2021年11月1日,《个人信息保护法》正式实施,成为我国首部个人信息保护的专门性法律。《个人信息保护法》要求个人信息处理者在个人信息收集、使用、加工、传输、存储、删除等环节遵循相应原则,公民个人信息权益得到更全面的法律保障。
今日(2023年11月1日)是《个人信息保护法》实施两周年,这一法案在实践中具体执行效果如何?近期,南方财经合规科技研究院梳理了相关司法及执法案例,聚焦《个人信息保护法》最新实践进展,深入观察国内个人信息保护现状。
研究员梳理发现,自《个人信息保护法》正式实施至今,中国裁判文书网中目前已有168份裁判文书关联“个人信息保护法”,与此前梳理时仅有20余份公开文书相比(彼时检索时间区间为2021年8月至2022年9月),案件数量大幅提升,2022年全年涌现超100起案例。通过对这些案例的法律依据、地域情况、所涉行业等方面进行分析,发现案例涉及多个行业,侵权行为类型多样。
行政执法进展方面,超300起案例有关个人信息保护被公开,涉及江苏、浙江等多省份。值得特别关注的是,网信办先后对滴滴、知网两大平台开出巨额罚单,成为《个人信息保护法》两大里程碑式事件,大要案的办理有较强的示范意义。
个人信息保护相关案件增多 刑事案由占多数
自《个人信息保护法》颁布以来,我国个人信息保护力度不断加大,工作成效显著。
伴随着《个人信息保护法》的施行,公众对个人信息保护关注度提升,与个人信息保护相关的案件也逐渐增多。
研究员查询多家法律法规检索系统,梳理了2021年11月至2023年10月30日期间,网站中公开的侵犯个人信息案件文书数量。在北大法宝平台检索“个人信息保护纠纷”后显示,有超160篇案件文书被公开。
刑事案件方面,在以“侵犯公民个人信息罪”为案由检索中国裁判文书网后,数据显示,在《个人信息保护法》颁布的两年时间中,中国裁判文书网共计公开了超1000件案件文书。
具体案由方面,威科先行·法律信息库中公开信息显示,在《个人信息保护法》执行的两年间,目前公开的裁判文书中,刑事案由占据多数,其中,侵犯公民人身权利、民主权利罪相关案件数量高达691起。民事案由则主要包括人格权纠纷、物权纠纷、合同,准合同纠纷、知识产权与竞争纠纷、劳动争议、人事争议等。
“徒法不足以自行”,司法保护方面也在不断强化。
针对社会高度关注的人脸信息被滥用问题,《个人信息保护法》第二十六条作出明确规定。为统一有关裁判标准,最高人民法院发布了《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》,对因使用人脸识别技术处理人脸信息所引起的相关民事纠纷处理作了进一步细化规定。
2022年12月,最高人民法院发布第35批共4件指导性案例,均为公民个人信息保护刑事案例。该批案例分别涉及人脸识别信息、居民身份证信息、微信等社交媒体账号、手机验证码等刑法保护的公民个人信息范围、性质,对于明确类案裁判规则,依法保护公民个人信息具有重要的指导意义。
2022年12月,最高人民检察院在《个人信息保护法》贯彻实施一周年之际表示,近年来,全国检察机关强化履职担当,加强对公民个人信息的司法保护,着力维护公民个人信息安全。2019年至2022年10月,全国检察机关共批准逮捕涉嫌侵犯公民个人信息罪犯罪嫌疑人1.3万余人,起诉2.8万余人,有效保护了被害人的合法权益。
此外,最高检今年4月检印发的《关于加强新时代检察机关网络法治工作的意见》中也公开了侵犯个人信息相关案件的治理情况。数据显示,2019年以来,全国检察机关共批准逮捕涉嫌侵犯公民个人信息罪的犯罪嫌疑人1.5万余人,起诉涉嫌侵犯公民个人信息罪的被告人3.6万余人。截至今年6月,全国检察机关共办理个人信息保护检察公益诉讼案件1万余件。
江苏、浙江省为行政处罚案例最多省份
行政处罚是落实《个人信息保护法》重要一环。《个人信息保护法》第66条对个人信息保护领域的行政处罚制度作出规定,且新增责任人员从业禁止和高额罚款等处罚措施,威慑性更大。
研究员在威科先行·法律信息库中检索了2021年11月1日至2023年10月30日期间所有行政执法情况,行政处罚案例共计超过300件,其中2022年行政处罚案例数量达到196件。从执法机构来看,梳理发现,这些行政处罚案件的处罚机构以公安机关为主,有超300起个人信息保护行政执法案例。
具体到行政执法的地域分布,江苏省的行政处罚案例最多,占比为71.7%。浙江省次之,占比约24.3%。
具体来看,江苏关于个人信息保护行政执法的频次与颗粒度较为领先。其中,江苏宿迁、苏州、泰州、盐城、南通等地公安网安部门,均曾对违反《个人信息保护法》的相关企业或机构处于行政警告并罚款。
(图说:江苏省部分行政处罚案例)
事实上,除以上提及省份外,全国多地亦积极开展专项行动,落实《个人信息保护法》。6月16日,上海市网信办、市场监管局联合多个部门,正式开启“亮剑浦江·消费领域个人信息权益保护专项执法行动”。该执法行动聚焦到餐饮店、停车扫码等8类重点消费领域,对个人信息领域的“过度采、强制要、诱导取、违规用”等违法行为开展集中整治,为期半年,违规App、小程序等大多数被要求整改。
