一邊是數據產業迅速發展，個人信息的經濟價值日益突顯，一邊是數據收集機構和大眾對于個人信息保護的長期“無意識”，二者的不平衡，造成了當今“內鬼”頻發的困境。 

2011年8月5日，23名犯罪嫌疑人站上北京市第二中級人民法院的被告席。其中7名來自電信運營商的“內鬼”，交待了非法提供個人信息的層層內幕。長達40分鐘的宣判，引爆了北京當年最大的倒賣公民信息案。 

7年過去，雖然各方的打擊力度不斷加大，信息黑產卻依然在暗中野蠻生長，變得更加隱蔽化與精細化。肩負“拿料”重任的“內鬼”，悄無聲息地侵入了各行各業。手握大量個人信息的企業甚至政府部門，面臨著一場從技術到意識都亟待升級的持久戰。 

潛伏者與窗口期 

銀行、保險、衛生、交通、快遞……信息時代到來，各行各業都跟數據產生緊密關聯，黑產“內鬼”早已不再局限于通信行業。個人信息在企業的經營業務中層層流轉，留下了諸多可供“內鬼”利用的漏洞。猶如一場貓鼠游戲，“內鬼”的嗅覺總是比企業管理者和安全人員敏銳。 

跟外部攻擊者相比，“內鬼”鮮少曝光于公眾視野，但他們帶來的危害，絲毫不亞于外部攻擊者。據公安部統計，2016年至2017年5月，全國公安機關抓獲了5000多個侵犯公民個人信息案的犯罪嫌疑人，其中450多人是各行業內部人員。公安部網絡技術研發中心主任許劍卓出席相關發布會時表示，“內鬼”已經成為實施侵犯公民個人信息犯罪的重要主體。 

某保險類企業安全人員乜遠，曾親身參與“內鬼”調查行動。他回憶，異常最初被發現，來自系統警報：保險銷售員徐某的賬號，在非工作時間內高頻讀取了客戶資料信息，并通過技術手段向外傳輸信息。 

“客戶投保資料里包含詳細的身份和財產信息，甚至連名下車輛和房產都很清楚。這樣的信息在黑市上還是很值錢的。”乜遠說，徐某竊取信息時使用了自動化的腳本程序，導致其竊取效率大大提高，就像從小農時代進入工業時代。“手工只能一條條地記錄，換上腳本，一分鐘就可以抓取很多條。” 

讓乜遠印象深刻的是，徐某對訪問頻次進行了有意識的控制。“短時間的大量訪問會立即觸發警報。這個人不是很集中地在某個時間去查，是斷斷續續地去查的。”正因為此，徐某的竊取行為持續了一個多月才露出馬腳。安全人員發現異常時，徐某已經離職。 

“很難立即發現“內鬼”的異常。”他無奈地表示，保險企業的銷售業務員數量驚人，達到百萬規模。業務員出于日常業務需要，本就有權訪問部分客戶信息。即便企業已經采取了數據分級管理，任何訪問和傳輸都有記錄，系統也需要積累足夠多的非正常訪問才能發出異常警報，這為“內鬼”提供了窗口期。 

與保險企業類似，體量越大、業務拓展越迅速、人員流動性越高的企業，越容易給“內鬼”提供可乘之機。智能手機巨頭蘋果、快遞企業順豐、電商平臺淘寶、生活服務平臺美團，都曾爆出一線業務人員倒賣客戶信息的案例。 

這些企業并非沒有數據安全管理措施，只是很多時候無法立即發現“內鬼”。裁判文書網案例顯示，相當一部分“內鬼”案發，是因為企業遭受了更明顯的損害。比如，泄露出去的信息引發了詐騙案件，受害人報警，警方順藤摸瓜發現了“內鬼”的存在。此外，還有部分“內鬼”是主動投案。 

天空衛士高級安全顧問宋威說，過去，企業發現數據泄露的時間是半年到一年左右，現在的用時已大大縮短，但平均也需要一到三個月。 

金錢美色與僥幸心理 

在整個個人信息販賣的產業鏈中，肩負“拿料”重任的“內鬼”無疑是最關鍵的一環。與公眾認知有出入的是，“內鬼”并非都是企業中收入不高的基層員工，手握更多信息的中層往往更有價值。為了“策反”內部人員充當“內鬼”，信息販子往往使出渾身解數。 

2017年7月，常州市公安局牽頭的專案組破獲了一起侵犯公民個人信息大案。據媒體報道，48名“內鬼”中有一名梁某，官居湖南長沙某銀行信貸部主任。 

梁某最初與信息販子周某某相識純屬偶然。周某某得知梁某能通過銀行系統查詢個人征信信息，就想與梁某“合作”。梁某本身收入不差，周某某便多次請客吃飯、送錢，還用上“美人計”，為梁某介紹年輕女性。最終，梁某被周某某拉下了水，每查詢一條個人征信信息，他從周某某處收費300至350元。 

