凭借掌握成都市“妇幼信息某管理系统”市级权限账号密码,非法下载新生婴儿数据50余万条,贩卖新生婴儿信息数万余条。日前,一个以成都卫生系统“内鬼”为源头,向社会出售新生婴儿信息的黑色链条被广元市旺苍县公安局彻底斩断。
从已破获案件看,“内鬼”监守自盗是公民个人信息泄露的主要渠道之一,全国公安机关共抓获各部门、各行业内部涉案人员831名。
2015年11月1日起施行的《刑法修正案(九)》,将“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”整合为“侵犯公民个人信息罪”,并提出“将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚”。去年最高法、最高检发布的司法解释进一步明确,“将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人”的,认定“情节严重”的数量、数额标准减半计算。不过,这些并不足以遏制内鬼泄露个人信息。毕竟,内鬼获取信息往往是利用职务便利,发生在单位内部,具有很强的隐蔽性,外人很难发现。降低入罪门槛和从重处罚,只是提高了违法成本,并没有改变“低风险”。在经济利益驱使下,难免有工作人员抱着侥幸心理,铤而走险。
“内鬼”侵犯个人信息事件频发,折射出一些党政机关和企事业单位公民个人信息安全防护缺位。民政、教育、卫生、人社、通信、金融、快递等部门拥有海量公民个人信息,但与信息库的庞大规模和重要性相比,一些单位保护个人信息安全的力度还很孱弱。一方面,内控安全制度不完善或不落实,给了内部工作人员近水楼台的便利。在成都这起案件中,一位社区卫生服务中心的工作人员,居然能够掌握市级权限账号密码,轻而易举地下载新生婴儿信息数据,有关部门内控管理的混乱可见一斑。同时,信息系统安全防护措施薄弱,极易遭到黑客入侵、窃取,也凸显出有关部门对于个人信息保护缺乏重视。
究其原因,信息安全管理责任不明确,导致一些部门和行业重视程度不够,缺乏加强管理的积极性和主动性。目前,刑法中的“侵犯公民个人信息罪”,只是针对违规向他人出售或者提供公民个人信息的单位和个人,即“谁犯错、追究谁”。对于“内鬼”所在单位应该承担何种责任,相关法律并没有明确。公安部网络安全保卫局负责人坦言:“近年来破获了这么多行业内鬼泄露信息的案子,对单位领导的责任很少追究。”
“内鬼”侵犯个人信息,理应受到法律严惩。但也要看到,内部出了“内鬼”,单位及其负责人难辞其咎。近年来,代表委员纷纷呼吁,如果单位的工作人员将因为执行单位的公务获得的信息泄露,单位也应当承担连带责任。只有明确单位的连带责任,从制度层面堵塞漏洞,才能增强有关部门保护公民个人信息的意识,倒逼其完善内部管理和内控机制,不给“内鬼”可乘之机。