行政执法涉及的具体领域方面,研究员统计发现,主要包含“网络安全”“公安”“互联网”等关键词,其中网络安全领域相关案件高达330起,互联网领域相关案件则达246起。
这也说明互联网是个人信息保护受到威胁的“重灾区”。中国互联网络信息中心(CNNIC)发布的第51次中国互联网络发展状况统计报告显示,截至2022年12月,我国网民规模为10.67亿,互联网普及率达75.6%。这意味着,互联网时代,公民个人信息保护与网络安全生态休戚与共,个人信息甚至敏感个人信息一经泄露,可能就会面临被贩卖甚至滥用的风险。
App强制、频繁、过度索取权限问题频现
1月18日,国务院新闻办公室举行的2022年工业和信息化发展情况新闻发布会中提到,截至2022年年底,我国各类高质量App在架数量已超过了258万款。自《个人信息保护法》正式实施以来,工信部依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等相关规定,持续开展针对App侵害用户权益专项整治行动。
截至2023年10月24日,工信部官网已公布了32批侵害用户权益行为的App(SDK)名单。梳理发现,自2021年11月《个人信息保护法》实施以来公布的13批名单中,来自vivo应用商店、应用宝和豌豆荚渠道中包含的问题App最多。
关于具体涉及的具体问题,App强制、频繁、过度索取权限的问题最为严重,在通报中共提及了284次。此外,违规收集个人信息、超范围收集个人信息、强制用户使用定向推送功能、欺骗误导强迫用户也是通报中常提到的违规问题。
值得注意的是,梳理过程中研究员发现,近年来工信部对个人信息保护逐渐深入,违规问题分类更细化。近期公开的通报中,所涉问题划分更为细致,新增违规利用个人信息开展自动化决策、强迫收集非必要个人信息、违规传输个人信息等类别。
典型案例:滴滴、知网违反个保法被开出大额罚单
过去的两年中,《个人信息保护法》的施行取得了不少成果。尤其是一些社会关注度极高的典型案件有较强的示范意义。
其中,滴滴出行因违法收集用户信息被开出天价罚单,是《个人信息保护法》执法进程中不可忽视的案例。据国家互联网信息办公室官网信息,2021年7月,为防范国家数据安全风险,维护国家安全,保障公共利益,依据《国家安全法》《网络安全法》,网络安全审查办公室按照《网络安全审查办法》对滴滴公司实施网络安全审查。
时隔一年,网信办正式对滴滴做出惩罚。2022年7月21日,网信办对滴滴全球股份有限公司处人民币80.26亿元罚款,并贯彻“双罚制”处罚到相关个人,对滴滴全球股份有限公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款。据网信办官方披露,滴滴公司共存在16项违法事实,包括违法收集用户手机相册中的截图信息、剪切板信息、应用列表信息等。此外,还存在过度收集乘客个人敏感信息(包括人脸、年龄等)、明文储存司机身份证信息、过度索取权限等问题。
此外,网信办对知网(CNKI)依法作出的行政处罚也备受关注,该案处罚金额庞大,且影响面广泛。
2023年9月1日,国家互联网信息办公室依据《网络安全法》《个人信息保护法》《行政处罚法》等法律法规,综合考虑知网(CNKI)违法处理个人信息行为的性质、后果、持续时间,特别是网络安全审查情况等因素,对知网(CNKI)依法作出网络安全审查相关行政处罚的决定,责令停止违法处理个人信息行为,并处人民币5000万元罚款。
网信办在9月6日的通报中称,知网(CNKI)及其运营的手机知网、知网阅读等14款App存在违反必要原则收集个人信息、未经同意收集个人信息、未公开或未明示收集使用规则、未提供账号注销功能、在用户注销账号后未及时删除用户个人信息等违法行为。
根据《个人信息保护法》第66条规定,违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款。根据处罚结果,知网此次违法行为系被认定为“情节严重”。
值得关注的是,今年以来,相关执法机构、司法机构持续推动建立健全个人信息保护常态化机制,多次披露个人信息保护典型案例。
如公安部于8月通报打击整治侵犯公民个人信息违法犯罪行为举措成效十起典型案例,包括云南怒江“2.13”侵犯公民个人信息案、广东佛山某汽车服务有限公司侵犯公民个人信息案等。同时,公安部披露,自2020年以来,已累计侦破案件3.6万起,抓获犯罪嫌疑人6.4万名,查获手机黑卡3000余万张、网络黑号3亿余个。
近日,广东省高级人民法院也发布一批个人信息保护典型案例,包括违规收集处理信息、算法运行错误侵权、未经同意发送商业短信、非法采集人脸图像等侵害个人信息权益的行为,为强化个人信息权益保护,维护良好网络空间生态,促进互联网行业和数字经济健康发展提供了正向司法实践案例。
(图说:广东省高级人民法院发布7起个人信息保护典型案例)
统筹:王俊
设计:黎旭廷
数据整理:刘悦行、蔡姝越
本篇作者:蔡姝越、王俊、刘悦行
记者 | 蔡姝越 实习生刘悦行
编辑 | 王俊 冯恋阁
声明:本文来自合规科技研究,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。