个人信息刑法保护再细化 打击“内鬼”仍需加力

个人信息的刑法保护，再出新举措。5月9日，最高法院、最高检察院发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（下称《解释》），细节了相关罪行的入刑标准、明确了个人信息的范围、“人肉搜索”或构成犯罪，等等。（详见《“两高”：窃取个人财产信息50条即入罪》）其中，打击“内鬼”成《解释》的重要内容之一。

图片来自视觉中国

所谓“内鬼”，主要是指在履行职责或提供服务过程中，能够接触或掌握大量个人信息的有关机构或者单位内部人员，将所获得的信息出售或者非法提供给他人。这类主体由于特定身份，一方面可以轻松获得大量信息，另一方面又有身份寻租的空间，成为信息倒卖者的“猎物”，内外勾结，谋取私利。

根据刑法253条之一规定，获取、出售或者提供公民个人信息，情节严重的才构成犯罪。到底何为“情节严重”，对“内鬼”作出专门规定，将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人，数量或者数额标准按照减半计算。比如，一般主体非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条才入刑，对于内鬼则二十五条即可入刑。

“内鬼”有多少

通过公开案例不难看到，各个行业，大大小小层级，都可能出现“内鬼”。比如，银行职员非法查询并下载他人征信以及客户基本信息，电信职员盗卖呼叫记录，快递公司职员则掌握了大量收件人地址、电话等信息。

根据公开报道，2016年，公安机关破获一起跨25省区市特大侵犯公民个人信息案件，抓获犯罪嫌疑人201名，包括银行职员、电信人员、快递公司职员、航空售票点负责人等成为信息泄露的主要犯罪嫌疑人。

另外一个案例，2012年10月间，王某利用其担任中国东方航空客运营销委员会系统管理员的职务便利，私自将600余万条“东方万里行”客户信息资料下载后交与他人得利。

依靠非法获取信息牟利，逐渐形成一条通过“市场”寻找“需求”的路径，往往“点对点”，极具针对性。比如，医院职员将新生儿父母姓名、联系方式、家庭住址等内容卖给下游儿童相关产品或服务商家，小区保安将户业主信息出售给家装从业人员等。当然，还有诸多围绕个人信息的电信诈骗者。

5月9日的《解释》发布会上，公安部网络技术研发中心主任许剑卓介绍，行业内部人员已经成为实施侵犯公民个人信息犯罪的重要主体。非法获取公民个人信息主要有两个来源：一是黑客入侵网站非法获取。另一类是各行各业的内幕人员泄露信息。

“从打击情况看，目前造成危害最大的主要是像银行、教育、工商、电信、快递、证券、电商各个行业的人员，内部人员把数据泄露出来。”许剑卓说。

据了解，2016年，全国公安机关共侦破网络侵犯公民个人信息案件数量是2100多起，查获公民个人信息500多亿条，抓获的犯罪嫌疑人5000多人，其中，属于各行业内部的人员450多人。

本来应该是负有保护个人信息职责的“监管者”，最终成了个人信息犯罪的“帮凶”或“凶手”。

惩治“内鬼”的法律逻辑

法律本身并没有轻纵“内鬼”。2009年刑法修正案七首次明确公民个人信息犯罪，其中就有比较明确的打击内鬼思路。刑法第二百五十三条区分了出售、非法提供公民个人信息和非法获取个人信息。

其中，国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。窃取或者以其他方法非法获取上述信息，情节严重的，依照前款的规定处罚。

可见，出售、非法提供公民个人信息入刑的初衷就是打击特定主体，即在履行职责或者提供服务过程中能够获得个人信息的“内鬼”。刑法列举范围有“国家机关或者金融、电信、交通、教育、医疗等单位”，这是犯罪高发领域，也是重点防范领域。

该修正案施行后，经过几年的司法实践，2015年11月1日起施行的《刑法修正案（九）》再次对个人信息犯罪作出修改，包括，扩大犯罪主体的范围，规定任何单位和个人违反国家有关规定，获取、出售或者提供公民个人信息，情节严重的，都构成犯罪；明确规定将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，从重处罚；加重法定刑，增加规定“情节特别严重的，处三年以上七年以下有期徒刑，并处罚金”。

犯罪主体扩大，不再局限于特定主体，而监守自盗的“内鬼”身份则成为“从重处罚”的依据。这也是个人信息犯罪的一个重要改变。

近年来，公安部门也针对个人信息犯罪有过多次专项打击行动，且集中暴露打击了一批“内鬼”。但是，从2009年个人信息犯罪入刑以来，似乎个人信息犯罪的“内鬼”并没有明显减少，无论是涉及领域还是个人信息规模，反而有扩大化趋势。

仅从立法角度而言，有学者就提出，刑法的有关规定不够明确，比如，到底个人信息包括哪些内容，并没有明确标准，情节严重才可入刑，但怎样认定“情节严重”，司法标准并不统一，等等，直接制约了打击内鬼的成效。

所以，此次《解释》的出台，就是为了解决司法实践中遇到的操作难题。北京市权达律师事务所律师孔德峰表示，刑法第253条之一第二款主要是从量刑角度而言，“违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。”而《解释》则是从犯罪构成角度，做出不同于一般主体的规定，构成要件采取更为宽松的标准，“减半”就构成犯罪。

打击“内鬼”仍需加码

孔德峰认为，《解释》贯彻了法律对“内鬼”侵犯个人信息的基本态度，惩罚严于一般主体。不过，明确法律规定只是一小步，打击“内鬼”的执法严格程度以及综合环境的改善，直接影响个人信息刑法保护水平。

在个人信息犯罪案件中，还有一个不容忽视的事实，有的政府部门也成危险区。根据裁判文书网搜集的案例，派出所的个别人员，比如协警、辅警以及保安队等，都可能借助职务便利违法犯罪。

比如，2014年11月至2015年3月，被告人吴某在某派出所警务辅助人员期间，利用职务便利先后多次出售、非法提供十余人的特定公民个人信息给其他人从事“私家侦探”违法活动。

甚至，有的派出所保安队人员可以私自使用民警的公安数字证书，登录“公安部人口管理系统”“公安部出入境管理系统”。比如，在2015年6月至8月间，某派出所保安队队长借此非法获取公民个人信息4000余条。

政府机关个别人员借个人信息谋利，并不只是存在于某几个部门。甚至，不少机关尚缺乏个人信息保护意识。随着政府数据信息化的建设逐步增强，加之各部门之间的信息孤岛日益打破，如何有效规范政府机关和个体，如何保护个人信息，已经成了不小挑战。

孔德峰提醒，执行过程中，尤其应该避免地方保护、官方保护等特定保护问题，一方面，查处个人信息犯罪可能会涉及到单位声誉等，尤其是银行等一些强调信用的金融机构，另一方面，也可能存在政府部门利益等，他们甚至可能动用手中权力干预执法。■