最高人民檢察院
個人信息保護檢察公益訴訟典型案例
2023-3-30
目錄
1.江蘇省無錫市新吳區人民檢察院督促保護服務場所消費者個人信息行政公益訴訟案
2.湖南省長沙市望城區人民檢察院督促保護個人生物識別信息行政公益訴訟案
3.浙江省湖州市檢察機關訴浙江G旅遊發展有限公司侵害公民個人信息民事公益訴訟案
4.江西省宜春市人民檢察院督促保護醫療健康個人信息行政公益訴訟案…
5.寧夏回族自治區青銅峽市人民檢察院訴張某某等人侵犯公民個人信息刑事附帶民事公益訴訟案
6.上海市浦東新區人民檢察院訴張某侵犯公民個人信息刑事附帶民事公益訴訟案
7.廣東省深圳市寶安區人民檢察院訴付某等人侵犯公民個人信息刑事附帶民事公益訴訟案
8.遼寧省瀋陽市大東區人民檢察院督促規範政務公開個人信息保護行政公益訴訟案
案例一:
江蘇省無錫市新吳區人民檢察院督促保護服務場所消費者個人信息行政公益訴訟案
【關鍵詞】
行政公益訴訟訴前程序服務場所消費者敏感個人信息數字技術??
【要旨】
針對服務場所強制採集、非加密傳輸、違法存儲、未定期刪除消費者敏感個人信息,造成信息洩露安全隱患的行為,檢察機關開展專項監督,制發訴前檢察建議,督促職能部門依法履行監管職責,維護消費者個人信息安全。
【基本案情】
江蘇省無錫市新吳區某健身房使用具有人臉識別、指紋識別等功能的信息管理系統,強制要求會員刷臉或錄入指紋進入。由於該管理系統採用分級分層、前後端分離等技術,消費者在前端平台界面僅能看到被採集的個人身份信息,未被告知個人信息收集清單及權限。在部分會員明確拒絕人臉採集識別後,該健身房擅自將會員辦卡時提供的照片錄入系統作為刷臉進出憑證,且在會員要求刪除照片等信息時,以無管理權限為由拒絕刪除,其行為侵害眾多消費者合法權益,損害社會公共利益。
【調查和督促履職】
2022年6月21日,“益心為公”檢察雲平台志願者向江蘇省無錫市新吳區人民檢察院(以下簡稱新吳區院)反映,新吳區某健身房存在侵犯消費者敏感個人信息的情形。新吳區院運用公益損害風險防控平台,通過數據交叉比對、智能分析,排查易發生非法收集個人信息的服務場所,繪製風險防控“數字地圖”,發現全市案件線索16件,其中涉及新吳區5件。經初步調查,新吳區院於2022年8月11日正式立案。
新吳區院引入專業技術機構協助調查取證,現場勘驗涉案服務場所信息管理系統,出具專家意見,認為該系統在個人信息傳輸、存儲等方面存在安全風險。針對涉案服務場所採集、存儲個人信息的必要性和合理性,邀請公安、市場監管、第三方專業機構等召開論證會。新吳區院審查認為,根據《中華人民共和國個人信息保護法》第二十六條、第二十八條、第四十七條、《最高人民法院關於審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定》第一條第三款等規定,消費者的人臉、指紋等屬於生物識別類敏感個人信息,涉案服務場所繫公共場所,非維護公共安全必需且未取得消費者單獨同意,強制採集、非加密傳輸、違法存儲、未定期刪除敏感個人信息的行為,損害了眾多消費者合法權益。根據《中華人民共和國個人信息保護法》第六十條、第六十一條、《中華人民共和國消費者權益保護法》第二十九條、第三十二條第一款、第五十六條第一款第九項的規定,新吳區院於2022年8月12日向新吳區市場監督管理局製發行政公益訴訟訴前檢察建議,督促對涉案服務場所依法處理,切實履行保護消費者合法權益的職責;開展行業規範整治,加大監管力度,建立長效機制,防範類似違法行為發生。
新吳區市場監督管理局收到檢察建議後,對涉案5家服務場所進行集體談話、責令改正,組織開展專項執法行動,並建立定期檢查、約談、通報等監管機制。涉案服務場所及時整改,改變進入場所方式,採取安全措施傳輸、定期刪除個人信息,向監管部門報送個人信息管理情況。
