一、立法动态
1.国家互联网信息办公室丨公布《网信部门行政执法程序规定》
3月23日,国家互联网信息办公室公布《网信部门行政执法程序规定》(“《规定》”),自2023年6月1日起施行。《规定》分总则、管辖和适用、行政处罚程序、执行和结案、附则五章,共五十八条。第一章是总则,明确立法目的依据、适用范围和行政执法原则。第二章是管辖和适用,对网信部门行政执法地域管辖、级别管辖、指定管辖、移送管辖等制度作出规定。第三章是行政处罚程序,全面规范立案、调查取证、听证、决定和送达等各环节的具体程序要求。第四章是执行和结案,规定行政处罚的执行与监督制度。第五章是附则,对有关概念进行解释。
《规定》规范了网信部门行政执法程序。一是明确立案、调查取证、审核、决定、送达、执行等多环节的具体程序要求,并规定网信部门应当依法以文字、音像等形式进行全过程记录,归档保存。二是完善回避制度、听证制度和当事人的陈述、申辩制度,切实保障当事人的权利。三是明确法制审核程序,规定应当进行法制审核的案件范围、审核机构、审核人员,明确未经法制审核或者审核未通过的不得作出行政处罚决定。四是明确重大处罚案件集体讨论决定制度,对情节复杂或者重大违法行为给予行政处罚,网信部门负责人应当集体讨论决定。五是明确规定网信部门办理行政处罚案件的期限以及结案的具体情形。
《规定》规定了行政处罚的执行与监督。明确当事人依法享有的陈述和申辩权,以及申请行政复议、提起行政诉讼的权利。规定国家网信部门依法建立本系统的行政执法监督制度,上级网信部门对下级网信部门实施的行政执法进行监督。网信部门实施行政处罚应当接受社会监督。公民、法人或者其他组织对网信部门实施行政处罚的行为,有权申诉或者检举;网信部门应当认真审查,发现有错误的,应当主动改正。
2.工业和信息化部办公厅丨发布《关于做好2023年信息通信业安全生产工作的通知》
3月7日,工业和信息化部办公厅发布《关于做好2023年信息通信业安全生产工作的通知》(“《通知》”)。
《通知》提出压实安全生产责任,包括适应形势发展变化,修订《电信网络运行监督管理办法》,加强基础电信企业和增值电信企业安全生产管理,健全电信和互联网安全生产管理体系。持续压实属地责任和安全生产主体责任。各地通信管理局要认真履行属地管理职责,持续开展安全生产政策宣贯和常态化监督检查等工作,指导督促企业法定代表人、实际控制人、实际负责人严格履行安全生产第一责任人责任。各企业要严格落实安全生产主体责任,建立健全全员安全生产责任制,持续推进企业安全生产标准化和信息化建设等。
3.全国信息安全标准化技术委员会丨12项网络安全国家标准获批发布
根据2023年3月17日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告(2023年第1号),全国信息安全标准化技术委员会归口的12项网络安全国家标准正式发布。
获批发布的12项网络安全国家标准为:《信息技术安全技术 实体鉴别 第3部分:采用数字签名技术的机制》、《信息技术 安全技术 带附录的数字签名 第1部分:概述》、《信息安全技术 信息系统安全保障评估框架 第1部分:简介和一般模型》、《信息安全技术 公钥基础设施 PKI系统安全技术要求》、《信息安全技术 公钥基础设施 PKI系统安全测评方法》、《信息安全技术 IPSec VPN安全接入基本要求与实施指南》、《信息安全技术 公共域名服务系统安全要求》、《信息安全技术 网络安全从业人员能力基本要求》、《信息安全技术 电信领域数据安全指南》、《信息安全技术 网络安全态势感知通用技术要求》、《信息安全技术 个人信息去标识化效果评估指南》以及《信息安全技术 网络安全服务成本度量指南》。
4.武汉市经济和信息化局丨发布《关于<武汉市数字经济促进条例(草案征求意见稿)>公开征求意见的通知》
