监管通报 - 公安部计算机信息系统安全产品质量监督检验中心检测发现38款移动应用存在违法违规收集使用个人信息情况 [1] - 2345浏览器（版本16.1.8，应用宝）存在未逐一列出收集使用个人信息的目的方式范围以及实际收集个人信息超出用户授权范围的问题 [1] 公司产品与业务 - 上海岩山科技股份有限公司旗下2345.com于2005年上线，自主研发2345网址导航、浏览器、安全卫士、好压、看图王、输入法、天气预报及青鸟壁纸等多款知名软件，覆盖PC端和移动端 [1] 公司名称变更 - 2015年3月公司名称由上海海隆软件股份有限公司变更为上海二三四五网络控股集团股份有限公司 [2] - 2023年8月公司名称由上海二三四五网络控股集团股份有限公司变更为上海岩山科技股份有限公司 [2]

监管行动概述 - 公安部依据《网络安全法》《个人信息保护法》等法律法规，对38款移动应用进行通报，指出其存在违法违规收集使用个人信息的情况 [1] - 检测工作由公安部计算机信息系统安全产品质量监督检验中心执行，检测时间为2025年7月25日至2025年8月11日 [1][11] - 上期通报的33款应用中，经复测仍有5款存在问题，已被应用分发平台下架 [11] 个人信息收集规则违规 - 有2款应用未公开收集使用规则，包括《家政加》和《聘巢》 [1] - 有19款应用未逐一列出收集、使用个人信息的目的、方式、范围，涉及《联想乐云》、《画啦啦美术课堂》、《智通直聘》等多款应用 [2] 用户告知与同意环节违规 - 有4款应用在申请打开可收集个人信息的权限时，未同步告知用户其目的，包括《e家政》、《in》、《聘巢》、《找零工》 [3] - 有4款应用在申请收集用户个人敏感信息时，未同步告知用户其目的，涉及《我要聘》、《闪电直聘》、《吉工家》、《建筑招工》 [4] - 有3款应用在征得用户同意前就开始收集个人信息，包括《秀色直播》、《微米浏览器》、《当日急聘》 [5] 个人信息收集范围与授权违规 - 有19款应用实际收集的个人信息超出用户授权范围，涉及《联想乐云》、《画啦啦美术课堂》、《达管家》等多款应用 [6] - 有3款应用的个人信息保护政策中描述需要收集的个人信息超出相关功能的必要范围，包括《地铁查询宝》、《文件解压管家》、《微车》 [7] - 有1款应用的配置文件中声明的可收集个人信息的权限超出相关功能的必要范围，为《爱看书免费小说》 [8] - 有6款应用实际收集的个人信息超出相关功能的必要范围，包括《豆果美食》、《百思漂流瓶》、《优惠券》等 [9][10] - 有1款应用实际收集个人信息的频率超出相关功能的必要范围，为《家宝兔》 [10] 权限与信息强制要求违规 - 有2款应用提前要求用户打开非当前功能所需的可收集个人信息权限，包括《同城招聘》和《找零工》 [10] - 有1款应用强制要求用户打开非必要的可收集个人信息权限，为《e家政》 [10] - 有1款应用强制要求用户提供非必要的个人信息，为《好兔视频》 [10] 用户权利保障缺失 - 有1款应用未向用户提供更正或补充其个人信息的具体途径，为《当日急聘》 [10] - 有1款应用未向用户提供注销账户的途径和方式，为《找零工》 [10] - 有2款应用在注销账户的流程中设置不合理的条件或提出额外要求，包括《597直聘》和《快马日结》 [10] - 有3款应用未提供退出或关闭个性化展示模式的选项，包括《壁纸多多》、《找零工》、《汇博招聘》 [10]

