最高人民法院、最高人民检察院9日发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,对侵犯公民个人信息犯罪的定罪量刑标准和有关法律适用问题进行了全面系统规定,这也是“两高”首次就打击侵犯公民个人信息犯罪出台司法解释。
综观此次出台的13条司法解释,一个突出特点是加大了个人信息的保护范围。相比于《中华人民共和国网络安全法》中对“个人信息”的规定,这次的司法解释进一步明确了“账号密码、财产状况、行踪轨迹等”,亦属“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况”的信息。这说明,不但个人姓名、出生日期、身份证件号码、电话等,就连共享单车里的个人用车记录,同样是受到法律保护的一部分。此外,解释还对非法获取、出售或者提供公民个人信息的“情节特别严重”情形,专门设定了数量计算规则,这些都有效回应了司法实践的需求。
不过,还应该特别注意现实中侵犯公民个人信息犯罪的一些突出问题。无论是敲诈勒索还是电信诈骗等,多数是以非法获取个人信息为前提的,用业内人士的话来说,“侵犯公民个人信息的犯罪已经成为其他各类犯罪的上游犯罪”。当天“两高”的新闻发布会上,公安部网络技术研发中心负责人提到,非法获取公民个人信息的来源主要有两大方式,即黑客入侵网站非法获取和各行各业的内部人员泄露信息,而从公安部门侦破的案件来看,行业内部人员已经成为实施侵犯公民个人信息犯罪的重要主体,“目前造成危害最大的主要是像银行、教育、工商、电信、快递、证券、电商各个行业的人员”。相比于黑客突破重重技术关口,这些内部人员想要获取内部系统记录的信息可谓“小菜一碟”,在保护个人信息的法制之网编制得越来越密的同时,倘若对这样的问题不加以足够的重视,更多依靠事发后打击,就很难起到标本兼治的效果。
俗话说“家贼难防”,“堡垒最容易从内部攻破”,提到一些中介、快递、银行等行业内部人员转手将客户信息出卖,公众往往都会生发出一种痛恨万分又无可奈何的无力感,甚至一些相关机构也是睁一只眼闭一只眼,即便是发生徐玉玉那样的案件,也往往因追查不到个人而无法引起足够重视。这些机构就真的无从下手么?笔者觉得未必。就技术而言,绝大多数被泄露的个人信息,都是以电子方式存储和传送的,而互联网的最大特点之一,就是任何行为总会留下操作痕迹,且内部人员又不是行踪更加隐秘的黑客,所以归结起来还是要不要追查到底的问题。从源头上加强对个人信息的保护,就必须突出相关机构、企业的主体责任,不能让那些内鬼有“谁能奈我何”的心理,否则就会助长个人信息的泄露者的气焰。
就事后防范而言,“两高”的司法解释规定,非法获取、出售或者提供公民个人信息“五百条以上”“五千条以上”“五万条以上”,或者违法所得五万元以上的,或者“造成被害人死亡、重伤、精神失常或者被绑架等严重后果”“造成重大经济损失或者恶劣社会影响”即属“情节特别严重”,这无疑是在司法上筑起了一道墙。而要说到严防“内鬼”,还应该有另一道墙,即将“侵犯个人信息”行为,与行业诚信和整个社会的诚信体系对接起来,以行业准入、从业限制等方式,加大对那些非法获取、出售或者提供公民个人信息者的社会惩罚。比如,对泄露客户信息的中介人员,一旦查实,就应该全行业禁止再聘用,从而加大其违法成本,以起到更好的警示和约束作用。
在保护公民个人信息上,“两高”适应现实司法需求而及时作出司法解释,开了一个好头。同时,更重要的是结合司法解释的精神,从落实责任上入手,从源头加强防范,相关机构在保护公民个人信息多点给力,才能让公众少些无力。