某通40多万信息泄露,员工被抓,某通把丧事变喜事办,自我表扬了一番。公安机关也没有追查某通有没有涉嫌“拒不履行信息网络安全管理义务罪”。总是这样捉虾,不打虎,问题不可能有根本改观。原因很简单,往往是单位和平台管理疏漏,员工才有机会实施侵犯公民信息犯罪。一、侵犯公民个人信息罪。
《刑法》第253条之一规定,向他人出售或者提供公民个人信息,情节严重的;违反国家有关规定,将在履行职责或者提供服务中获得公民个人信息出售或者提供给他人,窃取或者以其他方法非法获取公民个人信息,成立侵犯公民个人信息罪。本罪单位实施上述行为的,构成单位犯罪。
根据该规定,侵犯公民个人信息罪的犯罪主体有两个,一是个人,二是单位。
司法实践中,司法机关追究刑事责任的基本上是个人,没有发现追究单位犯罪的。倒不是说没有单位犯罪,单位犯罪很多时候容易被个人犯罪掩盖。
单位犯罪取证难度高于个人犯罪是客观原因。追究单位犯罪,抓了单位负责人以及直接负责人员,很容易导致这个单位瘫痪。尤其是家族企业和没有达到现代企业治理标准的公司。这直接刺痛了地方政府的痛点,好不容易培育起来的公司,就这样倒了,很难接受:什么税收减少啊,什么就业与失业啊,想想都头大。司法机关很难抛开这些,铁腕治理犯罪。
不只是民企和中小企业,甚至大型公共服务企业,乃至一些国家机关都频频发生信息泄露。从公开新闻信息看,不乏公务员触犯侵犯公民个人信息罪被追究刑事责任。之所以专门提到公务员犯罪,政府机关和公务员应当做守法典范。如果政府机关和公务员都对公民信息泄露熟视无睹,甚至个别公务员还将公民个人信息当生意犯罪牟利,根本就是向社会传递出错误的政策信号。
二、拒不履行信息网络安全管理义务罪。
《刑法》第286条之一规定,网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使违法信息大量传播的;致使用户信息泄露,造成严重后果的;致使刑事案件证据灭失,情节严重的;以及其他严重情节的,构成拒不履行信息网络安全管理义务。单位犯该罪的,对单位判处罚金,并对其直接负责的主管人员和其它直接责任人员,定罪处罚。同时构成其它犯罪的,依照处罚较重的规定定罪处罚。
1、单位如果违反上述规定,应追究拒不履行信息网络安全管理义务罪的刑事责任。
总让刑法条文睡大觉,不仅无助于治理犯罪,反而会变相纵容和鼓励犯罪。无法可依时候,大家胆大,因为没有规矩。有法不依,无异于明确告诉大家:放手干吧,不干白不干,干了也白干。当不干是傻子时候,想管理好信息安全就难了。
2013年媒体就曝光某通快递个人信息不仅可以在网上买到,数据还能实时更新!现在又发生员工系统账号租赁,泄露40多万条公民个人信息。现在,你说某通履行了法律、行政法规规定的信息网络安全管理义务?先摸摸自己良心,昧良心不!
2、监管部门应及时责令单位采取改正措施,收紧紧箍咒,迫近成立的犯罪标准。
某通等发生这样的员工犯罪,首先要承认没有履行或者没有履行好法律、行政法规规定的信息网络安全管理义务。监管部门有责任也有义务依法责令单位采取改正措施。
法律规定,网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,导致危害后果的,可能构成犯罪。那就依法责令单位采取改正措施,让单位距离犯罪的深渊更进一步。有责任才有改正动力。
3、事后补救不能掩盖事中管理缺位的责任。
坚决不能让单位用“弃车保帅”方法“金蝉脱壳”。犯错就是犯错,涉嫌犯罪就是涉嫌犯罪了。不能象壁虎一样,自断尾巴,抛出员工,拉个牌坊过来,自己就安全了。
4、某通不应该仅仅自我表扬式道歉了事,应当就数据安全漏洞如何补救,给用户和社会一个交代。
屡次发生信息安全漏洞,光“交出”几个员工,没有后续完整的改正措施,就想用一纸声明哄骗社会,恐怕是不行的。这恐怕要是网民不买账的根本原因。
某通作为科技企业,完全有能力用门禁、监控录像、人脸识别等技术综合运用,阻却员工泄露公民个人信息。员工想出租账号根本不可能。
5、监管部门应加强安全监管。
信息技术日新月异,发展迅速,各种场景,采集个人信息越来越多,诸如人脸、虹膜、指纹、声音、照片等等个人及其敏感和隐私信息,必须加强安全管理。如不加强管理,未来的技术风险和法律风险将成为社会灾难。
三、不应过多期待起草中的《个人信息保护法》。
发生某通信息安全事件,有人可能寄希望于正在修订中的《个人信息保护法》。笔者完全不赞同这样的观点。
《刑法》利剑都不能治理好的社会积弊,不能指望一部与刑法这一核武器相比简直是鸟枪的《个人信息保护法》?
现在的问题不是无法可依,而是执法不严。达摩克利斯剑没有悬于头顶,没有及时斩断犯罪之手。
四、管好大数据。
大数据时代,人人活得都很透明。如果不能有效管好大数据,没有人是安全的。不象上个世纪以及以前,伤害他人需要用板砖。大数据时代,贩卖几条公民个人信息就够了;泄露几条公民个人信息,就可能改变某些人的人生轨迹。
五、“区块链”等互联网信息技术构筑技术壁垒,阻却犯罪。
技术是好东西。技术是中性的。 你运用技术犯罪,技术就是帮凶。你用技术防范犯罪,技术就是安全屏障。举例讲,某通完全可以从技术上设限,让不必要岗位员工没有权限查询过往单号信息等,从而避免这次的信息安全事件。
六、建立和完善“黑名单”制度。
快递行业协会可以就各快递公司采取类似积分管理,借鉴“中超”保级机制,评分过低,直接影响公司融资,影响公司业务规模。规范商事主体,只要能影响其成本与收益,没有做不好的工作。
针对快递行业员工个人,也要建立不良信息数据库。各家快递公司招聘员工时候,都不允许招录有违反信息安全劣迹人员。快递公司故意招录有违反信息安全前科人员,应当可以认为网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,未来该员工实施致使违法信息大量传播的行为、致使用户信息泄露,造成严重后果的行为、致使刑事案件证据灭失,情节严重的行为等,该公司就可能涉嫌构成拒不履行信息网络安全管理义务。
不但要管快递从业人员,更要给快递公司带上“紧箍咒”。公司安全管理到位了,员工想犯罪,哪里还有机会?
防火不能只管点灯的,更要管放火的。追究犯罪不能止于员工,放纵单位。相对于信息持有单位员工犯罪,信息持有单位责任更大。既管员工,也管单位,才能有效改变公民个人信息“裸奔”的状态。