法律和政策背景

公益诉讼的目的在于借助公权力来消弭横亘在私主体之间的权利失衡,对于个人信息保护这样一个连接着个人人格利益和社会公共利益的领域,纯粹依靠个人信息主体自身进行个人信息权益的维护难以满足防止信息公益减损的需求,因此需要借助公益诉讼的制度来弥补针对个人信息公益保护的缺失。

在2020年最高人民检察院会同最高人民法院修订的《关于检察公益诉讼案件适用法律若干问题的解释》提出积极探索个人信息保护等领域方面的民事公益诉讼后,在2021年颁布施行的《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》以及《个人信息保护法》中将个人信息保护的公益诉讼制度予以明确,据最高人民检察院公开信息,我国检察机关在2022年办理个人信息保护领域公益诉讼案件达6000余件,同比上升近2倍,这无疑彰显了我国司法机关对个人信息保护的决心。

典型案例

民事公益诉讼案件示例

浙江省杭州市余杭区人民检察院诉某网络科技有限公司侵害公民个人信息民事公益诉讼案

基本案情

浙江省杭州市某网络科技有限公司开发经营的一款音乐视频教学类APP,存在未经用户同意收集使用个人信息、违反必要原则收集与其提供的服务无关的个人信息、未公开收集使用规则等情形,违法违规收集、存储用户个人信息,侵害了不特定公民的合法权益,致使社会公共利益受到侵害。

案件结果

2020年6月23日,余杭区检依法向杭州互联网法院提起民事公益诉讼,诉请被告某网络科技有限公司停止违法违规收集、储存、使用个人信息并公开赔礼道歉。同年9月9日,法院公开开庭审理本案。庭审中,公益诉讼起诉人出示案涉APP违法违规收集个人信息的电子数据等证据,充分阐述社会公共利益受损的情况,被告同意履行检察机关提出的全部诉讼请求。双方当庭达成调解协议:被告立即删除违法违规收集、储存的全部用户个人信息1100万余条;在《法治日报》及案涉APP首页公开赔礼道歉;承诺今后合法合规经营,若存在违反协议约定的行为,将自愿支付50万元违约金用于全国性个人信息保护公益基金的公益支出。

达成调解协议后,余杭区检引入第三方代表评估,由网信部门认可的检测机构对整改情况进行合规检测,确保调解协议执行到位。2020年11月18日,经检察机关跟进监督,调解协议内容已全部履行到位。

案件评析

本案系针对素来存在取证难、维权成本高的APP侵权行为所提起的公益诉讼案件,在某种意义上是在司法层面对行政执法层面针对APP违法违规收集个人信息活动的监管活动予以回应,有助于对“APP侵权”这样一类可能影响所有智能设备使用者的侵权行为的司法救济形成强有力的示范效应。

此外,值得注意的是,本案还属于行政和民事公益诉讼复合的一类公益诉讼案件,检察机关在通过行政公益诉讼督促行政机关依法监管、保护公民个人信息安全的同时,针对APP过度采集并存储大量个人信息的公益侵害问题,通过民事公益诉讼追究APP服务提供者的侵权责任,保护公民个人信息不受继续侵害。同时,检察机关立足企业发展利益,在征询网信部门意见引入第三方合规检测的前提下,以调解方式实现全部诉讼目的,以最小成本获得最大效益的办案效果。

行政公益诉讼案件示例

甘肃省平凉市人民检察院督促整治快递单泄露公民个人信息行政公益诉讼案

基本案情

2020年6月29日,甘肃省平凉市人民检察院(以下简称平凉市检)收到群众举报上述线索并进行初步调查属实,于2020年8月11日立案调查。平凉市检通过对快递单拍照取证、走访营业网点、询问相关人员等方式,查明辖区各快递企业的快递单均未对收寄人姓名、手机号等采取隐匿措施,也未进行信息安全提醒。

案件结果

2020年9月8日,平凉市检向市邮政局发出诉前检察建议,建议其依法全面履行快递市场安全监督管理职责,督促快递企业采取有效手段保护用户信息安全。

收到检察建议后,市邮政局印发《关于切实做好邮政行业用户信息安全保护的通知》并进行专项整改。对快递企业负责人集体约谈,要求快递企业规范管理和定期销毁快递运单,杜绝倒卖用户信息前科人员从事快递行业,对快递单采取隐匿化技术处理等措施;开展公民个人信息安全法制宣传,对快递员进行用户信息安全培训。

