個人信息保護檢察公益訴訟典型案例
個人信息保護檢察公益訴訟典型案例
最高人民檢察院
個人信息保護檢察公益訴訟典型案例
個人信息保護檢察公益訴訟典型案例
目 錄
1. 江蘇省無錫市新吳區(qū)人民檢察院督促保護服務場所消費者個人信息行政公益訴訟案
2. 湖南省長沙市望城區(qū)人民檢察院督促保護個人生物識別信息行政公益訴訟案
3. 浙江省湖州市檢察機關訴浙江G旅游發(fā)展有限公司侵害公民個人信息民事公益訴訟案
4. 江西省宜春市人民檢察院督促保護醫(yī)療健康個人信息行政公益訴訟案…
5. 寧夏回族自治區(qū)青銅峽市人民檢察院訴張某某等人侵犯公民個人信息刑事附帶民事公益訴訟案
6. 上海市浦東新區(qū)人民檢察院訴張某侵犯公民個人信息刑事附帶民事公益訴訟案
7. 廣東省深圳市寶安區(qū)人民檢察院訴付某等人侵犯公民個人信息刑事附帶民事公益訴訟案
8. 遼寧省沈陽市大東區(qū)人民檢察院督促規(guī)范政務公開個人信息保護行政公益訴訟案
案例一
江蘇省無錫市新吳區(qū)人民檢察院督促保護服務場所消費者個人信息行政公益訴訟案
【關鍵詞】
行政公益訴訟訴前程序 服務場所 消費者敏感個人信息 數(shù)字技術
【要 旨】
針對服務場所強制采集、非加密傳輸、違法存儲、未定期刪除消費者敏感個人信息,造成信息泄露安全隱患的行為,檢察機關開展專項監(jiān)督,制發(fā)訴前檢察建議,督促職能部門依法履行監(jiān)管職責,維護消費者個人信息安全。
【基本案情】
江蘇省無錫市新吳區(qū)某健身房使用具有人臉識別、指紋識別等功能的信息管理系統(tǒng),強制要求會員刷臉或錄入指紋進入。由于該管理系統(tǒng)采用分級分層、前后端分離等技術,消費者在前端平臺界面僅能看到被采集的個人身份信息,未被告知個人信息收集清單及權限。在部分會員明確拒絕人臉采集識別后,該健身房擅自將會員辦卡時提供的照片錄入系統(tǒng)作為刷臉進出憑證,且在會員要求刪除照片等信息時,以無管理權限為由拒絕刪除,其行為侵害眾多消費者合法權益,損害社會公共利益。
【調查和督促履職】
2022年6月21日,“益心為公”檢察云平臺志愿者向江蘇省無錫市新吳區(qū)人民檢察院(以下簡稱新吳區(qū)院)反映,新吳區(qū)某健身房存在侵犯消費者敏感個人信息的情形。新吳區(qū)院運用公益損害風險防控平臺,通過數(shù)據(jù)交叉比對、智能分析,排查易發(fā)生非法收集個人信息的服務場所,繪制風險防控“數(shù)字地圖”,發(fā)現(xiàn)全市案件線索16件,其中涉及新吳區(qū)5件。經初步調查,新吳區(qū)院于2022年8月11日正式立案。
新吳區(qū)院引入專業(yè)技術機構協(xié)助調查取證,現(xiàn)場勘驗涉案服務場所信息管理系統(tǒng),出具專家意見,認為該系統(tǒng)在個人信息傳輸、存儲等方面存在安全風險。針對涉案服務場所采集、存儲個人信息的必要性和合理性,邀請公安、市場監(jiān)管、第三方專業(yè)機構等召開論證會。新吳區(qū)院審查認為,根據(jù)《中華人民共和國個人信息保護法》第二十六條、第二十八條、第四十七條、《最高人民法院關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規(guī)定》第一條第三款等規(guī)定,消費者的人臉、指紋等屬于生物識別類敏感個人信息,涉案服務場所系公共場所,非維護公共安全必需且未取得消費者單獨同意,強制采集、非加密傳輸、違法存儲、未定期刪除敏感個人信息的行為,損害了眾多消費者合法權益。根據(jù)《中華人民共和國個人信息保護法》第六十條、第六十一條、《中華人民共和國消費者權益保護法》第二十九條、第三十二條第一款、第五十六條第一款第九項的規(guī)定,新吳區(qū)院于2022年8月12日向新吳區(qū)市場監(jiān)督管理局制發(fā)行政公益訴訟訴前檢察建議,督促對涉案服務場所依法處理,切實履行保護消費者合法權益的職責;開展行業(yè)規(guī)范整治,加大監(jiān)管力度,建立長效機制,防范類似違法行為發(fā)生。
新吳區(qū)市場監(jiān)督管理局收到檢察建議后,對涉案5家服務場所進行集體談話、責令改正,組織開展專項執(zhí)法行動,并建立定期檢查、約談、通報等監(jiān)管機制。涉案服務場所及時整改,改變進入場所方式,采取安全措施傳輸、定期刪除個人信息,向監(jiān)管部門報送個人信息管理情況。