新吳區院聯合區市場監督管理局開展“回頭看”,進行現場驗收,確認涉案服務場所均整改到位。同時,新吳區院將其他11件案件線索移送無錫市人民檢察院(以下簡稱無錫市院)。無錫市院開展服務場所公民個人信息保護專項監督活動,組織全市檢察機關排查健身房、超市等服務場所126處,督促整改問題場所56處,刪除違法採集信息9300餘條,向經營者、消費者普法宣傳3000多人次,有效保障公民個人信息安全。
【典型意義】
健身房、超市等公共服務場所採集的信息量大、面廣、敏感度高,監管不到位,將嚴重危害眾多消費者人身、財產安全。本案中,檢察機關積極發揮公益訴訟檢察職能,運用數字技術,通過“專業取證+專門論證+專家意見”等方式,破解公民個人信息保護領域線索發現、調查取證、損害認定等難題,制發訴前檢察建議,開展專項監督,督促行政機關依法履職,推動服務場所規範收集、傳輸、存儲、刪除個人信息,加強數據安全管控,促進個人信息全鏈條保護。
案例二:
湖南省長沙市望城區人民檢察院督促保護個人生物識別信息行政公益訴訟案
【關鍵詞】
行政公益訴訟訴前程序個人生物識別信息個人信息處理原則公開聽證
【要旨】
針對信息化建設對指紋和人臉識別等個人生物識別信息過度收集、未落實網絡安全等級保護製度等問題,檢察機關明確個人信息處理“合法、正當、必要和誠信原則”的內涵與外延,釐清各職能部門法定職責,督促其依法全面履職、協調聯動,消除公民個人信息洩露風險,切實維護社會公共利益。
【基本案情】
湖南省長沙市望城區衛生健康局(以下簡稱區衛健局)為推進數字化門診建設,自2019年7月12日起,要求長沙市望城區轄區內17家醫療衛生機構陸續使用電子簽核系統推送疫苗接種知情告知書,疫苗受種者或監護人點擊“同意”時系統自動採集指紋和人臉識別信息,收集電子數據的存儲及主機均由各社區衛生服務中心管理。截至2022年3月11日,上述機構共收集83萬餘條涉及指紋、人臉識別等個人生物識別信息。
【調查和督促履職】
2022年2月11日,湖南省長沙市望城區人民檢察院(以下簡稱望城區院)接到群眾舉報,反映自己和孩子的指紋和人臉等個人生物識別信息被醫療衛生機構過度收集,存在洩露風險。望城區院經初步調查確認屬實,遂於2022年3月19日、5月16日分別對望城區衛健局、長沙市公安局望城分局(以下簡稱區公安分局)立案調查。
望城區院通過現場勘驗、委託第三方單位對電子簽核系統進行安全檢測、調取相關書證與電子數據、詢問相關人員、諮詢專業人員等方式進行調查取證,查明:根據《中華人民共和國個人信息保護法》第五條、第六條、第二十八條至第三十條的規定,望城區17家醫療衛生機構違反個人信息處理的合法、正當、必要和誠信原則,過度收集服務對象指紋和人臉等個人生物識別信息,未按要求解決電子簽核系統的弱口令、數據未加密等安全漏洞,未能防患未經授權的訪問及個人信息洩露、篡改、丟失等高風險,未落實網絡安全等級保護製度要求,對敏感個人信息保護的內部管理不到位。望城區衛健局和區公安分局對上述醫療衛生機構收集、處理敏感個人信息活動未盡到監管職責。
2022年5月11日、16日,望城區院分別向區衛健局、區公安分局送達行政公益訴訟訴前檢察建議,建議區衛健局改進徵求知情同意的方式,避免過度收集指紋或人臉識別信息等個人生物識別信息;完善技術和管理措施,防止未經授權的訪問及個人信息洩露、篡改、丟失。建議區公安分局對17家醫療衛生機構未履行網絡安全等級保護責任的行為依法處理。同時將上述檢察建議抄送望城區網信部門。
