2025年9月,一则消息在通信行业引起了轩然大波。北方某省电信运营商被曝光内部查询系统遭到滥用,超过十万条用户通话记录被违规调取,涉及的用户数量和敏感程度令人震惊。这些数据包括用户的通话时间、通话时长、通话对象号码等详细的通信记录,而这些信息本来应当受到通信保密法的严格保护。更令人不安的是,这些数据被出售给了多家从事债务催收和商业调查的公司,大量用户的个人隐私因此受到侵犯。
调查发现,这起大规模数据泄露的始作俑者并非外部黑客,而是该运营商内部计费中心的系统管理员钱某。钱某拥有系统最高管理权限,可以不受限制地访问和查询任何用户的通话记录。他利用职务之便,编写了一个自动化的数据批量导出脚本,在长达一年多的时间内定期从系统中提取用户通话记录数据,并通过加密U盘将数据带出公司,以每条记录零点几元的价格出售给第三方公司。钱某在这起事件中获利超过五十万元,而被侵犯数据权益的用户超过十万人,遍布各行各业,其中不乏政府公务人员和企业高管。
这起事件揭示了电信运营商在内部数据安全管理上的深层次问题。作为承担关键信息基础设施运营责任的通信企业,运营商掌握着海量的用户通信数据,这些数据的敏感程度远超一般企业的商业数据。然而在内部管理上,系统管理员拥有最高权限却缺乏有效的监督制衡机制。钱某的行为持续了一年多才被发现,说明公司的审计和监管机制存在严重滞后。用户在完全不知情的情况下,自己的通话记录成了他人的谋利工具。这种信任的崩塌对于电信运营商来说是致命的。
从法律角度看,用户通话记录属于通信秘密和个人信息的双重保护范畴,受到电信条例、个人信息保护法和刑法的严格保护。钱某的行为涉嫌侵犯公民个人信息罪和非法获取计算机信息系统数据罪。该运营商同样难辞其咎,按照网络安全法和关键信息基础设施安全保护条例的要求,运营者有义务对内部人员的数据访问行为进行有效监管和记录,未能履行相关安全义务的,同样面临巨额的行政处罚和责任追究。事件曝光后,该运营商被主管部门约谈,被责令进行全面的安全整改。
这一案例对整个通信行业乃至所有掌握用户数据的企业都是一次深刻的警示。通信数据的保护不仅关乎企业的商业信誉,更涉及国家信息安全和个人隐私保护的大局。运营商应当建立严格的数据访问权限管理制度,对系统管理员等高权限账号实行双人共管或审计追踪机制。任何对用户数据的批量访问和导出操作都应当经过审批,并触发实时的告警通知。数据审计应当从事后人工抽查升级为自动化的异常行为识别系统,确保任何违规操作都能在最短时间内被发现和阻断。同时,企业应当对高权限岗位的员工建立更加严格的背景审查和监控机制,从制度和人员两个层面同步筑牢数据安全防线。保护用户通信数据的安全,既是法律的要求,也是电信运营商的生存之本。
北京企密安信息安全技术有限公司
/010-87562232
邮箱:px@baomiwang.com
公众号:Qi-Mi-An