3月13日,武汉市经济和信息化局就《武汉市数字经济促进条例(草案征求意见稿)》(“《条例(草案)》”)公开征求意见,意见反馈日期截至2023年4月12日。
《条例(草案)》共九章,包括总则、数字基础设施、数字技术创新、数字产业化、产业数字化、数据资源开发利用、城市治理数字化、数字经济发展保障、附则等内容。《条例(草案)》重点内容包括:一是明确数字经济促进的管理体制机制;二是夯实数字基础设施和数据资源“两大基础”;三是突出数字技术创新能力,明确数字产业化、产业数字化和治理数字化的发展重点;四是加强数字经济发展保障。
5.国家市场监督管理总局丨公布《互联网广告管理办法》
3月24日,国家市场监督管理总局发布《互联网广告管理办法》(“《办法》”),自2023年5月1日起施行。
《办法》进一步明确了广告主、互联网广告经营者和发布者、互联网信息服务提供者的责任;积极回应社会关切,对人民群众反映集中的弹出广告、开屏广告、利用智能设备发布广告等行为作出规范;细化了“软文广告”、含有链接的互联网广告、竞价排名广告、算法推荐方式发布广告、利用互联网直播发布广告、变相发布须经审查的广告等重点领域的广告监管规则;新增了广告代言人的管辖规定,为加强互联网广告监管执法提供了重要制度保障,也为互联网广告业规范有序发展赋予了新动能。
二、行业动态
1.工业和信息化部:发布《关于侵害用户权益行为的APP(SDK)通报(2023年第2批,总第28批)》
关键词:侵害用户权益
3月21日,工业和信息化部发布《关于侵害用户权益行为的APP(SDK)通报(2023年第2批,总第28批)》(“《通报》”)。
《通报》指出,近期工信部组织第三方检测机构对群众关注的生活服务、休闲娱乐、实用工具等移动互联网应用程序(APP)及第三方软件开发工具包(SDK)进行检查,发现55款APP(SDK)存在侵害用户权益行为,该等APP及SDK应按有关规定进行整改,整改落实不到位的,工信部将依法依规组织开展相关处置工作。
链接:《关于侵害用户权益行为的APP(SDK)通报(2023年第2批,总第28批)》
2.工业和信息化部:发布《国家新型数据中心典型案例名单(2022年)公示》
关键词:数据中心名单
2023年3月15日,工业和信息化部公布《国家新型数据中心典型案例名单(2022年)公示》(《公示》),公示期截至3月21日。
《公示》列明了2022年国家新型数据中心典型案例名单,包括:中国电信安徽智算中心、中国移动(福建福州)数据中心、平安观澜3号数据中心等21个大型数据中心;芜湖星载科技大数据中心、阜阳云计算大数据中心、江西省电子政务外网数据中心等7个中小型数据中心;绥化大数据中心一期等5个边缘数据中心。
3.国务院新闻办公室:举行2023年“清朗”系列专项行动新闻发布会
关键词:清朗行动 网络环境
3月28日上午,国务院新闻办公室举行2023年“清朗”系列专项行动新闻发布会。
国家互联网信息办公室副主任牛一兵出席发布会,介绍2023年“清朗”系列专项行动情况,并回答记者提问。牛一兵表示,2023年“清朗”系列专项行动,将认真贯彻落实党的二十大精神,以“推动形成良好网络生态”为工作目标,聚焦新情况新问题和难点瓶颈,开展一系列专项整治,其中9方面问题是重中之重,具体包括:整治“自媒体”乱象;打击网络水军操纵信息内容;规范重点流量环节网络传播秩序;优化营商网络环境,保护企业合法权益;整治生活服务类平台信息内容乱象;整治短视频信息内容导向不良问题;整治暑期未成年人网络环境;整治网络戾气;整治春节网络环境。
4.公安部:构筑网络安全等级保护、网络入侵防御等信息安全标准防火墙
关键词:互联网信息服务