新吳區(qū)院聯(lián)合區(qū)市場監(jiān)督管理局開展“回頭看”,進行現(xiàn)場驗收,確認涉案服務場所均整改到位。同時,新吳區(qū)院將其他11件案件線索移送無錫市人民檢察院(以下簡稱無錫市院)。無錫市院開展服務場所公民個人信息保護專項監(jiān)督活動,組織全市檢察機關排查健身房、超市等服務場所126處,督促整改問題場所56處,刪除違法采集信息9300余條,向經營者、消費者普法宣傳3000多人次,有效保障公民個人信息安全。
【典型意義】
健身房、超市等公共服務場所采集的信息量大、面廣、敏感度高,監(jiān)管不到位,將嚴重危害眾多消費者人身、財產安全。本案中,檢察機關積極發(fā)揮公益訴訟檢察職能,運用數(shù)字技術,通過“專業(yè)取證+專門論證+專家意見”等方式,破解公民個人信息保護領域線索發(fā)現(xiàn)、調查取證、損害認定等難題,制發(fā)訴前檢察建議,開展專項監(jiān)督,督促行政機關依法履職,推動服務場所規(guī)范收集、傳輸、存儲、刪除個人信息,加強數(shù)據(jù)安全管控,促進個人信息全鏈條保護。
案例二
湖南省長沙市望城區(qū)人民檢察院督促保護個人生物識別信息行政公益訴訟案
【關鍵詞】
行政公益訴訟訴前程序 個人生物識別信息 個人信息處理原則 公開聽證
【要 旨】
針對信息化建設對指紋和人臉識別等個人生物識別信息過度收集、未落實網絡安全等級保護制度等問題,檢察機關明確個人信息處理“合法、正當、必要和誠信原則”的內涵與外延,厘清各職能部門法定職責,督促其依法全面履職、協(xié)調聯(lián)動,消除公民個人信息泄露風險,切實維護社會公共利益。
【基本案情】
湖南省長沙市望城區(qū)衛(wèi)生健康局(以下簡稱區(qū)衛(wèi)健局)為推進數(shù)字化門診建設,自2019年7月12日起,要求長沙市望城區(qū)轄區(qū)內17家醫(yī)療衛(wèi)生機構陸續(xù)使用電子簽核系統(tǒng)推送疫苗接種知情告知書,疫苗受種者或監(jiān)護人點擊“同意”時系統(tǒng)自動采集指紋和人臉識別信息,收集電子數(shù)據(jù)的存儲及主機均由各社區(qū)衛(wèi)生服務中心管理。截至2022年3月11日,上述機構共收集83萬余條涉及指紋、人臉識別等個人生物識別信息。
【調查和督促履職】
2022年2月11日,湖南省長沙市望城區(qū)人民檢察院(以下簡稱望城區(qū)院)接到群眾舉報,反映自己和孩子的指紋和人臉等個人生物識別信息被醫(yī)療衛(wèi)生機構過度收集,存在泄露風險。望城區(qū)院經初步調查確認屬實,遂于2022年3月19日、5月16日分別對望城區(qū)衛(wèi)健局、長沙市公安局望城分局(以下簡稱區(qū)公安分局)立案調查。
望城區(qū)院通過現(xiàn)場勘驗、委托第三方單位對電子簽核系統(tǒng)進行安全檢測、調取相關書證與電子數(shù)據(jù)、詢問相關人員、咨詢專業(yè)人員等方式進行調查取證,查明:根據(jù)《中華人民共和國個人信息保護法》第五條、第六條、第二十八條至第三十條的規(guī)定,望城區(qū)17家醫(yī)療衛(wèi)生機構違反個人信息處理的合法、正當、必要和誠信原則,過度收集服務對象指紋和人臉等個人生物識別信息,未按要求解決電子簽核系統(tǒng)的弱口令、數(shù)據(jù)未加密等安全漏洞,未能防患未經授權的訪問及個人信息泄露、篡改、丟失等高風險,未落實網絡安全等級保護制度要求,對敏感個人信息保護的內部管理不到位。望城區(qū)衛(wèi)健局和區(qū)公安分局對上述醫(yī)療衛(wèi)生機構收集、處理敏感個人信息活動未盡到監(jiān)管職責。
2022年5月11日、16日,望城區(qū)院分別向區(qū)衛(wèi)健局、區(qū)公安分局送達行政公益訴訟訴前檢察建議,建議區(qū)衛(wèi)健局改進征求知情同意的方式,避免過度收集指紋或人臉識別信息等個人生物識別信息;完善技術和管理措施,防止未經授權的訪問及個人信息泄露、篡改、丟失。建議區(qū)公安分局對17家醫(yī)療衛(wèi)生機構未履行網絡安全等級保護責任的行為依法處理。同時將上述檢察建議抄送望城區(qū)網信部門。
