客户信息安全管理学习

客户信息安全管理学习第1页/共17页目录1《中华人民共和国刑法修正案（七）》2《中华人民共和国电信条例》3客户信息安全“五条禁令”4客户信息泄露相关案例第2页/共17页客户信息安全管理学习

近期，公安部组织开展了“打击侵害公民个人信息犯罪集中行动”，集团紧急下发《关于加强客户信息安全保护工作的紧急通知》（信安通[2012]45号)要求在全集团范围内组织开展客户信息安全管理学习活动(6月底前组织完成学习活动)。确保“四个100％覆盖”，即前台营业/客服人员及管理人员、通信网/网管维护及管理人员、业支系统维护及管理人员、第三方支撑维护及管理人员学习覆盖率达到100%的目标；加强员工安全协议签署情况排查，确保敏感岗位全员签署。第3页/共17页客户信息安全管理学习（发布日期：2009年2月28日实施日期：2009年2月28日）在刑法第二百五十三条后增加一条，作为第二百五十三条之一。一、刑法第二百五十三条：邮政工作人员私自开拆或者隐匿、毁弃邮件、电报的，处二年以下有期徒刑或者拘役。犯前款罪而窃取财物的，依照本法第二百六十四条的规定定罪从重处罚。二、刑法第二百五十三条之一：国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。窃取或者以其他方法非法获取上述信息，情节严重的，依照前款的规定处罚。单位犯前两款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。《中华人民共和国刑法修正案（七）》第4页/共17页客户信息安全管理学习（２０００年９月２０日国务院第３１次常务会议通过，９月２０日公布施行。）第五十七条任何组织或者个人不得利用电信网络制作、复制、发布、传播含有下列内容的信息：（一）反对宪法所确定的基本原则的；（二）危害国家安全，泄露国家秘密，颠覆国家政权，破坏国家统一的；（三）损害国家荣誉和利益的；（四）煽动民族仇恨、民族歧视，破坏民族团结的；（五）破坏国家宗教政策，宣扬邪教和封建迷信的；（六）散布谣言，扰乱社会秩序，破坏社会稳定的；（七）散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的；（八）侮辱或者诽谤他人，侵害他人合法权益的；（九）含有法律、行政法规禁止的其他内容的。第五十八条任何组织或者个人不得有下列危害电信网络安全和信息安全的行为：（一）对电信网的功能或者存储、处理、传输的数据和应用程序进行删除或者修改；（二）利用电信网从事窃取或者破坏他人信息、损害他人合法权益的活动；（三）故意制作、复制、传播计算机病毒或者以其他方式攻击他人电信网络等电信设施；（四）危害电信网络安全和信息安全的其他行为。第六十二条在公共信息服务中，电信业务经营者发现电信网络中传输的信息明显属于本条例第五十七条所列内容的，应当立即停止传输，保存有关记录，并向国家有关机关报告。第六十六条电信用户依法使用电信的自由和通信秘密受法律保护。除因国家安全或者追查刑事犯罪的需要，由公安机关、国家安全机关或者人民检察院依照法律规定的程序对电信内容进行检查外，任何组织或者个人不得以任何理由对电信内容进行检查。电信业务经营者及其工作人员不得擅自向他人提供电信用户使用电信网络所传输信息的内容。《中华人民共和国电信条例》第5页/共17页客户信息安全“五条禁令”严禁泄露或交易客户信息依据2009年2月通过的《中华人民共和国刑法修正案（七）》，任何将本单位在履行职责或者提供服务过程中获得的公民个人信息出售或者非法提供给他人，窃取或者以其他方法非法获取个人信息，违反国家规定侵入计算机信息系统获取信息或实施非法控制的行为，均属违法行为。客户信息安全“五条禁令”之（一）第6页/共17页客户信息安全“五条禁令”严禁发送违法信息，或未经客户同意发送商业广告信息依据《关于依法开展治理手机违法短消息有关工作的通知》（公通字【2005】77号），违法信息包括如下五类：一是假冒银行或银联名义发送手机违法短消息息诈骗或者敲诈勒索公私财物的；二是散布淫秽、色情、赌博、暴力、凶杀、恐怖内容或者教唆犯罪、传授犯罪方法的；三是非法销售枪支、弹药、爆炸物、走私车、毒品、迷魂药、淫秽物品、假钞假发票或者明知是犯罪所得赃物的；四是发布假中奖、假婚介、假招聘，或者引诱、介绍他人卖淫嫖娼的；五是多次发送干扰他人正常生活的，以及含有其他违反宪法、法律、行政法规禁止性规定的内容的。客户信息安全“五条禁令”之（二）第7页/共17页客户信息安全“五条禁令”严禁未经客户确认擅自为客户开通或变更业务除了客户通过书面协议、短信上行、网站、WAP等进行确认并留有纸质或电子凭证外，其他均属未经客户确认，客户口头同意也属未经客户确认。客户信息安全“五条禁令”之（三）第8页/共17页客户信息安全“五条禁令”严禁串通、包庇、纵容增值服务提供商泄漏客户信息、擅自为客户开通数据及信息化业务或实施其它侵害客户权益的行为一是通过向增值服务提供商提供业务或技术手段便利帮助其泄漏客户信息、擅自开通业务或实施其它侵害客户权益的行为。二是在对增值服务提供商侵害客户权益行为知情的情况下，对其违规行为包庇、纵容的。客户信息安全“五条禁令”之（四）第9页/共17页客户信息安全“五条禁令”严禁串通、包庇、纵容渠道或系统合作商泄漏客户信息、侵吞客户话费、擅自过户或销号、倒卖卡号资源或实施其它侵害客户权益的行为一是通过向渠道或系统合作商提供业务或技术手段等便利帮助其泄漏客户信息、侵吞客户话费、擅自过户或销号、倒卖卡号资源或实施其它侵害客户权益的行为。二是在对渠道或系统合作商侵害客户权益行为知情的情况下，对其违规行为包庇、纵容的。客户信息安全“五条禁令”之（五）第10页/共17页电信企业近年来发生的客户信息泄露相关案例