望城區衛健局、區公安分局收到檢察建議後高度重視,部署開展了專項行動。望城區衛健局認真進行調研,研究解決方案,並向長沙市衛生健康委員會(以下簡稱市衛健委)專題匯報,長沙市衛健委以望城整改方案為藍本推進全市醫療衛生機制規範、合法處理個人信息。望城區公安分局召開專門網絡安全會議,對全區醫療衛生機構進行網絡安全檢查。望城區衛健局、區公安分局召集醫療衛生機構、系統開發單位、網絡安全檢測公司、區數據中心等單位多次召開座談會,望城區院和區委網信辦受邀參會。截至2022年6月10日,全區23家單位均已完成電子簽核系統升級,取消生物識別信息功能;21家單位已徹底刪除既往數據,並按照保密文件要求將已收集個人生物識別信息交區疾控中心代為封存保管,疫苗有效期滿後進行硬盤格式化刪除;升級後的電子簽核系統完善了內部信息安全管理制度、加強系統物理隔離、對數據傳輸和存儲加密保護、新增限制授權訪問等安全防護措施,信息安全等級保護經專家評定為1級,系統改為局域網內部運行,於2022年8月初在全區正式啟用。
2022年8月8日,望城區院跟進監督發現,升級後的電子簽核系統採用電子屏簽字的方式確認接種告知並在局域網運行;收集的電子簽字、疫苗接種等個人信息已加密;已收集的個人生物識別信息已在醫療衛生機構徹底刪除。上述整改方式在全市範圍內推廣已顯成效。同年8月11日,該院組織召開聽證會,邀請人大代表、政協委員、“益心為公”志願者及專家學者擔任聽證員,與會人員一致認為行政機關已採取積極有效措施全面履職,敏感個人信息被侵害的重大風險已消除。
【典型意義】
檢察機關聚焦民生關切,依法能動履行公益訴訟檢察職能,通過現場勘驗和委託安全檢測等智慧檢察手段,發現公益事業單位個人信息保護安全風險,督促行政機關對過度收集的個人生物識別信息數據採取“備份封存+本地徹底刪除+到期徹底刪除”方式消除安全風險,並進行“電子簽核系統升級改造+網絡安全等級保護”技術整改,平衡好個人信息保護與公共事務管理中個人信息合理利用的關係,充分實現“互聯網+”與公共衛生服務領域保障數據信息安全的良好結合,推動加強個人信息保護與公共衛生服務信息化建設的協同發展。通過辦案將個人信息處理“合法、正當、必要和誠信原則”的內涵和外延予以具體化,落實網絡安全等級保護製度,推動相關法律制度在司法辦案中落地見效。
案例三:
浙江省湖州市檢察機關訴浙江G旅遊發展有限公司侵害公民個人信息民事公益訴訟案
【關鍵詞】
民事公益訴訟遊客個人信息人臉識別數據刪除?
【要旨】
檢察機關針對景區違法採集遊客人臉信息的情形,堅持上下聯動、一體化推進,督促行政機關加強監管,促使景區運營企業合法合規收集、使用和存儲人臉信息數據,開展人臉信息數據刪除現場勘驗,充分保障遊客的知情權和選擇權等合法權益,切實保護遊客個人信息安全。
【基本案情】
A景區由浙江G旅遊發展有限公司(以下簡稱G公司,其控股股東是某國有公司)負責實際運營。2020年7月,A景區通過招標委託浙江H科技有限公司(以下簡稱H公司)建設完成人臉識別系統,並投入運行。系統使用期間,A景區在採集遊客人臉信息時未依法履行告知義務,存在強制要求購票遊客錄入人臉信息、“刷臉”入園的情形,且景區未對採集到的人臉信息定期予以刪除,致使遊客個人信息被侵害,損害了社會公共利益。
【調查和督促整改】
2021年10月,最高人民檢察院(以下簡稱最高檢)根據志願者反映,將A景區要求遊客“刷臉”入園、涉嫌侵害遊客人臉信息的線索交由浙江省人民檢察院(以下簡稱浙江省院)辦理。2021年11月初,湖州市人民檢察院(以下簡稱湖州市院)、湖州市南潯區人民檢察院(以下簡稱南潯區院)聯合成立專案組對該線索立案調查,對A景區人臉識別系統前端完成電子取證。經調查發現,A景區現場購票除要求遊客提供身份證外,還要求遊客進行“刷臉”認證,且未告知“刷臉”入園的必要性及後續如何處理刷臉信息,對遊客人臉信息儲存和使用缺乏具體制度規範。同年11月12日,浙江省院、湖州市院、南潯區院會同當地旅遊度假區管委會、G公司等景區運營主體,同時邀請了浙江省消費者權益保護委員會相關工作人員和法律專家,圍繞涉案人臉信息被侵害問題召開磋商會,就G公司刪除景區前期採集儲存的人臉信息數據,規範人臉信息的收集和使用等事項達成共識。同時,湖州市院與湖州市網信辦開展磋商,網信部門對G公司提出整改要求。同年11月18日,湖州市院向G公司製發檢察建議,督促G公司積極整改,確保依法運營。
