2010年6月12日,北京朝阳区法院对出售2060名机场工作人员个人信息,伪造机场巴士乘车证3000多张销售获利的三被告以泄露公民信息的案由进行了宣判。据报载,三被告曾经都是北京市民航安乐出租有限公司的员工,周广进担任北京民航机场巴士联营办公室统计员期间,将单位办理机场大巴乘车证时获得的2060名办证人员的个人信息分6次出售给李笑辰和甘雪斌,内容包括乘车证卡号、持卡人姓名、工作单位、家庭住址等。李、甘二人伪造民航机场巴士乘车证3494张,以每张150元的价格出售,共获利524100元。
去年2月,《刑法修正案(七)》公布施行,在刑法第253条后增加一条:“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。窃取或者以其他方法非法获取上述信息,情节严重的,依照前款的规定处罚。”这一条第一次新设了“出售、非法提供公民个人信息罪”和“购买、非法获取公民个人信息罪”两个罪名。在我国尚未有个人信息保护法出台前提下,刑法将非法泄露、获取个人信息行为列为打击对象,体现了国家加大个人信息保护的决心和力度。当然,考虑到本条主要是对在履行职责或提供公共服务过程中利用某种程度的公权力采集到的公民个人信息的国家机关或者单位,违反法律规定的保密义务的应负的刑事责任,基于刑法的谦抑性,立法机关并没有将所有泄露公民信息的行为都纳入保护,也没有将所有泄露公民信息的行为人都列为犯罪主体,刑法视线未能所及的行为和行为人,有待立法机关及时出台个人信息保护法及配套实施细则来进行规制。其中需要明白的几个概念有:
1、“公民个人信息”。这里面包括姓名、职业、职务、年龄、婚姻状况、学历、专业资格、工作经历、家庭住址、电话号码、信用卡号码、指纹、网上登录账号和密码等能够识别公民个人身份的信息。应注意的是,这个信息是单位在履行职责或提供服务过程中获得的信息,即利用公权力或提供公共服务过程中依法获得的信息。
2、“出售”、“购买”。法条中的“出售”是指将自己掌握的公民信息卖给他人,自己从中牟利的行为。相应的,出资收购他人掌握的公民信息的行为即指“购买”。需要指出的是,“出售、非法提供公民个人信息罪”和“购买、非法获取公民个人信息罪”均为选择性罪名,视行为人的目的和动机及具体行为因人而异。如行为人受经济利益驱使或以牟利为目的,可能涉嫌“出售公民个人信息罪”、“购买公民个人信息罪”,反之则可能涉嫌“非法提供公民个人信息罪”、“非法获取公民个人信息罪”。
3、“非法提供”、“非法获取”。法条中的此概念是指不应将自己掌握的公民信息提供给他人(包括单位和个人)而予以提供的行为。相对应的,“非法获取”就是指获取他人提供的不应掌握的公民信息的行为。而“非法提供”和“非法获取”的表现形式是多样化的,司法实践中一般会充分考虑到行为人提供或获取不应由自己掌握的公民信息的行为和结果间的因果关系,并藉此明确是否造成“非法提供”和“非法获取”的结果和危害程度。“非法提供”、“非法获取”是否应以提供者、获取者“明知或应知”提供者信息来源不正当性,个人认为应推断为“明知或应知”,很明显的,对个人信息的保护是每个公民内心深处本能的需要,因此面对不应由自己掌握的公民的个人信息,任何一个心智正常的人通过常理就可以判断出提供、获取不应由自己掌握的公民的个人信息的行为是不具有正当性的。
4、“情节严重”。一般来讲,违反了对个别公民个人信息的保密义务,不构成犯罪。“情节严重”是指出售公民个人信息获利较大,出售或者非法提供多人信息,多次出售或者非法提供公民个人信息,以及公民个人信息被非法提供、出售给他人后,给公民造成了经济上的损失,或者严重影响到公民个人的正常生活,或者被用于进行违法犯罪活动等情形。
