中信银行违规泄露池子信息事件背后——聊聊个人信息保护那些事儿

就这一事件热议根源，在于公民信息泄露的事件越发泛滥，个人信息保护问题已成为社会关注热点。

就像笔者平均每周至少接到三到五次推销电话，推销内容包括但不限于：办信用卡、卖公寓、卖房、卖健身卡、卖保险等等。我们无从得知自己的个人信息从何泄露，仿佛处处都流传着我们的个人信息，让互联网时代的我们处于“透明人”的状态。

那么，困扰着社会大众的信息泄露问题，究竟有无解决之道，个人信息保护路在何方呢？下面将让笔者为大家一一道来。

一、守得云开见月明——《个人信息保护法》终于要来了！

个人信息保护领域，一直存在着规范不明的问题，尤其是缺乏统一、规范的上位法。

而如今这一问题即将解决。即《个人信息保护法》将在2020年正式发布！该法律草案于2017年公布，在2019年12月，全国人大常委会法工委表示，2020年将制定《个人信息保护法》。那么，这一千呼万唤始出来的法律，它的内容是怎样的，它又将带来怎样的影响。

根据2017版《个人信息保护法（草案）内容》，其共包括六个章节、44个条款，草案章节如下：

其中关注的有三点：

第一、个人信息权内容的明确

在过往个人信息权的规范内容散落于《网络安全法》、《民法总则》等法律法规中，缺乏统一明确。而这一次在《个人信息保护法（草案）》中明确个人信息权包括信息决定、信息保密、信息查询、信息更正、信息封锁、信息删除、信息可携、被遗忘等权利，其中像信息保密权规定个人信息权人得以请求信息处理主体保持信息隐秘性。再比如像被遗忘权规定在法定或约定事由出现时，信息主体得以请求信息处理主体无条件断开与该个人信息的任何链接，销毁该个人信息的副本或复制件。

上述规定内容，不仅仅将过往模糊的信息权利予以明确，也是通过法律的方式，让信息权利内容得到保障。所以，可预见的是未来面对信息泄露等侵权行为时，个人信息权人可以更便利主张权利。

第二、信息处理者义务的明确

在《个人信息保护法（草案）》中对信息处理者分为国家机关信息处理主体和非国家机关信息处理主体，并通过专门章节明确各自义务。其中主要义务有三点：

1.告知义务

《个人信息保护法（草案）》第21条规定：国家机关收集个人信息，应当事前公告或告知信息主体或其代理人国家机关的名称、收集个人信息的法律依据、目的、处理和利用方式、个人信息收集是否强制、信息主体的权利和不提供个人信息的法律后果。也就意味着不管是国家机关还是商业组织，在收集个人信息时，必须如实告知收集信息情况，不得未经告知，私自收集公民个人信息。那么，后续未履行告知义务的信息处理者，将面临相应的侵权责任。

2.信息披露义务

《个人信息保护法（草案）》第26条规定：国家机关应当公开有关个人信息的收集、处理和利用的政策，并以政府公告或其他适当方式公告下列信息：档案名称、类别范围、收集机关、目的、范围等。同时在27条规定了例外情形，即存在国家安全、外交利益、刑事犯罪侦查等方面的。

3.合法合规收集、处理、利用义务

其中就国家机关而言，其可以因履行法定职责，并为实现收集个人信息的目的，可以处理和利用个人信息。而就非国家机构的商业组织、机构而言，其收集、处理、利用公民信息的义务要求更高，一方面非国家机关信息处理主体未经登记管理机关进行业务资格登记并发给执照，不得收集个人信息。另一方面其只有满足信息主体书面同意或授权、与信息主体有合同或类似合同的关系，并不会损害信息主体的合法权益、已公开的个人信息并不会损害信息主体的合法权益、学术研究有必要且无害于信息主体重大利益的，但研究人员或机构应当采取必要的保密措施等条件下，才能超出特定目的收集、处理个人信息。同时只有满足保护公共利益、免除信息主体人身或财产上的紧迫危险等情形下，才能超出特定目的利用个人信息。

