圆通“内鬼”致40万条个人信息泄露 圆通可以逍遥法外吗?

张雨佳律师

广东明思律师事务所

刑事二部主任

案情

新京报贝壳财经记者独家获悉,在由邯郸市公安局反诈中心联合邯郸市永年区公安局成立的专案组近期侦办的一起部督案件中,不法分子与圆通快递多位“内鬼”勾结,通过有偿租用圆通员工系统账号盗取公民个人信息,再层层倒卖公民个人信息至不同下游犯罪人员。
东窗事发,始于今年8月。
据邯郸永年区公安局反诈中心中队长王求东梳理,嫌疑人马某杰雇佣张某行、高某桥以每日500元的费用租用某物流公司内部员工系统账号,团伙成员郭某、杜某龙通过登录租用赵某星等人的系统账号进入该物流系统,导出快递信息,团伙成员朱某钊把窃取的快递信息进行整理后交给同伙吕某硕。吕某硕又通过微信、QQ等方式卖到全国及东南亚等电信诈骗高发区。
专案组于9月7日将嫌疑人张某行、高某桥、马某杰抓获。警方称,该案涉案嫌疑人涉及河北、河南、山东等全国多个省市,涉案金额120余万元。
记者从知情人士获悉,上述的“某物流公司”为圆通,涉案的“某物流公司内部员工”为五位圆通员工。上述工作人员分别处于邯郸地区的永年、鸡泽、武安以及邢台地区的隆尧、沙河,每个地区各有一位涉案人员,被泄露的信息中包括发件人地址、姓名、电话以及收件人电话、姓名、地址六个维度。
据知情人士透露,如果以上述六个维度的信息共同组成一条信息来计算,此次被泄露的信息数量实际超过40万条。据马某杰供述,他将收集到的信息打包卖出,每条信息单价约为1元。
圆通方面回应称,已报案,相关嫌疑人于9月落网,坚决配合打击非法售卖和使用快递用户信息的行为。
2013年有媒体报道,一个为淘宝网店提供“刷钻”服务的网站曾在首页上公开声明与圆通公司合作,长期出售快递面单信息。经调查,所发布的快递面单信息均真实有效,注册该网站的会员都可以通过网上支付平台购买面单内的公民信息,包括快递单号、收货人姓名、收货人手机号、收货地址等。
彼时警方调查发现,这些信息都是在圆通公司工作的林某提供,网站以每月500元的价格大量购买。截至案发,已经出售公民个人信息20余万条。
来源:新京报
采访对话
方弘:相关涉案人员将被追究怎样的责任?
 
张雨佳律师:圆通公司部分员工与外部人员互相勾结,贩卖用户的地址、姓名、电话,可能构成侵犯公民个人信息罪。该罪情节严重的可处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
本案泄露的公民个人信息达到40万条,已经达到情节特别严重的程度,如果查证属实,有可能因侵犯公民个人信息判处三到七年的有期徒刑。
方弘:判了刑罚以后,其实对于我们每一个用快递的人来说,也并不代表着我们的信息就安全了。我们会担心任何一家快递公司会泄露我们个人的信息,因为它实质上是快递公司对于员工的管理以及快递公司内部系统的管理上有疏漏导致的。目前,圆通也就此事道歉了,但是很多网友并不领情,大家会觉得只是道歉管用吗?我们的信息已经被出卖了,由此带来的可能不仅仅是信息的泄露,严重的也可能危及到我们个人安全,就此事件,圆通公司是否应该承担责任呢?
张雨佳律师:从目前披露的情况来看,本案属于个别员工独立作案,与圆通公司并未直接关联,公司不承担刑事责任。就民事与行政层面而言,如果有证据证明圆通公司未能履行相应的管理义务,导致用户信息泄露,有可能承担相应的民事或行政责任。
 