4月3日,公安部召开新闻发布会,发布百项公共安全行业标准。公安部科技信息化局局长厉剑在发布会上介绍称,公安标准是平安中国、法治中国制度建设的重要内容,目前已建立标准化技术委员会9个,委员近1400人,发布的现行有效标准2599项,涉及公安业务领域的方方面面。其中,为打击网络犯罪、保护公民个人信息,确保清朗有序的网络空间环境,构筑了网络安全等级保护、网上身份认证、网络入侵防御等信息安全标准防火墙。
5.网络安全审查办公室:发布《关于对美光公司在华销售产品启动网络安全审查的公告》
关键词:网络安全审查
3月31日,网络安全审查办公室发布公告称,为保障关键信息基础设施供应链安全,防范产品问题隐患造成网络安全风险,维护国家安全,依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》,网络安全审查办公室按照《网络安全审查办法》,对美光公司(Micron)在华销售的产品实施网络安全审查。
6.北京市通信管理局:发布《关于问题App的通报(2023年第二期)》
关键词:侵害权益
4月3日,北京市通信管理局发布《关于问题App的通报(2023年第二期)》(“《通报》”)。
《通报》指出,近期,北京市通信管理局通过抽测发现该市部分APP存在“违规收集个人信息”“强制用户使用定向推送功能”等侵害用户权益问题。截至4月3日,尚有7款APP不整改或整改不到位,予以公开通报。2023年1月31日,北京市通信管理局通报了该市部分存在侵害用户权益行为APP名单。截至4月3日,仍有5款APP不整改或整改不到位,予以下架处置。
三、案件聚焦
1.案例丨江苏省无锡市新吴区人民检察院督促保护服务场所消费者个人信息行政公益诉讼案
【案情简介】
江苏省无锡市新吴区某健身房使用具有人脸识别、指纹识别等功能的信息管理系统,强制要求会员刷脸或录入指纹进入。由于该管理系统采用分级分层、前后端分离等技术,消费者在前端平台界面仅能看到被采集的个人身份信息,未被告知个人信息收集清单及权限。在部分会员明确拒绝人脸采集识别后,该健身房擅自将会员办卡时提供的照片录入系统作为刷脸进出凭证,且在会员要求删除照片等信息时,以无管理权限为由拒绝删除,其行为侵害众多消费者合法权益,损害社会公共利益。
【调查与监督情况】
2022年6月21日,“益心为公”检察云平台志愿者向江苏省无锡市新吴区人民检察院(以下简称新吴区院)反映,新吴区某健身房存在侵犯消费者敏感个人信息的情形。新吴区院运用公益损害风险防控平台,通过数据交叉比对、智能分析,排查易发生非法收集个人信息的服务场所,绘制风险防控“数字地图”,发现全市案件线索16件,其中涉及新吴区5件。经初步调查,新吴区院于2022年8月11日正式立案。
新吴区院引入专业技术机构协助调查取证,现场勘验涉案服务场所信息管理系统,出具专家意见,认为该系统在个人信息传输、存储等方面存在安全风险。针对涉案服务场所采集、存储个人信息的必要性和合理性,邀请公安、市场监管、第三方专业机构等召开论证会。
新吴区院审查认为,根据《中华人民共和国个人信息保护法》第二十六条、第二十八条、第四十七条、《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第一条第三款等规定,消费者的人脸、指纹等属于生物识别类敏感个人信息,涉案服务场所系公共场所,非维护公共安全必需且未取得消费者单独同意,强制采集、非加密传输、违法存储、未定期删除敏感个人信息的行为,损害了众多消费者合法权益。根据《中华人民共和国个人信息保护法》第六十条、第六十一条、《中华人民共和国消费者权益保护法》第二十九条、第三十二条第一款、第五十六条第一款第九项的规定,新吴区院于2022年8月12日向新吴区市场监督管理局制发行政公益诉讼诉前检察建议,督促对涉案服务场所依法处理,切实履行保护消费者合法权益的职责;开展行业规范整治,加大监管力度,建立长效机制,防范类似违法行为发生。
