本文转自【保密观】；

上周，一起保险业从业人员侵犯公民个人信息的案件宣判，引发广泛关注。据报道，多达25万条包含姓名、电话乃至资产状况的个人信息被明码标价，肆意倒卖。

这一案件再次敲响了信息安全的警钟。今天，“保密观”与你一起探讨这起案件背后折射出的个人信息保护问题。

从违法购买到疯狂倒卖

2024年6月，周利青（文中涉案人员均为化名）入职某大型保险公司做销售员。为扩大客户范围，他通过一些渠道违法购买了20余万条公民个人信息用于联系客户，仍未成功签单，随后离职。

离职后的周利青，于2024年10月动起变现信息的歪念。他在社交平台、贴吧以 “BX数据，有意者私信” 为暗语，售卖包含姓名、电话、家庭住址，甚至银行存款、保险存单金额等隐私信息的 “套餐”。

宋子传、赵振磊、董承尧等15名买家（多为保险从业者）先后向其购买信息，用于推销保险、完成转正考核等，部分买家还进行二次转卖。其中，赵振磊分4次购买近4万条信息，含200条某银行千万元级存款客户信息，每条仅售2毛钱。最终，周利青累计售卖公民个人信息25万余条，涉案金额4.3万余元。北京市公安局在开展个人信息保护系列专项行动时，发现了周利青等人的犯罪行为。2025年4月2日，周利青被公安机关逮捕归案。

周利青非法买卖他人个人信息的行为，严重侵犯了公民个人信息权益，损害了社会公共利益，侵犯了众多不特定公民的合法权益。2025年7月31日，北京市丰台区检察院以周利青涉嫌侵犯公民个人信息罪向法院提起刑事附带民事公益诉讼。9月25日，此案开庭审理。

12月15日，丰台区法院对此案作出判决：以侵犯公民个人信息罪判处周利青有期徒刑三年十个月，罚金5万元；责令其退缴违法所得4.3万余元，并承担公益损害赔偿金4.3万余元。另外，要求周利青删除软件中存储的相关公民个人信息，在省级媒体上就其侵犯公民个人信息的行为向社会公开赔礼道歉。2025年7月21日，宋子传、赵振磊、董承尧三人因涉嫌侵犯公民个人信息罪被移送检察机关审查起诉，目前案件尚未起诉。其他涉案人员的相关问题也在处理中。

案发后，办案检察官就保险行业客户公民个人信息泄露和售卖等问题与相关单位进行沟通和交流。相关单位表示已经加强对单位涉及客户个人信息的保密管理，严格要求单位人员签订保密协议，进一步限制一般销售人员接触客户个人信息资料的权限。

“保密观”有话说

这起由保险从业者引发的个人信息倒卖案，折射出当前个人信息保护领域的治理挑战。从周利青的铤而走险到15名买家的“行业性”需求，一条灰色的数据产业链清晰浮现。

实际上，个人信息的搜集、传输、存储和使用涉及多方，保护消费者的个人信息更需要银行保险机构、监管、公安机关等形成合力。

2024年12月，金融监管总局发布了《银行保险机构数据安全管理办法》，明确提出，银行保险机构应当按照“谁管业务、谁管业务数据、谁管数据安全”的原则，明确各业务领域的数据安全管理责任，落实数据安全保护管理要求。

银行保险机构应依据相关法律，建立健全客户信息安全管理制度。明确各岗位在个人信息处理过程中的职责，细化信息收集、存储、使用、传输等环节的操作规范，严格限制员工对客户信息的访问权限。

唯有通过全社会的共同努力，构筑起“不敢犯、不能犯、不想犯”的坚固防线，才能让个人信息在数字时代真正得到应有的尊重与守护。