泄露个人信息 泄密者该担何责?

才买了新车就有人来推销保险；刚去医院作完孕检，返家途中就接到了孕婴产品销售商的问候电话；新房钥匙还没到手，装修公司就上门“拜访”……令人郁闷的是，究竟这些信息是从哪里泄露的？尽管3年前，刑法修正案（七）就特别增加了打击个人信息违法行为的条款，为打击此类犯罪活动提供了明确的法律依据。但是，时至今日还没有周密细致的法律规定足以执法，盗用个人信息泛滥的现象就难以遏止。那些泄露个人信息严重的部门，又该承担何种责任呢？

典型案例

案例1：出售公民信息23人获刑
2009年3月至12月，北京三家单位的5名工作人员利用单位服务平台，违反国家规定，将本单位在履行职责或提供服务过程中获得的公民个人信息出售或非法提供给倒卖信息者，该案共牵扯到23人。2011年8月，北京二中院分别以出售、非法提供、非法获取公民个人信息罪对14人判处2年半至半年不等的有期徒刑，另外9人因犯罪情节较轻被宣告缓刑。其中首犯刘红波被北京二中院判处有期徒刑两年半。
本案中，因个人信息被泄露而遭到非法调查的公民涉及全国多个省市，涉及的信息种类齐全，而很多受害人并不知道自己已经“受害”了。

案例2：
非法买卖个人信息400万条
2012年3月16日，北京市朝阳区法院对5宗非法获取公民个人信息案件的5名被告人，分别判处有期徒刑1年、8个月以及拘役等刑罚。这5人均是从事各类产品营销的人员，购买个人信息的目的就是为了打电话推销产品，他们非法买卖的个人信息超过400万条。

案例3：
知名公司非法买卖公民信息
2012年央视“3·15”晚会曝光的上海罗维邓白氏公司涉嫌非法获取买卖公民个人信息。上海警方初步认定该案系单位犯罪，目前，该公司3名相关负责人已被刑事拘留。

专家说法

嘉宾：甘肃中立源律师事务所律师 杜泓违
甘肃方域西涛律师事务所律师杨元昊
甘肃正天合律师事务所律师 赵和康

主持人：当下，个人信息被人网上公开叫卖，而那些心怀叵测的陌生人掌握着从我们电话、住址、职业到父母姓名、私家车型号、银行存款额等详细资料。人们对于频繁接到的骚扰电话似乎已经习以为常。

杜泓违：是的，当下这类社会现状确实如此，人们几近麻木的主要原因是大多数人还未遭受到切实的利益损失。被誉为当年全国最大买卖公民信息案的案例1，其案发原因之一是被告人张某调查丈夫外遇，并雇用私人侦探跟踪，结果被其丈夫发觉，双方因发生肢体冲突而报警。此外，也有其他被跟踪的受害人报警，警方调查发现其中涉及非法提供、非法获取公民信息的犯罪行为，顺藤摸瓜牵出此案。其后，因出售、非法提供、非法获取个人信息衍生出来的财产型犯罪、直至其他暴力型犯罪不断见诸媒体，才触动到公众的神经。最为惨重的是2008年9月，北京导游安某为报复前妻新结识的男友，将其杀害在家中。事后警方发现，安某与被害人并不相识，是他雇用的“私家侦探”从某公司“内鬼”那里得到被害人的住址信息，“私家侦探”再将信息出售给安某，一幕惨剧由此发生。所以如果个人信息泄露，有时不只是叹声气、安全感的问题，更是非常严重的破财乃至人身危险问题。

赵和康：律师协会曾作过调查，发现在个人信息曾被滥用的被调查者中，仅有4%左右的人进行过投诉或提起过诉讼。导致公众在进行投诉、诉讼时遇到困难或不愿意投诉、提起诉讼的因素有：无法确定哪些机构应承担责任、无法确定向什么机构投诉或者以谁为对象提起诉讼、无法获得有力的证据、投诉或者诉讼成本过高等。而即便采取了投诉或者诉讼等救济手段，也仅有不足一成的人获得了救济或者达到了目的，其他的或者因为处理个人信息的机构推诿、搪塞而不了了之，或者因为预料到无法通过投诉或诉讼获得救济而中途放弃。应当说，这种结果和现行个人信息保护规定存在缺陷关系很大。