新吴区市场监督管理局收到检察建议后,对涉案5家服务场所进行集体谈话、责令改正,组织开展专项执法行动,并建立定期检查、约谈、通报等监管机制。涉案服务场所及时整改,改变进入场所方式,采取安全措施传输、定期删除个人信息,向监管部门报送个人信息管理情况。
新吴区院联合区市场监督管理局开展“回头看”,进行现场验收,确认涉案服务场所均整改到位。同时,新吴区院将其他11件案件线索移送无锡市人民检察院(以下简称无锡市院)。无锡市院开展服务场所公民个人信息保护专项监督活动,组织全市检察机关排查健身房、超市等服务场所126处,督促整改问题场所56处,删除违法采集信息9300余条,向经营者、消费者普法宣传3000多人次,有效保障公民个人信息安全。
【典型意义】
健身房、超市等公共服务场所采集的信息量大、面广、敏感度高,监管不到位,将严重危害众多消费者人身、财产安全。本案中,检察机关积极发挥公益诉讼检察职能,运用数字技术,通过“专业取证+专门论证+专家意见”等方式,破解公民个人信息保护领域线索发现、调查取证、损害认定等难题,制发诉前检察建议,开展专项监督,督促行政机关依法履职,推动服务场所规范收集、传输、存储、删除个人信息,加强数据安全管控,促进个人信息全链条保护。
2.案例丨湖南省长沙市望城区人民检察院督促保护个人生物识别信息行政公益诉讼案
【案情简介】
湖南省长沙市望城区卫生健康局(以下简称区卫健局)为推进数字化门诊建设,自2019年7月12日起,要求长沙市望城区辖区内17家医疗卫生机构陆续使用电子签核系统推送疫苗接种知情告知书,疫苗受种者或监护人点击“同意”时系统自动采集指纹和人脸识别信息,收集电子数据的存储及主机均由各社区卫生服务中心管理。截至2022年3月11日,上述机构共收集83万余条涉及指纹、人脸识别等个人生物识别信息。
【调查与监督情况】
2022年2月11日,湖南省长沙市望城区人民检察院(以下简称望城区院)接到群众举报,反映自己和孩子的指纹和人脸等个人生物识别信息被医疗卫生机构过度收集,存在泄露风险。望城区院经初步调查确认属实,遂于2022年3月19日、5月16日分别对望城区卫健局、长沙市公安局望城分局(以下简称区公安分局)立案调查。
望城区院通过现场勘验、委托第三方单位对电子签核系统进行安全检测、调取相关书证与电子数据、询问相关人员、咨询专业人员等方式进行调查取证,查明:根据《中华人民共和国个人信息保护法》第五条、第六条、第二十八条至第三十条的规定,望城区17家医疗卫生机构违反个人信息处理的合法、正当、必要和诚信原则,过度收集服务对象指纹和人脸等个人生物识别信息,未按要求解决电子签核系统的弱口令、数据未加密等安全漏洞,未能防患未经授权的访问及个人信息泄露、篡改、丢失等高风险,未落实网络安全等级保护制度要求,对敏感个人信息保护的内部管理不到位。望城区卫健局和区公安分局对上述医疗卫生机构收集、处理敏感个人信息活动未尽到监管职责。
2022年5月11日、16日,望城区院分别向区卫健局、区公安分局送达行政公益诉讼诉前检察建议,建议区卫健局改进征求知情同意的方式,避免过度收集指纹或人脸识别信息等个人生物识别信息;完善技术和管理措施,防止未经授权的访问及个人信息泄露、篡改、丢失。建议区公安分局对17家医疗卫生机构未履行网络安全等级保护责任的行为依法处理。同时将上述检察建议抄送望城区网信部门。
望城区卫健局、区公安分局收到检察建议后高度重视,部署开展了专项行动。望城区卫健局认真进行调研,研究解决方案,并向长沙市卫生健康委员会(以下简称市卫健委)专题汇报,长沙市卫健委以望城整改方案为蓝本推进全市医疗卫生机制规范、合法处理个人信息。