值得注意的是，據公開資料梳理，并非所有“內鬼”都能如梁某般獲得超乎常人想象的經濟回報，各行業人員做“內鬼”收取的不義之財，也分三六九等。有人出售7000余條個人信息獲利24萬元，單條信息價格達到30元。有人出售11萬余條個人信息，僅僅換來2500元，單條信息價格不到3分錢。 

這些差異，折射出“內鬼”案例的一個潛在共性：金錢誘惑之外，“內鬼”們所在的企事業單位管理不嚴，“內鬼”意識不到自己的行為已經違法或是存在僥幸心理，是他們作案的重要誘因。 

2017年12月，北京東城區人民法院審理了該區首例侵犯公民個人信息案。被告人張某是年輕的“90后”女孩，在北京某金融信息服務有限公司擔任運營經理。庭審時，她說，知道公司規定客戶資料不能外泄，有一次要給公司做數據分析，才把客戶資料傳給朋友龔某某。龔某某后來把這些數據賣了出去，她跟著分了錢。 

與張某持類似想法的人不在少數。裁判文書網公開的案例，甚至有多名公職人員，出于為朋友幫忙的心理，有意無意地做了“內鬼”。四川省南充市一起判決顯示，南充的一名協警，在被上司訓斥“現在查這么嚴，居然還用外掛程序查詢”后，仍然受人所托，查詢了大量含有姓名、電話號碼、車輛登記等內容的公民個人信息。 

一邊是數據產業迅速發展，個人信息的經濟價值日益突顯，一邊是數據收集機構和大眾對于個人信息保護的長期“無意識”，二者的不平衡，造成了當今“內鬼”頻發的困境。具有打擊和規范效應的網絡安全法、《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(以下簡稱“兩高”司法解釋)等法律去年才開始實施，普法之路仍然很長。 

職業“內鬼” 

值得注意的是，縱觀近兩年曝光的“內鬼”案例，除了有自己的本職工作、因一時糊涂被“策反”的人員之外，“職業“內鬼””的身影開始出現。 

2017年初，公安部破獲一起盜賣公民信息的特大案件，涉及50億條公民個人信息。其中一名涉案人員鄭某某，案發時在京東擔任網絡工程師。京東稱，打擊黑產的日常行動時發現此人是黑產人員，立即向公安機關提供了線索。 

隨后有媒體報道，鄭某某在加入京東之前，曾在國內多家知名互聯網公司工作。警方介紹，鄭某某“技術水平較高”，去各公司應聘時基本都會被錄用。他長期與犯罪團伙合作，成功盜取信息后就離職，繼續到下一家公司應聘。 

實力雄厚、管理相對嚴格的大企業里，為什么也有“內鬼”的活動空間？“大企業的安全防護很難跟上業務形態的發展，尤其是互聯網企業。”天空衛士高級安全顧問宋威分析，互聯網行業的特點是開放性和流動性強，業務形態難以固定，企業沒法對數據進行“一刀切”式的封鎖管理，很難進行有針對性的防護。 

此外，隨著大數據技術的發展，數據共享成為企業合作的內容，越來越多的企業委托第三方進行數據存儲和管理，接觸數據的人員增加，也加劇了信息泄露的風險。 

南都記者發現，除了鄭某某這樣技術水平較高、混入大型企業的人員，還有一部分黑產人員瞄準了小微企業的管理漏洞，伺機潛入企業內部作案。小型電商公司，是受害的重災區。 

據公開資料顯示，2016年6月開始，江西人賴某冒名“劉坤和”，先后到廣州市白云區多個網店應聘，入職后便伺機竊取客戶交易信息，轉手賣給詐騙人員。6月15日至7月23日期間，賴某先后四次出售客戶信息約686條，共牟利4195元。 

與單打獨斗的賴某不同，有些人選擇帶隊作案，福建人麻海鑫、楊強、陳敏就屬于后者。2016年，三人經事先商量，在福建省龍巖市新羅區、漳平市等地張貼高薪招聘員工的廣告。招到人后，楊強將小工們帶到義烏、杭州等地，讓他們以應聘的名義混入多家公司，在客服電腦中植入木馬程序，從而獲取訂單數據。至案發時，三人涉案訂單數量共計超過百萬條。受害網店中既有開業十年的口碑好店，也有粉絲數量超過千萬的網紅店，服裝、食品、家具領域均有所涉及。 

騰訊網絡安全專家于旸曾在其微博“tombkeeper”分享發現職業“內鬼”的經歷。“2015年，我們公司另一個事業群的HR發給我一份簡歷，請我幫忙判斷能力水平。但我一看簡歷上的時間線就感覺這人有問題。”于旸說，這名應聘者在每家公司都只干6個月，不但換公司還換城市，自己由此起了懷疑。 

他進一步調查發現，該應聘者存在簡歷造假—一般的造假者是為了美化自己的工作水平，該人則是為了掩蓋既往經歷。最后證實，該人果然隸屬于一個黑產團伙，而且之前已經在至少兩家互聯網公司臥底過。“干這行的人數遠比你們想象得多”，于旸在微博上作出如是評論。 