监管行动背景 - 监管行动依据为四部门联合发布的2025年个人信息保护系列专项行动公告要求 [1] 违规应用与检测结果 - 检测发现“家政加”、“聘巢”等38款移动应用存在违法违规收集使用个人信息的情况 [1] - 检测机构为公安部计算机信息系统安全产品质量监督检验中心 [1] 行业影响 - 移动应用行业面临更严格的个人信息收集使用合规审查 [1] - 监管行动表明对移动应用数据合规性的持续关注与执法力度 [1]

诈骗手法与流程 - 诈骗分子冒充航空公司客服，以航班因机械故障取消可领取300元补偿金为由实施诈骗 [1] - 诈骗流程包括：谎称验证个人账户安全，引导受害者进行小额转账，再诱导与“航空公司对公账户”转账，最终通过屏幕共享软件控制手机进行大额转账 [1][2][3] - 诈骗活动集中在航班起飞前一天进行，利用时间压力降低受害者警惕性 [2] 数据泄露与黑产链条 - 犯罪团伙通过技术手段寻找航空公司网站漏洞，爬取机票数据，非法获取公民个人信息及机票数据达5000余万条 [3][5] - 获取的数据包含旅客姓名、身份证、手机号、起飞时间、起飞机场、落地机场等详细信息 [3] - 犯罪团伙将每条信息以5-8元的价格卖给下游料商，最终流向境外诈骗窝点 [3] 案件侦破与影响 - 公安机关抓获犯罪嫌疑人12名，涉案总金额（人民币加虚拟货币）超过1400万元 [4] - 犯罪团伙成员年龄多在20-30岁之间，部分具备计算机相关专业背景 [5] - 警方梳理出尚未出行的机票数据9.5万余条进行预警，并向相关单位推送修补网站漏洞建议，相关漏洞已被修复 [6] 行业暴露的问题与警示 - 案件暴露出航空公司和票务平台在数据安全方面存在严重漏洞，第三方接口和数据爬虫等高危环节防护不足 [6] - 加强常态化安全监测机制、系统漏洞排查及旅客个人信息保护是相关公司必须履行的责任 [6] - 消费者需提高防范意识，对涉及退改签的电话应通过回拨官方客服电话进行核实 [6]

违规应用类型分布 - 38款移动应用存在违法违规收集使用个人信息情况 [1] - 未公开收集使用规则涉及2款应用 包括《家政加》和《聘巢》[1] - 未逐一列出收集使用目的方式范围涉及19款应用 包括《联想乐云》《画啦啦美术课堂》《智通直聘》等 [2] - 申请打开权限时未同步告知目的涉及4款应用 包括《e家政》《in》《聘巢》《找零工》[3] - 收集敏感信息时未同步告知目的涉及4款应用 包括《我要聘》《闪电直聘》《吉工家》《建筑招工》[4] 违规收集行为特征 - 征得同意前开始收集信息涉及3款应用 包括《秀色直播》《微米浏览器》《当日急聘》[5] - 实际收集信息超出授权范围涉及19款应用 包括《联想乐云》《画啦啦美术课堂》《达管家》等 [6] - 隐私政策描述超出必要范围涉及3款应用 包括《地铁查询宝》《文件解压管家》《微车》[6] - 配置文件声明权限超出必要范围涉及1款应用 《爱看书免费小说》[7] - 实际收集信息超出必要范围涉及6款应用 包括《豆果美食》《百思漂流瓶》《优惠券》等 [9] 强制性与流程违规 - 收集频率超出必要范围涉及1款应用 《家宝兔》[9] - 提前要求打开非必要权限涉及2款应用 《同城招聘》《找零工》[9] - 强制要求打开非必要权限涉及1款应用 《e家政》[9] - 强制要求提供非必要信息涉及1款应用 《好兔视频》[9] - 未提供信息更正途径涉及1款应用 《当日急聘》[9] 账户管理违规 - 未提供注销账户途径涉及1款应用 《找零工》[9] - 注销设置不合理条件涉及2款应用 《597直聘》《快马日结》[9] - 未提供关闭个性化展示选项涉及3款应用 《壁纸多多》《找零工》《汇博招聘》[9] 监管执行情况 - 上期通报33款应用中5款经复测仍存在问题 相关平台已予以下架 [10] - 本次检测时间为2025年7月25日至8月11日 [10]

