“内鬼”售卖公司客户数据牟利，大量数据流向市场逐渐“失控”，进而埋下电信诈骗、盗窃等犯罪的隐患……谁该为“失控”的数据负责？

中国政法大学传播法研究中心副主任朱巍日前在接受采访时表示，“内鬼”泄密事件发生后，企业应对被泄露的客户数据承担民事责任，因为企业对数据具有安全保障义务，“要求其担责不是强人所难”。

内外勾结售卖客户数据牟利

北京市海淀区检察院检察官白磊介绍，在互联网科技公司内，网络信息专业人员掌握公司信息系统的漏洞，一旦这些专业人员产生犯罪故意，就会出现“内鬼”类黑客案件。作为最高人民检察院第九批指导性案例之一的“勾结前同事下载客户数据售卖换钱”案件的承办人，白磊向记者介绍了这起典型的“内鬼”泄露个人信息案件。

女职员龚某供职于北京某科技有限公司（以下简称“科技公司”），由于工作需要，她拥有登录科技公司内部系统的账号、密码、Token令牌，可以查看工作范围内的相关数据信息。

案发前，龚某与公司的前同事卫某一直保持着联系。两人商量售卖公司的客户数据赚钱：龚某提供账号和密码，卫某则负责数据的下载和售卖，事成之后钱财各分一半。

2016年6月至9月，利用龚某和卫某伙同薛某将非法获取的客户数据卖出去，获利共计3.7万元。后公司发现异常，报了警。

“被告人卫某、薛某、龚某的行为均已构成非法获取计算机信息系统数据罪。”今年6月6日，海淀区法院作出判决，卫某、薛某、龚某分别被判处有期徒刑四年、四年、三年零九个月，并分别处罚金4万元。

公司“内鬼”伙同他人侵入公司网络牟利的案件并非个例。2017年1月至3月，吴某受网名为“阿布小组”的网友（另案处理）指使，通过网络联系上在乐视云计算有限公司（以下简称“乐视公司”）担任工程师的阎某，并向其提供木马程序。出于牟利目的，阎某先后三次将上述木马程序布置在乐视公司位于全国的207台服务器上。乐视公司经排查发现问题后报警。检察机关以阎某、吴某涉嫌非法控制计算机信息系统罪对二人提起公诉。

被卖数据或成电信诈骗信息源头

在朱巍看来，类似案件多发的主要原因在于利益驱动，越精准、匹配度高、综合性强的数据，其价值就越高。

“这类案件频发的原因是多方面的。”北京市中伦律师事务所合伙人陈际红律师说，“社会上对个人信息保护的重视程度还不太够、非法窃取数据要受法律惩处的规则没有深入人心、公司的网络安全管理存在漏洞等多种原因，导致个人信息被非法获取、销售的情况还比较严重。”

通过非法获取个人信息，电信诈骗犯罪也日益精准。“现在是精准诈骗，这些电信诈骗的信息从何而来，要拔出萝卜带出泥，建立溯源机制，要在技术上、流程上实现可追查化，做到一目了然。”朱巍补充说，对个人的信息保护要未雨绸缪，对于诈骗信息的源头，执法部门要“竖起耳朵来”。

个人随意注册小号、盲目关注或注册公号、随便授权安装App等都可能成为个人信息泄露的源头。对此，朱巍建议，那些沉睡账号一定要注销，以减少个人信息泄露的渠道。

专家：企业要对数据泄露事件担责

企业数据涉及广泛，哪些信息需要重点保护？朱巍认为，问题的关键在于区分好个人信息与大数据的关系。个人信息属于隐私权范畴，未经用户允许不可使用，而大数据的产权归采集、计算、制作者，大数据可以流转买卖，但不能包含可识别用户身份的数据。

涉及个人信息的数据一旦“失控”，很可能为不法分子利用。朱巍说，公司内鬼偷、黑客外部攻击等导致数据泄露的情况出现后，企业要承担责任，因为其对数据具有安全保障责任。他坦言，从目前的实践看，数据泄露事件发生后，查找与之对应的责任人可能存在一定难度，但作为数据管理者的企业却很容易找到，用户可以要求数据管理者承担责任。

记者了解到，国家网络安全法明确规定，网络运营者应当按照网络安全等级保护制度的要求，履行安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。

陈际红认为，虽然企业可能也是数据泄露的受害者，但如果其未尽到企业网络安全保护义务的话，仍要承担包括行政处罚责任在内的法律责任。

目前来看，泄露事件发生后，个人维权仍存在困难。“受侵害的信息主体有权要求企业承担民事赔偿责任，但在举证上仍存在一定困难。”陈际红认为，此种情况下，公安、网信办等执法部门通过行政执法措施来加强个人信息保护显得尤为重要。据《检察日报》