2020年10月14日,市邮政局就整改情况向平凉市检进行了书面回复。经抽样调查,快递企业有的在运单加盖了个人信息保护提示印章,有的在快递网点和快递车悬挂了信息安全提醒标语。顺丰快递单和快递员通信终端用户手机号已全部实现隐匿化技术处理。其他快递企业正在参照推进。各快递企业销毁纸质运单105万份,所有快递企业今后不再留存纸质运单。

案件评析

邮政快递业因其特殊的行业属性,需要处理大量的个人信息,在快递收发前端和末端,存在较高的泄露风险,极易被不法分子获取利用,此次将邮政快递业的公益诉讼案例选为典型案例也是响应社会上对于该行业内个人信息保护需求的回应。在2022年4月21日,国家邮政局、公安部、国家互联网信息办公室联合召开电视电话会议,部署开展为期半年的邮政快递领域个人信息安全治理专项行动,这一行业专项治理行动的开展,无疑将帮助邮政快递业个人信息保护问题打通司法和执法的全链条,实现在监管领域的闭环保护。

江苏省无锡市新吴区人民检察院督促保护服务场所消费者个人信息行政公益诉讼案

基本案情

2022年6月21日,“益心为公”检察云平台志愿者向江苏省无锡市新吴区人民检察院(以下简称新吴区院)反映,新吴区某健身房存在侵犯消费者敏感个人信息的情形。经查,该区5家健身房使用具有人脸识别、指纹识别等功能的信息管理系统,强制要求会员刷脸或录入指纹进入。由于该管理系统采用分级分层、前后端分离等技术,消费者在前端平台界面仅能看到被采集的个人身份信息,未被告知个人信息收集清单及权限。在部分会员明确拒绝人脸采集识别后,该健身房擅自将会员办卡时提供的照片录入系统作为刷脸进出凭证,且在会员要求删除照片等信息时,以无管理权限为由拒绝删除,其行为侵害众多消费者合法权益,损害社会公共利益。

案件结果

新吴区市场监督管理局收到检察建议后,对涉案5家服务场所进行集体谈话、责令改正。涉案服务场所及时整改,改变进入场所方式,采取安全措施传输、定期删除个人信息,向监管部门报送个人信息管理情况。新吴区院联合区市场监督管理局开展“回头看”,进行现场验收,确认涉案服务场所均整改到位。同时,新吴区院将其他11件案件线索移送无锡市人民检察院。

案件评析

出于成本、效率、安全等考量因素,健身房、小区等场所通常选择采用人脸识别的方式控制和管理人员进出。但未经评估便大量收集、使用个人人脸信息往往会导致敏感个人信息的滥用,同时出于安全层面的疏忽,此类个人信息也得不到应有的技术和管理保障,从而导致敏感个人信息泄漏。

本案即针对上述侵犯消费者敏感个人信息的行为提起的公益诉讼。早在2021年7月,最高人民法院发布了《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》,其中明确了物业不得以人脸识别作为业务出入物业服务区域的唯一方式,经营场所、公共场所违反法律、行政法规使用人脸识别技术也将承担侵权责任。在此基础上,2023年8月国家网信办进一步制定、发布了《人脸识别技术应用安全管理规定(试行)(征求意见稿)》,公共场所、经营场所的管理者或经营者若需使用人脸识别技术进行身份验证,必须具有特定的目的和充分的必要性,在具备其他身份验证的方式时,不得优先使用生物特征识别技术。从立法趋势以及司法案例来看,公共场所、经营场所的管理者或经营者滥用人脸识别技术的现象将得到规制。

刑事附带民事公益诉讼案例示例

张颢、杨吉新侵犯公民个人信息刑事附带民事公益诉讼

基本案情

被告人杨某于2018年12月27日,通过被告人张某与胡某联系,由被告人张某提供邮箱及收款账户,被告人杨某向胡某邮箱发送公民个人信息43257条,获利人民币7000元。胡某在本市沙河口区天兴罗斯福大厦室内接收上述公民个人信息。

案件结果

公诉机关认为,被告人杨某、张某违反国家有关规定向他人出售公民个人信息,侵犯了公民隐私权,情节严重,二被告人的行为均触犯了《中华人民共和国刑法》第253之一第1款的规定,构成侵犯公民个人信息罪。二被告人系共同犯罪,被告人张某系从犯。

附带民事公益诉讼起诉人大连市沙河口区人民检察院向本院提出诉讼请求:

