过度收集、“内鬼”泄露、个人注销难……个人信息如何保护?
最近,某速递公司深陷舆论漩涡:40万条客户信息被“内鬼”泄露。据悉,今年7月底,该公司总部监测到两个加盟网点有员工账号存在运单信息异常查询,疑似有“内鬼”和第三方勾结导致客户信息外泄,公司随即报案,相关犯罪嫌疑人已落网。虽然是“内鬼”作案,但公司作为客户信息的处理者,对于泄露事件难辞其咎。
过度收集、“内鬼”泄露、个人注销难……近年来侵犯公民个人信息案件频出,不断敲响公民个人信息保护警钟。网络时代,如何给“失控”的个人信息按下“刹车键”?特别是检察机关,在依法惩治相关刑事犯罪的同时,如何发挥公益诉讼职能保护公民个人信息?近日,记者就此采访了相关法律专家和办案检察官。
处理:个人信息收集不能“跨出”合理界限
2020年7月,工信部公布2020年第二批侵害用户权益行为App名单,在被点名的15个App中,有13个涉及公民个人信息过度收集。这只是公民个人信息被过度收集的“冰山一角”。
根据中国青年报社社会调查中心联合问卷网对1971名受访者进行的一项调查显示,79.2%的受访者觉得自己的信息被过度收集了,66.1%的受访者指出很多手机应用不授权就没法用,用户只能被迫接受。
可以说,公民个人信息被过度收集是各种侵犯公民个人信息案件频发的一个诱因。那么,合理收集与过度收集的界限如何划定?西南政法大学民商法学院教授张力认为,应结合收集个人信息的目的进行判断,收集用途应具有正当性,收集范围应当限于实现处理目的的最小范围,不得未经用户同意擅自扩大搜集信息的范围。
“收集的信息与提供的服务间应有内在联系,为提供相关服务可以合理收集必要的信息,但超出范围的就属于过度收集。”北京大学法学院教授薛军举例说,打车软件要求获取地址信息可以理解,但在此基础上收集用户身份证号的就是过度收集,过度收集可能侵害用户的隐私权、知情同意权等。
记者注意到,针对个人信息被过度收集现象,检察机关的公益诉讼探索在持续推进。比如因互联网应用商店对收录软件个人信息保护问题未履行管理责任,上海市检察院曾向应用商店运营商——某网络科技有限公司制发检察建议。
2019年6月,上海市检察院组织浦东、杨浦、静安等区检察院开展调查,在某应用商店内发现涉及留学、育儿、就业招聘、理财、网购等与民生密切相关的10余款手机App存在违规获取用户授权、隐私政策文本不规范、信息保护机制不完善等问题,侵害用户合法利益。以公证形式固定相关证据后,上海市检察院向应用商店运营商制发检察建议书,建议其督促应用商店内的应用程序提供者完善和规范隐私政策文本,对违法违规收集使用个人信息的,视情采取警示、暂停发布、下架应用程序等措施。同时,该院也向有关App运营企业分别制发检察建议书,要求其加强用户个人信息保护等工作。随后,应用商店运营商更新并提高了应用商店软件收录标准,制定了更加严格的用户个人信息保护政策,对于违规App,采取暂停、下架处理,并通知相关App运营方整改。目前,涉事企业已落实整改完毕。
“检察机关对此类案件考虑提起公益诉讼,能够为制度的运行注入动力。惩罚并不是越重越好,关键是要把制度真正运行起来。”薛军补充说,10月13日提请十三届全国人大常委会初次审议的个人信息保护法草案确立了“知情—同意”规则。处理个人信息的同意,应当由个人在充分知情的前提下,自愿、明确作出意思表示。个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。总体来看,收集不能“跨出”合理界限,否则可能侵害公民的隐私权、知情同意权等。
浙江省温州市鹿城区检察院对一起侵犯公民信息案件进行回访
保护:个人信息保护不能“单打独斗”
网络已成为生产生活的新空间、交流合作的新纽带,在此背景下,公民个人信息收集变得更加便利、隐蔽,在不同主体间的转移也更加容易,被泄露的信息经反复流转,极可能成为精准诈骗的重要信息来源。对于个人信息的处理,即收集、存储、使用、加工、传输、提供、公开等,新颁布的民法典作出规定:应当遵循合法、正当、必要原则,不得过度处理。具体需符合以下条件:征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;公开处理信息的规则;明示处理信息的目的、方式和范围;不违反法律、行政法规的规定和双方的约定。
“公民个人信息保护迫在眉睫。”浙江省温州市鹿城区检察院检察官林爽向记者坦言,传统单一的民事诉讼、行政处罚、刑事追究等具有一定的局限性,难以实现“以点带面”的综合治理效果,而公益诉讼具有延伸性的社会治理张力,可以调动诸多手段,协同多个部门,为公民个人信息保护提供一条卓有成效的路径。
林爽介绍了一起医院“内鬼”泄露孕产妇个人信息的公益诉讼案件。张某、卢某等人是某儿童摄影公司、某儿童培训公司员工。因为商业营销需要,他们通过购买、交换等方式从医院“内鬼”处非法获取了大量孕产妇、新生儿及其家属的个人信息,部分人员还向他人出售或非法提供上述信息,后张某等人被依法追究刑事责任。不过,涉案的儿童摄影公司、儿童培训公司未受到相应行政处罚。