2021年11月24日,G公司回複檢察機關稱,已委託H公司通過遠程操作,將景區違規收集儲存的人臉信息數據進行刪除。為確保刪除工作符合規範,切實維護公民信息安全,浙江省院組織技術力量會同辦案人員赴現場開展技術勘驗,湖州市院邀請人大代表、人民監督員進行現場見證。在相關人員的監督下,A景區前期採集、儲存遊客人臉信息共計120萬餘條完全刪除。同時,G公司已建立起人臉信息採集和使用的製度規範。目前,景區門口和購票處已設置告知牌,告知遊客“刷臉”入園的相關事項,徵求遊客意願,遊客可以自由選擇人臉識別、購買紙質門票、網絡購票等多種方式進入景區。對於採用人臉識別進入景區的遊客,景區會根據遊客入園的需要合理設置人臉數據刪除的期限,並在遊客遊玩結束後自動刪除人臉信息,確保遊客人臉信息安全。
【典型意義】
人臉信息屬於敏感個人信息,一旦被洩露或者非法使用,容易導致人格尊嚴受到侵害或者人身、財產安全受到危害。本案中,景區違法採集遊客人臉信息,嚴重侵害了遊客個人信息安全,檢察機關充分發揮一體化辦案優勢,堅持依法辦案與服務營商環境、個人信息保護與景區智能化建設有機結合,融合社會公眾力量共同參與監督,督促行政機關加強監管,促使信息處理者依法整改,建立合規體系,在提升景區管理智能化水平的同時,推動形成個人信息保護合力,實現辦案效果最優化。
案例四:
江西省宜春市人民檢察院督促保護醫療健康個人信息行政公益訴訟案
【關鍵詞】
行政公益訴訟訴前程序醫療健康個人信息保險營銷行業治理
【要旨】
針對醫療機構非法向保險代理機構提供患者醫療健康信息進行保險營銷的行為,檢察機關可以通過訴前檢察建議督促行政機關依法履職,消除個人信息洩露隱患,推動行業規範治理,切實保護公民個人信息安全。
【基本案情】
2021年以來,部分保險代理機構與江西省宜春市中心城區5家大型醫院達成協議,由保險代理機構在合作醫院推銷相關保險產品。部分保險代理機構業務人員在推銷保險產品過程中,為精准銷售“手術意外險”等險種,通過合作醫院違法獲取大量患者的姓名、手術類型、聯繫電話等醫療健康信息,對相關患者進行保險推銷,患者不堪其擾。該行為嚴重侵害患者的合法權益,損害了社會公共利益。
【調查和督促履職】
2022年2月,江西省宜春市人民檢察院(以下簡稱宜春市院)收到群眾舉報,稱其家屬辦完住院手續後,有保險代理機構業務人員向其推銷“手術意外險”。宜春市院立案辦理並進行全面摸排核實,一是查明醫療健康信息洩露源頭。通過走訪宜春市中心城區各大醫院,了解醫院與保險代理機構簽訂合作協議情況,並初步核實保險代理機構業務人員通過醫院手術科室護士站查詢病人紙質病歷或登錄病歷管理系統違法獲取大量患者醫療健康信息(包括病人姓名、身份證號、聯繫方式、手術類型等)的情況。二是通過大數據比對分析,發現保險代理機構業務人員手機通話記錄與患者辦理住院手續時間點相吻合,手機通話的先後順序反映患者在辦理住院手續後不久即會接到保險代理機構業務人員電話,進一步印證了患者個人信息洩露的事實。
宜春市院審查認為,根據《中華人民共和國個人信息保護法》《醫療機構病歷管理規定》等法律法規,醫療健康等信息屬於敏感個人信息,未經公民本人同意,或未具備具有法律授權等個人信息保護法規定的理由,醫院向保險代理機構提供患者醫療健康信息,改變了公民公開個人信息的範圍、目的和用途,不屬於法律規定的合理處理;保險從業人員收集、使用獲取的醫療健康信息從事保險營銷違反國家規定,侵害了不特定多數患者個人信息權利。衛生健康部門對侵害醫療患者個人信息的行為負有監管職責。
2022年7月8日,宜春市院向宜春市衛生健康委員會(以下簡稱宜春市衛健委)制發行政公益訴訟訴前檢察建議,要求其依法處理相關醫院,採取有效整改措施,及時堵塞患者個人信息保護漏洞;加強日常監管,對本轄區範圍內所有醫療機構開展全面清查;加強個人信息保護宣傳教育,切實增強醫護人員關於患者個人信息的保護意識。
