7月8日据《中国消费者报》报道,近日,一起“智联招聘”员工参与倒卖公民个人信息的案件在北京市朝阳法院第二次开庭审理,该案涉及公民个人信息达16万余份,未当庭宣判。
报道显示,被告人卢某和王某在案发前为智联招聘销售人员,被告人郑某为售卖个人信息的淘宝店主。卢某通过公司内部获取了超过60个企业名称,并协助郑某用PS伪造虚假的企业营业执照蒙混过关。当公诉人当庭询问其做法是否符合智联招聘制度要求时,卢某称自己并未从中获益,是“领导跟我说客户给钱就行”。
据悉,按照平台的常规信息销售流程,企业需在签订正式合同经智联招聘平台审批,审批生效后对方以企业账号的形式获得用户信息。显然,上述销售人员获取内部企业名称、协助伪造假营业执照等行为并不符合平台要求,但内部“可操作空间”却很大。
员工倒卖信息被判罚 平台是否全然无责?
公安部网络技术研发中心主任许剑卓曾公开表示,目前,对公民个人信息泄露危害最大的主要是银行、教育、工商、电信、快递、证券、电商等行业,由于这些行业掌握大量个人信息,内部人员更易泄露数据。
智联招聘员工倒卖信息获利案件此前也曾发生。公开报道显示,2016年6月22日,智联招聘曾主动向公安机关报案其员工申某私下出售几十万条网站个人简历,最终申某被法院认定其行为构成非法获取公民信息罪,判处有期徒刑三年六个月。除涉事员工判罚外,该次信息泄露后企业是否有采取应急预案、内部管理把控是否调整?此类风险防控细节公众无法得知。
根据南都个人信息保护研究中心发布的《2017个人信息保护年度报告》,平台不重视用户个人信息保护的严峻问题,招聘类平台里的智联招聘、猎聘、赶集网排在倒数。报告提出,针对已发生或可能发生的个人信息泄漏、毁损、丢失事件,根据历次的测评,只有极少数企业能做到采取启动应急预案、及时通知受到影响的用户、向政府相关主管部门报告等救济措施。
“智联招聘虽不承担刑事责任,但不代表没有任何法律责任。用户将其个人信息提高给智联招聘后,智联招聘应当采取合理的技术措施和管理措施,以保障用户的个人信息安全。但是过去很多案例中,智联招聘的内部员工利用管理漏洞,私自倒卖个人信息,智联招聘没有尽到相关的安全保障义务,需要对用户信息被泄露承担民事赔偿责任。” 中国政法大学知识产权中心特约研究员赵占领表示。
智联招聘售卖用户信息获利 为何不是信息泄露被诉主体?
同类型用户信息泄露事件也有不同的判罚案例。今日早间据外媒报道,由于公司去年曾发生50万名客户资料泄露,国际航空集团(IAG)旗下子公司英国航空公司(British Airways)将面临创纪录的1.83亿英镑(约合2.3亿美元)罚款处罚。而根据欧盟GDPR(General Data Protection Regulation ,《通用数据保护条例》)法律,信息泄露最高可罚企业全年收入的4%。
梳理同类型事例可发现,海外企业造成用户信息泄露也存在黑客攻击、员工倒卖等多种原因,但被起诉、索赔主体多以企业为主。智联招聘获取、管理、交易用户简历获利为何不是信息泄露被诉主体?
“刑事案件,追究的是直接倒卖个人信息的主体的责任,员工的倒卖行为并非职务行为,需要由其自己承担刑事责任。倒卖用户个人信息的主体是这些员工而非智联招聘,员工的行为构成侵犯公民个人信息罪,需要承担刑事责任。”赵占领强调,“如果要追究智联招聘的法律责任,只能是个人信息被倒卖的用户提起民事诉讼。”
盈科律师事务所高级合伙人蔡慧明表示,“按照中国的法律来讲,智联招聘这个公司并不是因为犯罪而或用于犯罪目的而设立,所以不能该公司作为刑事责任追究的主体。中国的法律体系和英美法的法律体系是完全不同的,法律制度、法律理念、判罚制度等等也是不同的。”
针对国内外信息泄露案件起诉、索赔主体对象存在的差异问题,赵占领认为,按照国内法律,除追究直接倒卖或者非法窃取个人信息的主体的刑事责任外,一般也可由行政管理部门对企业没有尽到安全保障义务进行行政处罚,或者由个人信息被泄露的用户个人提起民事诉讼。
“但用户个人提起民事诉讼又面临举证难、赔偿低的问题,因此极少有用户提起诉讼。而国外除了行政监管严格之外,部分国家集体诉讼制度发达,可以弥补用户个人维权难的问题。我国的公益诉讼制度刚建立不久,很多方面还处于摸索之中,未来保护个人信息安全,大力推进公益诉讼将是有效途径之一。”