望城区公安分局召开专门网络安全会议,对全区医疗卫生机构进行网络安全检查。望城区卫健局、区公安分局召集医疗卫生机构、系统开发单位、网络安全检测公司、区数据中心等单位多次召开座谈会,望城区院和区委网信办受邀参会。截至2022年6月10日,全区23家单位均已完成电子签核系统升级,取消生物识别信息功能;21家单位已彻底删除既往数据,并按照保密文件要求将已收集个人生物识别信息交区疾控中心代为封存保管,疫苗有效期满后进行硬盘格式化删除;升级后的电子签核系统完善了内部信息安全管理制度、加强系统物理隔离、对数据传输和存储加密保护、新增限制授权访问等安全防护措施,信息安全等级保护经专家评定为1级,系统改为局域网内部运行,于2022年8月初在全区正式启用。
2022年8月8日,望城区院跟进监督发现,升级后的电子签核系统采用电子屏签字的方式确认接种告知并在局域网运行;收集的电子签字、疫苗接种等个人信息已加密;已收集的个人生物识别信息已在医疗卫生机构彻底删除。上述整改方式在全市范围内推广已显成效。同年8月11日,该院组织召开听证会,邀请人大代表、政协委员、“益心为公”志愿者及专家学者担任听证员,与会人员一致认为行政机关已采取积极有效措施全面履职,敏感个人信息被侵害的重大风险已消除。
【典型意义】
检察机关聚焦民生关切,依法能动履行公益诉讼检察职能,通过现场勘验和委托安全检测等智慧检察手段,发现公益事业单位个人信息保护安全风险,督促行政机关对过度收集的个人生物识别信息数据采取“备份封存+本地彻底删除+到期彻底删除”方式消除安全风险,并进行“电子签核系统升级改造+网络安全等级保护”技术整改,平衡好个人信息保护与公共事务管理中个人信息合理利用的关系,充分实现“互联网+”与公共卫生服务领域保障数据信息安全的良好结合,推动加强个人信息保护与公共卫生服务信息化建设的协同发展。通过办案将个人信息处理“合法、正当、必要和诚信原则”的内涵和外延予以具体化,落实网络安全等级保护制度,推动相关法律制度在司法办案中落地见效。
3.案例丨江西省宜春市人民检察院督促保护医疗健康个人信息行政公益诉讼案
【案情简介】
2021年以来,部分保险代理机构与江西省宜春市中心城区5家大型医院达成协议,由保险代理机构在合作医院推销相关保险产品。部分保险代理机构业务人员在推销保险产品过程中,为精准销售“手术意外险”等险种,通过合作医院违法获取大量患者的姓名、手术类型、联系电话等医疗健康信息,对相关患者进行保险推销,患者不堪其扰。该行为严重侵害患者的合法权益,损害了社会公共利益。
【裁判结果】
2022年2月,江西省宜春市人民检察院(以下简称宜春市院)收到群众举报,称其家属办完住院手续后,有保险代理机构业务人员向其推销“手术意外险”。宜春市院立案办理并进行全面摸排核实,一是查明医疗健康信息泄露源头。通过走访宜春市中心城区各大医院,了解医院与保险代理机构签订合作协议情况,并初步核实保险代理机构业务人员通过医院手术科室护士站查询病人纸质病历或登录病历管理系统违法获取大量患者医疗健康信息(包括病人姓名、身份证号、联系方式、手术类型等)的情况。二是通过大数据比对分析,发现保险代理机构业务人员手机通话记录与患者办理住院手续时间点相吻合,手机通话的先后顺序反映患者在办理住院手续后不久即会接到保险代理机构业务人员电话,进一步印证了患者个人信息泄露的事实。
2022年7月8日,宜春市院向宜春市卫生健康委员会(以下简称宜春市卫健委)制发行政公益诉讼诉前检察建议,要求其依法处理相关医院,采取有效整改措施,及时堵塞患者个人信息保护漏洞;加强日常监管,对本辖区范围内所有医疗机构开展全面清查;加强个人信息保护宣传教育,切实增强医护人员关于患者个人信息的保护意识。
宜春市卫健委收到检察建议后,组织召开加强患者诊疗信息安全管理工作部署会,督促5家涉案医院限期整改,制定出台《第三方保险业务关于患者医疗健康信息的保密规定》,明确规定保险代理机构业务人员接触患方时间、不得私自提前与患方联系等,并规范患者诊疗信息查询程序,堵塞信息泄露漏洞。同时,宜春市卫健委在全市439家医疗机构部署开展为期一个月的患者诊疗信息安全专项整顿活动,共发现并整改重大信息安全隐患37个,推动建立风险防范机制256项,组织12994名医务人员分期分批参加患者诊疗信息安全培训,进一步增强医疗健康信息保护意识,筑牢公民个人信息安全防护网。
