中国青年报社会调查中心此前对2422名公众展开的一项调查也印证了这一点。调查显示,在公众心目中,泄露个人信息最多的前三位分别是电信机构(76%)、招聘网站和猎头公司(47%)以及各类中介机构(41.9%)。接 下 来 的 排 序 依 次 是 : 市 场 调 查 公 司(31 .9%)、金融部门(30 .8%)、房地产公司(28 .3%)、教育部门(23 .6%)、医疗机构(23.2%)以及交通部门(12.6%)。
2010年6月8日,来自中国移动、中国联通、中国网通的5名员工在北京市朝阳区法院受审。他们因为利用手中职权,为调查公司提供机主信息、通话清单,被指控犯有非法提供公民个人信息罪和非法出售公民个人信息罪。这5个人是刑法修正案(七)出台以后,国内被查获的首批电信“内鬼”。
这5人中,吴晓晨的案情最具代表性。28岁的吴晓晨在案发前是中国网通北京市三区分公司广安门外分局商务客户代表,通过网络认识“东方亨特”商务调查中心老板张荣浩后,张荣浩每月向吴晓晨支付2000元工资,让他从内部查询网通座机的机主信息和电话清单。后来,吴晓晨直接给张荣浩做起了兼职的调查员,每单“业务”公司收5000元,然后他和公司四六分。
检察官林洁告诉《经济参考报》记者,许多公司在员工入职时就与之签订了保密协议,协议中一般都会要求对客户的个人信息严格保密。“但事实上,在没有道德底线的员工面前,保密协议只是一纸空文。”
专家:个人信息保护司法困境待解
2009年2月28日,十一届全国人大常务委员会第七次会议通过了刑法修正案(七),明确规定了出售公民个人信息、非法提供公民个人信息以及非法获取公民个人信息三个罪名。
刑法修正案(七)施行以来,司法机关逐步加大了对涉及公民个人信息犯罪的查处力度。据北京市海淀区检察院公诉一处林洁介绍,该院公诉部门2010年共受理该类案件31件41人,而这两个数字在2009年均为0,案件量呈现激增趋势。
但是,作为新型罪名,出售、非法提供和非法获取公民个人信息案件在法律和实践层面上仍存在着诸多问题,给司法实践带来困惑,这在一定程度上影响了对此类犯罪的打击力度。
“个人信息”的边界多大?
根据刑法修正案(七)第七条规定,公民个人信息是指国家机关或金融、电信、交通、教育、医疗等单位的工作人员,在履行职责或者提供服务过程中所获得的公民个人信息。
“该法条仅规定了公民个人信息的来源,却未对公民个人信息应当具有哪些要素作出规定。”林洁说。
据林洁介绍,有些信息属于显而易见的公民个人信息,即此类信息只能通过特定机关获取,如户籍底卡,通话记录、新生儿信息等。但在更多情况下,公民个人信息的来源并不确定,或者来源并不能被法律列举的几类行业所涵括但明显包含个人隐私信息,如车主信息。车主信息明显属于应当保护的公民信息,但它的来源可能是汽车4S店,而对4S店能否被交通业所涵括的认识不尽一致,导致实践中对此类案件的处理意见分歧很大。
来源于法律规定的上述行业的信息是否都可划入公民个人信息也存在疑问。例如,企业信息包括企业名称、地址、邮编、法定代表人的姓名及联系方式,这类信息有可能是从工商部门获取,虽含有法定代表人的信息,但并非针对公民个人隐私,此类信息能否认定为“公民个人信息”也是存有争议的。
中国社科院法学所研究员周汉华表示,刑法或司法解释并不能够确定“公民个人信息”的边界,这应该是上游法应该解决的问题,具体来讲,那就是个人信息保护法。
怎样算“违反国家规定”?
从刑法修正案(七)第七条的表述来看,出售、非法提供、非法获取公民个人信息这三种行为入罪的关键点,都在于“违反国家规定”,这是确定行为“非法性”的前提。
周汉华认为,单凭一句笼统抽象的“违反国家规定”,而没有具体的行政法律法规作为指引,在实践中,给如何认定出售、提供、获取公民个人信息行为的“非法性”造成了很大的困难。
据了解,目前我国实际上存在着民法通则、合同法、居民身份证法、档案法、民事诉讼法、刑事诉讼法、行政诉讼法、商业银行法、互联网电子邮件服务管理办法等一系列涉及个人信息保护的法律法规。但总体来看,这些法律法规中的相关规定,不仅过于原则、缺乏可操作性,而且比较零散、缺乏系统性,同时还存在保护范围狭窄,缺乏统一主管机构等不足。
中国社科院法学所研究员刘仁文认为,如果没有专门的个人信息保护法作基础,如何认定违法将会是一个难题。如果把问题都依赖于刑法,很容易造成刑法执法工作的超负荷运转。
“情节严重”尺度何在?
