日前，江苏淮安警方破获一起特大侵犯公民个人信息案件，而在贩卖个人信息的黑色产业链中，建行员工也参与其中。

据了解，有建行员工将相关银行卡使用人的身份信息、电话号码、余额甚至交易记录，售卖给下家，进行谋利。警方资料显示，银行“内鬼”查询一条客户信息可以分到80-110元，而从“内鬼”到销售末端，一条信息的价格可能翻上数倍。

在上述黑色产业链中，有银行“内鬼”一年的黑色收入超30万，涉案金额高达2100多万元。

针对建设银行员工参与泄露、贩卖个人信息黑色产业链的情况，有律师指出，银行作为员工的雇佣方，有管理约束员工的义务，相关银行及直接负责人也应当负相应责任。

《商学院》记者就银行员工参与贩卖公民信息黑色产业链、银行对员工的管理、保护公民个人信息制度等问题向建设银行发送采访函。截止发稿，尚未得到对方回复。

银行“内鬼”年黑色收入超30万

警方调查发现，涉案QQ群内昵称为“建行”“在野”“金融”的多个QQ号，经常与群内成员私下交易，声称只要提供银行卡号或者身份证号，就可以查询到相关银行卡使用人的身份信息、电话号码、余额甚至交易记录。

据了解，上述付费查询他人的银行卡相关信息行为，查询到的信息又快又准。根据难易程度，一条信息售价几百到几千元不等。

值得注意的是，淮安市公安局淮阴公安分局网安大队副大队长吴广正指出，“通过现有证据，我们分析用简单的撞库或者现有的其他技术，是无法获取到如此大规模的公民个人信息，那么这些案件就有很可能是银行内部的工作人员参与其中。”

而在案件调查过程中，银行“内鬼”也浮出水面，其中就包括建设银行员工。据某犯罪嫌疑人交代，其正是通过在建设银行工作的“朋友”查询客户信息。

据了解，银行工作人员在上述犯罪团伙中发挥“重要作用”，有银行职员仅靠着帮忙查询相关银行卡信息，一年的黑色收入就超过了30万元，而其查询一条客户信息可以分到80-110元。

警方介绍，银行“内鬼”联系的中间商为了安全起见一般只有一到两人，这些中间商下面还有各种分销商，层层代理，逐步形成了一个以行业部门内部“内鬼”为源头、大量中间商为中介，通过网络勾结、贩卖银行卡的相关身份证、电话号码、余额、交易记录的网络犯罪团伙。

“因为层级很多，所以越到产业链的末端，信息的价格越高，从‘内鬼’到销售末端，一条信息的价格可能翻上数倍，除了犯罪风险，没有其他成本，利润非常高。”淮阴分局网安大队大队长朱延亮说。

涉及个人信息5万多条、涉案金额超2100万元

牵扯银行员工、涉及公民个人信息数量巨大、层级复杂、利润高……在上述特大侵犯公民个人信息案件中，犯罪交易方式还十分隐蔽。

吴广正指出，“我们发现这是一个由多个中间商构成的贩卖公民个人信息的犯罪网络架构，该架构中，上下线人员关系复杂，为了躲避公安机关的打击，交易方式选择得十分隐蔽，经常使用一些商铺的二维码进行收款，而且经常变换。”

此外，通过对上万条数据信息梳理研判，民警发现，犯罪团伙在西安、成都、厦门等地已经形成了规模化黑色产业链，由于涉及公民个人信息数量巨大，且涉案人员众多，分布地域较广，该案被公安部列为挂牌督办案件。

办案民警顺藤摸瓜、连续作战，根据查获的线索，扩展调查，在查清犯罪团伙组织架构和锁定相关犯罪证据后，2019年7月至12月，淮阴警方抽调40余名警力先后组成8个抓捕小组，历时5个月，先后辗转四川、陕西、福建、湖南、浙江、广东、内蒙古等9个省份12个城市进行收网。

在该案件中，警方抓获犯罪嫌疑人26名，扣押涉案手机60余部，涉及公民个人信息50000多条，涉案金额2100余万元，追缴违法所得400余万元，成功摧毁了6条泄漏、贩卖公民个人信息的黑色产业链。

目前，涉案的26名嫌疑人已全部被移送检察机关审查起诉。

银行应负相应责任

中闻律师事务所创始人李亚指出，银行员工将银行客户信息大量泄露给“中间商”并成为贩卖公民个人信息的黑色产业链中的“第一环”，根据情况严重程度，这一行为已经构成“侵犯公民个人信息罪”，应当承担相应的刑事责任。

李亚还表示，就严重程度的认定问题，《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第五条规定，“知道或者应当知道他人利用公民个人信息实施犯罪，向其出售或者提供的”、以及“非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的”等均构成《刑法》第二百五十三条规定的“情节严重”。

与此同时，李亚认为，银行作为员工的雇佣方，当然有管理约束员工的义务，相关银行及直接负责人也应当负相应责任。根据《刑法》第二百五十三条规定，单位犯侵犯公民个人信息罪的，将被判处罚金，其直接负责的主管人员和其他直接责任人员也将依照各该款的规定处罚。

“即使银行不构成刑事犯罪，也涉嫌违反《商业银行法》和银保监会关于个人信息保护、审慎经营的监管规定，应当承担责令改正、罚款等行政责任；直接责任人员可能面临罚款、取消任职资格、禁止从事有关金融行业工作等相关处罚。”

李亚指出，近年来，国家在保护公民个人信息方面取得了不小的进步。《刑法》、《侵权责任法》、《网络安全法》、《消费者权益保护法》、《商业银行法》、《未成年人保护法》、《电信条例》、《计算机信息网络国际联网安全保护管理办法》等法律法规条例均对个人信息的收集、使用、保护规则以及侵害个人信息的责任作出了规定。“个人信息受法律保护”的原则还被写进2017年的《民法总则》。

“5月28日，十三届全国人大三次会议高票通过了《中华人民共和国民法典》，这部法典自2021年1月1日起施行。进一步对个人信息的内涵、范围、保护方式等作出细致规定；并计划制定《个人信息保护法》。结合来看，我国正在逐步形成以民事基本法与行政单行法为主体的个人信息保护法律体系。”

同时，在银行保护客户信息方面，李亚表示，银行应当进一步加强对客户个人信息的保护措施和对员工合规操作的管理。首先，银行应合法合规地收集客户信息，在征信业务范畴内注意信息提供主体的相应资质，确保信息来源合法、正当、必要并经收集者同意。

其次，银行应合法合规使用个人信息，合规开展内部信息共享，加强征信系统管理，特别是对外提供客户信息时应确保符合相关法律规定并取得客户授权，并加强对合作机构信息保护能力的审查。

最后，银行应加强对内部从业人员的合规培训，将日常合规操作纳入考核，全面增强员工的个人信息保护意识。