主持人：针对这种情况，我国法律保护方面有何规定？是否能满足现实状况？

赵和康：在我国，2009年2月28日通过的《刑法修正案（七）》中明确规定了出售公民个人信息、非法提供公民个人信息以及非法获取公民个人信息三个罪名：“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；窃取或者以其他方法非法获取上述信息，情节严重的，依照前款的规定处罚；单位犯前两款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。”这条规定施行至今，各地陆续报道了一些私营企业和个人由于贩卖个人信息而被判刑的案件。这对宣传和警示刑法的相关规定，具有一定的积极作用。

杜泓违：我认为主要原因是法律尚不健全。因为截至目前，我们国家还没有一个统一的关于个人信息保护方面的基本大法。这不得不说是一个极大的欠缺，我们不能根据刑法的其中一条来捍卫自己的信息权。何况上述刑法修正案条款还存在一定的缺失。比如规定不够详尽，缺乏可操作性。所谓违反国家规定，究竟是哪些规定？个人信息包括什么？个人名字、电话号码、工作单位算不算个人信息？ 还有出售甚至非法提供个人信息给他人，所谓的非法指哪个法。还有情节严重，是以卖了多少量，还是造成具体的伤害来衡量？所有的这些东西没有细化。这也导致各地政法机关在处理此类案件时差异化对待。而对待泄露个人信息的行为，最有效的方法是加大打击力度。但该条款最高罚责是有期徒刑3年而已，量刑不高，违法成本低，所以难以根本遏止。应该尽早出台相应的补充规定或司法解释。

杨元昊：在所有法律关系里边，《刑法》是最后的一道防线。只有对最严重的行为，才用《刑法》来解决。这样就出现一个自然而然的问题，《刑法》加以禁止制裁于这样的行为，应该在其它法律里，有比较全面的、比较完善的规定。但是对于个人信息安全这个新时代才出现的新问题，在其它相关的法律，比如民事法律、行政法律方面规范得不是很健全。如果没有专门的个人信息保护法作基础，如何认定违法将会是一个难题。那么除了补足刑法规定本身缺失以外，还应通过完善其他法律来给《刑法》一个补充。

主持人：案例1中，某单位员工成为“内鬼”，以非法提供、出售公民个人信息罪被公诉。再联系被媒体曝光的各类涉及泄露个人信息的案例，就不难看出，那些贩卖个人信息的不过是些贩夫走卒，尽管他们也很可恶，但信息的主要源头并不在他们手里，而在能够拥有这些信息的机构。

杜泓违：行业监管不力是主要原因。机动车销售、房产中介、医院等行业及其从业人员往往有机会接触、掌握大量公民个人信息，这些行业虽均有系统内部出台的关于个人信息的查询规范、查询电子信息备案及保护工作意见，但由于部分从业人员法律意识不强，且内部执行不到位等情况，利用公民个人信息管理上存在的漏洞，因此这些行业成为个人信息泄露的“重灾区”。而根据罪刑法定的原则，只有非法泄露和贩卖信息的，才有判刑入罪之虞，但对于疏于管理而导致员工泄露信息的，还没有有效的法律制约。比如对责任人的处罚，以及对受害人的赔偿等等。这也成为这种现象屡禁不止且愈演愈烈的原因之一。

杨元昊：这说明一个问题，刑法固然是最严厉的打击手段，但却不一定是最有效的制度设计。有必要通过专门的个人信息保护立法，建立一种“合理谨慎”的制度设计，衡量机构是否采取了有力的制度和措施保护个人信息，并在其疏于保护时依法追究法律责任。中国人民银行也已明确表示将适时出台《个人征信信息保护暂行规定》，个人信息保护势在必行。同时我们建议除部门规定外可尝试通过引进惩罚性的民事赔偿制度，通过经济赔偿手段来逼迫那些具有保护信息职责的企业不敢懈怠。我的建议是，在个人信息保护法没有出台之前，一方面，司法机关在个案处理上，可以总结一些规律性做法，比如对“情节严重”的认定标准，比如对单位疏于管理导致用户个人信息被泄露时应承担的民事乃至刑事责任。另一方面，两高以及公安部可以在大量典型案例的基础上，共同研究出台相关的司法解释，就刑法修正案(七)第七条中的“模糊地带”进行释法。