“情节严重”是出售、非法提供、非法获取公民个人信息罪的入罪要件,这让很多办案人员直挠头。
“没有任何法律对刑法修正案(七)第七条所称的‘情节’进行界定,何为‘严重’,也没有具体的标准加以规定,只能靠办案人员自由裁量,尺度很不好把握。”林洁说。
尽管如此,司法机关又不能因噎废食。“我们也是边干边总结,在实践中,获取目的、信息数量以及危害后果都可以作为认定‘情节’的要素。”林洁告诉记者。
问题也随之而来。
首先,实践中最通常的认定标准是信息的条数,但达到多少条才能够认定为情节严重?法律没有明确规定。
其次,从获取目的来看,有些案件的犯罪嫌疑人仅为个人使用,并未侵犯他人权益,如为了调查研究机动车消费市场而购买信息,此种情况能否入罪?
再次,是否要求非法获取行为造成严重后果,此种后果应当达到何种程度?实践中缺少指导标准。
破解之道———“两条腿走路”
“我的建议是,在个人信息保护法没有出台之前,用‘两条腿走路’的方法来解决司法中遇到的问题。”周汉华说。
周汉华对“两条腿走路”的解释是,一方面,司法机关在个案处理上,可以总结一些规律性做法,比如说对“情节严重”的认定标准。另一方面,最高人民法院、最高人民检察院、公安部可以在大量典型案例的基础上,共同研究出台相关的司法解释,就刑法修正案(七)第七条中的“模糊地带”进行释法。
林洁所持观点也基本相似,不过她给出了更为具体的建议。
第一,完善相关法律,明确定罪标准。立法机关应尽快酝酿出台配套规定,以进一步明确出售、非法提供、非法获取公民个人信息罪的定罪标准及法律适用。对于公民个人信息 的 界 限 以 及 “ 情 节 严 重 ” 的 认定 , 应 当 提 出 具 有 可 操 作 性 的 标准。与此同时,司法机关在汇总各地相关案例、总结经验的基础上,可针对本罪制定司法解释,以进行普遍性指导。同时也可以对典型案例加以编纂,以供办案人员参考。另外,上级司法机关也应加强对疑难案件的个案指导。
第二,加强内外沟通,统一执法标准。目前对于出售、非法提供、非法获取公民个人信息罪的理解存在诸多分歧,实践中公检法三家掌握的证据标准也并不统一,在相关法律规定尚未出台的情况下,公检法三部门应就证据标准等问题加强沟通,确定统一的标准。
第三,密切多方配合,破解取证难题。司法机关要加强和相关部门的配合,以保证证据的调取和核实。一是加强与银行、医院等信息来源单位的配合,以核实在案信息的真实性。二是加强与司法鉴定机构的配合,研究能够认定信息数量的技术手段。三是加强与网络公司等交易媒介的配合,一方面有利于查处上家,以确定信息来源和深挖犯罪。另一方面,通过相互沟通,也能够督促网络公司制定并采取信息审核措施,预防涉及公民个人信息犯罪的发生。
不过,在周汉华看来,保护公民个人信息安全,最好的办法还是尽快出台个人信息保护法,纵观世界各国,单独立法保护公民个人信息,已是大势所趋。但在个人信息保护法出台之前,司法机关应发挥能动司法的作用,加强对典型案例的总结,尽快出台相关的司法解释。
“这其实也是一个‘两条腿走路’的过程。”周汉华说。
相关链接
个人信息保护法酝酿六年难出台
目前,世界上已经有70多个国家和组织制定了个人信息保护相关法律法规。在互联网高度发达的当下,各国对个人信息保护进行单独立法,已经是大势所趋。
作 为 判 例 法 国 家 , 美 国 于2005年通过了一批保护个人信息的法律,如《隐私权法》《信息保护和安全法》《防止身份盗用法》《网上隐私保护法》《消费者隐私保护法》《反网络欺诈法》和《社会安全号码保护法》。2011年4月,美国一些重量级的参议员又提出了关于在线综合信息保护立法的议案。
其他国家如德国制定了《联邦数据保护法》;加拿大制定了《隐私保护法》和《个人信息保护及电子文档法案》;英国制定了《数据保护法》;日本制定了《个人信息保护法》。另外,欧盟先后制定了《关于涉及个人数据处理的个人保护以及此类数据自由流动的指令》《关于个人数据自动化处理之个人保护公约》和《关于保护自动化处理过程中个人数据的条例》。
早在2003年初,国务院信息办委托中国社科院法学所研究员周汉华担任课题组负责人,研究草拟一份个人数据保护法的专家建议稿。历时两年,《中华人民共和国个人信息保护法》(专家意见稿)终于在2005年提交给国务院法制办等相关部门。
然而,六年过去了,这部饱含着公众期待的法律仍迟迟“不肯露面”。
记者 涂铭 李京华