引 言
在数字经济高速发展的今天,数据安全及合规是企业面临的首要问题。企业如果不能保证基本的数据安全性、数据处理活动的合规性,将会面临数据泄露、数据丢失等多发安全事件,数据资源的开发利用亦将因缺乏数据资产的合规审查而存在安全隐患。
在此趋势下,贵州惟胜道律师事务所将协助企业保障数据在运转周期的处理活动中得到安全有序、合法合规的开发利用,并将此作为工作的核心。
因此,本月刊将聚焦网络安全与数据保护,为您呈现前沿动态、新规速递、热点案例等内容,帮助读者掌握最新前沿动态,共同了解数字安全发展新趋势。希望对读者深入认知、理解和运用相关政策有所帮助。
一、立法动态
1.国家密码管理局:发布《关于〈商用密码检测机构管理办法(征求意见稿)〉和〈商用密码应用安全性评估管理办法(征求意见稿)〉公开征求意见的通知》
为加强商用密码检测机构管理,规范商用密码检测活动和商用密码应用安全性评估工作,根据《中华人民共和国密码法》和新修订的《商用密码管理条例》等有关法律法规,国家密码管理局研究起草了《商用密码检测机构管理办法(征求意见稿)》和《商用密码应用安全性评估管理办法(征求意见稿)》,现向社会公开征求意见。
公众可以在2023年7月9日前,通过下列链接提出意见。
链接:《关于〈商用密码检测机构管理办法(征求意见稿)〉和〈商用密码应用安全性评估管理办法(征求意见稿)〉公开征求意见的通知》
2.国家互联网信息办公室关于《网络暴力信息治理规定(征求意见稿)》公开征求意见的通知
央广网北京7月7日消息 国家互联网信息办公室消息,为切实加强网络暴力信息治理力度,营造良好网络生态,根据《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》等法律、行政法规,国家互联网信息办公室起草了《网络暴力信息治理规定(征求意见稿)》(下文简称“《征求意见稿》”),现向社会公开征求意见。
《征求意见稿》中提到,网络暴力信息,是指通过网络对个人集中发布的,侮辱谩骂、造谣诽谤、侵犯隐私,以及严重影响身心健康的道德绑架、贬低歧视、恶意揣测等违法和不良信息。
《征求意见稿》明确,网络信息服务提供者应当强化网络用户账号信息管理,防止假冒、仿冒、恶意关联网络暴力事件当事人进行违规注册或发布信息,协助当事人进行个人账号认证;应当根据历史发布信息、违规处置、举报投诉等情况,动态管理涉网络暴力重点账号,及时采取干预限制措施;应当建立健全网络暴力信息预警模型,综合考虑事件类别、针对主体、参与人数、信息内容、发布频次、环节场景、举报投诉等维度,及时发现预警网络暴力风险。
在网络暴力信息处置方面,《征求意见稿》要求,网络信息服务提供者发现侮辱谩骂、造谣诽谤、侵犯隐私等网络暴力信息的,应当采取删除屏蔽、断开链接、限制传播等处置措施。
对于涉及网络暴力的不良信息,不得在《网络信息内容生态治理规定》第十一条规定的重点环节呈现,防止网络暴力信息扩散传播。
网络信息服务提供者应当加强对跟帖评论信息内容的管理,及时处置以评论、回复、留言、弹幕、点赞等方式发布、传播的网络暴力信息。
网络信息服务提供者应当加强对网络社区版块、网络群组的管理,不得在词条、话题、超话、群组、贴吧等环节集纳网络暴力信息,禁止创建以匿名投稿、隔空喊话等名义发布导向不良等内容的话题版块和群组账号。
网络社区版块、网络群组的建立者和管理者应当履行管理责任,规范成员网络行为和信息发布,发现用户制作、复制、发布、传播网络暴力信息的,应当依法依约采取移出群组等管理措施。
网络信息服务提供者应当强化直播和短视频内容审核,及时阻断涉及网络暴力信息的直播,处置含有网络暴力信息的短视频。
互联网新闻信息服务单位应当坚持正确的舆论导向,加强信息内容真实性、合法性审核,不得渲染炒作网络暴力事件,新闻信息跟帖评论实行先审后发。
任何组织和个人不得借网络暴力事件实施蹭炒热度、推广引流、故意带偏节奏或者跨平台搬运拼接虚假信息等恶意营销炒作行为。网络信息服务提供者不得为传播网络暴力的账号、机构等提供流量、资金等支持。
此外,《征求意见稿》还提出了相关保护机制。包括:网络信息服务提供者应当建立完善网络暴力防护功能,提供一键关闭陌生人私信、评论、转发和消息提醒等设置。用户面临网络暴力风险时,应当及时发送系统信息,提示其启动一键防护。