【典型意义】
医疗健康信息属于可能影响公民人身、财产安全的敏感个人信息。本案中,医疗机构违反法律规定的合法、正当、必要和诚信的原则,未经患者同意向保险代理机构提供相关个人信息,严重侵害公民个人信息安全和合法权益,扰乱了社会公共秩序。检察机关运用大数据比对等方式全面调查取证,依法发出检察建议,督促行政机关查处医疗机构违法违规行为,并通过开展专项整顿、安全培训等方式,堵塞医疗健康信息安全漏洞,推动医疗机构、医疗从业人员增强风险防范意识,强化行业自律,健全医疗健康信息保护长效机制。
4.案例丨宁夏回族自治区青铜峡市人民检察院诉张某某等人侵犯公民个人信息刑事附带民事公益诉讼案
【案情简介】
张某某非法获取股民电话号码、相关证券公司信息及创建虚假股票投资微信群码,提供给吴某“吸粉引流”话务团伙用于电信网络诈骗。2020年11月至2021年5月,吴某组织“吸粉引流”话务团伙10余人先后在宁夏青铜峡、湖北武汉、湖北鄂州租住房屋,冒充相关证券公司客服拨打客户电话5万余次,为200多个涉电信网络诈骗群“吸粉引流”14130人。每拉1人进群视为做成一单,每单获利10元不等。吴某自组织“吸粉引流”话务以来,收到上线张某某扣除每单获利后转账资金703142.7元,其在扣除每单获利后按照下线做成单数将款层层转至下线人员。公安机关以张某某等人非法利用信息网络罪移送检察机关审查起诉。
【裁判结果】
2021年9月10日,宁夏回族自治区青铜峡市人民检察院(以下简称青铜峡市院)在办理张某某等人非法利用信息网络罪一案过程中,发现该案存在侵犯众多公民个人信息行为,可能损害社会公共利益。2021年10月8日,青铜峡市院依法以刑事附带民事公益诉讼立案。
检察机关经审查认为:违法所得是行为人实施违法犯罪活动而获取的不法财物,依法应予追缴;公益损害赔偿是行为人因实施民事侵权行为对社会公共利益造成损害应承担的民事赔偿责任。追缴违法所得与公益损害赔偿的责任性质、侵害主体均不同,追缴违法所得和承担公益损害赔偿可以同时适用。2021年11月29日,青铜峡市院向青铜峡市人民法院提起刑事附带民事公益诉讼,请求依法判令各被告删除所有非法获取的公民个人信息,解散、删除创建的微信群,消除潜在的公民信息泄露风险,依据违法所得数额支付公益损害赔偿金,并在国家级媒体上向社会公众赔礼道歉。
开庭审理时,一审法院结合公安机关补充侦查结果,认定被告张某某等16人为实施电信诈骗等违法犯罪发布信息,违法所得数额为739581.08元,其行为构成非法利用信息网络罪,应依法判处有期徒刑,没收违法所得并处罚金。刑事没收违法所得与民事公益损害赔偿金属于双罚,同时适用加重了对被告的惩罚,仅支持在国家级媒体公开道歉、删除信息和解散微信群的诉讼请求。一审宣判后,被告人朱某、王某某对刑事判决不服提出上诉。青铜峡市院认为一审判决对公益损害赔偿金不予支持,混淆了刑事责任与民事责任的界线,属适用法律错误,经请示吴忠市人民检察院同意,于2022年2月21日依法提出上诉。
2022年6月7日,吴忠市中级人民法院经开庭审理后,对朱某、王某某当庭提出的撤诉请求,裁定准许撤诉,并作出二审判决,认为检察机关起诉要求民事赔偿,符合法律规定。原判追缴各被上诉人违法所得与附带民事公益诉讼起诉人要求承担民事赔偿责任并不矛盾,各被上诉人被追缴违法所得,再行承担民事赔偿责任,不属于重复赔偿,一审判决适用法律错误,应予纠正。同时认定张某某等16人犯非法利用信息网络罪事实清楚,证据确实、充分,定罪准确,量刑适当,维持原判。以犯非法利用信息网络罪判处张某某等16人七个月至一年六个月有期徒刑不等,没收违法所得,并处3千元至6千元罚金不等;依法支持检察机关公益诉讼损害赔偿金诉请,判决各被告按照没收的违法所得金额承担民事赔偿责任,共计赔偿损失739581.08元。目前,案件已进入执行程序。