望城區(qū)衛(wèi)健局、區(qū)公安分局收到檢察建議后高度重視,部署開展了專項行動。望城區(qū)衛(wèi)健局認真進行調研,研究解決方案,并向長沙市衛(wèi)生健康委員會(以下簡稱市衛(wèi)健委)專題匯報,長沙市衛(wèi)健委以望城整改方案為藍本推進全市醫(yī)療衛(wèi)生機制規(guī)范、合法處理個人信息。望城區(qū)公安分局召開專門網絡安全會議,對全區(qū)醫(yī)療衛(wèi)生機構進行網絡安全檢查。望城區(qū)衛(wèi)健局、區(qū)公安分局召集醫(yī)療衛(wèi)生機構、系統(tǒng)開發(fā)單位、網絡安全檢測公司、區(qū)數(shù)據(jù)中心等單位多次召開座談會,望城區(qū)院和區(qū)委網信辦受邀參會。截至2022年6月10日,全區(qū)23家單位均已完成電子簽核系統(tǒng)升級,取消生物識別信息功能;21家單位已徹底刪除既往數(shù)據(jù),并按照保密文件要求將已收集個人生物識別信息交區(qū)疾控中心代為封存保管,疫苗有效期滿后進行硬盤格式化刪除;升級后的電子簽核系統(tǒng)完善了內部信息安全管理制度、加強系統(tǒng)物理隔離、對數(shù)據(jù)傳輸和存儲加密保護、新增限制授權訪問等安全防護措施,信息安全等級保護經專家評定為1級,系統(tǒng)改為局域網內部運行,于2022年8月初在全區(qū)正式啟用。
2022年8月8日,望城區(qū)院跟進監(jiān)督發(fā)現(xiàn),升級后的電子簽核系統(tǒng)采用電子屏簽字的方式確認接種告知并在局域網運行;收集的電子簽字、疫苗接種等個人信息已加密;已收集的個人生物識別信息已在醫(yī)療衛(wèi)生機構徹底刪除。上述整改方式在全市范圍內推廣已顯成效。同年8月11日,該院組織召開聽證會,邀請人大代表、政協(xié)委員、“益心為公”志愿者及專家學者擔任聽證員,與會人員一致認為行政機關已采取積極有效措施全面履職,敏感個人信息被侵害的重大風險已消除。
【典型意義】
檢察機關聚焦民生關切,依法能動履行公益訴訟檢察職能,通過現(xiàn)場勘驗和委托安全檢測等智慧檢察手段,發(fā)現(xiàn)公益事業(yè)單位個人信息保護安全風險,督促行政機關對過度收集的個人生物識別信息數(shù)據(jù)采取“備份封存+本地徹底刪除+到期徹底刪除”方式消除安全風險,并進行“電子簽核系統(tǒng)升級改造+網絡安全等級保護”技術整改,平衡好個人信息保護與公共事務管理中個人信息合理利用的關系,充分實現(xiàn)“互聯(lián)網+”與公共衛(wèi)生服務領域保障數(shù)據(jù)信息安全的良好結合,推動加強個人信息保護與公共衛(wèi)生服務信息化建設的協(xié)同發(fā)展。通過辦案將個人信息處理“合法、正當、必要和誠信原則”的內涵和外延予以具體化,落實網絡安全等級保護制度,推動相關法律制度在司法辦案中落地見效。
案例三
浙江省湖州市檢察機關訴浙江G旅游發(fā)展有限公司侵害公民個人信息民事公益訴訟案
【關鍵詞】
民事公益訴訟 游客個人信息 人臉識別 數(shù)據(jù)刪除
【要 旨】
檢察機關針對景區(qū)違法采集游客人臉信息的情形,堅持上下聯(lián)動、一體化推進,督促行政機關加強監(jiān)管,促使景區(qū)運營企業(yè)合法合規(guī)收集、使用和存儲人臉信息數(shù)據(jù),開展人臉信息數(shù)據(jù)刪除現(xiàn)場勘驗,充分保障游客的知情權和選擇權等合法權益,切實保護游客個人信息安全。
【基本案情】
A景區(qū)由浙江G旅游發(fā)展有限公司(以下簡稱G公司,其控股股東是某國有公司)負責實際運營。2020年7月,A景區(qū)通過招標委托浙江H科技有限公司(以下簡稱H公司)建設完成人臉識別系統(tǒng),并投入運行。系統(tǒng)使用期間,A景區(qū)在采集游客人臉信息時未依法履行告知義務,存在強制要求購票游客錄入人臉信息、“刷臉”入園的情形,且景區(qū)未對采集到的人臉信息定期予以刪除,致使游客個人信息被侵害,損害了社會公共利益。
【調查和督促整改】