案件背景与模式 - 甘肃张掖市高台县发生公民个人信息泄露案件 涉及80万条个人信息和35万元资金 [3][4] - 案件起源于工程车司机被微信好友以充值返利诈骗 通过网购记录追查到无货源电商模式 [3] - 无货源电商模式中商家A将订单转卖商家B发货 A赚取差价 催生出解密中介产业 [4] - 每条信息解密价格在0.几元至2元之间 形成完整犯罪链条 [4] 犯罪链条结构 - 犯罪链条包含四个层级：快递公司内部人员为信息源 订单解密技术人员为上线 层级代理为中间商 无货源电商商家为终端买家 [4] - 胡文军通过前同事账号密码或爬虫软件从快递公司内部平台解密加密订单信息 [4] - 李广飞作为层级代理加价转卖解密信息给无货源电商商家 [4] - 警方最终抓获18人 查获80余万条公民个人信息 4名主犯于2024年7月被判刑 [4] 技术漏洞与内部管理 - 快递公司内部信息平台与电商平台存在数据合作 加密信息在内部平台可被直接查询 [4] - 犯罪手法技术含量较低 核心问题在于内部账号密码泄露 属于典型内鬼作案 [5] - 企业业务分包模式导致信息安全风险 中小分包商因规模小/技术弱/管理乱易成泄露源头 [5] - 内部管理混乱和权限管控不到位是信息泄露的主要成因 [5] 行业特征与治理挑战 - 产业联动犯罪形式在行业内非常普遍 以互联网平台为据点形成犯罪生态 [1][5] - 微小数据源点可能快速形成完整犯罪链条 虽技术含量不高但危害性大 [5] - 涉案人员分散和证据链难获取为案件侦破带来显著难度 [5] - 需国家层面完善法律法规提高犯罪成本 同时强化企业数据保护投入 [5]

案件概述 - 天安财险、国寿财险等机构6名高管及业务负责人因购买公民个人信息20余万条被判侵犯公民个人信息罪 [1] - 信息泄露源头为太平洋保险安徽省分公司电销负责人杨某丰，其将全省购车数据按地市分类打包出售，每条标价0.7至0.9元 [1] 数据黑产运作链条 - 数据贩子杨某与前同事杨某丰合谋，利用后者掌握的安徽全省购车数据建立非法交易网络 [3] - 数据包含车主姓名、身份证号、手机号、车架号及保险到期日等敏感信息，按地市分类打包出售 [3] - 2019年至2022年间，涉案人员通过中间人杨某购买公民个人信息合计20余万条 [3] 涉案公司及人员交易详情 - 芜湖清亿汽车服务公司原法定代表人李某某购买9万余条信息，支付9万余元 [3][5] - 安徽潜程商务公司原主要负责人涂某某购买9万余条信息，支付95781元 [3][5] - 天安财险安庆中心支公司原总经理杨某某购买3万余条信息，支付37500元 [4][5] - 天安财险黄山中心支公司原电销负责人俞某某购买2万余条信息，支付2.4万元 [4][5] - 国寿财险郎溪县支公司原副经理王某购买2万余条信息，支付1.5万元 [4][5] 案件审理结果 - 一审法院认定涉案人员购买、使用公民个人信息情节严重，构成侵犯公民个人信息罪 [7] - 二审法院驳回杨某某与何某某的上诉，维持原判 [8][9] 行业潜规则 - 天安财险安庆公司电销部因客户信息稀缺，主动对接非法渠道购买数据 [11] - 非法购买信息行为得到公司管理层认可，通过总部审批、财务报销等环节成为常规操作 [11] - 保险电销领域存在"数据依赖"，部分从业者为追求业绩触碰法律红线 [12] 监管政策 - 2024年12月27日发布的《银行保险机构数据安全管理办法》设置"个人信息保护"章节，规范个人信息处理 [13] - 2025年6月30日施行的《中国人民银行业务领域数据安全管理办法》细化数据安全合规要求 [13] - 2025年8月1日《金融基础设施监督管理办法》对金融数据跨境流动设置严格屏障 [14]

