Принципиально 3 подхода:
1. передавать скрытые поля через input type='hidden' (если ничего страшного, что пользователь может в теории их поменять)
2. в onSubmit в переменную citizenDb загружать Citizen из базы и переопределять необходимые поля значениями из базы (если пользователь не должен иметь возможности напрямую менять некоторые поля, такие как тарифный план, сумма денег или что-то такое)
3. использовать сессию для временного хранения объекта (как написал karabara выше)
Теперь подробней про сессию:
I) не уверен, что если задать в форме новый параметр, то он не изменит поле, т.е. можно использовать как п.1 выше, но не как п.2
II) если пользователь отошел «покурить» или его отвлекли телефонным звонком, то может оказаться, что сессия пропала и вместе с ней форма стала просто непригодной (желательно отдельно протестировать этот случай и что-то делать так, чтобы полностью восстановить форму, крайне желательно с сохранением уже введенных пользователем данных)
Из-за п. II как правило не использую сессию кроме как для хранения user id.
Небольшое примечание: в Spring неудобно делать п.2. Например, в рейлс можно в модели задать какие поля могут обновляться из реез-запроса автоматическим байндингом, а какие нет. Здесь же нужно все вручную проверять.