2011年8月，23名涉嫌倒卖公民个人信息人员在北京被判处最高三年有期徒刑，当中作为泄密源头的多名人员为移动、电信、联通三大运营商员工;

2011年11月，国内最大的技术社区CSDN爆出600万注册用户信息泄露事件，包括明文存储的密码，成为国内互联网领域爆发的最大规模的用户信息泄露事件。随后，包括天涯、YY语音、京东商城等多家互联网与电子商务企业爆出用户信息泄露丑闻;

2012年3月，央视315晚会以“保护个人信息”为主题，曝光了招商银行信用卡中心员工违规出售2318份客户信息丑闻，事件最终导致经济损失300多万，同时多家银行被曝涉事其中;

2012年4月，在有关部门统一部署的打击非法贩卖公民个人信息的行动中，河北保定一工商员工因非法出售公民信息被捕，累计非法获利5万余元，由此曝光了政府机构与事业单位中广泛存在的内部人员贩卖信息的行为。同时，国内首部“个人信息保护条例”正在征求意见中。一场到目前为止最为严格的个人信息保护风暴正在展开…

一个个触目惊心的案例，揭示了目前国内公民个人信息保护形势之严峻，而且，形势正因为互联网的迅速发展而变得更加复杂。个人信息被通过各种渠道收集、贩卖和非法应用，更多普通人因此遭遇或大或小的经济损失，遭受更多的垃圾短信、邮件和推销电话的骚扰，遭遇诈骗甚至更严重的犯罪威胁。公民个人信息泄露已经实实在在的与每个公民有关。

另一方面，对于持有大量公民个人信息的组织来说，信息泄露的代价也越来越无法承受。在个人信息保护机制健全的美国、欧盟、日本等地，有严格的成文法规对隐私保护做出详细规定，保护所持有的个人信息是企业必须承担的责任。在这种前提下，一旦遭遇泄密事故，组织往往面临监管机构的天价罚单和用户的索赔诉讼，例如去年索尼PSN网络泄密带来的直接损失达1.7亿美元，后续间接损失更可能以数十亿计。此外，一旦遭遇大规模的泄密事故，对于该组织的信誉打击往往是毁灭性的，即使最高负责人以公开道歉等高规格措施补救也于事无补。

具体到我国，作为大量公民个人信息的持有者，政府机构、金融、电信运营商、社交网络运营商等组织有义务去保护所持有的信息。随着形势的日趋严峻，监管部门对于个人信息保护的力度也在加强。媒体的不断曝光，促使相关部门在近期出台了《个人信息保护指南》，代表了监管层面对于个人信息保护的态度转变。那么，个人信息保护现实不尽如人意的根源何在?前路又在何方?作为国内知名的内网安全与信息泄露防护厂商，溢信科技(www.ip-guard.net )近期专门就这一课题进行了研究，希望能给为相关领域的安全人员提供一些有益的建议。

还原信息泄密的典型链条

随着2012年4月以来公安部统一部署的个人信息保护行动的展开，众多买卖公民个人信息事件浮出水面，结合溢信科技多年来的信息泄露防护经验，我们可以总结出一条清晰的由内部人员开始的泄密链条。

1) 信息源，也是最终的受害者

政府机构和事业单位所持有的基础数据，如人口统计和工商登记数据等，金融、电信运营商、医疗、互联网服务提供商等企业所拥有的海量数据，都是重要的数据来源。可以说，每个个体所提交的任何真实数据信息，最后可能都会以一条记录的形式存在于某个数据库中。

2) 卖家，泄密的开始;

根据溢信科技的经验，数据泄密的源头，大致可以分为三类：

根据公安部统一行动以来的报道，第一类类情况更为普遍。内部人员因其天然拥有的合法权限而具有数据买卖的便利，而国内愈加猖獗的黑客盗取数据库行为也让人不可小视，2011年所爆发的CSDN、天涯用户注册信息泄露，便可见一斑。