张淳艺：内鬼贩卖信息 还有谁该担责？

本篇文章1104字，读完约3分钟

通过掌握成都市“妇幼信息管理系统”的市级机关账号密码，非法下载新生儿数据50多万条，出售新生儿信息数万条。日前，广元市旺苍县公安局彻底切断了成都市卫生系统以“鬼”为源头向社会销售新生儿信息的黑色链条。

从破获的案件来看，这是公民披露个人信息的主要渠道之一。全国公安机关共逮捕了831名涉案部门和行业人员。

2015年11月1日生效的《刑法修正案(九)》将“销售和非法提供公民个人信息”罪和“非法获取公民个人信息”罪合并为侵犯公民个人信息罪，并提出“销售或者提供在履行职责或者为他人提供服务过程中获取的公民个人信息的，依照前款规定从重处罚。”中华人民共和国最高法和最高人民检察院去年发布的司法解释进一步明确，“公民在履行职责或者提供服务过程中获取的个人信息出售或者提供给他人的”，其“情节严重”的数量和金额标准减半。然而，这些都不足以防止内幕人士泄露个人信息。毕竟，知情人经常利用职务之便获取信息，这种情况发生在单位内部，具有很强的隐蔽性，外人很难发现。降低定罪门槛和加重处罚只会增加违法成本，但不会改变“低风险”。受经济利益的驱使，一些员工会侥幸冒险是不可避免的。

“内鬼”入侵个人信息事件频发，反映了一些党政机关和企事业单位公民个人信息安全保护的缺失。民政、教育、卫生、人类社会、通信、金融、快递等部门拥有大量的公民个人信息，但与信息数据库的巨大规模和重要性相比，一些单位保护个人信息安全的力度较弱。一方面，内部控制安全体系不完善或不落实，给内部员工带来了方便。在成都的这个案例中，一个社区卫生服务中心的工作人员能够掌握市政当局账户的密码，并轻松下载新生婴儿的信息数据。可见相关部门内部控制管理的混乱。同时，信息系统安全防护措施薄弱，容易被黑客入侵和窃取，这也凸显出相关部门对个人信息保护的重视不够。

究其原因，是信息安全管理的职责不明确，导致一些部门和行业重视不够，缺乏加强管理的积极性和主动性。目前，刑法中的“侵犯公民个人信息罪”仅针对违反规定向他人出售或提供公民个人信息的单位和个人，即“谁犯错误，谁就要受到追究”。相关法律没有明确“内鬼”所在单位的责任。公安部网络安全局负责人坦言:“近几年来，行业内鬼泄露信息的案件屡见不鲜，单位领导的责任也很少追究。”

“内鬼”侵犯了个人信息，应该受到法律的严惩。但是，我们也应该看到，有一个“鬼在里面”，单位及其负责人是很难责怪的。近年来，代表们呼吁，如果单位工作人员泄露在履行单位公务时获得的信息，应承担连带责任。只有明确单位的连带责任，从制度层面堵塞漏洞，相关部门才能增强保护公民个人信息的意识，迫使其完善内部管理和内部控制机制，不给“内鬼”一个机会。