案件概述 - 近期中国裁判文书网公布的一则刑事裁定书显示，杨某某、何某某、俞某某等人为拓展保险业务，购买公民个人信息数万条，犯侵犯公民个人信息罪 [1] - 这些被倒卖的个人信息同样来自于保险公司内部人员，即“内鬼” [1] - 车主敏感的个人信息（包括车架号、身份证号、电话、姓名、住址以及保险到期日）被以每条七至九毛钱的价格出售 [3] 涉案人员与行为 - 杨某某为天安财险安庆中心支公司原总经理，安排何某某（该公司电销部门原负责人）通过转账3.75万元，两次从杨某处购买公民个人信息3万余条 [2] - 俞某某为天安财险黄山中心支公司电销部门原负责人，花费2.4万元从杨某处购买公民个人信息2万余条 [2] - 信息源头杨某丰是某大型保险公司安徽省公司电销负责人，其手中有安徽省全省的购车数据，与杨某合谋出售数据牟利，所获利润三七分成（杨某拿七成） [3] - 最终，杨某某与何某某各被处罚金5000元，俞某某免予刑事处罚 [2] 行业影响与风险 - 保险业务的核心是“信任”，客户基于信任向保险公司提供个人信息，信息泄露或滥用会直接破坏客户对企业乃至整个行业的信任，导致客户流失、业务缩减 [3] - 随着保险业数字化程度不断提升，侵害公民个人信息权益的问题也随之而来，如何保护好客户的个人信息是保险公司面临的新课题 [1] 监管动态与要求 - 金融监管部门对个人信息保护的监管在加强，例如2024年12月，金融监管总局发布了《银行保险机构数据安全管理办法》 [4] - 该办法明确提出，银行保险机构应当按照“谁管业务、谁管业务数据、谁管数据安全”的原则，明确各业务领域的数据安全管理责任 [4] - 从监管执法情况看，已有保险机构内部人员因侵犯公民个人信息被处罚，例如某人寿保险股份有限公司上海分公司一名初级辅导专员因此被禁止进入保险业三年 [4] 建议与措施 - 建议保险公司应依据《中华人民共和国个人信息保护法》等相关法律，建立健全客户信息安全管理制度，明确各岗位职责，细化信息处理各环节的操作规范，严格限制员工对客户信息的访问权限 [5] - 建议监管部门需要加大对保险公司个人信息保护工作的监督检查力度，对发现的问题及时责令整改，对违规行为依法进行处罚，提高保险公司违法成本 [5] - 建议公安机关对侵害公民个人信息的案件“快侦快诉”形成震慑，并同步启动“一案双查”，既查外部违法人员，也查内部人员渎职或利益输送 [6]

