来源： 刑民交叉实务

据了解，涉案的5名圆通公司员工，以每天500元的价格外租自己的员工账号，造成超过40万条公民个人信息被泄露。

事实上，圆通已不是第一次发生泄露客户信息事件。早在2013年，圆通速递就曾被曝光泄露逾百万名客户信息：通过一个“单号淘”网站，以0.3元到1元不等的价格，即可买到包含收件人和寄件人姓名、地址和手机号码的完整单号信息。

此外，今年4月份一个化名一木的人在某聊天软件的多个社交群里打出了广告，他手握十万条个人简历，这些数据只需要40元。“十万条”个人简历被“一木”做成了一个压缩文件，解压后，占用空间超过4个G。

这些被泄露的信息维度与简历一致，包括工作经验、出生日期、居住地、手机号、邮箱、学历信息、自我评价、求职意向、工作经验、语言能力、技能信息等，这些信息均带有智联招聘或前程无忧的logo。

个人信息的泄露，不仅是对公民隐私的侵犯，更成为不法分子实施犯罪行为的帮凶。

在圆通泄露事件中，不法分子与圆通速递5名“内鬼”勾结，通过有偿租用员工系统账号盗取公民个人信息，再层层倒卖公民个人信息至不同下游犯罪人员。这些信息被倒卖团伙打包卖给从事电信网络诈骗的下游犯罪团伙，每条信息单价约为1元。

泄露的信息除了被电信网络诈骗团伙所青睐，被有些人注册成为公司的法人也是近两年来常发生的事。而一旦个人信息被用于注册成为公司法人，那么将会引发很多法律风险：

1. 可能被列入失信被执行人名单

若冒用身份设立的企业存在违法行为，被冒用人将可能被列入失信被执行人名单，甚至3年内不得担任其他企业的法定代表人、负责人。

2. 可能要对公司债务承担连带清偿责任

如果冒用人仅以认缴成立公司而没有出资到位，那么被冒用人就有可能要对公司债务承担连带清偿责任。

3. 可能被牵涉进入刑事案件

如果冒用身份注册的企业从事违法犯罪活动，被公安机关刑事调查，那么作为被注册的公司的法人，很有可能会被公安机关调查甚至采取强制措施。

虽然最高人民法院关于适用《公司法》若干问题的规定（三）第二十九条规定，冒用他人名义出资并将该他人作为股东在公司登记机关登记的，人民法院不予支持。但若想取消法人身份，需要向行政主管机关申请撤销登记，可实践中，对于冒用他人身份信息注册法人的情况，行政主管机关在面对被冒用人申请撤销时，往往会要求提供一系列的证明文件，导致“投诉难”“撤销难”。

针对这种情况，国家市场监督管理总局在对十三届全国人大二次会议第3233号建议中，主要作出了如下答复：

1. 降低被冒用人投诉门槛。反映被冒名登记情况，只需提交书面申请和现有的身份证件复印件，不强制要求提供笔迹鉴定、丢失身份证报案记录等材料。

2. 将被冒用人主张的冒名登记情况进行公示，在公示期内无利害关系人提出异议的，即可推定为冒名登记成立，作出撤销登记的决定。

3. 严查侵害个人信息的违法行为。市场监管总局将会积极推动有关法律、行政法规、规章的制修订工作，对冒用他人身份信息办理企业登记的行为，加大行政处罚和信用惩戒力度。

根据我国《刑法》第二百六十六条的规定，违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，构成侵犯公民个人信息罪。个人信息包括个人证件信息，行程轨迹信息，健康生理信息等等，出售个人信息的犯罪行为视情节轻重，可被判处拘役、3年以下或者最高7年有期徒刑。

案例：

被告人李某某在某公司工作期间，通过他人介绍，将1700余条工作中获取的公民个人信息通过电子邮件，以人民币800元的价格出售给王某某。

法院认为，被告人李某某违反国家规定，非法出售公民个人信息，情节严重，其行为已构成出售公民个人信息罪，判决被告人李某某犯出售公民个人信息罪，判处有期徒刑八个月，并处罚金人民币五千元。

目前对个人信息的法律保护

及如何防范个人信息泄露

实际上，公众个人隐私泄露的情况已广泛存在于快递、网购、房产、求职等诸多领域，消费者几乎在各个领域都遭遇到信息“裸奔”的风险。

因此，我国也开始加强对于个人信息安全保护的重视程度。由全国信息安全标准化技术委员会编制的《信息安全技术移动互联网应用（App）收集个人信息基本规范》（报批稿）已处于送审阶段。这一规范在今年底或明年初有望正式出台，将对房屋租售、交通票务、求职招聘、网上购物、快递物流、餐饮外卖网络社区、即时通信等主要领域的App做出明确规定，细化其可收集的最小必要信息都有哪些。

此外，《中华人民共和国个人信息保护法（草案）》目前正在征求意见，拟大幅提高个人违法成本。草案提出，企业出现相关违法行为可对其处以5000万元以下或上一年度营业额百分之五以下的罚款，同时要对直接责任人处以10万元以上100万元以下的罚款。

除了加强对个人信息安全法律层面的保护，作为最容易获取、使用广大公众个人信息的企业，更应当承担起保护个人信息的责任：

技术层面：

根据《网络安全法》及相关规定、指南，网络运营者应当按照网络安全等级保护制度的要求履行一定的保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。

1. 相关专门人员、部门的配备：

根据《电信和互联网用户个人信息保护规定》，企业应确定各部门、岗位和分支机构的用户个人信息安全管理责任。具体可参照《互联网个人信息安全保护指南》，根据企业本身实际情况设置相应的安全主管、安全管理各方面负责人、安全审计人员等。对于被录用的相关管理人员，还可以事前先进行背景和专业资格审查、技能考核等，确保该人员具有相应能力。

2. 企业内部员工接触、处理个人信息的权限设置：

根据《电信和互联网用户个人信息保护规定》，企业应当对工作人员及代理人实行权限管理，对批量导出、复制、销毁信息实行审查，并采取防泄密措施，以防止用户个人信息泄露、毁损、篡改或者丢失。

在实务中，部分企业存在将收集的个人信息与其他信息混同存放、公司员工或大部分员工能随意获取收集的个人信息等情况，均会提高个人信息被泄露、非法提供等风险。

内部管理制度落实：

除了配备专门部门、人员管理个人信息，对员工设置权限管理外，建议企业针对个人信息保护相关事宜逐步制定、完善并落实相应内部管理制度，包括个人信息重要操作的审批流程、建立个人信息安全评估制度、外部人员访问制度、安全审计制度、应急预案制度、安全意识宣传教育制度等。

公民的个人信息保护是一项系统工程，需要多元主体共同参与。作为最直接的利益相关者，公民要切实提高信息安全意识，随时随地的看护好个人信息；企业要不断完善技术与管理手段，在提供信息安全这项服务上多用功；有关部分要认真履行好监督管理职责，切实为公民的个人信息安全撑起一把保护伞。