【典型意义】
侵犯公民个人信息犯罪严重危害公民个人信息安全,易引发电信网络诈骗等衍生犯罪,社会危害性较大。本案中,检察机关充分发挥刑事、公益诉讼检察职能联动优势,依法对非法利用信息网络犯罪提起刑事附带民事公益诉讼,追究违法行为人的刑事与民事双重责任,追缴违法所得并承担民事公益损害赔偿金,对非法获取、使用公民个人信息的行为形成惩治震慑,实现了“三个效果”的有机统一。
5.案例丨广东省深圳市宝安区人民检察院诉付某等人侵犯公民个人信息刑事附带民事公益诉讼案
【案情简介】
2020年10月以来,某快递公司营业点主管以及仓库管理员付某等8人,利用职务便利通过营业点主管账户查询指定手机号码对应的快递单号,再通过手机拍照将快递单号发至购买方,购买方通过“巴枪”(快递业数据采集工具)获取快递单号在某快递公司的所有信息,包括寄收方姓名、联系方式、收寄货地址、物品信息等,严重侵犯公民个人信息安全,损害了社会公共利益。
【裁判结果】
广东省深圳市宝安区人民检察院(以下简称宝安区院)通过该院综合指挥中心案件集中评估平台,在刑事案件中发现付某等8人侵犯公民个人信息民事公益诉讼案件线索。公益诉讼检察部门发挥一体化办案优势,全程参与刑事案件调查,厘清证据链条,全面掌握付某等8人违法事实和社会公共利益受损情况,并多次走访某快递公司了解其日常监管模式及操作流程。
2021年8月,宝安区院依法提起刑事附带民事公益诉讼,诉请判令付某等8人支付其侵犯公民个人信息赔偿金240183.08元。人民法院经审理于2022年5月作出判决,支持宝安区院全部诉讼请求,以侵犯公民个人信息罪判处付某等8人有期徒刑十个月至三年不等并处罚金;判决付某等8人支付公益诉讼赔偿金共计240183.08元。目前,付某等8人已全额支付公益诉讼赔偿金。
案件办理过程中,宝安区院发现快递行业普遍存在快递查单系统权限设置过大、查单系统账号和密码安保级别低、“巴枪”管理不到位等问题。某快递公司作为快递行业龙头企业,虽然已采取多种安全保障措施,但在硬件设置和管理流程风控上仍然存在改进空间。2022年10月9日,宝安区院向某快递公司发出检察建议,建议其针对涉案个人信息的管理漏洞整改治理,依法规范个人信息收集、管理措施。
某快递公司收到检察建议后积极开展整改,聘请专业机构针对个人信息泄露风险点进行全流程梳理。一是优化用户个人信息保密制度,落实保密内容、细化保密环节及明确保密责任。严格设置不同级别员工的查询、访问权限,实行“账号负责制”;二是根据服务范围或服务对象分配内部人员的最小所需数据访问权限,快递员仅可查询其服务客户相关地址信息,通过一键拨号功能隐藏客户真实手机号;三是严控账号安全风险,采用CAS框架对应用进行统一的用户登陆管理;四是另行开发APP逐步取代“巴枪”,同步加强对现有“巴枪”的管理,宝安区院及时跟进监督,邀请人大代表走访某快递公司营业点,现场抽查管理人员登陆系统、“巴枪”查询权限等整改情况,经组织整改验收确认相关公益损害风险已消除。
【典型意义】
物流行业掌握大量公民个人生活信息,通过大数据分析后可精准画出用户购物习惯、消费水平、生活轨迹的图谱,极易滋生诈骗、不正当竞争等违法行为。本案中,检察机关通过刑事附带民事公益诉讼加大侵权成本、震慑违法犯罪,同时通过制发社会治理检察建议,着力实现“后端惩治”到“全流程风控”转化,引导快递行业龙头企业良性运行,建立快递企业个人信息安全保护通用标准,实现“由点到线,由线到面”的辐射效应。
四、专业问答
3月23日,国家互联网信息办公室公布《网信部门行政执法程序规定》(以下简称《规定》),国家互联网信息办公室有关负责人就《规定》相关问题回答了记者提问。
1、请简要介绍《规定》出台的背景?