2011年8月5日，北京市最大的倒卖公民个人信息案在市二中院宣判，23名被告人分别因出售、非法提供、非法获取公民个人信息罪等被判处有期徒刑2年半到缓刑不等。这些人中有电信“内鬼”7人，国内三大电信运营商——中国移动、中国联通、中国电信均有人员涉案。他们获取机主身份信息后，提供给中间人，几经转手最终落入调查公司之手。

判决书长达60多页，法院查明，2009年3月至12月案发期间，中移动、中国联通、中国电信等三家电信单位的工作人员5人，经中移动、中国联通授权直接从事电信相关业务的其他公司人员2人，利用电信单位服务平台，违反国家规定，将本单位在履行职责或提供服务过程中获得的公民个人信息出售或非法提供给倒卖信息者，其行为分别构成出售、非法提供公民个人信息罪。案例:住址泄露引发血案第11页/共17页电信企业近年来发生的客户信息泄露相关案例

一起血案，发生在北京市朝阳区某小区内。2008年9月的一个周末，被害人王某跟以往的周末一样在家中休息。这时候，突然有人敲门，门外的人自称是快递公司员工前来送货。王某将门打开后，这名敲门的男子立刻抢进屋内。王某这时才发现，这人是他女友的前夫安毅。安毅与前妻离婚后，一直想要复婚，而王某则成了安毅和前妻复婚的最大障碍。几言不和，双方立刻发生了激烈的争吵。这时，安毅从裤兜里掏出了预先准备好的刀，向王某的肚子上扎了两三刀。王某被扎后跪在地上，安毅又向王某脖子上扎了一刀，王某当场死亡。2009年7月，北京市第二中级人民法院以故意杀人罪判处安毅死刑。

王某及其女友从未将住址透露给安某，安毅之所以能在茫茫人海中锁定被害人王某住所，电信运营公司与目前社会上的一些“调查公司”在其中起了至关重要的作用。随着血案的发生，案件中调查公司起到的作用引起了司法机关的重视。北京市公安局对该案中涉案调查公司犯罪嫌疑人张荣浩等19人进行立案侦查。

