公司泄露个人信息，谁该来承担责任？

当下，个人信息被人网上公开叫卖，而那些心怀叵测的陌生人掌握着从我们电话、住址、职业到父母姓名、私家车型号、银行存款额等详细资料。人们对于频繁接到的骚扰电话似乎已经习以为常。

是的，当下这类社会现状确实如此，人们几近麻木的主要原因是大多数人还未遭受到切实的利益损失。被誉为当年全国最大买卖公民信息案的案例1，其案发原因之一是被告人张某调查丈夫外遇，并雇用私人侦探跟踪，结果被其丈夫发觉，双方因发生肢体冲突而报警。此外，也有其他被跟踪的受害人报警，警方调查发现其中涉及非法提供、非法获取公民信息的犯罪行为，顺藤摸瓜牵出此案。其后，因出售、非法提供、非法获取个人信息衍生出来的财产型犯罪、直至其他暴力型犯罪不断见诸媒体，才触动到公众的神经。最为惨重的是2008年9月，北京导游安某为报复前妻新结识的男友，将其杀害在家中。事后警方发现，安某与被害人并不相识，是他雇用的“私家侦探”从某公司“内鬼”那里得到被害人的住址信息，“私家侦探”再将信息出售给安某，一幕惨剧由此发生。所以如果个人信息泄露，有时不只是叹声气、安全感的问题，更是非常严重的破财乃至人身危险问题。

律师协会曾作过调查,发现在个人信息曾被滥用的被调查者中，仅有4%左右的人进行过投诉或提起过诉讼。导致公众在进行投诉、诉讼时遇到困难或不愿意投诉、提起诉讼的因素有：无法确定哪些机构应承担责任、无法确定向什么机构投诉或者以谁为对象提起诉讼、无法获得有力的证据、投诉或者诉讼成本过高等。而即便采取了投诉或者诉讼等救济手段，也仅有不足一成的人获得了救济或者达到了目的，其他的或者因为处理个人信息的机构推诿、搪塞而不了了之，或者因为预料到无法通过投诉或诉讼获得救济而中途放弃。应当说，这种结果和现行个人信息保护规定存在缺陷关系很大。

针对这种情况，我国法律保护方面有何规定？是否能满足现实状况？在我国，2009年2月28日通过的《刑法修正案(七)》中明确规定了出售公民个人信息、非法提供公民个人信息以及非法获取公民个人信息三个罪名：“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；窃取或者以其他方法非法获取上述信息，情节严重的，依照前款的规定处罚；单位犯前两款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。”这条规定施行至今，各地陆续报道了一些私营企业和个人由于贩卖个人信息而被判刑的案件。这对宣传和警示刑法的相关规定，具有一定的积极作用。

我认为主要原因是法律尚不健全。因为截至目前，我们国家还没有一个统一的关于个人信息保护方面的基本大法。这不得不说是一个极大的欠缺，我们不能根据刑法的其中一条来捍卫自己的信息权。何况上述刑法修正案条款还存在一定的缺失。比如规定不够详尽，缺乏可操作性。所谓违反国家规定，究竟是哪些规定？个人信息包括什么？个人名字、电话号码、工作单位算不算个人信息？还有出售甚至非法提供个人信息给他人，所谓的非法指哪个法。还有情节严重，是以卖了多少量，还是造成具体的伤害来衡量？所有的这些东西没有细化。这也导致各地政法机关在处理此类案件时差异化对待。而对待泄露个人信息的行为，最有效的方法是加大打击力度。但该条款最高罚责是有期徒刑3年而已，量刑不高，违法成本低，所以难以根本遏止。应该尽早出台相应的补充规定或司法解释。

在所有法律关系里边，《刑法》是最后的一道防线。只有对最严重的行为，才用《刑法》来解决。这样就出现一个自然而然的问题，《刑法》加以禁止制裁于这样的行为，应该在其它法律里，有比较全面的、比较完善的规定。但是对于个人信息安全这个新时代才出现的新问题，在其它相关的法律，比如民事法律、行政法律方面规范得不是很健全。如果没有专门的个人信息保护法作基础，如何认定违法将会是一个难题。那么除了补足刑法规定本身缺失以外，还应通过完善其他法律来给《刑法》一个补充。

案例1中，某单位员工成为“内鬼”，以非法提供、出售公民个人信息罪被公诉。再联系被媒体曝光的各类涉及泄露个人信息的案例，就不难看出，那些贩卖个人信息的不过是些贩夫走卒，尽管他们也很可恶，但信息的主要源头并不在他们手里，而在能够拥有这些信息的机构。

行业监管不力是主要原因。机动车销售、房产中介、医院等行业及其从业人员往往有机会接触、掌握大量公民个人信息，这些行业虽均有系统内部出台的关于个人信息的查询规范、查询电子信息备案及保护工作意见，但由于部分从业人员法律意识不强，且内部执行不到位等情况，利用公民个人信息管理上存在的漏洞，因此这些行业成为个人信息泄露的“重灾区”。而根据罪刑法定的原则，只有非法泄露和贩卖信息的，才有判刑入罪之虞，但对于疏于管理而导致员工泄露信息的，还没有有效的法律制约。比如对责任人的处罚，以及对受害人的赔偿等等。这也成为这种现象屡禁不止且愈演愈烈的原因之一。

这说明一个问题，刑法固然是最严厉的打击手段，但却不一定是最有效的制度设计。有必要通过专门的个人信息保护立法，建立一种“合理谨慎”的制度设计，衡量机构是否采取了有力的制度和措施保护个人信息，并在其疏于保护时依法追究法律责任。中国人民银行也已明确表示将适时出台《个人征信信息保护暂行规定》，个人信息保护势在必行。同时我们建议除部门规定外可尝试通过引进惩罚性的民事赔偿制度，通过经济赔偿手段来逼迫那些具有保护信息职责的企业不敢懈怠。我的建议是，在个人信息保护法没有出台之前，一方面，司法机关在个案处理上，可以总结一些规律性做法，比如对“情节严重”的认定标准，比如对单位疏于管理导致用户个人信息被泄露时应承担的民事乃至刑事责任。另一方面，两高以及公安部可以在大量典型案例的基础上，共同研究出台相关的司法解释，就刑法修正案(七)第七条中的“模糊地带”进行释法。