宜春市衛健委收到檢察建議後,組織召開加強患者診療信息安全管理工作部署會,督促5家涉案醫院限期整改,制定出台《第三方保險業務關於患者醫療健康信息的保密規定》,明確規定保險代理機構業務人員接觸患方時間、不得私自提前與患方聯繫等,並規範患者診療信息查詢程序,堵塞信息洩露漏洞。同時,宜春市衛健委在全市439家醫療機構部署開展為期一個月的患者診療信息安全專項整頓活動,共發現並整改重大信息安全隱患37個,推動建立風險防範機制256項,組織12994名醫務人員分期分批參加患者診療信息安全培訓,進一步增強醫療健康信息保護意識,築牢公民個人信息安全防護網。
【典型意義】
醫療健康信息屬於可能影響公民人身、財產安全的敏感個人信息。本案中,醫療機構違反法律規定的合法、正當、必要和誠信的原則,未經患者同意向保險代理機構提供相關個人信息,嚴重侵害公民個人信息安全和合法權益,擾亂了社會公共秩序。檢察機關運用大數據比對等方式全面調查取證,依法發出檢察建議,督促行政機關查處醫療機構違法違規行為,並通過開展專項整頓、安全培訓等方式,堵塞醫療健康信息安全漏洞,推動醫療機構、醫療從業人員增強風險防範意識,強化行業自律,健全醫療健康信息保護長效機制。
案例五:
寧夏回族自治區青銅峽市人民檢察院訴張某某等人侵犯公民個人信息刑事附帶民事公益訴訟案
【關鍵詞】
刑事附帶民事公益訴訟股民個人信息電信網絡詐騙公益損害賠償金二審改判
【要旨】
針對非法利用信息網絡侵害眾多公民個人信息違法行為,檢察機關可以提起刑事附帶民事公益訴訟,依法追究行為人的刑事與民事雙重責任,對侵犯公民個人信息違法犯罪行為起到有效震懾作用,有力維護法律權威尊嚴、社會公平正義和社會公共利益。
【基本案情】
張某某非法獲取股民電話號碼、相關證券公司信息及創建虛假股票投資微信群碼,提供給吳某“吸粉引流”話務團伙用於電信網絡詐騙。2020年11月至2021年5月,吳某組織“吸粉引流”話務團伙10餘人先後在寧夏青銅峽、湖北武漢、湖北鄂州租住房屋,冒充相關證券公司客服撥打客戶電話5萬餘次,為200多個涉電信網絡詐騙群“吸粉引流”14130人。每拉1人進群視為做成一單,每單獲利10元不等。吳某自組織“吸粉引流”話務以來,收到上線張某某扣除每單獲利後轉賬資金703142.7元,其在扣除每單獲利後按照下線做成單數將款層層轉至下線人員。公安機關以張某某等人非法利用信息網絡罪移送檢察機關審查起訴。
【調查和訴訟】
2021年9月10日,寧夏回族自治區青銅峽市人民檢察院(以下簡稱青銅峽市院)在辦理張某某等人非法利用信息網絡罪一案過程中,發現該案存在侵犯眾多公民個人信息行為,可能損害社會公共利益。2021年10月8日,青銅峽市院依法以刑事附帶民事公益訴訟立案。檢察機關經審查認為:違法所得是行為人實施違法犯罪活動而獲取的不法財物,依法應予追繳;公益損害賠償是行為人因實施民事侵權行為對社會公共利益造成損害應承擔的民事賠償責任。追繳違法所得與公益損害賠償的責任性質、侵害主體均不同,追繳違法所得和承擔公益損害賠償可以同時適用。2021年11月29日,青銅峽市院向青銅峽市人民法院提起刑事附帶民事公益訴訟,請求依法判令各被告刪除所有非法獲取的公民個人信息,解散、刪除創建的微信群,消除潛在的公民信息洩露風險,依據違法所得數額支付公益損害賠償金,並在國家級媒體上向社會公眾賠禮道歉。
開庭審理時,一審法院結合公安機關補充偵查結果,認定被告張某某等16人為實施電信詐騙等違法犯罪發布信息,違法所得數額為739581.08元,其行為構成非法利用信息網絡罪,應依法判處有期徒刑,沒收違法所得併處罰金。刑事沒收違法所得與民事公益損害賠償金屬於雙罰,同時適用加重了對被告的懲罰,僅支持在國家級媒體公開道歉、刪除信息和解散微信群的訴訟請求。一審宣判後,被告人朱某、王某某對刑事判決不服提出上訴。青銅峽市院認為一審判決對公益損害賠償金不予支持,混淆了刑事責任與民事責任的界線,屬適用法律錯誤,經請示吳忠市人民檢察院同意,於2022年2月21日依法提出上訴。
