□蘧美达

随着信息化建设的不断推进，信息资源成为重要的生产要素和社会财富。与此同时，个人信息泄露问题严重，公民个人信息安全成为一个社会高度关注的问题。从全国法院审结侵犯公民个人信息刑事案件来看，公民个人信息泄露案件不少系内部人员或内外部人员联合作案，诸多公民个人信息买卖案件也可以见到“内鬼”参与的“影子”。《中华人民共和国个人信息保护法》的实施，对如何保护客户个人信息安全提出了更高的要求。

一起特大贩卖公民个人信息案被警方破获

江苏淮安警方破获了一起特大贩卖公民个人信息案，共抓获26名嫌疑人，涉案金额2000余万元。据淮安警方称，犯罪团伙通过现有的技术手段，获取到如此大规模的公民个人信息，这些案件就可能有银行内部的工作人员参与其中。调查中发现，有一名某银行工作人员仅靠帮忙查询银行卡信息，一年黑色收入超30万元。这位银行工作人员称，其查询了几百条个人信息，每条获利80元到100元不等，并称不知道这是违法的，只是觉得违反银行规定，因为银行内部不允许私自泄露客户信息。

侵犯公民个人信息应承担的法律责任

以下笔者将从相关法律的出台背景、公民个人信息的定义、何种行为构成犯罪和犯罪后将受到的法律制裁等方面进行分析。

（一）相关法律规定和出台背景。为保护公民个人信息，2009年2月28日起施行的《中华人民共和国刑法修正案（七）》在刑法第二百五十三条后增加了一条，作为第二百五十三条之一，规定了出售、非法提供公民个人信息罪和非法获取公民个人信息罪。近年来，侵犯公民个人信息犯罪处于高发态势，而且与电信网络诈骗、敲诈勒索、绑架等犯罪呈合流态势，社会危害更加严重。为加大对公民个人信息的保护力度，2015年11月1日起施行的《中华人民共和国刑法修正案（九）》对刑法第二百五十三条之一内容作出修改完善：一是扩大犯罪主体的范围，规定任何单位和个人违反国家有关规定，获取、出售或者提供公民个人信息，情节严重的，都构成犯罪；二是明确规定将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，从重处罚；三是加重法定刑，增加规定“情节特别严重的，处三年以上七年以下有期徒刑，并处罚金”。修改后，“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”被整合为“侵犯公民个人信息罪”。

2017年，最高人民法院、最高人民检察院又联合出台了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《司法解释》），对侵犯公民个人信息犯罪的定罪量刑标准和有关法律适用问题作了全面、系统的规定。

2021年11月1日，我国首部专门针对个人信息保护的系统性、综合性法律《中华人民共和国个人信息保护法》正式实施，使银行对个人信息保护从一般监管性要求上升到强制性法律要求，必将进一步敦促银行完善客户信息保护机制。

（二）哪些属于公民个人信息。刑法相关规定中的“公民个人信息”，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。

对于银行工作人员在履行职责过程中获得的客户征信信息、财产信息等属于刑法重点保护的个人信息。

（三）何种行为构成犯罪。侵犯公民个人信息罪的入罪要件为“情节严重”。对于这里的“情节严重”，《司法解释》明确了违法所得5000元以上等十项认定标准。

值得注意的是，根据不同类型公民个人信息的重要程度，《司法解释》设置了不同的数量标准。对于行踪轨迹信息、通信内容、征信信息、财产信息，非法获取、出售或者提供50条以上即算“情节严重”；对于住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息，标准则是500条以上；对于其他公民个人信息，标准为5000条以上。

（四）对“内鬼”降低入罪门槛。目前，对于公民个人信息泄露造成最大危害的，主要是银行、教育、工商、电信、快递、证券、电商等行业的内部人员泄露数据。如何严厉打击侵害公民个人信息的“内鬼”？《司法解释》规定，在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人，数量或者数额达到《司法解释》规定的相关标准一半以上的，即可认定为刑法规定的“情节严重”，构成犯罪。《司法解释》对行业内部人员泄露信息降低了入罪门槛，为司法机关更好地打击这类犯罪提供了法律基础。这里需注意的是银行工作人员，将其在工作中获得的客户征信信息、财产信息等出售或非法提供给他人，数量超过25条或违法所得超过2500元的，将构成侵犯公民个人信息罪。

（五）量刑和罚金标准。根据《中华人民共和国刑法》第二百五十三条规定，违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。

《司法解释》同时明确，对于侵犯公民个人信息犯罪，应当综合考虑犯罪的危害程度、犯罪的违法所得数额以及被告人的前科情况、认罪悔罪态度等，依法判处罚金。罚金数额一般在违法所得的一倍以上五倍以下。侵犯公民个人信息犯罪具有明显的牟利性，行为人实施该类犯罪主要是为了牟取非法利益。因此，《司法解释》加大财产刑的适用力度，让行为人在经济上得不偿失，进而剥夺其再次实施此类犯罪的经济能力。

多措并举加强对公民个人信息的保护

银行在办理业务过程中，需要大量收集或使用公民个人信息，从上述分析来看，法律风险已悄然而至，为此银行应对公民个人信息保护问题予以重视，完善相关制度，在减少自身责任和风险的同时，也为公民个人信息安全保护作出贡献。笔者认为：

（一）强化制度建设。银行要根据国家新颁布的法律法规和相关规定，及时对内部制度进行梳理，堵塞制度漏洞，从源头上控制信息外流的风险。在完善信息保护机制方面，银行应建立客户信息采集、保存、使用的岗位分离制度。在惩戒制度建设方面，银行应明确违规使用客户个人信息的处罚细则，并定期对相关人员的工作进行考核、评价，一经发现有违法违规行为的，银行应立即予以处罚等。

（二）增强法律意识。组织员工学习相关法律知识，对新出台的法律法规，银行合规或法律部门有责任对内容进行剖析，对一些失泄个人金融信息的典型案例进行及时通报，以起到警示、借鉴的作用。银行作为金融机构，其特殊性使得员工所从事的职业与其他职业相比更容易诱发犯罪行为，因此如何提高员工保护客户个人信息的法律意识对银行而言极为重要。在工作过程中，银行应培养良好的企业文化氛围，增强员工的集体归属感和个人成就感，通过教育、培训等形式提升员工的价值认同感，以增强员工的职业道德。随着公民个人信息所承载的利益与权益越来越多，个人信息安全已经同人身安全、财产安全一道受到了法律的严格保护。该类信息包括银行在经营过程中获得的公民身份信息、通信信息、财产信息、征信信息等，银行员工对此不得侵犯。

（三）加强对消费者的教育。侵犯公民个人信息犯罪的形成因素是多方面的，刑法打击并不能从根本上干预这些因素，加上我国公民个人信息保护意识淡薄。为此，银行要加强对公众的金融信息保密的常识普及，发挥网点阵地优势，根据不同类型的金融业务，有针对性地对客户开展个人信息保护宣传；提高信息主体人的自我保护意识。银行要建立相关风险提示的长效机制，切实履行告知义务，多形式、多渠道提醒客户加强风险防范，帮助客户掌握个人信息保护的常识，提高对自己金融信息保护的自觉性，使之养成良好的金融消费和享受金融服务的习惯，防止个人金融信息被不法分子利用。

（作者单位：浙江临安农商银行）