2021年10月,最高人民檢察院(以下簡稱最高檢)根據(jù)志愿者反映,將A景區(qū)要求游客“刷臉”入園、涉嫌侵害游客人臉信息的線索交由浙江省人民檢察院(以下簡稱浙江省院)辦理。2021年11月初,湖州市人民檢察院(以下簡稱湖州市院)、湖州市南潯區(qū)人民檢察院(以下簡稱南潯區(qū)院)聯(lián)合成立專案組對該線索立案調查,對A景區(qū)人臉識別系統(tǒng)前端完成電子取證。經調查發(fā)現(xiàn),A景區(qū)現(xiàn)場購票除要求游客提供身份證外,還要求游客進行“刷臉”認證,且未告知“刷臉”入園的必要性及后續(xù)如何處理刷臉信息,對游客人臉信息儲存和使用缺乏具體制度規(guī)范。同年11月12日,浙江省院、湖州市院、南潯區(qū)院會同當?shù)芈糜味燃賲^(qū)管委會、G公司等景區(qū)運營主體,同時邀請了浙江省消費者權益保護委員會相關工作人員和法律專家,圍繞涉案人臉信息被侵害問題召開磋商會,就G公司刪除景區(qū)前期采集儲存的人臉信息數(shù)據(jù),規(guī)范人臉信息的收集和使用等事項達成共識。同時,湖州市院與湖州市網信辦開展磋商,網信部門對G公司提出整改要求。同年11月18日,湖州市院向G公司制發(fā)檢察建議,督促G公司積極整改,確保依法運營。
2021年11月24日,G公司回復檢察機關稱,已委托H公司通過遠程操作,將景區(qū)違規(guī)收集儲存的人臉信息數(shù)據(jù)進行刪除。為確保刪除工作符合規(guī)范,切實維護公民信息安全,浙江省院組織技術力量會同辦案人員赴現(xiàn)場開展技術勘驗,湖州市院邀請人大代表、人民監(jiān)督員進行現(xiàn)場見證。在相關人員的監(jiān)督下,A景區(qū)前期采集、儲存游客人臉信息共計120萬余條完全刪除。同時,G公司已建立起人臉信息采集和使用的制度規(guī)范。目前,景區(qū)門口和購票處已設置告知牌,告知游客“刷臉”入園的相關事項,征求游客意愿,游客可以自由選擇人臉識別、購買紙質門票、網絡購票等多種方式進入景區(qū)。對于采用人臉識別進入景區(qū)的游客,景區(qū)會根據(jù)游客入園的需要合理設置人臉數(shù)據(jù)刪除的期限,并在游客游玩結束后自動刪除人臉信息,確保游客人臉信息安全。
【典型意義】
人臉信息屬于敏感個人信息,一旦被泄露或者非法使用,容易導致人格尊嚴受到侵害或者人身、財產安全受到危害。本案中,景區(qū)違法采集游客人臉信息,嚴重侵害了游客個人信息安全,檢察機關充分發(fā)揮一體化辦案優(yōu)勢,堅持依法辦案與服務營商環(huán)境、個人信息保護與景區(qū)智能化建設有機結合,融合社會公眾力量共同參與監(jiān)督,督促行政機關加強監(jiān)管,促使信息處理者依法整改,建立合規(guī)體系,在提升景區(qū)管理智能化水平的同時,推動形成個人信息保護合力,實現(xiàn)辦案效果最優(yōu)化。
案例四
江西省宜春市人民檢察院督促保護醫(yī)療健康個人信息行政公益訴訟案
【關鍵詞】
行政公益訴訟訴前程序 醫(yī)療健康個人信息 保險營銷 行業(yè)治理
【要 旨】
針對醫(yī)療機構非法向保險代理機構提供患者醫(yī)療健康信息進行保險營銷的行為,檢察機關可以通過訴前檢察建議督促行政機關依法履職,消除個人信息泄露隱患,推動行業(yè)規(guī)范治理,切實保護公民個人信息安全。
【基本案情】
2021年以來,部分保險代理機構與江西省宜春市中心城區(qū)5家大型醫(yī)院達成協(xié)議,由保險代理機構在合作醫(yī)院推銷相關保險產品。部分保險代理機構業(yè)務人員在推銷保險產品過程中,為精準銷售“手術意外險”等險種,通過合作醫(yī)院違法獲取大量患者的姓名、手術類型、聯(lián)系電話等醫(yī)療健康信息,對相關患者進行保險推銷,患者不堪其擾。該行為嚴重侵害患者的合法權益,損害了社會公共利益。
【調查和督促履職】
2022年2月,江西省宜春市人民檢察院(以下簡稱宜春市院)收到群眾舉報,稱其家屬辦完住院手續(xù)后,有保險代理機構業(yè)務人員向其推銷“手術意外險”。宜春市院立案辦理并進行全面摸排核實,一是查明醫(yī)療健康信息泄露源頭。通過走訪宜春市中心城區(qū)各大醫(yī)院,了解醫(yī)院與保險代理機構簽訂合作協(xié)議情況,并初步核實保險代理機構業(yè)務人員通過醫(yī)院手術科室護士站查詢病人紙質病歷或登錄病歷管理系統(tǒng)違法獲取大量患者醫(yī)療健康信息(包括病人姓名、身份證號、聯(lián)系方式、手術類型等)的情況。二是通過大數(shù)據(jù)比對分析,發(fā)現(xiàn)保險代理機構業(yè)務人員手機通話記錄與患者辦理住院手續(xù)時間點相吻合,手機通話的先后順序反映患者在辦理住院手續(xù)后不久即會接到保險代理機構業(yè)務人員電話,進一步印證了患者個人信息泄露的事實。
