每条不足1元！安徽超25万条个人信息遭买卖，三家险企员工涉案

近日，安徽省蚌埠市中级人民法院对一起横跨三家保险公司的侵犯公民个人信息案作出终审裁定，驳回上诉人上诉，维持一审判决。

该案涉案信息超25万条，从太平洋保险负责人泄露源头数据，到天安财险、中国人寿财险等机构人员批量购买用于车险营销，完整暴露了保险行业信息获取环节的违法链条。

25万条公民信息被交易

作为信息源头，太平洋保险公司（601601）安徽省电销负责人杨子丰早在2017年就掌握了安徽省全省购车数据，涵盖车主姓名、身份证号、手机号、车架号、保险到期日等核心个人信息。

2018年，他与前同事杨某（另案处理）合谋牟利：杨子丰将数据按地市分类打包，由杨某以每条0.7-0.9元对外出售，利润按“三七分成”（杨子丰得三成）。这一模式持续数年，成为下游保险机构获取信息的主要非法渠道。

2020年3月至12月，天安财险安庆中心支公司原总经理杨某某因电销部门缺客，主动获取购信息渠道后，安排该公司电销负责人何某某与杨某交易。

两人采用当面交付U盘的方式，何某某核对信息条数后付款：首次交易2.4万元购得部分信息，款项由杨某某女友微信转至何某某再支付给杨某，因发票抬头与申请不符初期未报销，后经杨某某协调由公司财务解决；第二次交易1.5万元由何某某垫付，最终也通过公司财务报销，两次共获3.9万条信息。

同期，天安财险黄山中心支公司电销负责人俞某某为刚成立的部门拓客，经介绍分三次以每条1元的价格从杨某处购得2万余条信息，花费2.4万元。

信息到手后，俞某某通过内部软件发送给合肥分公司的郭佳宇，再由省分公司系统下发至团队使用，费用则以“快递费”“广告费”名义报销。

2022年6月，中国人寿财险郎溪县支公司原副经理王某经朋友介绍认识杨某，为扩大车险销量，花费1.5万元购得2021年1月至6月的次新车数据2万余条，分配给员工用于电销。

此外，芜湖市清亿汽车服务有限公司原法定代表人李某某、安徽潜成商务公司原主要负责人涂某某也卷入其中：李某某2020年至2022年4月向杨某转账10.1万元（其中9万余元用于购买信息），获9万余条信息；涂某某2021年1月通过微信、支付宝向杨某转账9.6万元，购得9万余条信息，两人均将信息用于保险相关业务推广，涂某某为规避查处，还曾将U盘内容导入电脑后损毁或格式化U盘。

案发后，李某某向公安机关退缴获利7.1万元。2023年7月，蚌埠市龙子湖区人民检察院就涉案人员行为提起附带民事公益诉讼，最终与各方达成调解。2024年10月31日，一审法院认定，各被告人非法获取公民个人信息用于营销，滋扰公民生活，均构成侵犯公民个人信息罪：李某某因退赃被单处罚金7.1万元；涂某某、杨某某、何某某各被单处罚金5000元；俞某某、王某免予刑事处罚。杨某某、何某某不服上诉，提出“用于合法经营未获利”“证据程序违法”等理由，但二审法院2025年6月审理认为，涉案信息属公民个人信息，交易事实有转账记录、U盘数据、供述等佐证，侦查程序合法，遂驳回上诉维持原判。

涉案险企的消保工作

一起牵涉中国太保、天安财险、中国人寿财险的公民个人信息交易案，暴露出保险业在数据治理能力上仍存在明显短板，尚有较大提升空间。

作为1991年成立、拥有保险全牌照并实现A+H+G三地上市的综合性保险集团，中国太保在2024年ESG报告中披露个人信息全生命周期保护体系：数据收集遵循“合法、最小必要”原则，明示目的并获用户授权；存储集中于境内数据中心，脱离生产环境必经脱敏处理，严格执行存储期限，用户注销即删除信息；处理限“最少必要”操作，限时响应查询、修改诉求，客户端内置注销功能并在隐私协议明确路径；传输采用TLS加密保障关键数据安全，部署全网络防泄漏系统；使用通过“堡垒机+特权账号”双因素认证管控核心数据库，合作时依托可信计算平台合规赋能；销毁以介质消磁、磁盘软擦写实现不可逆清除。同时，公司严禁机构及员工泄露、非法交易信息，压实全业务链隐私保护责任。

作为国内首家企业发起的股份制商业保险公司，天安财险2016年因激进推广理财型保险、叠加监管调整陷入兑付危机，2020年因偿付能力恶化被银保监会接管。然而，2020年7月至2024年9月接管期间，其安庆、黄山分支机构仍出现管理层主导的信息买卖行为——非法采购公民信息用于车险营销，甚至通过虚假名义报销费用，暴露出“总部被接管，基层失控”的治理断层。2024年9月，天安财险保险业务资产包以19亿元转让给申能财险，正式退出市场；2025年6月，国家金融监管总局对其作出吊销业务许可证的顶格处罚，18名责任人合计被罚352万元，5人终身禁业，系列处置与长期合规失效形成强烈呼应。

成立于2006年12月、注册资本278亿元的中国人寿财险（中国人寿集团核心成员），2024年在消费者权益保护领域迈出关键一步：该公司全年累计开展消费者权益保护专题培训2059场次，实现全员覆盖，培训内容聚焦监管政策解读与个人信息保护等核心议题。同期，公司对7家分支机构开展专项审计，审计重点明确纳入个人信息保护合规性审查。值得关注的是，这是近五年来中国人寿财险首次在消费者权益保护工作部分中强调个人信息保护。