種種案例表明，稍有不慎，企業就可能遭遇職業“內鬼”：小企業沒有足夠的安全防護意識和能力，很容易成為受害對象。大企業雖有強大的安全團隊，但是并非百分百安全，且嚴防死守也難防自己的內部人。 

更加隱蔽化與精細化 

2016年，南都記者曝光信息黑產，個人信息買賣的猖獗程度首次為公眾廣泛知曉，報道中的“700元買到開房記錄”成為全網熱搜關鍵詞。今年2月，央視推出調查報道，再次在黑產內部引爆。但南都記者發現，黑產們并沒有就此放棄生意，只是提高了警覺，信息的價格也漲了上去。 

在QQ平臺，原本的催收群、偵探群、信息群，換上了便民服務、技術聯盟、民間調查等名號。他們在QQ空間內放上各種信息表單的照片和視頻，暗示業務仍在繼續。 

南都記者直接添加其中一些人的QQ和微信，大多數人都沒有反應。成功加上一名信息販子后，記者嘗試詢價，對方反問：“難道你不是熟人介紹的嗎？”記者聲稱熟人介紹的信息販子都聯絡不上，對方才繼續回話。 

在討價還價的過程中，這名信息販子表示，查不了銀行資產，但可以查開房記錄，收費標準是近半年580元，查詢時間每加一年加價100元，先付定金。記者佯裝質疑，此人表示信息來源是公安系統，如記者有疑慮，也可以不交定金，看到證明截圖后再交全款。 

裁判文書網公開案例顯示，過去多年中，QQ和微信一直是信息販子們交易的首選工具。據南都記者了解，自2016年至今，騰訊共查處涉及個人信息販賣的網絡群組4700多個，封停3500多個即時通訊個人賬號。一些“內鬼”和信息販子轉而開始使用暗網和外國即時通訊產品，以繞過騰訊和有關部門的監管。 

買賣來源于需求，到底是誰在給“內鬼”和中間商付錢？南都記者梳理發現，大概可以分為以下幾類：催收人員、銷售人員和詐騙人員。其中，詐騙人員非法獲取個人信息的情況，被工信部視為通信詐騙整治工作中新的突出問題。有關負責人介紹，個人信息泄露已成為信息詐騙的根源。要加強源頭治理，工信部需與網信、公安等部門協同共治，督促企業整改個人信息過度收集、泄露或濫用等問題。 

曾在互聯網借貸平臺短暫工作過的雷雨告訴南都記者，互聯網借貸行業幾乎沒有個人信息保護的概念，彼此交換信息倒是常態，一些催收公司會主動將個人信息提供給借貸公司，作為換取業務的籌碼。“我們公司有30多個人，幾乎每個人都能接觸到一手的客戶信息，我甚至能看見用戶做人臉認證的照片。”雷雨說。 

司法“三難”與各方合力 

從徐玉玉案發生到去年“兩高”司法解釋實施，再到今年2月公安部部署全國開展“凈網2018”專項行動，一輪又一輪的打擊高潮出現，大批黑產成員落網。但嚴厲的打擊背后，還有若干深層問題待解。 

梳理裁判文書網案例可以發現，即使是在“兩高”司法解釋出臺后，涉案人員的刑期也多在一年以內，最高不過四年，與多年前相比并沒有明顯變化。加上嫌疑人被抓后通常有悔過表現，普遍會獲得減刑判決。 

北京師范大學刑科院暨法學院副教授吳沈括認為，從刑法修正案(七)到刑法修正案(九)，再到“兩高”司法解釋，擴大刑事保護的范圍、細化刑事介入的范圍標準、提升個人信息的保護水平，是明顯的變化趨勢。但在司法實踐中，針對侵犯公民個人信息的犯罪，仍然存在查處難、證明難、定罪難的“三難”情況。 

除了采用數據加密、權限管理、安全審計等企業內控方法來防范“內鬼”風險外，一些深受“內鬼”所累的企業，開始探索聯合共治機制。以快遞業為例，包括順豐、圓通、申通、中通、韻達等在內的多家快遞企業已加入快遞物流征信平臺，合力將存在泄露客戶信息等失信行為的人員納入全行業“黑名單”。“管理上要建立威懾力，威懾力不是說抓到后才判決多少年，而是體現在只要對方伸手，就能抓到對方。”順豐有關負責人說。 

另一個正在被推廣的辦法是，利用技術手段設置隱私面單或安全號碼，使得用戶的個人信息在企業或政府的業務流轉中不顯示或不完全顯示，以減少個人信息被泄露的可能性，例如外賣、快遞、專車等行業先后推出的安全號碼或隱私面單服務。 

吳沈括認為，根本解決之道，仍在個人信息保護立法。同時，他建議政府鼓勵建設打擊侵犯公民個人信息犯罪黑色產業鏈的社群，以最大范圍內凝聚政府、產業與公民團體的集體力量，不斷增強公民保護個人信息的意識，以推動形成針對黑產威脅的群防群治態勢。