文章总结： 上海某数据服务公司员工罗某某利用职务权限，窃取并出售20余万条公民个人信息至境外，以虚拟币结算获利。静安区检察院以侵犯公民个人信息罪提起公诉及附带民事公益诉讼，建议公司加强内部管理、技术监管与员工教育，以防范类似事件。 综合评分： 78 文章分类： 数据泄露,政策法规,安全意识,数据安全,安全建设

数据服务公司员工出售公民个人信息20余万条 获刑

安全学习那些事儿

2026年2月14日 07:02 陕西

2026年2月13日，据报道：2025年6月，上海一家专门提供数据服务的公司突然接到合作客户的紧急来电，对方询问：“公司是否出现了信息泄露?我们在境外即时通讯软件及相关网站上，发现了大量包含电话号码、身份证号、贷款状态等信息的截图，经比对，这些信息正是此前贵公司提供的客户数据。”

接到反馈后，数据服务公司立即启动内部核查。技术人员循着客户提供的线索，发现截图中的客户信息均源自数据服务公司通过不同供应商发送的短信内容。顺着数据流转的轨迹，技术人员调取公司后台系统的登录浏览记录，发现员工罗某某近期的查询记录中，包含大量与泄露信息匹配的数据，且查询范围远超其岗位职责权限，涉及用户地址等内容。公司当即委托员工陈先生向公安机关报案，举报罗某某涉嫌非法获取、出售公司业务过程中收集的公民个人信息。公安机关迅速立案侦查，并于当月将罗某某抓获归案，依法扣押了其作案使用的手机、电脑等电子设备。

2025年9月，案件移送至静安区检察院审查起诉。到案后，罗某某对其窃取公司个人信息并对外出售的基本事实供认不讳。据其供述，公司掌握着大量通过推广、宣传等方式获取的公民个人信息，这些信息包含姓名、身份证号、手机号等内容。一次偶然的机会，他得知境外聊天网站上有人愿意高价收购这类信息，便动了“歪心思”，打算利用自己登录公司系统的权限“捞一笔”。

然而，在后续讯问中，罗某某辩解称其从公司下载的数据没有全部出售，而且出售的数据中有一部分是用程序编造的虚假信息。这一辩解瞬间让案件办理陷入复杂局面。承办检察官清楚知道，除信息类型、获利情况外，公民个人信息的数量直接决定定罪量刑。

为查明关键事实、奠定精准指控基础，承办检察官引导侦查人员补充侦查，建议调取罗某某个人电脑中的电子数据，以及被害公司提供的查询隐私数据日志，并将上述数据移送专业机构开展鉴定。

经查证，2025年5月至6月，罗某某利用工作中查询、下载公司后台客户信息的权限，下班后通过远程操控方式，窃取公司数据库中公民个人信息向境外出售，并以虚拟币形式结算获利，累计窃得并出售公民个人信息20余万条。承办检察官认为，罗某某违反国家有关规定，窃取公民个人信息并出售，情节特别严重，应当以侵犯公民个人信息罪追究其刑事责任。

在审查过程中，承办检察官意识到，罗某某将非法获取的公民个人信息批量出售至境外，使公民信息安全长期处于高风险状态，严重侵害不特定多数人的利益，社会危害性极大，有必要将相关线索移送至公益检察室。

公益诉讼检察官接手后，一方面立即开展公共利益损害调查。通过审查案件材料、询问证人等方式，确认罗某某向境外出售非法获取数据的行为，导致潜在不特定人的信息安全处于高度风险中，已严重损害社会公共利益;另一方面深入探究泄密背后的深层次原因。

办案过程中，公益诉讼检察官发现，罗某某之所以能顺利实施跨境贩卖个人信息行为，除其自身法律意识淡薄外，数据服务公司在日常管理、技术监管等方面存在的漏洞也是重要诱因。

“案件办理不能止于追责，更要找准问题根源，从源头上防范类似案件再次发生。”检察官表示。为切实堵塞监管漏洞、从源头上加强个人信息保护，2025年12月，检察官专门走访上述数据服务公司，与公司负责人、技术骨干、员工代表开展座谈，深入了解公司业务流程、信息管理机制、员工管理模式等具体情况，认真听取公司意见和建议。

同时，检察官结合办案经验，针对公民个人信息保护的重要性、相关法律法规规定、常见侵权手段及防范措施等内容，为上述公司员工开展专题普法讲座，进一步提升员工的信息安全意识和法律素养。检察官走访调研、开展宣讲。2025年12月2日，静安区检察院向上述公司制发检察建议，从制定并落实个人信息处理内部管理制度和操作规程、加强技术监管、强化员工个人信息安全教育制度等方面，提出具体整改措施。公司负责人收到检察建议后当场表示，将高度重视、全面整改。

2025年12月5日，静安区检察院以侵犯公民个人信息罪对被告人罗某某提起公诉。除要求追究其刑事责任外，还一并提起刑事附带民事公益诉讼，请求判令被告人支付公益损害赔偿金，永久性删除非法获取的公民个人信息，并就其侵犯公民个人信息的行为公开赔礼道歉。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全学习那些事儿 《数据服务公司员工出售公民个人信息20余万条 获刑》