答:国家互联网信息办公室对2017年5月2日公布的《互联网信息内容管理行政执法程序规定》进行了全面修订。修订《规定》,主要基于以下两个方面的考虑。
一是全面推进严格规范公正文明执法的必然要求。党的二十大报告强调,要全面推进严格规范公正文明执法。新修订的《行政处罚法》进一步完善了行政处罚程序,强化了对行政处罚的监督。《国务院关于进一步贯彻实施〈中华人民共和国行政处罚法〉的通知》提出,要严格遵守法定程序,结合实际制定、修改行政处罚配套制度。修订《规定》,能够进一步明确网信部门行政执法的范围,完善立案制度和立案标准,规范办案流程和时限要求,有效贯彻严格规范公正文明执法的各项制度要求。
二是维护人民群众合法权益的重要法治保障。随着互联网日渐成为人民群众生产生活的新空间,破坏网络安全、违法收集个人信息、数据泄露等问题时有发生,严重侵害了人民群众的合法权益。修订《规定》,聚焦人民群众反映强烈的网络数据安全和个人信息保护等问题,有效规范了相关案件的行政执法程序,有力维护了人民群众的合法权益。
2、《规定》的主要内容是什么?
答:《规定》分总则、管辖和适用、行政处罚程序、执行和结案、附则五章,共五十八条。
第一章是总则,明确立法目的依据、适用范围和行政执法原则。第二章是管辖和适用,对网信部门行政执法地域管辖、级别管辖、指定管辖、移送管辖等制度作出规定。第三章是行政处罚程序,全面规范立案、调查取证、听证、决定和送达等各环节的具体程序要求。第四章是执行和结案,规定行政处罚的执行与监督制度。第五章是附则,对有关概念进行解释。
3、《规定》从哪些方面完善了行政处罚程序?
答:一是规定网信部门应当依法以文字、音像等形式,对行政处罚的启动、调查取证、审核、决定、送达、执行等进行全过程记录,归档保存。二是完善回避制度、听证制度和当事人的陈述、申辩制度,切实保障当事人的权利。三是明确网信部门对用于违法个人信息处理活动的设备、物品,采取查封、扣押措施的具体要求和程序。四是明确法制审核程序,规定应当进行法制审核的案件范围、审核机构、审核人员,明确未经法制审核或者审核未通过的不得作出行政处罚决定。五是明确重大行政处罚案件集体讨论决定制度,对情节复杂或者重大违法行为给予行政处罚,网信部门负责人应当集体讨论决定。六是明确规定网信部门办理行政处罚案件的期限以及结案的具体情形。
4、《规定》对当事人的陈述、申辩权是如何保护的?
答:《规定》明确,网信部门作出行政处罚决定前,应当告知当事人依法享有的陈述、申辩等权利。当事人有权进行陈述和申辩。网信部门应当充分听取当事人的意见,对当事人提出的事实、理由和证据,应当进行复核;当事人提出的事实、理由或者证据成立的,网信部门应当采纳。网信部门不得因当事人陈述、申辩而给予更重的处罚。网信部门及其执法人员在作出行政处罚决定前,未依照《规定》向当事人告知拟作出的行政处罚内容及事实、理由、依据,或者拒绝听取当事人的陈述、申辩,除非当事人明确放弃陈述或者申辩权利,不得作出行政处罚决定。
5、《规定》对行政处罚的社会监督作了哪些规定?
答:《规定》明确,网信部门实施行政处罚应当接受社会监督。公民、法人或者其他组织对网信部门实施行政处罚的行为,有权申诉或者检举;网信部门应当认真审查,发现有错误的,应当主动改正。