那么，根据上述规定，中信银行显然没有任何理由，因大客户需要，向其泄露所收集的其他客户信息，其行为明显侵犯了个人信息权。

第三、明确法律责任

根据《个人信息保护法》第40条规定，国家机关违反本法规定，给信息主体造成人身或财产上的损失的，应依照本法的规定承担损害赔偿等民事责任；本法无规定的，依照《中华人民共和国国家赔偿法》的规定承担民事责任。

非国家机关信息处理主体违反本法规定，给信息主体造成人身或财产上的损失的，应依照本法的规定承担损害赔偿等民事责任；本法无规定的，依照民法及其他法律法规的规定承担民事责任。

即未来侵犯个人信息权的行为，其赔偿依据为《个人信息保护法》。同时值得注意的是，在第41条规定了，国家机关和非国家机关信息处理主体依本法第39条承担责任的，信息主体对其非物质损失可以主张精神损害赔偿。即因个人信息侵权行为，个人信息权利人不但可以主张物质损失赔偿，还可以主张精神损害赔偿。这一规定，对于当前实践具有重大影响。当前众多信息泄露事件中，虽然造成物质损失不多，但带来的精神损害巨大，比如个人信息被各类销售机构掌握，导致电话轰炸。再比如个人信息泄露后，各类骚扰事件发生等等。因此，未来个人信息权利人可主张赔偿范围更好，这一规定能够更好地保护公民合法权益。

同时在第43条规定，违反本法规定，构成违反行政法律法规的行为，依法承担行政法律责任；构成犯罪的，依法追究刑事责任。意味着侵犯公民信息的违法违规行为人，不仅仅面临民事赔偿责任，同样面临着行政处罚、刑事处罚的责任。

综上，《个人信息保护法》的出台，将极大缓解当前个人信息保护领域法律规范不明的窘境，其将成为后续公民维护自身信息权利的重要依据，将对相关个人信息权侵权纠纷案件产生系列影响，让我们一同期待它的早日落地！

二、拳头打在棉花上——银保监会行政处罚何时加码？

本次中信银行泄露客户信息行为，在银行业中并非个案。

如银保监会网站上公示的行政处罚信息表中，多家银行因客户信息安全管理不到位违规问题受到处罚。如：咸宁银监分局于2018年8月9日对中国银行股份有限公司通山支行连续下发4张行政处罚信息公开表，对该支行客户信息安全管理不到位违规问题进行处罚，相关责任人也一并被追责。

但问题的关键是，银保监会的处罚力度，太轻了！如上述咸宁银监分局的处罚为例，4张罚单一共罚了多少钱呢？答案是——20万元。你没有看错，不是2000万，也不是200万，而是20万。可想而知，对于一家商业银行来说，这样的罚款金额，犹如拳头打在棉花上，根本不会痛。那么，是不是银监局故意少罚了呢？还真不是，因为《银行业监督管理法》就规定这么多。

根据《银行业监督管理法》第四十八条规定：银行业金融机构违反法律、行政法规以及国家有关银行业监督管理规定的，银行业监督管理机构除依照本法第四十四条至第四十七条规定处罚外，还可以区别不同情形，采取下列措施：

（一）责令银行业金融机构对直接负责的董事、高级管理人员和其他直接责任人员给予纪律处分；

（二）银行业金融机构的行为尚不构成犯罪的，对直接负责的董事、高级管理人员和其他直接责任人员给予警告，处五万元以上五十万元以下罚款；

（三）取消直接负责的董事、高级管理人员一定期限直至终身的任职资格，禁止直接负责的董事、高级管理人员和其他直接责任人员一定期限直至终身从事银行业工作。

你没有看错，顶格处罚金额也就50万元。而根据最新消息，上海银保监局已经开始调查中信银行泄露池子个人信息事件，意味着这样一个社会影响巨大的案件，中信银行最多也就被罚50万元。而要知道的是中信银行2019年净利润是480.15亿元。