宜春市院審查認為,根據(jù)《中華人民共和國個人信息保護法》《醫(yī)療機構病歷管理規(guī)定》等法律法規(guī),醫(yī)療健康等信息屬于敏感個人信息,未經公民本人同意,或未具備具有法律授權等個人信息保護法規(guī)定的理由,醫(yī)院向保險代理機構提供患者醫(yī)療健康信息,改變了公民公開個人信息的范圍、目的和用途,不屬于法律規(guī)定的合理處理;保險從業(yè)人員收集、使用獲取的醫(yī)療健康信息從事保險營銷違反國家規(guī)定,侵害了不特定多數(shù)患者個人信息權利。衛(wèi)生健康部門對侵害醫(yī)療患者個人信息的行為負有監(jiān)管職責。
2022年7月8日,宜春市院向宜春市衛(wèi)生健康委員會(以下簡稱宜春市衛(wèi)健委)制發(fā)行政公益訴訟訴前檢察建議,要求其依法處理相關醫(yī)院,采取有效整改措施,及時堵塞患者個人信息保護漏洞;加強日常監(jiān)管,對本轄區(qū)范圍內所有醫(yī)療機構開展全面清查;加強個人信息保護宣傳教育,切實增強醫(yī)護人員關于患者個人信息的保護意識。
宜春市衛(wèi)健委收到檢察建議后,組織召開加強患者診療信息安全管理工作部署會,督促5家涉案醫(yī)院限期整改,制定出臺《第三方保險業(yè)務關于患者醫(yī)療健康信息的保密規(guī)定》,明確規(guī)定保險代理機構業(yè)務人員接觸患方時間、不得私自提前與患方聯(lián)系等,并規(guī)范患者診療信息查詢程序,堵塞信息泄露漏洞。同時,宜春市衛(wèi)健委在全市439家醫(yī)療機構部署開展為期一個月的患者診療信息安全專項整頓活動,共發(fā)現(xiàn)并整改重大信息安全隱患37個,推動建立風險防范機制256項,組織12994名醫(yī)務人員分期分批參加患者診療信息安全培訓,進一步增強醫(yī)療健康信息保護意識,筑牢公民個人信息安全防護網。
【典型意義】
醫(yī)療健康信息屬于可能影響公民人身、財產安全的敏感個人信息。本案中,醫(yī)療機構違反法律規(guī)定的合法、正當、必要和誠信的原則,未經患者同意向保險代理機構提供相關個人信息,嚴重侵害公民個人信息安全和合法權益,擾亂了社會公共秩序。檢察機關運用大數(shù)據(jù)比對等方式全面調查取證,依法發(fā)出檢察建議,督促行政機關查處醫(yī)療機構違法違規(guī)行為,并通過開展專項整頓、安全培訓等方式,堵塞醫(yī)療健康信息安全漏洞,推動醫(yī)療機構、醫(yī)療從業(yè)人員增強風險防范意識,強化行業(yè)自律,健全醫(yī)療健康信息保護長效機制。
案例五
寧夏回族自治區(qū)青銅峽市人民檢察院訴張某某等人侵犯公民個人信息刑事附帶民事公益訴訟案
【關鍵詞】
刑事附帶民事公益訴訟 股民個人信息 電信網絡詐騙 公益損害賠償金 二審改判
【要 旨】
針對非法利用信息網絡侵害眾多公民個人信息違法行為,檢察機關可以提起刑事附帶民事公益訴訟,依法追究行為人的刑事與民事雙重責任,對侵犯公民個人信息違法犯罪行為起到有效震懾作用,有力維護法律權威尊嚴、社會公平正義和社會公共利益。
【基本案情】
張某某非法獲取股民電話號碼、相關證券公司信息及創(chuàng)建虛假股票投資微信群碼,提供給吳某“吸粉引流”話務團伙用于電信網絡詐騙。2020年11月至2021年5月,吳某組織“吸粉引流”話務團伙10余人先后在寧夏青銅峽、湖北武漢、湖北鄂州租住房屋,冒充相關證券公司客服撥打客戶電話5萬余次,為200多個涉電信網絡詐騙群“吸粉引流”14130人。每拉1人進群視為做成一單,每單獲利10元不等。吳某自組織“吸粉引流”話務以來,收到上線張某某扣除每單獲利后轉賬資金703142.7元,其在扣除每單獲利后按照下線做成單數(shù)將款層層轉至下線人員。公安機關以張某某等人非法利用信息網絡罪移送檢察機關審查起訴。
【調查和訴訟】
2021年9月10日,寧夏回族自治區(qū)青銅峽市人民檢察院(以下簡稱青銅峽市院)在辦理張某某等人非法利用信息網絡罪一案過程中,發(fā)現(xiàn)該案存在侵犯眾多公民個人信息行為,可能損害社會公共利益。2021年10月8日,青銅峽市院依法以刑事附帶民事公益訴訟立案。檢察機關經審查認為:違法所得是行為人實施違法犯罪活動而獲取的不法財物,依法應予追繳;公益損害賠償是行為人因實施民事侵權行為對社會公共利益造成損害應承擔的民事賠償責任。追繳違法所得與公益損害賠償?shù)呢熑涡再|、侵害主體均不同,追繳違法所得和承擔公益損害賠償可以同時適用。2021年11月29日,青銅峽市院向青銅峽市人民法院提起刑事附帶民事公益訴訟,請求依法判令各被告刪除所有非法獲取的公民個人信息,解散、刪除創(chuàng)建的微信群,消除潛在的公民信息泄露風險,依據(jù)違法所得數(shù)額支付公益損害賠償金,并在國家級媒體上向社會公眾賠禮道歉。
