其他
圆通“内鬼”致40万条个人信息泄露 圆通可以逍遥法外吗?
张雨佳律师
广东明思律师事务所
刑事二部主任
案情
方弘:相关涉案人员将被追究怎样的责任? 张雨佳律师:圆通公司部分员工与外部人员互相勾结,贩卖用户的地址、姓名、电话,可能构成侵犯公民个人信息罪。该罪情节严重的可处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。 本案泄露的公民个人信息达到40万条,已经达到情节特别严重的程度,如果查证属实,有可能因侵犯公民个人信息判处三到七年的有期徒刑。 方弘:判了刑罚以后,其实对于我们每一个用快递的人来说,也并不代表着我们的信息就安全了。我们会担心任何一家快递公司会泄露我们个人的信息,因为它实质上是快递公司对于员工的管理以及快递公司内部系统的管理上有疏漏导致的。目前,圆通也就此事道歉了,但是很多网友并不领情,大家会觉得只是道歉管用吗?我们的信息已经被出卖了,由此带来的可能不仅仅是信息的泄露,严重的也可能危及到我们个人安全,就此事件,圆通公司是否应该承担责任呢? 张雨佳律师:从目前披露的情况来看,本案属于个别员工独立作案,与圆通公司并未直接关联,公司不承担刑事责任。就民事与行政层面而言,如果有证据证明圆通公司未能履行相应的管理义务,导致用户信息泄露,有可能承担相应的民事或行政责任。 就刑事责任而言,如果公司对员工的行为知情但并未及时阻止,有可能成立侵犯公民个人信息罪的共同犯罪,也要承担相应的责任。 另外,相关报道显示,圆通公司内部在2013年即出现过类似的情况,倘若当时的行政管理部门已经勒令改正而圆通公司拒不改正,则符合拒不履行信息网络安全管理义务罪的构成要件。 不过,因为拒不履行信息网络安全管理义务罪新创于2015年通过的《刑法修正案九》,而相关行为发生在2013年,根据“法不溯及既往”的原则,本案能否适用该项罪名,仍然需要看相关的时间线才能确定。 方弘:造成了这么多人员的信息泄露,我们每一个被泄露的人员可以向他主张赔偿,或者他可能承担的民事责任是什么? 张雨佳律师:就民事责任来说,如果用户因为个人信息被泄露而产生的一些损失,我认为是可以索要相关赔偿的,每个人所受到的损失可能是比较微小或者说是不确定的,所以在相关的证明方面可能会比较困难。 方弘:我们每一个人会遭受到一天到晚的无数次的电话骚扰,这确实是给我们带来了非常大的生活困惑。但是,你要把它量化成经济上的赔偿确实是非常难,而且我们还要证明这个电话号码确实是圆通公司的人员泄露导致的。其实对于我们每个人来说,在法律上的维权都还是比较艰难的。 张雨佳律师:这个方面我觉得目前可能有个新的思路可以解决这个问题,因为个体的维权能力或者说维权的意愿不高,这个时候我们可以通过一个公益诉讼的方式去索要相应的赔偿,行使主体既可以是相关的民间组织,也可以是由人民检察院来提起公益诉讼。如果能够由人民检察院来提起公益诉讼,那么我相信进展还是会比较顺利的。 方弘:可能在立法上首先是需要完善的。 张雨佳律师:对,因为目前公益诉讼的规定还是相对比较原则,具体如何实行,法律还没有做出更细的规定。 方弘:信息被泄露我认为是属于一种非常被动的局面,只要你网购或者邮寄东西,都会去跟快递公司联系,在这个过程当中你的信息自然而然的就有可能被泄露,而快递公司这一块又是收集个人信息非常主要的一环,他们在法律上有没有更为严厉的监管责任呢? 张雨佳律师:对于平台,尤其是快递公司这类大量收集公民个人信息的平台,目前其实是没有特别具体的规定。快递公司收集到的公民个人信息,可能会将它视为自己的商业秘密进行保护。从动力上来讲,公司是有这样的动力进行保护的,问题是在于惩罚,我认为目前还是不太够。 快递公司作为用户信息的一个收集者跟管理者,很自然应该要对信息安全承担责任。问题是承担责任的界限在哪里呢?关于这方面,我认为其实可以参照拒不履行信息网络安全管理义务的一个红旗原则来适用。所谓的红旗原则是指如果一个违法行为是显而易见的,就像红旗一样随风飘扬。那么,作为平台的管理者,肯定是有义务及时制止这样一个行为的。同理,快递公司对于显而易见的信息泄露行为,也有及时制止的义务,如果未能履行该项义务,则必须承担相应的民事和行政责任,甚至是承担刑事责任。 方弘:其实对于个人信息的保护,我们国家的立法也是越来越重视,尤其在这次的《刑法修正草案十一》在这方面也进行了一些更为严格的立法。 张雨佳律师:是的。