那么，也就是说，这一事件带给中信银行的影响几乎可以忽略不计

所以，问题究竟是出在了哪里呢？

从行政监管的角度来看，目前《商业银行法》也好，《银行业监督管理法》也罢，还是相关行政法规、监管政策，其处罚力度是否过于轻了？如此低的处罚金额，可能会让行业巨头的商业银行对个人信息保护予以重视吗？一个年净利润400多亿元的巨头，处罚金额仅仅50万元，连它净利润零头的算不上。

因此，要想不再出现“池子事件”，监管部门应该考虑加码行政处罚力度，修订相关的法律法规、监管政策。否则，当前的监管处罚手段，犹如对违规机构罚酒三杯，三杯酒过后，谁还记得发生过什么？

第三、最后的大棒——侵犯公民个人信息罪认定

在侵犯公民个人信息的处罚中，刑事处罚绝对是最为严格的一种。

根据《刑法》第二百五十三条之一 侵犯公民个人信息罪规定：违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。 单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。

那么，这里问题来了，本条规定中情节严重和情节特别严重该如何认定呢？

根据2013年最高院、最高检、公安部颁布了《关于依法惩处侵害公民个人信息犯罪活动的通知》（以下简称《侵犯个人信息犯罪通知》）、2017年最高院、最高检颁布了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《侵犯个人信息犯罪司法解释》），在《侵犯个人信息犯罪司法解释》中，最高院、最高检明确了情节严重、情节特别严重的标准，但具体适用中仍存在颇多问题。

《侵犯个人信息犯罪司法解释》第五条 非法获取、出售或者提供公民个人信息，具有下列情形之一的，应当认定为刑法第二百五十三条之一规定的“情节严重”：

(一)出售或者提供行踪轨迹信息，被他人用于犯罪的;

(二)知道或者应当知道他人利用公民个人信息实施犯罪，向其出售或者提供的;

(三)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;

(四)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;

(五)非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的; 

（六)数量未达到第三项至第五项规定标准，但是按相应比例合计达到有关数量标准的;

(七)违法所得五千元以上的;

(八)将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人，数量或者数额达到第三项至第七项规定标准一半以上的;

(九)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚，又非法获取、出售或者提供公民个人信息的;

(十)其他情节严重的情形。

实施前款规定的行为，具有下列情形之一的，应当认定为刑法第二百五十三条之一第一款规定的“情节特别严重”：

(一)造成被害人死亡、重伤、精神失常或者被绑架等严重后果的;

(二)造成重大经济损失或者恶劣社会影响的;

(三)数量或者数额达到前款第三项至第八项规定标准十倍以上的;

(四)其他情节特别严重的情形。

总结而言，界定情节严重主要参考侵犯个人信息数量、获利金额、与他人犯罪关系、曾受过相关处罚四个层面，来认定情节严重标准。

所以回到池子与中信银行这一事件，中信银行的负责人难以被认定构成侵犯公民个人信息罪。

综上，侵犯公民个人信息罪这个大棒，是对公民信息保护的重要武器。但其在“情节严重”的标准认定上仍存在一定模糊界限，比如单纯以数量、获利金额作为标准，会导致部分非获益性犯罪行为难以被追诉。同时在参考标准要素较为单薄，如：造成受害人损害的大小也应作为参考要素之一。

结语——个人信息保护路在何方

池子与中信银行信息泄露的事件，揭开了当前公民信息权被侵犯的冰山一角。这座冰山之家，是无数遭受信息泄露骚扰的人们。

要解决这一乱象，首先要尽快推动《个人信息保护法》落定，让个人信息权明确、细化，其次要加大行政处罚力度，从信息泄露的源头解决问题，那些大量收集、使用公民信息的政府部门、企业、机构要履行自身保密义务，针对其违法违规行为，要罚的狠！罚的痛！罚的不敢再犯！而不是如毛毛雨一样，一阵就停下了。最后，是刑事处罚的大棒，要始终高举，既要保障罪责刑相适应，也要保障受害者的合法权益，维护社会公共利益，让犯罪分子胆寒！