(1)判令被告停止侵害,消除危险,删除其存储的案涉公民个人信息;

(2)判令被告在全国性的报刊媒体上公开赔礼道歉。

案件评析

通过中国裁判文书网检索,本案是《个人信息保护法》生效后,首例适用《个人信息保护法》进行判决的司法案件,同样也是首例适用《个人信息保护法》第70条规定判决的个人信息保护领域的公益诉讼案件,虽本案案情相对简单,但在法律适用层面,具有较强的开创意义,例如除适用第70条提起公益诉讼外,还引用了《个人信息保护法》第2条“自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益”这一个人信息保护的基本原则,并适用该法第69条对被告判处了罚金。可以预见,在未来个人信息保护的司法判决中,《个人信息保护法》将作为检察院介入侵犯个人信息类案件的重要依据,而法院对侵犯个人信息相关案件的罚金及其法律责任的认定标准,同样也会逐步向《个人信息保护法》第7章规定看齐。

宁夏回族自治区青铜峡市人民检察院诉张某某等人侵犯公民个人信息刑事附带民事公益诉讼案

基本案情

张某某非法获取股民电话号码、相关证券公司信息及创建虚假股票投资微信群码,提供给吴某“吸粉引流”话务团伙用于电信网络诈骗。2020年11月至2021年5月,吴某组织“吸粉引流”话务团伙10余人先后在宁夏青铜峡、湖北武汉、湖北鄂州租住房屋,冒充相关证券公司客服拨打客户电话5万余次,为200多个涉电信网络诈骗群“吸粉引流”14130人。每拉1人进群视为做成一单,每单获利10元不等。吴某自组织“吸粉引流”话务以来,收到上线张某某扣除每单获利后转账资金703142.7元,其在扣除每单获利后按照下线做成单数将款层层转至下线人员。公安机关以张某某等人非法利用信息网络罪移送检察机关审查起诉。

案件结果

检察机关向人民法院提起刑事附带民事公益诉讼,请求依法判令各被告删除所有非法获取的公民个人信息,解散、删除创建的微信群,消除潜在的公民信息泄露风险,依据违法所得数额支付公益损害赔偿金,并在国家级媒体上向社会公众赔礼道歉。

一审法院认为刑事没收违法所得与民事公益损害赔偿金属于双罚,同时适用加重了对被告的惩罚,仅支持在国家级媒体公开道歉、删除信息和解散微信群的诉讼请求。检察机关认为一审判决对公益损害赔偿金不予支持,混淆了刑事责任与民事责任的界线,属适用法律错误,经请示市人民检察院同意,依法提出上诉。

二审法院认为检察机关起诉要求民事赔偿,符合法律规定。原判追缴各被上诉人违法所得与附带民事公益诉讼起诉人要求承担民事赔偿责任并不矛盾,各被上诉人被追缴违法所得,再行承担民事赔偿责任,不属于重复赔偿,一审判决适用法律错误,应予纠正。同时认定张某某等16人犯非法利用信息网络罪事实清楚,证据确实、充分,定罪准确,量刑适当,维持原判。以犯非法利用信息网络罪判处张某某等16人七个月至一年六个月有期徒刑不等,没收违法所得,并处3千元至6千元罚金不等;依法支持检察机关公益诉讼损害赔偿金诉请,判决各被告按照没收的违法所得金额承担民事赔偿责任,共计赔偿损失739581.08元。

案件评析

自《个人信息保护法》生效以来,侵犯公民个人信息刑事附带民事公益诉讼案件数量以及其在公益诉讼案件中的占比呈上升趋势,此特征归结于近年来侵犯公民个人信息刑事案件的快速增长[1]。检察机关在办理此类案件的过程中具有优势,鉴于其在搜集、整理刑事案件的事实证据时,易获取办案线索,减少了民事层面上查明侵权事实、搜集证据的负担。同时,检察机关能够通过提起个人信息刑事附带民事公益诉讼,一并追究行为人的刑事和民事责任,从而对侵犯公民个人信息的行为形成震慑。

参考文献:

1.《侵犯公民个人信息犯罪刑事附带民事公益诉讼案件的审理困境和规范应对》,https://mp.weixin.qq.com/s/K2EcUpmBaYcWVyvtFIvJOQ

作者:北源律师事务所数据合规团队

(文中观点不代表北源律师事务所的观点或法律意见)

声明:本文来自北源有数,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。