张敬伟系中国人民大学重阳金融研究院客座研究员，本文刊于5月23日《深圳特区报》。

　　引子：

　　近日，最高法、最高检联合发布了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，明确了侵犯公民个人信息罪的定罪量刑标准，受到社会普遍关注。接着最高检又发布了6起侵犯公民个人信息犯罪典型案例，旨在为各地检察机关办理相关案件，正确适用法律和司法解释，规范统一司法，提供指引、参考。

　　主持人：尹传刚（深圳特区报评论员）

　　嘉宾：和静钧（西南政法大学政治与公共管理学院副教授）

　　舒锐（法律学者）

　　张敬伟（察哈尔学会高级研究员，中国人民大学重阳金融研究院客座研究员）

　　个人信息保护法制不健全、法治不完善，尤其是处罚较轻，导致泄露个人信息的违法成本较低

　　主持人：公民个人信息为何会被轻易泄露出去？

　　张敬伟：多种原因。一是社会征信制度建设处于初级阶段，在此阶段社会个体缺乏足够的个人信息保护意识，因此个人信息很容易造成系统性的泄露，个人隐私得不到有效保障，给社会和个人都造成了困扰。二是信息时代的新生活方式，使人与人之间交往的主流方式变成了网络交流，使个人信息变得更容易泄露。三是掌握足够多的个人信息，客观上就掌握了市场机会。因而，个人信息也就成了产业，也就异化为资本化的手段。四是有些掌握个人信息的机构，缺乏足够的个人信息保护意识，或者说缺乏应有的职业操守，甚至充当售卖个人信息的贩子。五是个人信息保护法制不健全、法治不完善，尤其是处罚较轻，导致泄露个人信息的违法成本较低。这也是个人信息容易泄露的原因。

　　舒锐：刑罚只是公民权利的最后一道防线，而当前个人信息立法呈现碎片化，对于没有严重到构成犯罪的泄露行为，只有《身份证法》等少数法律规定着行政处罚或行政处分责任，难以实现法律责任的有效衔接。而另一方面，个人信息的拥有主体更呈现多元化，政府行政管理以及金融、电信、交通、医疗、物业管理、宾馆住宿服务、乃至电商、快递等诸多社会公共服务领域，均收集和储存了大量的公民个人信息。只要有一环出现管理疏漏或者工作人员出售、泄露，就将导致个人信息的非法流出。

　　可是，相关行政执法部门不仅九龙治水，更是定位、权限不明确。当多元化的信息泄露渠道遇上立法与执法的碎片化，民众信息就能轻易被泄露，且很难追溯泄露的源头，若是没有严重到一定程度，只要对方矢口否认，公民根本毫无办法，相关权利容易沦为了空谈，信息泄露者也并没有得到普遍追究，甚至在一些行业成为司空见惯的事情。

　　和静钧：从个人信息相对方来看，从事营销或广告投放等行业的人士，存在获得他人个人信息并用于商业销售之动机，这类诱因会促使这类人通过“寻租市场”或“交易黑市”持有更多别人的个人信息。而对从事电信诈骗等不法行为者而言，占有、持有个人信息量越大，其获取非法利益机会越大，他们会千方百计窃取、非法购买个人信息。种种原因，在当下技术环境条件下，个人信息就如处于“玻璃屋”，随时都可能被人窥视，也就是“易泄露”现象。

　　司法解释是“及时雨”，为司法机关准确适用法律提供了指南，最高检发布的六例典型案件起到“判例法”的作用

　　主持人：日前，最高人民法院与最高人民检察院联合发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》。这也是“两高”首次就打击侵犯公民个人信息犯罪出台司法解释。你们怎么看？

　　和静钧：司法解释是“及时雨”，为司法机关准确适用法律提供了指南，最高检发布的六例典型案件起到“判例法”的作用，会成为各级司法机关参照的“样本”，有利于适用法律的明晰化和确定化。此次司法解释把个人信息准确分成了“身份信息”与“活动信息”，使这一核心概念变得更具体，更具有可操作性。司法解释与典型案件的发布，必然会对保护个人信息安全、推动刑法第253条的实施，具有重要和深远意义。

　　张敬伟：“两高”的《解释》来得很及时也很必要。对于遏制泛滥的个人信息违法犯罪行为具有威慑作用，可以遏制住侵犯个人信息事件频发多发的社会流弊。

　　舒锐：相关犯罪入刑后，定罪量刑标准较为原则，不易把握，这也导致各地地方机关在法律适用上存在分歧，乃至存在了同案不同判，比如，对于非法搜集他人行踪轨迹，各地就对于罪与非罪产生过不同判决。为保障法律正确、统一适用，依法严厉惩治、有效防范相关犯罪，最高院会同最高院，在公安部等有关部门的大力支持下，经深入调查研究、广泛征求意见、反复论证完善，制定了本《解释》。

　　《解释》在明确裁判尺度上，一是明确了“公民个人信息”的范围，将公民的住址、账号密码、财产状况、行踪轨迹也囊括在其中；二是明确了非法“提供、获取公民个人信息”的认定标准，将“人肉搜索”所得结果公布于众也将被认定为非法提供；三是综合信息类型和数量、违法所得数额、信息用途、主体身份、前科情况等因素确定定罪量刑标准。

　　有必要改变立法的碎片化现象，制定系统化的《个人信息保护法》，为涉信息行业建立更严格的行业标准，为个人信息编织严密法网

　　主持人：《解释》中引发社会关注度最高的，是这样一条：“将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人”的，认定“情节严重”的数量、数额标准减半计算。也就是说，对于我们通常所说的泄露个人信息的行业内鬼，解释明确了降低入罪门槛的治理信号。你们怎么看这一规定？

　　舒锐：目前，在打击相关违法犯罪过程中，执法机关往往只注重犯罪嫌疑人个体处理，并没有深挖到底，既没有牵出犯罪链条上的所有违法者，更并没有对相关单位管理不善导致的渎职行为进行追究。不得不说，一些职能部门的信息管理失职行为是触目惊心的。如在笔者曾经经历的一起案件中，一名程序员在公司派往某单位工作时，轻易获取了该单位所掌握的公民个人信息15万余条，并将1万余条公民个人信息倒卖他人。程序员最终被判刑，可是，该单位却毫发无损，更摆出一副受害者的姿态。

　　有必要改变立法的碎片化现象，制定系统化的《个人信息保护法》，为涉信息行业建立更严格的行业标准，为个人信息编织严密法网。

　　张敬伟：个人信息泄露，都与掌握个人信息大数据的机构相关。因而，规范相关机构，打击这些机构的“内鬼”，是源头治理之策。“两高”《解释》明晰查处“内鬼”和量刑标准，意在敦促相关机构和从业人员，如果不强化保护个人信息的法治意识和提升职业道德素养，一不小心就可能锒铛入狱。

　　和静钧：实践表明，大量个人敏感信息，往往是经合法采信或征信单位或部门作为“初始源头”泄漏出去的，堵住源头，是治理个人信息安全环境的最重要思路。此次司法解释贯彻了这一思路，治理前移，不再只纠缠于“加害环节”或“结果环节”，在认定中降低入罪门槛，量化情节，操作简单，并把关联犯罪如“拒不履行信息安全义务罪”也一起合并过来，对单位负责人与“内鬼”均有震慑力，有利于防止和清除“内鬼”。（欢迎关注人大重阳新浪微博：@人大重阳，微信公众号：rdcy2013）