就刑事责任而言,如果公司对员工的行为知情但并未及时阻止,有可能成立侵犯公民个人信息罪的共同犯罪,也要承担相应的责任
另外,相关报道显示,圆通公司内部在2013年即出现过类似的情况,倘若当时的行政管理部门已经勒令改正而圆通公司拒不改正,则符合拒不履行信息网络安全管理义务罪的构成要件。
不过,因为拒不履行信息网络安全管理义务罪新创于2015年通过的《刑法修正案九》,而相关行为发生在2013年,根据“法不溯及既往”的原则,本案能否适用该项罪名,仍然需要看相关的时间线才能确定。
方弘:造成了这么多人员的信息泄露,我们每一个被泄露的人员可以向他主张赔偿,或者他可能承担的民事责任是什么?
 
张雨佳律师:就民事责任来说,如果用户因为个人信息被泄露而产生的一些损失,我认为是可以索要相关赔偿的,每个人所受到的损失可能是比较微小或者说是不确定的,所以在相关的证明方面可能会比较困难。
方弘:我们每一个人会遭受到一天到晚的无数次的电话骚扰,这确实是给我们带来了非常大的生活困惑。但是,你要把它量化成经济上的赔偿确实是非常难,而且我们还要证明这个电话号码确实是圆通公司的人员泄露导致的。其实对于我们每个人来说,在法律上的维权都还是比较艰难的。
张雨佳律师:这个方面我觉得目前可能有个新的思路可以解决这个问题,因为个体的维权能力或者说维权的意愿不高,这个时候我们可以通过一个公益诉讼的方式去索要相应的赔偿,行使主体既可以是相关的民间组织,也可以是由人民检察院来提起公益诉讼。如果能够由人民检察院来提起公益诉讼,那么我相信进展还是会比较顺利的。
方弘:可能在立法上首先是需要完善的。
张雨佳律师:对,因为目前公益诉讼的规定还是相对比较原则,具体如何实行,法律还没有做出更细的规定。
方弘:信息被泄露我认为是属于一种非常被动的局面,只要你网购或者邮寄东西,都会去跟快递公司联系,在这个过程当中你的信息自然而然的就有可能被泄露,而快递公司这一块又是收集个人信息非常主要的一环,他们在法律上有没有更为严厉的监管责任呢?
张雨佳律师:对于平台,尤其是快递公司这类大量收集公民个人信息的平台,目前其实是没有特别具体的规定。快递公司收集到的公民个人信息,可能会将它视为自己的商业秘密进行保护。从动力上来讲,公司是有这样的动力进行保护的,问题是在于惩罚,我认为目前还是不太够。
 
