机关和金融机构。
　　23名被告中，有7人分别来自中国移动、中国电信和中国联通及其他公司派驻运营商的职员，他们是个人信息泄露的祸首。该案涉及的公民个人信息的种类，有座机和手机通话记录、短信清单、手机定位信息、机主信息、户籍信息、银行账户信息、车辆档案信息、房产登记信息等。
　　泄密人或者是运营商客户服务中心的职员，或者是运营商授权的通信技术公司运维人员。他们或者将用户个人信息出售，或者非法提供用户手机定位信息。这些信息主要被用于婚姻调查、债务纠纷、商业信誉调查、个人背景调查等。除用于民事维权外，也有部分信息被用于违法犯罪活动，如用于不正当竞争、打击报复举报人、诈骗、敲诈勒索，甚至故意杀人、故意伤害等严重暴力犯罪行为。
　　承办此案的北京市检察院第二分院检察官孙威说：“我国目前正处于社会矛盾凸显期，大量民间纠纷没有得到快速、合理的解决，促使部分权利受侵害者转向私立救济，刺激了非法调查行业的发展。”

内控制度落实不到位

“这个案件充分反映出电信单位内部控制制度落实不到位。”孙威认为。这主要表现在查询权限过低，最低层级的业务员也可以接触到海量的机主信息、通话记录；查询过程没有进行监管、记录，无法核查；没有对用户履行告知义务；对合作伙伴缺乏约束，合作单位的工作人员也有机会接触到公民个人信息，而运营商却疏于防范。虽然员工入职时签订了保密协议，但如果没有相应约束，保密协议只是一纸空文。
　　经过一些专项治理之后，运营商也开始对用户信息保密工作进行梳理和控制。
　　一位前SP从业人员对记者说：“现在，用户信息是最高密级，很难拿出来了。但之前的确不规范，而且运营商没有意识到用户信息是这么值钱。现在，用户基本信息权限要求较高，一般很难调出来 除非系统维护方或者特殊需要，就连公安部门调用这些信息都需要开证明。”
　　这位人士说，：“用户信息可以分成几类：基本信息，通话指纹，比如时长、位置、打给谁、什么时候打等类信息，还有短信内容、消费信息等，所有信息都保存在运营商的 BOSS系统中。后面两类通话指纹和消费信息的权限是开放的，可以用于统计查询，一些市场调查公司对这类信息比较重视，还有一些是业务合作公司在分析业务时用。市场上目前仍然有人出售这些数据，估计都是从省公司或者一些第三方运维公司流出的。”
　　他说：“所有3类信息在以前也不能随便使用，不过管理比较混乱。由于运营商自己也要做数据分析，因此会调用数据，只要一调用，就有可能流失。SP买卖数据曾经很普遍，不过他们买到的没有用户基本信息，主要是手机号码和开通的业务以及使用情况。他们再根据分析结果去促销，或者从中选取目标用户，直接点对点推销。”

运营商应承担泄密责任

　　面对个人信息泄露带来的全社会的诟病，运营商常常会将责任推到“不是公司行为，而是少数员工个人的违法犯罪行为”上。对此，用户和有关专家并不认同。
　　用户“勤奋”说：“我是和运营商订的合同，不是和内鬼订合同，我只认识运营商，不认识内鬼。你们泄露了我的信息，当然是要由运营公司来对我承担责任。”“我认为这不是合同责任问题，而是法律责任。”北京实现者律师事务所吕晓晶律师认为，未经同意将他人个人信息转让、泄露，属于侵权范畴，且涉嫌非法经营。运营商应该承担相应的侵权赔偿责任。
　　通信、金融等掌握大量公民个人信息的单位，完善内部控制，才是杜绝个人信息泄露的治本之策。孙威建议，要严格限制有权限查询个人信息人员的数量。建立、健全公民信息分类保存，分级查询制度。严格按照工作需要，确定查询人员并划分权限，明确责任追究制度；还应保存查询、使用过程中的完整详细的记录，以备事后检查；应保证公民的知情权，上述单位在查询、使用公民信息后，应当及时以适当形式告知公民信息查询情况。
　　如何完善相关法律法规和制度，保护用户信息不被泄露，本报将继续关注。