2022年6月7日,吳忠市中級人民法院經開庭審理後,對朱某、王某某當庭提出的撤訴請求,裁定准許撤訴,並作出二審判決,認為檢察機關起訴要求民事賠償,符合法律規定。原判追繳各被上訴人違法所得與附帶民事公益訴訟起訴人要求承擔民事賠償責任並不矛盾,各被上訴人被追繳違法所得,再行承擔民事賠償責任,不屬於重複賠償,一審判決適用法律錯誤,應予糾正。同時認定張某某等16人犯非法利用信息網絡罪事實清楚,證據確實、充分,定罪準確,量刑適當,維持原判。以犯非法利用信息網絡罪判處張某某等16人七個月至一年六個月有期徒刑不等,沒收違法所得,並處3千元至6千元罰金不等;依法支持檢察機關公益訴訟損害賠償金訴請,判決各被告按照沒收的違法所得金額承擔民事賠償責任,共計賠償損失739581.08元。目前,案件已進入執行程序。
【典型意義】
侵犯公民個人信息犯罪嚴重危害公民個人信息安全,易引發電信網絡詐騙等衍生犯罪,社會危害性較大。本案中,檢察機關充分發揮刑事、公益訴訟檢察職能聯動優勢,依法對非法利用信息網絡犯罪提起刑事附帶民事公益訴訟,追究違法行為人的刑事與民事雙重責任,追繳違法所得併承擔民事公益損害賠償金,對非法獲取、使用公民個人信息的行為形成懲治震懾,實現了“三個效果”的有機統一。
案例六:
上海市浦東新區人民檢察院訴張某侵犯公民個人信息刑事附帶民事公益訴訟案
【關鍵詞】
刑事附帶民事公益訴訟客戶訂單個人信息公益損害賠償金調解
【要旨】
檢察機關在辦理涉網絡的侵犯公民個人信息刑事案件時,對侵害眾多個人信息權益的,可依法提起刑事附帶民事公益訴訟,訴請被告承擔停止侵害、消除危險、賠償損失等民事責任。相關公益損失難以直接計算的,按照侵權人通過網絡交易獲得的利益確定賠償金額。
【基本案情】
2021年7月下旬,張某通過網絡技術手段非法侵入某軟件公司計算機信息系統,獲取該公司係統內客戶訂單信息6萬餘條。客戶訂單信息中包含消費者姓名、手機、住址、交易記錄等信息。之後,張某將上述個人信息出售給他人,並在暗網獲利人民幣38760元。因客戶交易信息洩露,某軟件公司被第三方交易平台索賠,部分客戶接到詐騙電話,眾多消費者面臨詐騙風險,公共利益處於持續受損狀態。
【調查和訴訟】
上海市浦東新區人民檢察院(以下簡稱浦東區院)通過上海市檢察機關“公益訴訟全息辦案智能輔助系統”發現張某侵犯公民個人信息線索。2021年12月8日,浦東區院以張某侵犯公民個人信息刑事附帶民事公益訴訟立案。檢察機關統籌發揮刑事檢察與公益訴訟檢察職能作用,引導公安機關調取某軟件公司被索賠、消費者接到詐騙電話及張某通過網絡交易獲利等證據,證明張某實施違法侵權行為、社會公共利益受損及二者存在因果關係。
2022年1月24日,浦東區院以張某犯侵犯公民個人信息罪向浦東新區人民法院提起刑事附帶民事公益訴訟,訴請判令張某在國家級新聞媒體上對其侵犯公民個人信息的行為公開賠禮道歉,刪除保存在阿里雲等存儲介質內的公民個人信息數據,並按其侵犯公民個人信息的獲利賠償人民幣38760元。
2022年3月2日,浦東新區人民法院公開開庭審理本案。圍繞公益損害與私益損害的區別及違法所得的庭審焦點,浦東區院認為,張某竊取及轉賣行為導致眾多消費者人身財產損失風險及個人信息保護秩序的破壞,無法通過張某與技術公司賠償等私益賠償得以實現。通過提起公益損害賠償可以更好的修復受損公益,起到懲罰及預防違法行為的作用。根據《中華人民共和國民法典》第一千一百八十二條規定,賠償數額按照被侵權人因此受到的損失或者侵權人因此獲得的利益予以確定。據此檢察機關認定張某應賠償數額為通過網絡獲利的金額人民幣38760元。在浦東新區人民法院主持下,張某認可檢察機關附帶民事公益訴訟提出的訴訟請求,雙方達成調解。