開庭審理時,一審法院結合公安機關補充偵查結果,認定被告張某某等16人為實施電信詐騙等違法犯罪發(fā)布信息,違法所得數(shù)額為739581.08元,其行為構成非法利用信息網絡罪,應依法判處有期徒刑,沒收違法所得并處罰金。刑事沒收違法所得與民事公益損害賠償金屬于雙罰,同時適用加重了對被告的懲罰,僅支持在國家級媒體公開道歉、刪除信息和解散微信群的訴訟請求。一審宣判后,被告人朱某、王某某對刑事判決不服提出上訴。青銅峽市院認為一審判決對公益損害賠償金不予支持,混淆了刑事責任與民事責任的界線,屬適用法律錯誤,經請示吳忠市人民檢察院同意,于2022年2月21日依法提出上訴。
2022年6月7日,吳忠市中級人民法院經開庭審理后,對朱某、王某某當庭提出的撤訴請求,裁定準許撤訴,并作出二審判決,認為檢察機關起訴要求民事賠償,符合法律規(guī)定。原判追繳各被上訴人違法所得與附帶民事公益訴訟起訴人要求承擔民事賠償責任并不矛盾,各被上訴人被追繳違法所得,再行承擔民事賠償責任,不屬于重復賠償,一審判決適用法律錯誤,應予糾正。同時認定張某某等16人犯非法利用信息網絡罪事實清楚,證據(jù)確實、充分,定罪準確,量刑適當,維持原判。以犯非法利用信息網絡罪判處張某某等16人七個月至一年六個月有期徒刑不等,沒收違法所得,并處3千元至6千元罰金不等;依法支持檢察機關公益訴訟損害賠償金訴請,判決各被告按照沒收的違法所得金額承擔民事賠償責任,共計賠償損失739581.08元。目前,案件已進入執(zhí)行程序。
【典型意義】
侵犯公民個人信息犯罪嚴重危害公民個人信息安全,易引發(fā)電信網絡詐騙等衍生犯罪,社會危害性較大。本案中,檢察機關充分發(fā)揮刑事、公益訴訟檢察職能聯(lián)動優(yōu)勢,依法對非法利用信息網絡犯罪提起刑事附帶民事公益訴訟,追究違法行為人的刑事與民事雙重責任,追繳違法所得并承擔民事公益損害賠償金,對非法獲取、使用公民個人信息的行為形成懲治震懾,實現(xiàn)了“三個效果”的有機統(tǒng)一。
案例六
上海市浦東新區(qū)人民檢察院訴張某侵犯公民個人信息刑事附帶民事公益訴訟案
【關鍵詞】
刑事附帶民事公益訴訟 客戶訂單個人信息 公益損害賠償金 調解
【要 旨】
檢察機關在辦理涉網絡的侵犯公民個人信息刑事案件時,對侵害眾多個人信息權益的,可依法提起刑事附帶民事公益訴訟,訴請被告承擔停止侵害、消除危險、賠償損失等民事責任。相關公益損失難以直接計算的,按照侵權人通過網絡交易獲得的利益確定賠償金額。
【基本案情】
2021年7月下旬,張某通過網絡技術手段非法侵入某軟件公司計算機信息系統(tǒng),獲取該公司系統(tǒng)內客戶訂單信息6萬余條?蛻粲唵涡畔⒅邪M者姓名、手機、住址、交易記錄等信息。之后,張某將上述個人信息出售給他人,并在暗網獲利人民幣38760元。因客戶交易信息泄露,某軟件公司被第三方交易平臺索賠,部分客戶接到詐騙電話,眾多消費者面臨詐騙風險,公共利益處于持續(xù)受損狀態(tài)。
【調查和訴訟】
上海市浦東新區(qū)人民檢察院(以下簡稱浦東區(qū)院)通過上海市檢察機關“公益訴訟全息辦案智能輔助系統(tǒng)”發(fā)現(xiàn)張某侵犯公民個人信息線索。2021年12月8日,浦東區(qū)院以張某侵犯公民個人信息刑事附帶民事公益訴訟立案。檢察機關統(tǒng)籌發(fā)揮刑事檢察與公益訴訟檢察職能作用,引導公安機關調取某軟件公司被索賠、消費者接到詐騙電話及張某通過網絡交易獲利等證據(jù),證明張某實施違法侵權行為、社會公共利益受損及二者存在因果關系。
2022年1月24日,浦東區(qū)院以張某犯侵犯公民個人信息罪向浦東新區(qū)人民法院提起刑事附帶民事公益訴訟,訴請判令張某在國家級新聞媒體上對其侵犯公民個人信息的行為公開賠禮道歉,刪除保存在阿里云等存儲介質內的公民個人信息數(shù)據(jù),并按其侵犯公民個人信息的獲利賠償人民幣38760元。
2022年3月2日,浦東新區(qū)人民法院公開開庭審理本案。圍繞公益損害與私益損害的區(qū)別及違法所得的庭審焦點,浦東區(qū)院認為,張某竊取及轉賣行為導致眾多消費者人身財產損失風險及個人信息保護秩序的破壞,無法通過張某與技術公司賠償?shù)人揭尜r償?shù)靡詫崿F(xiàn)。通過提起公益損害賠償可以更好的修復受損公益,起到懲罰及預防違法行為的作用。根據(jù)《中華人民共和國民法典》第一千一百八十二條規(guī)定,賠償數(shù)額按照被侵權人因此受到的損失或者侵權人因此獲得的利益予以確定。據(jù)此檢察機關認定張某應賠償數(shù)額為通過網絡獲利的金額人民幣38760元。在浦東新區(qū)人民法院主持下,張某認可檢察機關附帶民事公益訴訟提出的訴訟請求,雙方達成調解。