行业事件与案例 - 近期中国裁判文书网公布案例显示，保险公司员工为拓展电销业务，购买公民个人信息数万条，犯侵犯公民个人信息罪 [1][2] - 案例涉及天安财险安庆中心支公司原总经理杨某某、电销部门原负责人何某某及黄山中心支公司电销部门原负责人俞某某 [2] - 2020年3月至12月期间，杨某某安排何某某转账3.75万元，两次从杨某处购买公民个人信息3万余条 [2] - 2019年3月，俞某某花费2.4万元，从杨某处购买公民个人信息2万余条 [2] - 最终杨某某与何某某各被处罚金5000元，俞某某免予刑事处罚 [2] - 信息泄露源头为同业保险公司，某大型保险公司安徽省公司电销负责人杨某丰手中握有安徽省全省购车数据 [3] - 2018年杨某与杨某丰合谋出售购车数据，数据按地市分类打包，以每条0.7至0.9元价格出售给各保险公司从业人员，获利三七分成 [3] - 今年初，某人寿保险上海分公司一初级辅导专员因侵犯公民个人信息，被禁止进入保险业三年 [4] 行业现状与挑战 - 保险业数字化程度不断提升，但侵害公民个人信息权益的问题随之而来 [1] - 客户个人信息泄露会直接破坏客户对企业乃至整个行业的信任，可能导致客户流失与业务缩减 [3] - 随着保险机构数字化转型加速，个人信息被泄露、违规收集的情况需被关注和警惕 [4] 监管动态与政策 - 金融监管部门近年来持续加强个人信息保护 [4] - 2024年12月，金融监管总局发布《银行保险机构数据安全管理办法》，明确机构应按照“谁管业务、谁管业务数据、谁管数据安全”原则落实数据安全责任 [4] - 保护消费者个人信息需要险企、监管、公安机关等多方形成合力 [4] - 建议保险公司依据《个人信息保护法》等法律，建立健全客户信息安全管理制度，明确岗位职责与操作规范，严格限制信息访问权限 [5] - 建议监管部门加大监督检查力度，对违规行为依法处罚以提高违法成本 [5] - 建议公安机关对侵害公民个人信息案件“快侦快诉”，并启动“一案双查”以形成震慑 [5]

文章核心观点 保险行业在数字化转型过程中，频发客户个人信息被泄露和非法交易的案件，暴露出行业内存在利用职务便利倒卖客户数据的严重问题，这直接侵蚀了保险业务赖以生存的客户信任基础，行业个人信息保护体系面临严峻挑战，亟需险企、监管与司法部门形成合力加强治理 [1][3][4][5] 案件详情与涉事主体 - **涉案人员与公司**：案件涉及天安财险安庆中心支公司原总经理杨某某、电销部门原负责人何某某，以及黄山中心支公司电销部门原负责人俞某某 [2] - **犯罪行为与数据规模**：为拓展电销业务，杨某某安排何某某花费3.75万元购买公民个人信息3万余条，俞某某花费2.4万元购买2万余条 [2] - **数据源头与交易链条**：被倒卖的购车数据（含车架号、身份证号、电话、姓名、住址及保险到期日）源头来自某大型保险公司安徽省公司电销负责人杨某丰，其与杨某合谋，以每条0.7至0.9元的价格出售给各保险公司从业人员，利润按杨某七成、杨某丰三成分成 [3] - **判决结果**：杨某某与何某某均因侵犯公民个人信息罪被处罚金5000元，俞某某同罪但免予刑事处罚 [2] 行业影响与风险 - **信任危机**：客户基于信任向保险公司提供个人信息，信息泄露或滥用会直接破坏客户对企业乃至整个行业的信任，导致客户流失和业务缩减 [3] - **普遍现象**：车险到期前接到大量推销电话和短信是个人信息被泄露的典型表现 [1] 监管动态与处罚案例 - **监管制度加强**：金融监管总局于2024年12月发布《银行保险机构数据安全管理办法》，明确要求机构落实“谁管业务、谁管业务数据、谁管数据安全”的原则 [4] - **执法案例**：监管对侵犯公民个人信息的保险从业人员实施处罚，例如某人寿上海分公司一名初级辅导专员因该行为被禁止进入保险业三年 [4] 建议与治理方向 - **险企内部管理**：保险公司应依据《个人信息保护法》等法律，建立健全客户信息安全管理制度，明确各岗位职责，细化信息处理各环节操作规范，并严格限制员工对客户信息的访问权限 [5] - **监管与司法合力**：监管部门需加大监督检查力度，对违规行为依法处罚以提高违法成本，公安机关则需对侵害公民个人信息案件“快侦快诉”，并启动“一案双查”，既查外部违法人员，也查内部渎职或利益输送问题 [5][6]