侵犯个人信息仅有刑责还不够

吴江

5月9日,最高人民法院与最高人民检察院联合发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》明确,非法获取、出售或者提供公民个人信息违法所得5000元以上,即应当认定为刑法第二百五十三条之一规定的“情节严重”,可处三年以下有期徒刑或者拘役,并处或者单处罚金。

对侵犯个人信息的行为,终于有了法律兜底,涉事人员将面临严峻刑责与经济罚则。不过,仅仅“刑责”到位,恐怕还不足以乐观地认为“魔高一尺,道高一丈”。

现实中,从银行客户经理,到通信公司软件工程师,甚至快递公司仓管员,都可以成为个人信息泄露的内鬼,恰恰暴露出个人信息泄露的破绽比比皆是,防不胜防。既然如此众多的环节,都可能成为个人信息外泄的出口,再严厉的刑责,也难以确保疏而不漏,假如面临侵犯个人信息的行为,刑责并不能缜密无缝,仅仅是“杀鸡骇猴”,显然难以改变亡羊补牢的被动局面。

应当承认,互联网时代,大量个人数据和信息都通过网络保存和传输,网民信息泄露的风险无疑极大地增加,个人信息泄露的可能也实在太多。据业内人士透露,相当数量的知名网站同样可能存在泄密问题,而且规模还非常大。乍一看来,假如遍历所有可能去查找信息泄露源头的话,几乎是一件不可能完成的任务,究竟是谁泄露了个人信息,似乎也无从查起。即便是有了“刑责”,面临失控的个人信息泄露通道,也难挽狂澜。

可见,对于侵犯个人信息,仅仅是“入刑”还不足以令其束手就擒。事实上,侵犯个人信息的防范关键在于源头控制。当大小网站甚至APP都要求用户注册各种身份信息,这些运营者是否有掌握用户个人信息的必要,又是否具备用户信息保护的技术能力和监管手段,显然值得追问。在这方面,国外也曾有相关经验。例如,韩国曾发生过大规模网民信息泄露事件,此事引发了韩国对网络信息注册的反思。此后,出于保护网络用户个人信息安全考虑,韩国要求个人或企业使用用户身份证信息需要事先获得政府批准。美国甚至对政府的信息收集都有严格规范,任何一个部门如果要向社会收集数据,必须得到信息管制办公室的批准,公民对于缺乏“信息收集许可号”的信息搜集,有权拒绝填报。

只有当必须时,才进行个人信息注册和登记,几乎成为信息管理的惯例。而约束了个人信息搜集的入口,不仅降低了泄露的可能与风险,也让侵犯个人信息的追责成为现实。相形之下,国内的网站和平台无论是否必要,动辄要求网民实名登记,这种不加约束的对于公民个人信息的搜集和获取,不仅加大了个人信息泄露的风险,增大了监管的难度,甚至本身就有点不怀好意。

除了加强个人信息的源头管控之外,更需真正从技术手段上加强对于客户信息保护的有效监督和管理,真正让客户信息泄露做到责任可查可究。例如通过技术手段对读取留存个人信息的行为进行记录和追踪,并严控个人信息的接触与读取权限。此外,个人信息泄露的后果,包括责任人与信息管理部门的责任与赔偿机制,同样亟待明确的法律细则规定。