據報道，中國聯通公司一員工肖某，利用工作便利，非法獲取并出賣公民個人信息129400條。檢方以侵犯公民個人信息罪對肖某提起公訴。近日，豐臺法院公開開庭審理了此案。在法庭上，肖某表示認罪。

電信運營商員工盜取公民個人信息販賣給他人，這早已不是新鮮事了，從目前曝光的個案看，移動、聯通、電信三巨頭無一幸免。每次類似的個案被曝光后，運營商們均會表態，將從完善制度、健全技術手段等多個方面，切實保護用戶信息安全。

但頻頻出現的“內鬼”，卻一次次讓運營商被“打臉”。以肖某為例，其并非公司高層管理人員，不過是一個負責數據挖掘的工作人員而已，卻能輕松從公司數據庫盜取如此多的用戶信息。運營商在用戶信息安全管控上的窟窿之大，由此可見一斑。

為何運營商總是雷聲大、雨點小，屢屢讓用戶失望？道理很簡單，目前國內各大運營商的業務網絡存在區域分散、數據分散、系統繁多、環境復雜的特點，要想對所有用戶隱私泄露的“風險點”建立嚴密制度和技術管控，所需要的投入驚人。而這種對用戶隱私的嚴密保護，卻只有投入沒有產出，在效益普遍下滑的當下，運營商自然不愿在這方面多燒錢。

在公民個人信息的保護上，運營商堪稱第一道關口，但其目前的表現明顯不稱職。運營商保護用戶隱私不力，也凸顯出外部監管的缺失。一方面，運營商的內部管控機制缺乏中立的第三方評估。另一方面，主管部門對于運營商的考核，重心在于經營效益上，對類似用戶信息安全保護等問題，并未進行有效考核監督。一旦運營商出現內鬼，大多追究相關個人了事，對于企業并無經濟處罰，對于企業高管也無嚴厲的責任追究。

保護公民個人信息，打擊相關信息買賣的違法犯罪固然重要，但最根本的，還是完善內部管控。在這樣的內部管控中，公民個人信息應有高規格的數據保密，公民信息查詢、復制應該有嚴格的權限，每一次查詢、復制，都應“踏雪有痕”，建立有完善的記錄保存。應當說，做到這樣嚴密內部管控，不存在任何技術障礙，關鍵相關單位有沒有誠意去做，監管部門有沒有切實履行自身的責任。