2022年6月1日,浦東新區(qū)人民法院在互聯(lián)網上公告調解協(xié)議,公告期滿后未收到任何意見或建議。2022年7月1日,浦東新區(qū)人民法院作出調解書。張某已按照調解書內容履行全部訴訟請求。2022年8月12日,浦東新區(qū)人民法院判決被告人張某犯侵犯公民個人信息罪,判處有期徒刑三年、緩刑四年,并處罰金。
【典型意義】
通過非法入侵計算機系統(tǒng)的方式獲取大量公民個人信息并通過網絡出售牟利,是侵害眾多公民個人信息權益的一種表現(xiàn)形式。本案中,檢察機關在依法追究其刑事責任的同時,通過公益訴訟追究侵權人應承擔的民事責任,體現(xiàn)保護公益、全面追責的獨特價值。檢察機關在提起附帶民事公益訴訟時,可提出停止侵害、刪除數(shù)據(jù)、賠償損失等訴請。公益訴訟損害賠償是建立在維護個人信息安全秩序基礎上對受損公益提出的補償。針對網絡侵害的特點,相關公益損失難以直接計算的,可以按照侵權人通過網絡交易獲得的利益確定公益損害賠償金額,對于辦理同類案件具有一定的借鑒意義。
案例七
廣東省深圳市寶安區(qū)人民檢察院訴付某等人侵犯公民個人信息刑事附帶民事公益訴訟案
【關鍵詞】
刑事附帶民事公益訴訟 快遞面單個人信息 數(shù)據(jù)采集工具 企業(yè)數(shù)據(jù)合規(guī)
【要 旨】
對于快遞行業(yè)龍頭企業(yè)內部員工利用工作便利泄露信息,因快遞業(yè)數(shù)據(jù)采集工具“巴槍”管理不善導致大量公民個人信息受到侵害的情形,檢察機關以刑事附帶民事公益訴訟追究違法者民事責任,通過制發(fā)社會治理類檢察建議督促企業(yè)依法規(guī)范寄遞用戶信息采集管理,全面維護用戶個人信息安全。
【基本案情】
2020年10月以來,某快遞公司營業(yè)點主管以及倉庫管理員付某等8人,利用職務便利通過營業(yè)點主管賬戶查詢指定手機號碼對應的快遞單號,再通過手機拍照將快遞單號發(fā)至購買方,購買方通過“巴槍”(快遞業(yè)數(shù)據(jù)采集工具)獲取快遞單號在某快遞公司的所有信息,包括寄收方姓名、聯(lián)系方式、收寄貨地址、物品信息等,嚴重侵犯公民個人信息安全,損害了社會公共利益。
【調查和訴訟】
廣東省深圳市寶安區(qū)人民檢察院(以下簡稱寶安區(qū)院)通過該院綜合指揮中心案件集中評估平臺,在刑事案件中發(fā)現(xiàn)付某等8人侵犯公民個人信息民事公益訴訟案件線索。公益訴訟檢察部門發(fā)揮一體化辦案優(yōu)勢,全程參與刑事案件調查,厘清證據(jù)鏈條,全面掌握付某等8人違法事實和社會公共利益受損情況,并多次走訪某快遞公司了解其日常監(jiān)管模式及操作流程。
2021年8月,寶安區(qū)院依法提起刑事附帶民事公益訴訟,訴請判令付某等8人支付其侵犯公民個人信息賠償金240183.08元。人民法院經審理于2022年5月作出判決,支持寶安區(qū)院全部訴訟請求,以侵犯公民個人信息罪判處付某等8人有期徒刑十個月至三年不等并處罰金;判決付某等8人支付公益訴訟賠償金共計240183.08元。目前,付某等8人已全額支付公益訴訟賠償金。
案件辦理過程中,寶安區(qū)院發(fā)現(xiàn)快遞行業(yè)普遍存在快遞查單系統(tǒng)權限設置過大、查單系統(tǒng)賬號和密碼安保級別低、“巴槍”管理不到位等問題。某快遞公司作為快遞行業(yè)龍頭企業(yè),雖然已采取多種安全保障措施,但在硬件設置和管理流程風控上仍然存在改進空間。2022年10月9日,寶安區(qū)院向某快遞公司發(fā)出檢察建議,建議其針對涉案個人信息的管理漏洞整改治理,依法規(guī)范個人信息收集、管理措施。
