治理信息泄露須強化預防

舒銳

要對所有涉個人信息機構、組織的信息管理與保護進行日常指導、監管，幫助它們構建起防止信息泄露機制，防患于未然。

利用在公安機關內部擔任協勤人員的便利，王旭光伙同兩名同事獲取車輛檔案、駕駛員等個人信息，并通過微信出售，不到一年時間3人違法獲利約7萬元。2017年9月13日，該案在遼寧省沈陽市大東區法院一審公開審理，王旭光以侵犯公民個人信息罪被判處有期徒刑3年2個月，并處罰金7萬元。

本案中的被告人僅為協勤人員，卻有能力獲取如此多的公民個人信息，其所在單位對于公民個人信息保護力度之薄弱可見一斑。事實上，個人信息被泄露屢見不鮮，甚至許多人有切身體會：公務員考試剛報名，賣“答案”的就開始聯系考生；車險快要到期，車主就接到一堆保險推銷電話。這些騷擾乃至詐騙的背后都有著個人信息泄露的影子。遺憾的是，將公民個人信息泄露者繩之以法的案例在新聞報道中并不常見。不得不說，我們時刻存在于個人信息被泄露的風險之中。

法律對于泄露公民個人信息惡行的懲罰并不輕，尤其是刑法修正案（九）將相關犯罪由特殊主體修改為一般主體，擴大了犯罪主體范圍。只要向他人出售或者提供公民個人信息，情節嚴重的，不管其為何種身份，都將構成犯罪，最高獲刑7年。然而我們為什么依然沒能斬斷個人信息被非法泄露的鏈條呢？究其原因，恐怕主要在于以下四個方面：

一是在行政管理以及金融、電信、交通、醫療、物業管理、賓館住宿、快遞等諸多社會服務領域，相關機構、組織收集并儲存了大量公民個人信息。只要有一環出現管理疏漏或者工作人員故意出售、泄露，就可能導致個人信息非法流出。而相關行政執法如同九龍治水，部門定位、權限等不明確。二是相關犯罪被發現的概率較小，一般只有在追究電信詐騙等下線犯罪的過程中，才去順藤摸瓜地發現泄露公民個人信息的惡行。三是在打擊相關犯罪的過程中，只注重對犯罪嫌疑人的個體處理，并沒有深挖到底，既沒有揪出犯罪鏈條上的所有違法者，更沒有對管理不善相關單位的瀆職人員進行追責。四是只注重追究犯罪，忽略了日常行政執法，更沒有對涉個人信息機構、組織實現有效管理。

打擊犯罪是司法機關的應有之責。除此之外，須建立起公民個人信息保護的制度之網，進一步強化預防措施。

首先，應強化涉個人信息機構、組織的管理責任，可以立法要求這些機構、組織使用個人信息時，除特殊情況外，一般應采取代號化或加密處理等方式，去除個人信息的可識別性因素，降低未來可能發生的信息泄露等安全事件對公民個人的影響。另可建立個人信息系統查閱留痕制度，誰接觸過哪些個人信息都必須留痕備案，以便將來倒查責任。

其次，從行政監管的角度看，有必要改變當前九龍治水的局面，可考慮設定專門的個人信息管理行政部門：一方面加強日常執法，對尚未構成犯罪的個人信息泄露違法行為及時追究，露頭就打；另一方面，要對所有涉個人信息機構、組織的信息管理與保護進行日常指導、監管，幫助它們構建起防止信息泄露機制，防患于未然。如此才能從源頭上鏟除非法泄露公民個人信息的土壤。endprint