2022年6月1日,浦東新區人民法院在互聯網上公告調解協議,公告期滿後未收到任何意見或建議。2022年7月1日,浦東新區人民法院作出調解書。張某已按照調解書內容履行全部訴訟請求。2022年8月12日,浦東新區人民法院判決被告人張某犯侵犯公民個人信息罪,判處有期徒刑三年、緩刑四年,並處罰金。
【典型意義】
通過非法入侵計算機系統的方式獲取大量公民個人信息並通過網絡出售牟利,是侵害眾多公民個人信息權益的一種表現形式。本案中,檢察機關在依法追究其刑事責任的同時,通過公益訴訟追究侵權人應承擔的民事責任,體現保護公益、全面追責的獨特價值。檢察機關在提起附帶民事公益訴訟時,可提出停止侵害、刪除數據、賠償損失等訴請。公益訴訟損害賠償是建立在維護個人信息安全秩序基礎上對受損公益提出的補償。針對網絡侵害的特點,相關公益損失難以直接計算的,可以按照侵權人通過網絡交易獲得的利益確定公益損害賠償金額,對於辦理同類案件具有一定的借鑒意義。
案例七:
廣東省深圳市寶安區人民檢察院訴付某等人侵犯公民個人信息刑事附帶民事公益訴訟案
【關鍵詞】
刑事附帶民事公益訴訟快遞面單個人信息數據採集工具企業數據合規
【要旨】
對於快遞行業龍頭企業內部員工利用工作便利洩露信息,因快遞業數據採集工具“巴槍”管理不善導致大量公民個人信息受到侵害的情形,檢察機關以刑事附帶民事公益訴訟追究違法者民事責任,通過制發社會治理類檢察建議督促企業依法規範寄遞用戶信息採集管理,全面維護用戶個人信息安全。
【基本案情】
2020年10月以來,某快遞公司營業點主管以及倉庫管理員付某等8人,利用職務便利通過營業點主管賬戶查詢指定手機號碼對應的快遞單號,再通過手機拍照將快遞單號發至購買方,購買方通過“巴槍”(快遞業數據採集工具)獲取快遞單號在某快遞公司的所有信息,包括寄收方姓名、聯繫方式、收寄貨地址、物品信息等,嚴重侵犯公民個人信息安全,損害了社會公共利益。
【調查和訴訟】
廣東省深圳市寶安區人民檢察院(以下簡稱寶安區院)通過該院綜合指揮中心案件集中評估平台,在刑事案件中發現付某等8人侵犯公民個人信息民事公益訴訟案件線索。公益訴訟檢察部門發揮一體化辦案優勢,全程參與刑事案件調查,釐清證據鏈條,全面掌握付某等8人違法事實和社會公共利益受損情況,並多次走訪某快遞公司了解其日常監管模式及操作流程。
2021年8月,寶安區院依法提起刑事附帶民事公益訴訟,訴請判令付某等8人支付其侵犯公民個人信息賠償金240183.08元。人民法院經審理於2022年5月作出判決,支持寶安區院全部訴訟請求,以侵犯公民個人信息罪判處付某等8人有期徒刑十個月至三年不等並處罰金;判決付某等8人支付公益訴訟賠償金共計240183.08元。目前,付某等8人已全額支付公益訴訟賠償金。
案件辦理過程中,寶安區院發現快遞行業普遍存在快遞查單系統權限設置過大、查單系統賬號和密碼安保級別低、“巴槍”管理不到位等問題。某快遞公司作為快遞行業龍頭企業,雖然已採取多種安全保障措施,但在硬件設置和管理流程風控上仍然存在改進空間。2022年10月9日,寶安區院向某快遞公司發出檢察建議,建議其針對涉案個人信息的管理漏洞整改治理,依法規範個人信息收集、管理措施。
某快遞公司收到檢察建議後積極開展整改,聘請專業機構針對個人信息洩露風險點進行全流程梳理。一是優化用戶個人信息保密製度,落實保密內容、細化保密環節及明確保密責任。嚴格設置不同級別員工的查詢、訪問權限,實行“賬號負責制”;二是根據服務範圍或服務對象分配內部人員的最小所需數據訪問權限,快遞員僅可查詢其服務客戶相關地址信息,通過一鍵撥號功能隱藏客戶真實手機號;三是嚴控賬號安全風險,採用CAS框架對應用進行統一的用戶登陸管理;四是另行開發APP逐步取代“巴槍”,同步加強對現有“巴槍”的管理,寶安區院及時跟進監督,邀請人大代表走訪某快遞公司營業點,現場抽查管理人員登陸系統、“巴槍”查詢權限等整改情況,經組織整改驗收確認相關公益損害風險已消除。