尽管此案是否为因泄露公民信息而获罪的首例还存在争议,有据可查的是在去年《刑法修正案(七)》公布实施后在武汉、珠海等地已有类似案例,但此案绝对是发生在民航系统的首例。遗憾的是新闻报道没有详细列出三人所涉及的具体罪名,但是从已公布的简要案情来看,个人认为李笑辰、甘雪斌二人是涉嫌购买公民个人信息罪被判处有期徒刑3年6个月,周广进因涉嫌出售公民个人信息罪被判有期徒刑1年,缓刑1年。试想一下,民航大巴的普通员工接触得到的公民信息是有限的,竟然也能造成如此严重的后果,那么民航系统内能够直接接触各类公民信息的单位和部门有多少呢?或者再引申思考一下,这种公民个人信息的泄露,除了对被泄露个人信息的当事人造成困扰和危害外,是否已经成为了民航空防安全的隐患呢?民航业实际上还是一个高度集合的信息系统,仅仅是涉及到公民个人信息的信息系统,就有基于互联网应用的旅客离港信息系统、货运信息系统、电子客票销售系统、各承运人及其代理人自己开发的常旅客信息系统等,基于局域网、专用网应用的企业人事信息系统等,以及政府管理部门独立使用的专用的旅客数据系统等,全面覆盖民航的安全、政务、商务、物流、公共服务、信息安全等领域。同理,涉及到机场和航空公司正常运营的信息系统更是数不胜数。因此判决后,朝阳法院给中国民用航空局机关服务局发出司法建议。建议该单位在单位内部通报案件结果,对公民个人信息严格管理,规范机场大巴乘车证的办理。这都是相当有必要的,应该引起我们的深思。
公民个人信息的保护,对民航业内来说,既是一个复杂的法律问题,也是一个严肃的社会责任问题。中国社科院法学研究所与社科文献出版社联合发布的2009年法治蓝皮书《中国法治发展报告》指出,因能够采集到公民身份证信息的机构疏于管理,致使客户身份证信息泄露的情况非常严重。前文已经述及,民航涉及到公民个人信息的信息系统类型多,但法律规定强制收集的公民个人信息被相应机构二次开发利用前多未向当事人告知,存在一定的法律风险。且由于管理力度和水平方面的差异,保密措施上可能的粗放以及保密意识的淡漠,公民个人信息保护现状不容乐观。虽然公民个人信息保护尚缺乏系统全面的法律保护,但是这不能成为民航业内能够采集到公民身份证信息的机构为自己脱责的借口。自《刑法修正案(七)》生效后,特定的单位也可以成为涉及泄露公民个人信息罪的犯罪主体,随着公民个人信息保护的立法全面展开,所有单位和个人都将发现在公民个人信息保护方面自己的法定保密义务会更加具体明确,违法成本也相应提高。同时严格保护公民个人信息的安全,也是民航系统单位和个人主动承担社会责任的表现。
公民个人信息的保护,在民航业内的引申意义,实质上是信息安全问题。作为业内人士,不能不对此有所关注。信息作为一种资源,它的普遍性、共享性、增值性、可处理性和多效用性,使其对于人类具有特别重要的意义。信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏,即保证信息的安全性。根据国际标准化组织的定义,信息安全性的含义主要是指信息的完整性、可用性、保密性和可靠性。可以这么说,民航系统是一个高度依赖信息安全的、非常脆弱的协同系统,而信息流贯穿民航管理、运营的整个方面,在信息安全方面有任何的差池和闪失,所造成的损失和后果都是不堪设想的。因此信息安全应当成为民航安全管理中一项重要组成部分。民航局领导曾在一次民航信息化论坛上提出今后一段时期民航信息化发展的总体目标是完善信息基础设施,提高信息资源开发利用水平,增强信息安全保障能力,提升政府服务能力和公众服务水平,全面实现企业信息化,信息化综合水平在国内保持领先,进一步提高行业核心竞争力,满足民航科学发展和持续安全的需要。信息化是民航快速发展的推进器,加快信息化发展同样是世界各国民航的共同选择。坚持持续安全和科学发展,坚持以需求为导向、以应用促发展的信息化发展路子,仍将是民航信息安全管理的近期目标,我们乐见其成。
