舒 锐

要对所有涉个人信息机构、组织的信息管理与保护进行日常指导、监管，帮助它们构建起防信息泄露机制，防患于未然。

利用在公安机关内部担任协勤人员的便利，王旭光伙同两名同事获取车辆档案、驾驶员等个人信息，并通过微信出售，不到一年间三人违法获利约7万元。9月13日，该案在辽宁省沈阳市大东区法院一审公开审理，王旭光以侵犯公民个人信息罪被判处有期徒刑3年2个月，并处罚金7万元（9月14日《新京报》）。

本案中的被告人仅为协勤人员，却有能力获取如此多的公民个人信息，其所在单位对于公民个人信息保护力度之薄弱可见一斑。事实上，个人信息被泄露屡见不鲜，甚至许多人有切身体会：公务员考试刚报名，卖“答案”的就开始联系考生；车险快要到期，车主就接到一堆保险推销电话。这些骚扰乃至诈骗的背后都有着个人信息泄露的影子。遗憾的是，我们并不常见到新闻中报道将公民个人信息泄露者绳之以法的案例。不得不说，我们时刻存在于个人信息被泄露的风险之中。

按说，法律对于泄露公民个人信息恶行的惩罚并不轻，尤其是刑法修正案（九）将相关犯罪由特殊主体修改为一般主体，扩大了犯罪主体范围。只要向他人出售或者提供公民个人信息，情节严重的，不管其为何种身份，都将构成犯罪，最高获刑7年。然而我们为什么依然没能斩断个人信息被非法泄露的链条呢？究其原因，恐怕主要在于以下四个方面：

一是在行政管理以及金融、电信、交通、医疗、物业管理、宾馆住宿、快递等诸多社会服务领域，相关机构、组织收集并储存了大量公民个人信息。只要有一环出现管理疏漏或者工作人员故意出售、泄露，就可能导致个人信息非法流出。而相关行政执法如同九龙治水，部门定位、权限等不明确。二是相关犯罪被发现的概率较小，一般只有在追究电信诈骗等下线犯罪的过程中，才去顺藤摸瓜地发现泄露公民个人信息的恶行。三是在打击相关犯罪的过程中，只注重对犯罪嫌疑人的个体处理，并没有深挖到底，既没有揪出犯罪链条上的所有违法者，更没有对管理不善相关单位的渎职人员进行追责。四是只注重追究犯罪，忽略了日常行政执法，更没有对涉个人信息机构、组织实现有效管理。

打击犯罪是司法机关的应有之责。除此之外，须建立起公民个人信息保护的制度之网，进一步强化预防措施。

首先，应强化涉个人信息机构、组织的管理责任，可以立法要求这些机构、组织使用个人信息时，除特殊情况外，一般应采取代号化或加密处理等方式，去除个人信息的可识别性因素，降低未来可能发生的信息泄露等安全事件对公民个人的影响。另可建立个人信息系统查阅留痕制度，谁接触过哪些个人信息都必须留痕备案，以便将来倒查责任。

其次，从行政监管的角度看，有必要改变当前九龙治水的局面，可考虑设定专门的个人信息管理行政部门：一方面加强日常执法，对尚未构成犯罪的个人信息泄露违法行为及时追究，露头就打；另一方面，要对所有涉个人信息机构、组织的信息管理与保护进行日常指导、监管，帮助它们构建起防信息泄露机制，防患于未然。如此才能从源头上铲除非法泄露公民个人信息的土壤。