某快遞公司收到檢察建議后積極開展整改,聘請專業(yè)機構針對個人信息泄露風險點進行全流程梳理。一是優(yōu)化用戶個人信息保密制度,落實保密內容、細化保密環(huán)節(jié)及明確保密責任。嚴格設置不同級別員工的查詢、訪問權限,實行“賬號負責制”;二是根據(jù)服務范圍或服務對象分配內部人員的最小所需數(shù)據(jù)訪問權限,快遞員僅可查詢其服務客戶相關地址信息,通過一鍵撥號功能隱藏客戶真實手機號;三是嚴控賬號安全風險,采用CAS框架對應用進行統(tǒng)一的用戶登陸管理;四是另行開發(fā)APP逐步取代“巴槍”,同步加強對現(xiàn)有“巴槍”的管理,寶安區(qū)院及時跟進監(jiān)督,邀請人大代表走訪某快遞公司營業(yè)點,現(xiàn)場抽查管理人員登陸系統(tǒng)、“巴槍”查詢權限等整改情況,經組織整改驗收確認相關公益損害風險已消除。
【典型意義】
物流行業(yè)掌握大量公民個人生活信息,通過大數(shù)據(jù)分析后可精準畫出用戶購物習慣、消費水平、生活軌跡的圖譜,極易滋生詐騙、不正當競爭等違法行為。本案中,檢察機關通過刑事附帶民事公益訴訟加大侵權成本、震懾違法犯罪,同時通過制發(fā)社會治理檢察建議,著力實現(xiàn)“后端懲治”到“全流程風控”轉化,引導快遞行業(yè)龍頭企業(yè)良性運行,建立快遞企業(yè)個人信息安全保護通用標準,實現(xiàn)“由點到線,由線到面”的輻射效應。
案例八
遼寧省沈陽市大東區(qū)人民檢察院督促規(guī)范政務公開個人信息保護行政公益訴訟案
【關鍵詞】
行政公益訴訟訴前程序 保障性住房個人信息 政務公開 去標識化處理
【要 旨】
檢察機關針對政府行政部門在政務公開過程中出現(xiàn)的未能對公民個人信息進行有效保護的問題,通過履行公益訴訟監(jiān)督職責,實現(xiàn)對公民個人信息保護的同時,為行政部門的政務公開工作提供了法律支持并推動形成信息公開的標準化方案。
【基本案情】
“沈陽市住房保障網”公示了2013年至2022年期間多個公租房項目申請公租房保障人員的搖號結果、配租結果等信息,公開的各類名單包含有公民個人的姓名、身份證號、戶籍所在地、申請住房門牌號、申請家庭人口情況、人均居住建筑面積、人均可支配月收入等信息,共計87000余條。上述公民個人敏感信息未進行任何去標識化、匿名化處理,存在嚴重安全隱患,社會公共利益持續(xù)受到侵害。
【調查和督促履職】
2022年5月12日,遼寧省沈陽市大東區(qū)人民檢察院(以下簡稱大東區(qū)院)接到群眾舉報反映上述問題線索。經沈陽市人民檢察院指定管轄,大東區(qū)院于同年5月18日立案調查。經查,沈陽市保障房行政主管部門在政務公開過程中,對足以確定公民身份的個人敏感信息未依法進行去標識化、匿名化處理,致使87000余條個人信息存在嚴重安全隱患。2022年5月31日,大東區(qū)院向沈陽市保障房行政主管部門發(fā)出行政公益訴訟訴前檢察建議,建議其加強對已發(fā)布的政府公開信息審查力度,對本案涉及的個人信息及時進行去標識化處理,防止個人信息泄露。
該部門收到檢察建議后高度重視,第一時間派員與大東區(qū)院座談會商并達成整改共識。隨后,該部門就雙方共商的整改方案向上級部門及審計部門請示批準后,對“沈陽市住房保障網”相關信息進行梳理排查,組織對各工作網站開展全面排查,并對涉公民個人敏感信息采取點對點的去標識及隱匿化舉措。對已超過公示期限的信息,立即從互聯(lián)網上撤除。對后續(xù)要進行公示的信息,通過辦公軟件程序設計,將信息上傳網絡之前先按照既定整改方案進行處理:兩字姓名中的第二個字用符號替代;三字姓名中間的字用符號替代;身份證號碼第7-14位數(shù)字用符號替代;公租房申請人公示信息中,家庭住址公示至區(qū)縣街道,不再具體到樓號門牌號;電腦派位結果公示中“電腦派位房間號”公示至街路名,具體小區(qū)及樓號門牌號用符號替代;低收入住房困難家庭公示信息中,不再公示申請人身份證號碼、家庭所在社區(qū)、家庭成員關系、家庭人口數(shù)、困難具體情況等。
2022年8月,大東區(qū)院進行跟進監(jiān)督,登錄相關網站查詢,發(fā)現(xiàn)網站公示的所有涉及公民個人的信息,均已對身份證號碼和姓名實現(xiàn)了去標識化處理,對非必要公示項目不再進行公示,公示內容均按照整改后標準執(zhí)行,公益損害風險已消除。
【典型意義】
公民個人信息保護問題在諸多政府部門的政務公開過程中普遍存在,基于保障房信息必須公開公示的要求,往往忽略了對個人敏感信息的保護。本案中,檢察機關就政務公開活動和公民個人信息保護之間如何兼顧、平衡的問題進行了有益探索,并沒有“就案辦案”,而是與行政機關共商解決方案,通過檢察建議督促其主動作為,既保證行政機關全面展示其工作程序的公平公正公開,又兼顧其中的公民個人信息安全,體現(xiàn)了雙贏多贏共贏的辦案司法理念,取得了良好的法律效果和社會效果。