关于侵犯公民个人信息罪的立案标准是行为人只要售卖了50条公民的个人敏感信息,比如说财产信息,就可以构成犯罪;如果售卖的是500条较为敏感的公民个人信息,比如说租房信息,居住信息等只要达到500条以上也是可以构成犯罪的;5000条是指上述两类敏感跟较敏感信息之外的信息,只要达到了相关的数量标准,也是可以构成犯罪的。这就是“50、500、5000标准”。 另外,在这个标准之上,如果数量达到10倍以上,就可以构成情节特别严重,量刑档次会升一档,从原来的情节严重可处三年以下有期徒刑到情节特别严重,可以处3~7年有期徒刑。举个例子,我去年经办了一个猎头侵犯公民个人信息的案件,因为在猎头行业,生存的基础在于能够掌握足够的求职者,那么在这个行业交换企业的通讯录是一个普遍的现象。在交换的过程中,其实大部分猎头是没有意识到自己的行为已经构成犯罪的。他们在做出相应的行为时是完全没有畏惧感的。因为,你会发现大家都在做同样的事情,集体的恶会带来一种安全感。在这种安全感之下,他们做出相应的行为不会有任何的牵绊,这个时候普法就相当重要。 普法的目的是要可以告诉他们,做出相应的行为有可能遭遇刑事处罚。我想在这种事前的预防中可以大量减少公民个人信息被侵犯的这种情况。我们国家为什么公民个人信息泄露这么严重,其实跟历史文化背景是有关系的。我举个例子,欧洲为什么如此强调个人信息保护,因为有历史教训,犹太人就是因为个人信息被德国政府控制导致了巨大的灾难。所以,欧洲的个人信息立法不仅针对个人,也防范政府。我们国家在这方面的教训相对较少,或者我们并不认为这是一个迫切需要解决的问题,但实际上这个风险一直都是存在的。 从文化上看,欧洲重视个人权利,个人隐私,自然对信息的收集非常敏感。而我们国家强调集体主义,以公共利益、集体利益为重。以疫情防控期间的小区管理为例,许多小区要求住户必须刷脸才能进入,这是基于疫情防控公共利益的需要,所以并没有引起住户的强烈反对。 但是,不可否认的是,人脸识别技术本身就蕴藏着信息收集和泄露的风险,这种风险也引起了部分专家学者的注意。清华大学刑法学教授劳东燕认为,在小区安装人脸识别装置并无必要,而且不经同意收集人脸数据,也违反现行的法律规定。如果人脸数据被泄露、被滥用,不仅不会改善社会治安,反而可能使相关的违法犯罪活动激增。 个人认为,解决信息被滥用的问题首先要解决的是信息收集的不规范问题,在此基础上,我们才能谈如何防止信息的泄露,而信息泄露问题的解决,就法治层面而言,需要立法,更需要普法。 在立法方面,我们可以参考GDPR,即2018年5月25日欧洲联盟出台《通用数据保护条例》,该条例对信息收集与使用等方面进行了详细的规定,值得我们学习。当然,近年来,也有学者指出该条例因过于严苛可能会阻碍社会的创新与发展,但不管如何,“它山之石可以攻玉”,我相信域外的立法经验可以为我们提供有利的借鉴。 我们现在的刑事法律理论就是共犯理论,公司也受到处罚,必须要有一个犯罪的共同犯意在这里面。实际上很难去证明圆通公司是知情的。但是,从一个平台的监管责任本身去看,赋予它一个更为严格的监管义务的话,即不管公司员工的行为其是否知情或者说是否有共谋,都可以去追究公司的责任,如果它在这个过程中有疏忽的话。 最后要提醒的是,“天下没有免费的午餐”,切勿因为一点蝇头小利而贡献自己的个人信息,因为你不知道,你的信息将会走向何处、用作何用,最终又会带来多大的困扰。
结语
据不完全统计,国内个人信息泄露数已知的已经达到55.3亿条左右,平均每人就有四条相关的个人信息泄露,而这些信息的泄露所带给我们的危害不仅仅是骚扰电话垃圾短信那么简单,还会造成冒名办卡贷款,银行卡被盗刷,诈骗等等危害案件。 我们每个人都要树立保护自己信息的意识,例如不要随便连接公共WiFi,不要随便扫二维码,不要随便接收来历不明的文件,身份证照片、复印件不能滥用等。
欢迎关注往期节目:
点击下方阅读原文,获取往期700多期节目内容。我们分为刑事案件、民事案件、行政案件、婚姻家庭案件和公司类案件等,大家可以按照分类查找。
关注和转发是对我们最大的支持!
我们的联系咨询电话 1597 4827 467
为大家解答法律问题的是我们邀请到的《个案说法》节目嘉宾。他们专业资深负责!
本公众号使用的图片及文字有部分来自网络,如果侵犯了您的权利,请联系我们。本公众号为非营利公众号,旨在宣传法律常识,普及法律知识,如果有些文章对您的利益有所影响,还请及时与我们联系。
请长按下面二维码或扫描“个案说法”二维码,关注我们。更多案件的深度解读,都在里面有哦!
感谢大家的收听,我们下次节目再见!
解读热点经典案件
个案说法!
15974827467
微信同号