网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

曾在互联网借贷平台短暂工作过的雷雨告诉南都记者，他所接触的互联网借贷企业几乎没有个人信息保护的概念，彼此交换信息倒是常态，一些催收公司会主动将个人信息提供给借贷公司，作为换取业务的筹码。“我们公司有30多个人，几乎每个人都能接触到一手的客户信息，我甚至能看见用户做人脸认证的照片。”雷雨说。

广东警方“净网安网”行动中查获的金融类黑灰产信息。图自广东省公安厅。

· 5 ·家丑

这半年，某互联网企业程序员林岳感到，公司的安全管控氛围越来越严。合规部门负责人已经在多次内部大会上分享内控经验，包括抓到了几年前作案、已经离职的内鬼。就在前不久，公司还通知全体员工安装几款软件，他觉得此举是要进一步监控员工的操作日志和传输内容。

林岳所感受的变化，不仅存在于他供职的企业。天空卫士高级安全顾问宋威说，越来越多的企业意识到了内部数据安全的重要性。“很多企业会要求先试用产品，测试结果通常都会让他们大吃一惊。信息外泄几乎每天都在发生，严重程度远远超出了他们的想象。” 宋威直言。

尽管技术界在研究更完善的解决方案，彻底根除内鬼，似乎是个不可能完成的任务。“如果各种行为都有详细的记录，很多异常是可以发现的。不过企业的发展一般是业务优先，安全的措施一般是后面补上的。比如详细的日志记录和权限管控，可能就做得不那么细致。”一位安全专家说。

宋威则表示，在很多企业里，安全团队的主要任务是维持业务安全，而不是集团内整体安全的管理。要防止数据外泄，企业首先要进行繁杂的数据梳理，分析各个业务线，确定哪些是需要保护的数据。有的时候，企业自己都没想到系统某个设置会造成数据外泄，也就很难做到事前预防。

在企业，发现内鬼的时间一般是一到三个月，在政府机构，窃取行为可延续长达一两年之久。据裁判文书网，从2015年5月到2016年6月，河北省晋州市市场监督管理局工作人员支彦荣通过QQ向中间商提供了160万条来自河北省工商企业注册系统中的公民个人信息，直到中间商落网才被牵出。

尽管企业和政府机构也是内鬼的受害者，但出事后，它们一般抱着家丑不可外扬的心态，悄悄地进行处理。尤其是企业，更不愿事件曝光后导致自己的商誉受损，息事宁人，方为上策。北京中海义信司法鉴定所主任石鹏认为，这也是造成很多内鬼能连续作案的重要原因。

一名知乎网友在内鬼相关问题下的留言。

· 6 ·重操旧业与各方合力

从徐玉玉案发生到去年“两高”司法解释实施，再到今年2月公安部部署全国开展“净网2018”专项行动，一轮又一轮的打击高潮出现，大批黑产成员落网。但严厉的打击背后，还有若干深层问题待解。

“2007年前后，我在北京的‘北京卿群信息有限公司’上班，这个公司主要就是卖公民个人信息，我在这个公司干3年左右就回信阳老家了，后来听说公司的老板被公安机关抓了。” 在河南省宝丰县人民法院审理的一起案件中，证人王某供述，“以前在北京的时候就知道买卖信息可以赚到钱”，回老家结婚后偶然得知朋友黄某甲在工商所上班，便鼓动丈夫和黄某甲一同干起了信息倒卖。

梳理裁判文书网案例可以发现，即使是在“两高”司法解释出台后，涉案人员的刑期也多在一年左右，最高不过四年，与多年前相比并没有明显变化。加上嫌疑人被抓后通常有悔过表现，普遍会获得减刑判决。

公开资料中的部分“内鬼”案例。

北京师范大学刑科院暨法学院副教授吴沈括认为，从刑法修正案（七）到刑法修正案（九），再到“两高”司法解释，扩大刑事保护的范围、细化刑事介入的范围标准、提升个人信息的保护水平，是明显的变化趋势。但在司法实践中，针对侵犯公民个人信息的犯罪，仍然存在查处难、证明难、定罪难的“三难”情况。