【典型意義】
物流行業掌握大量公民個人生活信息,通過大數據分析後可精準畫出用戶購物習慣、消費水平、生活軌蹟的圖譜,極易滋生詐騙、不正當競爭等違法行為。本案中,檢察機關通過刑事附帶民事公益訴訟加大侵權成本、震懾違法犯罪,同時通過制發社會治理檢察建議,著力實現“後端懲治”到“全流程風控”轉化,引導快遞行業龍頭企業良性運行,建立快遞企業個人信息安全保護通用標準,實現“由點到線,由線到面”的輻射效應。
案例八:
遼寧省瀋陽市大東區人民檢察院督促規範政務公開個人信息保護行政公益訴訟案
【關鍵詞】
行政公益訴訟訴前程序保障性住房個人信息政務公開去標識化處理
【要旨】
檢察機關針對政府行政部門在政務公開過程中出現的未能對公民個人信息進行有效保護的問題,通過履行公益訴訟監督職責,實現對公民個人信息保護的同時,為行政部門的政務公開工作提供了法律支持並推動形成信息公開的標準化方案。
【基本案情】
“瀋陽市住房保障網”公示了2013年至2022年期間多個公租房項目申請公租房保障人員的搖號結果、配租結果等信息,公開的各類名單包含有公民個人的姓名、身份證號、戶籍所在地、申請住房門牌號、申請家庭人口情況、人均居住建築面積、人均可支配月收入等信息,共計87000餘條。上述公民個人敏感信息未進行任何去標識化、匿名化處理,存在嚴重安全隱患,社會公共利益持續受到侵害。
【調查和督促履職】
2022年5月12日,遼寧省瀋陽市大東區人民檢察院(以下簡稱大東區院)接到群眾舉報反映上述問題線索。經瀋陽市人民檢察院指定管轄,大東區院於同年5月18日立案調查。經查,瀋陽市保障房行政主管部門在政務公開過程中,對足以確定公民身份的個人敏感信息未依法進行去標識化、匿名化處理,致使87000餘條個人信息存在嚴重安全隱患。2022年5月31日,大東區院向瀋陽市保障房行政主管部門發出行政公益訴訟訴前檢察建議,建議其加強對已發布的政府公開信息審查力度,對本案涉及的個人信息及時進行去標識化處理,防止個人信息洩露。
該部門收到檢察建議後高度重視,第一時間派員與大東區院座談會商並達成整改共識。隨後,該部門就雙方共商的整改方案向上級部門及審計部門請示批准後,對“瀋陽市住房保障網”相關信息進行梳理排查,組織對各工作網站開展全面排查,並對涉公民個人敏感信息採取點對點的去標識及隱匿化舉措。對已超過公示期限的信息,立即從互聯網上撤除。對後續要進行公示的信息,通過辦公軟件程序設計,將信息上傳網絡之前先按照既定整改方案進行處理:兩字姓名中的第二個字用符號替代;三字姓名中間的字用符號替代;身份證號碼第7-14位數字用符號替代;公租房申請人公示信息中,家庭住址公示至區縣街道,不再具體到樓號門牌號;電腦派位結果公示中“電腦派位房間號”公示至街路名,具體小區及樓號門牌號用符號替代;低收入住房困難家庭公示信息中,不再公示申請人身份證號碼、家庭所在社區、家庭成員關係、家庭人口數、困難具體情況等。
2022年8月,大東區院進行跟進監督,登錄相關網站查詢,發現網站公示的所有涉及公民個人的信息,均已對身份證號碼和姓名實現了去標識化處理,對非必要公示項目不再進行公示,公示內容均按照整改後標準執行,公益損害風險已消除。
【典型意義】
公民個人信息保護問題在諸多政府部門的政務公開過程中普遍存在,基於保障房信息必須公開公示的要求,往往忽略了對個人敏感信息的保護。本案中,檢察機關就政務公開活動和公民個人信息保護之間如何兼顧、平衡的問題進行了有益探索,並沒有“就案辦案”,而是與行政機關共商解決方案,通過檢察建議督促其主動作為,既保證行政機關全面展示其工作程序的公平公正公開,又兼顧其中的公民個人信息安全,體現了雙贏多贏共贏的辦案司法理念,取得了良好的法律效果和社會效果。
https://www.spp.gov.cn/spp/xwfbh/wsfbt/202303/t20230330_609756.shtml#2