据张氏兄弟交代，他们获取的许多个人信息，都来源于电信运营企业的员工，从而使电信“内鬼”首次暴露出来。案例:住址泄露引发血案第12页/共17页电信企业近年来发生的客户信息泄露相关案例“内鬼”:张宁

身份:中国移动北京分公司中级座席维护

作案动机:帮朋友

28岁的被告人张宁是中国移动北京公司客户服务中心亦庄区域中心的中级座席维护,负责对公司接线所用电脑的维修及日常维护工作。张宁帮助无业人员林涛修改过100多个全球通手机号的客服密码,并提供了几十名机主的个人信息。林涛与张宁是2004年相识的。张宁作为座席维护,通过内部系统在后台对用户客服密码进行修改,修改时并不需要事先知道原密码。有了密码,便可以随意查询目标机主的通话记录等相关信息。对于帮助林涛修改密码的动机,张宁称:“我知道林涛在通过这个挣钱,但碍于朋友面子,我从来没管他要过钱。因为修改次数越来越多,我就觉得不对,也担心他干违法的事,但拉不下面子推辞。”经调查,张宁修改密码后的信息经由林涛转给一名叫李磊的男子,李磊再转卖到张荣涛手中,之后在调查公司之间流转。案例:住址泄露引发血案第13页/共17页电信企业近年来发生的客户信息泄露相关案例“内鬼”:唐纳宇

身份:中国联通北京分公司监控中心主任

作案动机:利益驱使

1970年2月出生的唐纳宇,从1995年开始在联通公司工作,被抓获之前是中国联通北京分公司网络运行维护部监控中心主任。根据唐纳宇的职责范围,他可以对某个通话的话单进行查询,了解故障发生的地点、时间、通话占用的中继电路等信息,从而对故障问题进行定位,查找其原因。也就是说,唐纳宇可以锁定任何一部手机的所在位置。

2008年6月,唐纳宇的前同事卢哲新问他能否调取手机用户的详细通话单,并提出每调取一次,向唐纳宇付费一两百元。唐纳宇爽快地同意了。此后,唐纳宇通过公司的话费分析系统调取通话单,再通过电子邮箱发送给卢哲新。唐纳宇所能调取的信息非常详细,包括通话开始时间、结束时间、通话时长、主叫号码、被叫号码、语音或短信的业务类型,甚至包括通话机主的所在位置都一清二楚。

2008年6月至8月间,唐纳宇利用单位内部系统,先后提供了100余条联通用户的通话清单,共收取卢哲新两万余元。而找唐纳宇购买通话清单的卢哲新,也只不过是一个二道贩子,他将买来的信息转卖给了张荣浩等人。案例:住址泄露引发血案第14页/共17页电信企业近年来发生的客户信息泄露相关案例

“内鬼”:吴晓晨

身份:中国网通北京三区分公司的商务客户代表

作案动机:为圆“私家侦探”梦

28岁的吴晓晨有一个与众不同的爱好,那就是梦想当一名侦探,所以他给自己起了个别名叫“高飞”。吴晓晨第一份工作是中国网通北京市三区分公司广安门外分局商务客户代表,他可以进入公司内部的互联网,查阅企业信息及本局商务客户的信息资料。

2005年4月,他负责安装座机电话时与张荣浩结识,在得知张荣浩开了一家私家侦探公司,需要大量客户信息后,两人一拍即合。吴晓晨担任调查公司的编外“私家侦探”,张荣浩每月给吴晓晨2000元“辛苦费”。几个月下来,吴晓晨共获利1万多元。

2008年10月,尝到甜头的吴晓晨干脆在朝阳区开了一家义正信捷商务调查有限公司,开始自立门户当上了“私人侦探”,这家公司注册资本10万元,主要做婚姻调查。与此同时,吴晓晨以每单100元的价格向张荣涛出售通话清