海波樊明：公民信息被贩卖“三大巨头”的脸往哪儿搁？

据报道，中国联通公司一员工肖某，利用工作便利，非法获取并出卖公民个人信息129400条。检方以侵犯公民个人信息罪对肖某提起公诉。近日，丰台法院公开开庭审理了此案。在法庭上，肖某表示认罪。

电信运营商员工盗取公民个人信息贩卖给他人，这早已不是新鲜事了，从目前曝光的个案看，移动、联通、电信三巨头无一幸免。每次类似的个案被曝光后，运营商们均会表态，将从完善制度、健全技术手段等多个方面，切实保护用户信息安全。

但频频出现的“内鬼”，却一次次让运营商被“打脸”。以肖某为例，其并非公司高层管理人员，不过是一个负责数据挖掘的工作人员而已，却能轻松从公司数据库盗取如此多的用户信息。运营商在用户信息安全管控上的窟窿之大，由此可见一斑。

为何运营商总是雷声大、雨点小，屡屡让用户失望？道理很简单，目前国内各大运营商的业务网络存在区域分散、数据分散、系统繁多、环境复杂的特点，要想对所有用户隐私泄露的“风险点”建立严密制度和技术管控，所需要的投入惊人。而这种对用户隐私的严密保护，却只有投入没有产出，在效益普遍下滑的当下，运营商自然不愿在这方面多烧钱。

在公民个人信息的保护上，运营商堪称第一道关口，但其目前的表现明显不称职。运营商保护用户隐私不力，也凸显出外部监管的缺失。一方面，运营商的内部管控机制缺乏中立的第三方评估。另一方面，主管部门对于运营商的考核，重心在于经营效益上，对类似用户信息安全保护等问题，并未进行有效考核监督。一旦运营商出现内鬼，大多追究相关个人了事，对于企业并无经济处罚，对于企业高管也无严厉的责任追究。

保护公民个人信息，打击相关信息买卖的违法犯罪固然重要，但最根本的，还是完善内部管控。在这样的内部管控中，公民个人信息应有高规格的数据保密，公民信息查询、复制应该有严格的权限，每一次查询、复制，都应“踏雪有痕”，建立有完善的记录保存。应当说，做到这样严密内部管控，不存在任何技术障碍，关键相关单位有没有诚意去做，监管部门有没有切实履行自身的责任。