律师文集logo

林子淇律师:138-2220-6068

首席律师

广州刑事律师

联系律师

    广州林子淇律师

    咨询电话:138-2220-6068
    微信咨询:手机号即微信号
    执业证号:14401202011167183
    办公地址:广州市天河区珠江新城珠江东路高德置地冬广场G座24-25楼 广东金桥百信律师事务所。

从演员池子账户交易信息泄露一事看企业泄密

时间:2020-05-20 20:14:56,林子淇

  2020年5月6日,脱口秀演员池子(@池子池子大池子)在其个人微博公开一份长文,公开其与笑果文化经纪合约纠纷一事,并指出其在中信银行的账户交易明细信息被非法侵犯,而中信银行的回应是“配合大客户的要求”。

  一“池”激起千层浪,一个合约纠纷案件自此开始持续发酵,将中信银行拖入舆论的中心。

  5月7日凌晨,中信银行通过官微向池子道歉,并表示“近期上海笑果文化传媒有限公司联系开户支行,要求查询其为员工王越池先生支付劳务工资记录时,我行员工未严格按规定办理,提供了王先生的收款记录。”目前该行已按制度规定对相关员工予以处分,并对支行行长予以撤职。

  但舆论的发酵引发了监管部门的关注。5月7日下午,上海市银保监局回应称,已经关注到脱口秀演员池子指责中信银行股份有限公司泄露其个人账户交易信息一事,已经正式介入调查。

  5月9日,中国银保监会在官网发布通报,宣布对中信银行涉嫌违反个人信息保护的行为启动立案调查程序。

  中信银行因员工违规泄露客户个人信息,引发了大众对中信银行个人信息保护的质疑,但作为一家商业银行,大众的舆论压力对其的影响可以说是九牛一毛的,真正能产生巨大影响的是监管部门的关注和介入,而今中国银保监局已对中信银行启动立案调查程序,这对中信银行而言无疑是沉重的一拳。

  在通报中可以看到监管部门介入是因为中信银行员工违规提供客户银行账号交易信息的行为,违反了《商业银行法》第二十九条的规定:“商业银行办理个人储蓄存款业务,应当遵循存款自愿、取款自由、存款有息、为存款人保密的原则。对个人储蓄存款,商业银行有权拒绝任何单位或者个人查询、冻结、扣划,但法律另有规定的除外。”即除了本人同意,只有依特定、明确的法律规定才能对个人账户进行的查询,比如公检法等国家机关或监管机构在承办案件时,履行法定程序后对个人账户进行的查询。除此以外,其他情况下金融机构都不得泄露用户信息。

  泄密的刑事风险

  企业泄密涉及大量刑事风险,这些风险主要可分为两类:一类是泄露个人信息导致的刑事风险,一方面是泄露商业秘密导致的刑事风险。

  (一)侵犯公民个人信息

  随着以人工智能、大数据为代表的信息技术革命的推进,数据的价值进一步凸显,数据成为了企业的重要资产和持续创新的推动力。但数据泄露事件也持续发生,对企业声誉有严重的负面影响,同时也存在违法犯罪的风险。今年3月,微博就被曝出5亿微博数据被泄漏,个人绑定微博的信息包括姓名、邮箱、地址、手机号、微博账号、密码等8项信息均能在暗网买到。中信银行太原支行也曾因侵犯公民个人信息被行政处罚,直接责任人涉嫌犯罪移送公安机关。

  《刑法》第二百五十三条之一规定了侵犯公民个人信息罪:

  违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。

  违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。

  窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。

  单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。

  根据《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,中信银行员工泄露的客户银行账户信息属于重大敏感信息中的财产信息,非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的就属“情节严重”,在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量达到规定标准一半即二十五条以上即可。

  (二)侵犯商业秘密

  在企业员工泄密行为中,还有一类行为最为常见,即侵犯商业秘密的行为。商业秘密同个人信息一样,都具有隐秘性应当受到保护。商业秘密是指不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息、经营信息等商业信息。

  《刑法》第二百一十九条规定了侵犯商业秘密罪,侵犯商业秘密是指以盗窃、利诱、胁迫或者其他不正当手段获取权利人的商业秘密,或者非法披露、使用或者允许他人使用其所掌握的或获取的商业秘密,给商业秘密的权利人造成重大损失的行为。

  员工泄露商业秘密就是侵犯商业秘密行为的重要表现,会给企业带来重大的经济损失,从近年来发生的员工侵犯商业秘密的事件中可见一斑:

  1.吉利汽车:21亿元,原因:员工跳槽并带机密到新公司使用。

  2.湖北江汉石油钻头:超过1千万,原因:员工跳槽并带机密到新公司使用。

  3.海尔公司:超过3千万,原因:员工跳槽并带机密到新公司使用。

  4.浙江蓝天环保高科技股份有限公司:超过1亿元,原因:员工离职并同业经营。

  5.杭州鑫富药业:3535.84万元,原因:员工贩卖公司机密。

  6.浙江新和成股份有限公司:5000多万元,原因:员工离职并带机密到新公司使用。

  7.中兴通讯股份有限公司:1290万元,原因:员工向对手发送公司机密。

  8.江苏圣奥化学科技有限公司:2亿多元,原因:员工贩卖公司机密。

  企业如何防范员工泄密

  企业泄密,主要是基于企业的“意识问题”,也即主动泄密,这类泄密行为只能通过加强企业的合规意识来规避,这类泄密行为涉及的主要罪名是侵犯公民个人信息罪。

  实践中,更常见的是员工泄密,也即企业“被泄密”,员工泄密有可能涉及到两个罪名,即侵犯公民个人信息罪(被害人是客户)及侵犯商业秘密罪(被害人是企业)。

  员工在工作过程中因职权便利,可以轻易接触到大量个人信息和商业秘密等秘密信息,若企业无完善的保密措施则很容易导致泄密事件,给企业带来损失和风险。防范员工泄密是企业风险防控的重要环节,一方面要防范个人信息的泄露,另一方面要防范商业秘密的泄露,二者的防范管理都需要一套完善的保密措施。

  总体而言,无论什么企业,防止泄密的措施都包括两大类:技术性措施和管理性措施。其中,技术性措施本质是对物(秘密)的保护措施,管理性措施主要是对人(员工)的防范措施。

  (一)技术性措施——对物(秘密)的保护措施

  1.进行风险测评:得出企业商业秘密风险重点防范领域、部门、岗位及风险指数,如有以往的泄密事件,要作为测评的重要参考。

  2.制定定密依据:参照《保密法》的规定,结合本企业具体情况,制定定密依据,包括但不限于:密级划分层级、密级划分准则、标识方法、商业秘密范围、涉密事项清单、涉密人员、定密流程等。

  3.完善保密框架:对本企业各类商业秘密进行层级划分、标识制定及责任绑定。

  4.拟定保护细则:按照商业秘密的密级及生命周期规定每个密级的保护要求,不排除对个别商业秘密拟定专门的保护细则。

  5.保证最小知情权:书面规定商业秘密的发放和知悉范围,每个涉密人员只对自己必须知悉的商业秘密知悉,贯彻涉密最小化原则。

  6.实施隔离保护:对商业秘密,以及相关的流程、职责、设施、载体、网络、物理环境等实施隔离保护。

  7.防止秘密扩散:采取相应保护措施,防止对商业秘密尤其是涉互联网商业秘密未经授权的访问、复制、传递、发送、扩散等。对于已经不再利用的但是一旦被传播会对企业造成损失的商业秘密,视情况进行销毁或者转移处理。

  8.进行保密检查:通过定期及不定期的保密检查、泄密风险测评和日常监控活动来进行保护,如发现泄密事件,应及时采取技术性补救措施。

  (二)管理性措施——对人(员工)的防范措施

  1.保密条款:通过保密协议、竞业禁止协议、岗位职责表、行为规范、员工手册、保密承诺书等明确企业对员工的保密要求及员工的保密义务。

  2.授权管理:要贯彻最小化原则、必要性原则和定期审查原则,完善对内部人员的授权管理制度。

  3.保密教育:由本企业法务或法律顾问或其他聘请的专业人员开展经常性的保密教育培训,维持和提升员工的保密意识。保密教育应分为一般性保密教育及专门岗位的保密教育,前者向全体员工提供,后者向重点涉密岗位员工提供。如有必要,可对据员工的岗位特点、群体特点、年龄特点等进行分析,根据分析的结论进行相应的教学内容及方式安排。

  4.监督检查:对内部涉密人员遵守保密义务、履行保密责任的情况进行定期及不定期的监督检查,完善内部举报制度,对企业重点涉密岗位实行轮岗制、双人负责制。

  5.惩戒追责:如保密监督检查结果显示企业内存在泄密事件,则根据涉密事件的严重程度,对相关人员实施惩戒。必要时,追究其法律责任;一旦涉嫌到刑事犯罪,不轻易姑息。企业主需要对侵权诉讼、刑事控告等维权手段具备一定了解,便于在发现严重的泄密行为时采取正确的维权手段,及时维护自身权益。

  6.分阶段实施:保密管理措施要根据员工的任职周期来实施,即上岗时保密(主要靠入职前尽调和书面承诺)、在职时保密(主要靠在职时监督和系统式管理)、离职后保密(主要靠离职前审查和离职后追责)。

  本文作者:

  林子淇,中山大学刑法学硕士;

  刘锐,中山大学刑法学硕士。