保护个人信息须在源头扎牢篱笆

目前针对公民个人信息的保护，还只停留在个体违法犯罪惩治末端治理格局，并未明确成为机构的法定责任，以及机构从业人员的职业操守，从而缺少前置性的保护。所以，推动个人信息保护，关键要从源头上扎牢保护与防范责任的篱笆。

□ 木须虫

5月9日，银保监会消费者权益保护局发布通报：2020年3月，中信银行在未经客户本人授权的情况下，向第三方提供个人银行账户交易明细，违背为存款人保密的原则，涉嫌违法违规，将按照相关法律法规，对中信银行启动立案调查程序，严格依法依规进行查处。（5月11日《成都商报》）

公民个人信息的泄露与买卖多与“内鬼”有关，这是内在规律，毕竟谁掌握了信息才具备了泄露与买卖的可能。从近些年一些被交易的公民个人隐私信息案件来看，所涉类别基本是公共管理、公用服务、商业服务信息，这些信息被对应的机构所掌握，但被机构相关从业人员所窃取、泄露和交易。

中信银行涉及用户账户交易明细泄漏不是孤立个案，2016年以来，有关部门发现并通报一大批涉及金融等重点行业信息系统及安全监管漏洞，抓获各行业内部涉嫌违规人员3000余名。而记者调查发现，当前银行等金融机构中仍存一些隐患值得警惕，如为“拉客户”“冲业绩”违规泄露用户信息成部分银行“潜规则”。这些也说明了公民个人信息源头保护的重要性。

然而目前针对公民个人信息的保护，还只停留在个体违法犯罪惩治末端治理格局，并未明确成为机构的法定责任，以及机构从业人员的职业操守，从而缺少前置性的保护。所以，推动个人信息保护，关键要从源头上扎牢保护与防范责任的篱笆。

一方面是技术防范责任。当下的信息安全形势之所以严峻，很大程度也是互联网技术带来的负面产物，加强信息安全技术防护应与互联网技术的运用同步发展。涉及公民隐私信息的数据管理，应建立完善的授权凭证与操作监管备案等技术手段，提高信息数据查询获取的门槛，同时，实现防护与监管在技术手段上的内置，让信息数据每一次的操作都有记录，谁操作的、怎么操作的等在系统后台备案，做到清晰可查，大幅度消除信息窃取的隐蔽程度，遏制泄露违法的冲动。

另一方面是行政与民事责任。机构必须对公民个人信息安全承担起确切的责任，给信息数据装上安全锁，因技术防护与管理不力，出现比较严重的泄密事件，应当受到严厉的行政处罚和高额的罚款，同时，因管理不力导致个人权利受到严重损害的，还应承担相应的民事赔偿责任。某种程度来说，确切的信息安全责任，也是信息采集与管理机构权利与义务的匹配，补上这些责任短板，才能倒逼形成信息防护的动力，改变个人信息“裸奔”的困局。