“涉案公司对员工基于公司营销需要而非法收集、使用孕产妇个人信息以及泄露信息的违法犯罪行为未尽到应有的管理职责,侵害妇女儿童合法权益,损害社会公共利益。”经层报浙江省检察院批准,2019年8月,鹿城区检察院向区市场监督管理局发出诉前检察建议。随后,该局依法对涉案公司作出行政处罚,并组织开展打击侵害消费者个人信息违法行为专项行动。
考虑到涉案孕产妇个人信息主要是从当地两家医院泄露的实际情况,检察机关还向这两家医院发出社会治理检察建议,推动医院通报警示案例,提升医务人员对包括孕产妇信息在内的患者信息的保护意识,完善信息安全管理制度与措施。
对于个人信息的存储安全问题,民法典明确规定,信息处理者应当采取技术措施和其他必要措施,确保其收集、存储的个人信息安全,防止信息泄露、篡改、丢失;发生或者可能发生个人信息泄露、篡改、丢失的,应当及时采取补救措施,按照规定告知自然人并向有关主管部门报告。
“企业等个人信息处理者,要加强管理,做好内部风险防控。”薛军建议,通过技术手段给用户个人信息加密,比如可设置这类信息的接触“门槛”,拷贝复制要“留痕”、可追踪,对相关人员产生威慑作用。收集信息时要征得用户同意,同时也要保障收集的信息能安全存储,防止不被“内鬼”偷走卖掉。未做好有关工作造成信息泄露的,要承担相应责任。
及时清理长期不使用的“僵尸账号”,对于保护公民个人信息同样至关重要。张力表示,平台等信息处理者应为用户“一键注销”提供便利,比如在显著位置提供专门用于实现账号注销功能的入口、发布账号注销指南或指派专人负责解答用户在注销过程中遇到的问题等。用户怠于行使注销权的,平台在履行一定的程序之后,有权收回或者注销相应账号,但应对用户储存的信息做合理处置,例如资料备份。
“对于网信、工信、公安、市场监管等行政主管机关明显存在怠于履职情形,导致社会公共利益受到损害的,检察机关可以向行政主管机关制发公益诉讼诉前检察建议,督促其依法履职。”张力补充说。
个人信息保护不能“单打独斗”。在林爽看来,办理此类案件关键要形成“公益诉讼+跟进监督+治理建议+专题调研+协作机制”的个人信息闭环保护模式,切实维护民众的合法权益,有效治理非法获取个人信息用于商业营销甚或违法犯罪的市场乱象。
建议:将个人信息保护纳入公益诉讼“等”内范畴
发现个人信息被过度收集、非法买卖后,民众想要维权并不容易。张力分析说,维权主要是面临专业知识不足、调查取证能力有限、起诉成本高以及遭受的损害大小难以界定等难点。“检察公益诉讼是强化个人信息保护的重要方式,将个人信息保护纳入检察公益诉讼范围具有必要性和重要性。”
主张个人信息保护纳入公益诉讼范围的呼声不断。全国人大代表、湖北得伟君尚律师事务所主任蔡学恩曾对媒体表示,侵害个人信息的行为不仅危害公民的人身和财产安全,也会损害社会公共利益,建议加强个人信息保护,将其纳入检察公益诉讼范围。
个人信息保护法草案则首次明确,个人信息处理者违反法律规定处理个人信息,侵害众多个人权益的,检察院、履行个人信息保护职责的部门和国家网信部门确定的组织可以依法向法院提起诉讼。“草案如果顺利通过,将意味着从法律层面上肯定检察院提起个人信息公益诉讼的正当性,对于进一步探索个人信息公益诉讼具有指导意义。”张力认为,将个人信息保护纳入检察公益诉讼范围具有重大意义,有助于克服实践中个人起诉存在的举证困难以及成本过高等问题。
目前,检察机关履行公益诉讼职责的法定范围是“4+1”,即生态环境和资源保护、食品药品安全、国有财产保护、国有土地使用权出让和英烈权益保护。不过,民事诉讼法和行政诉讼法在明确检察公益诉讼案件范围时都有一个“等”字,就是指法律明确规定的领域外,其他需要同等保护公共利益的领域。2019年10月,党的十九届四中全会作出要“扩展公益诉讼案件范围”的新部署。最高检将检察公益诉讼“等”外探索原则由“稳妥、积极”调整为“积极、稳妥”。在探索过程中,四川、上海、江苏、湖北等地检察机关办理了多起严重侵害公民个人信息的公益诉讼案件。
“与法定领域办案相比,公益诉讼新领域探索要求首先针对是否纳入监督范围进行准确判断,而判断的核心标准归结到底就是以人民为中心的理念和双赢多赢共赢理念,这就要求办案人员对理念有更深的理解与把握。”最高检检委会专职委员、第八检察厅厅长胡卫列指出,对于新领域的拓展探索,要注重做足做实调查取证、研究论证、民意舆情研判等相关工作,积极争取地方党委、人大、政府等各方面和人民群众的支持,努力实现政治效果、社会效果和法律效果的有机统一。
张力提出,对于涉公民个人信息案件,检察机关在决定是否提起公益诉讼时,需考虑公民个人信息被侵犯程度以及对整个社会造成的影响等因素,注重与履行个人信息保护职责的行政机关之间的协调配合。
“以个人信息保护专门立法为契机,建议明确将公民个人信息保护纳入检察公益诉讼范围,明确检察院提起个人信息公益诉讼的具体条件,同时注重程序法的完善,保障公益诉讼顺利推进,为个人信息保护提供更多制度供给。”张力补充说。
(来源:检察日报 作者:郭璐璐)