快递公司作为用户信息的一个收集者跟管理者,很自然应该要对信息安全承担责任。问题是承担责任的界限在哪里呢?关于这方面,我认为其实可以参照拒不履行信息网络安全管理义务的一个红旗原则来适用。所谓的红旗原则是指如果一个违法行为是显而易见的,就像红旗一样随风飘扬。那么,作为平台的管理者,肯定是有义务及时制止这样一个行为的。同理,快递公司对于显而易见的信息泄露行为,也有及时制止的义务,如果未能履行该项义务,则必须承担相应的民事和行政责任,甚至是承担刑事责任。
方弘:其实对于个人信息的保护,我们国家的立法也是越来越重视,尤其在这次的《刑法修正草案十一》在这方面也进行了一些更为严格的立法。
张雨佳律师:是的。关于侵犯公民个人信息罪的立案标准是行为人只要售卖了50条公民的个人敏感信息,比如说财产信息,就可以构成犯罪;如果售卖的是500条较为敏感的公民个人信息,比如说租房信息,居住信息等只要达到500条以上也是可以构成犯罪的;5000条是指上述两类敏感跟较敏感信息之外的信息,只要达到了相关的数量标准,也是可以构成犯罪的。这就是“50、500、5000标准”。
另外,在这个标准之上,如果数量达到10倍以上,就可以构成情节特别严重,量刑档次会升一档,从原来的情节严重可处三年以下有期徒刑到情节特别严重,可以处3~7年有期徒刑。举个例子,我去年经办了一个猎头侵犯公民个人信息的案件,因为在猎头行业,生存的基础在于能够掌握足够的求职者,那么在这个行业交换企业的通讯录是一个普遍的现象。在交换的过程中,其实大部分猎头是没有意识到自己的行为已经构成犯罪的。他们在做出相应的行为时是完全没有畏惧感的。因为,你会发现大家都在做同样的事情,集体的恶会带来一种安全感。在这种安全感之下,他们做出相应的行为不会有任何的牵绊,这个时候普法就相当重要。
普法的目的是要可以告诉他们,做出相应的行为有可能遭遇刑事处罚。我想在这种事前的预防中可以大量减少公民个人信息被侵犯的这种情况。我们国家为什么公民个人信息泄露这么严重,其实跟历史文化背景是有关系的。我举个例子,欧洲为什么如此强调个人信息保护,因为有历史教训,犹太人就是因为个人信息被德国政府控制导致了巨大的灾难。所以,欧洲的个人信息立法不仅针对个人,也防范政府。我们国家在这方面的教训相对较少,或者我们并不认为这是一个迫切需要解决的问题,但实际上这个风险一直都是存在的。
从文化上看,欧洲重视个人权利,个人隐私,自然对信息的收集非常敏感。而我们国家强调集体主义,以公共利益、集体利益为重。以疫情防控期间的小区管理为例,许多小区要求住户必须刷脸才能进入,这是基于疫情防控公共利益的需要,所以并没有引起住户的强烈反对。
但是,不可否认的是,人脸识别技术本身就蕴藏着信息收集和泄露的风险,这种风险也引起了部分专家学者的注意。清华大学刑法学教授劳东燕认为,在小区安装人脸识别装置并无必要,而且不经同意收集人脸数据,也违反现行的法律规定。如果人脸数据被泄露、被滥用,不仅不会改善社会治安,反而可能使相关的违法犯罪活动激增。
个人认为,解决信息被滥用的问题首先要解决的是信息收集的不规范问题,在此基础上,我们才能谈如何防止信息的泄露,而信息泄露问题的解决,就法治层面而言,需要立法,更需要普法。
在立法方面,我们可以参考GDPR,即2018年5月25日欧洲联盟出台《通用数据保护条例》,该条例对信息收集与使用等方面进行了详细的规定,值得我们学习。当然,近年来,也有学者指出该条例因过于严苛可能会阻碍社会的创新与发展,但不管如何,“它山之石可以攻玉”,我相信域外的立法经验可以为我们提供有利的借鉴。
我们现在的刑事法律理论就是共犯理论,公司也受到处罚,必须要有一个犯罪的共同犯意在这里面。实际上很难去证明圆通公司是知情的。但是,从一个平台的监管责任本身去看,赋予它一个更为严格的监管义务的话,即不管公司员工的行为其是否知情或者说是否有共谋,都可以去追究公司的责任,如果它在这个过程中有疏忽的话。
最后要提醒的是,“天下没有免费的午餐”,切勿因为一点蝇头小利而贡献自己的个人信息,因为你不知道,你的信息将会走向何处、用作何用,最终又会带来多大的困扰。

结语

据不完全统计,国内个人信息泄露数已知的已经达到55.3亿条左右,平均每人就有四条相关的个人信息泄露,而这些信息的泄露所带给我们的危害不仅仅是骚扰电话垃圾短信那么简单,还会造成冒名办卡贷款,银行卡被盗刷,诈骗等等危害案件。
 
我们每个人都要树立保护自己信息的意识,例如不要随便连接公共WiFi,不要随便扫二维码,不要随便接收来历不明的文件,身份证照片、复印件不能滥用等。
(0)

相关推荐