网络信息服务提供者应当完善私信规则,允许用户根据自身需要设置仅接收好友私信或拒绝接收所有私信。采取技术措施阻断网络暴力信息通过私信传输。
此外,《征求意见稿》要求,坚持最有利于未成年人的原则,加强对于未成年人用户的特殊、优先保护。
3.关于调整《网络关键设备和网络安全专用产品目录》的公告
依据《中华人民共和国网络安全法》,国家互联网信息办公室会同工业和信息化部、公安部、国家认证认可监督管理委员会等部门更新了《网络关键设备和网络安全专用产品目录》,现予以公布,自印发之日起施行。
2017年国家互联网信息办公室、工业和信息化部、公安部、国家认证认可监督管理委员会联合发布的《关于发布〈网络关键设备和网络安全专用产品目录(第一批)〉的公告》(2017年第1号)中的网络关键设备和网络安全专用产品目录同步废止。
4.最高检|印发《关于加强新时代检察机关网络法治工作的意见》
近日,最高人民检察院印发《关于加强新时代检察机关网络法治工作的意见》(以下简称《意见》)。《意见》围绕党的二十大关于健全网络综合治理体系的重要部署,结合检察履职实际,提出了6个方面21项具体的工作要求,涉及网络立法、执法、司法、普法以及法治研究、队伍建设等方面。
针对近年来网络安全呈现出许多新形势新特点,《意见》提出全链条惩治人民群众反映强烈的网络犯罪。具体包括,依法全链条打击电信网络诈骗及关联犯罪,积极参与“断卡”“断流”“拔钉”等专项行动;依法追诉前端非法收集、提供、买卖公民个人信息,后端利用“跑分平台”、虚拟货币、直播打赏进行“洗钱”等犯罪。
依法严惩“网络暴力”等侵犯公民人身权利相关犯罪,深挖背后的产业链利益链,严厉打击“网络水军”造谣引流、舆情敲诈、刷量控评、有偿删帖等行为涉嫌的相关犯罪,协同整治“自媒体”造谣传谣、假冒仿冒、违规营利等突出问题。
加大公民个人信息司法保护力度,依法严惩“数据黑企”“行业内鬼”以及批量泄露、买卖、“暗网”交易公民个人信息、非法收集在校学生和老年人等群体公民个人信息、利用“爬虫”“撞库”等技术手段非法收集公民个人信息等犯罪。
《意见》指出,要准确把握公民个人信息处理的原则和边界,统筹数据信息开发利用、隐私保护和公共安全,加大涉公民个人信息、隐私权案件的民事检察监督力度。围绕敏感个人信息、特定群体、重点领域的公民个人信息等,持续加大公益诉讼办案力度,积极探索建立民事公益诉讼惩罚性赔偿制度。
5.浙江省网信办等十一部门:出台《浙江省数据知识产权登记办法(试行)》
6月19日,浙江召开数据知识产权制度改革实务公示会,通报数据知识产权制度改革最新进展。会上,首批数据知识产权登记纸质证书发证。
日前,浙江省市场监管局(省知识产权局)、省委网信办、省发展改革委、省经信厅、省司法厅、省商务厅、省大数据局、省法院、省检察院、人行杭州中心支行、浙江银保监局等11个部门联合制定出台《浙江省数据知识产权登记办法(试行)》,成为全国首个数据知识产权领域规范性文件。自2023年7月1日起施行。
全国首个多跨贯通的“浙江省数据知识产权登记平台”自今年4月上线以来,已实现与6家存证平台、3家公证机构、4家交易平台打通。目前,登记平台共受理数据知识产权登记申请26件、公示12件、登记3件。
同时,浙江省数据知识产权运用保护地方实践也初见成效。杭州、舟山、台州等地积极推进数据知识产权质押融资,已有14家数据企业通过数据知识产权质押实现融资9700万元;宁波、嘉兴、舟山等地探索构建数据知识产权保护运用风险分担机制,落地全国首单数据知识产权被侵权损失保险;衢州探索开展公共数据授权运营中的数据知识产权保护运用工作。
记者了解到,浙江是国务院授权开展数据基础制度先行先试的唯一省份,也是国家市场监管总局、国家知识产权局率先授权开展数据知识产权制度改革的地区。
目前,数据知识产权制度改革已成为浙江省数字经济创新提质“一号发展工程”实施方案、营商环境优化提升“一号改革工程”行动方案和浙江省数据要素价值释放行动方案(2023-2027年)的重要内容,列入2023年推进要素市场化配置综合改革重点任务清单,顶层设计和统筹协调进一步强化。
二、行业动态
1.中国网络空间安全协会、国家计算机网络应急技术处理协调中心:发布《“在线影音类”App个人信息收集情况测试报告》
关键词:App 个人信息
6月12日,国家互联网应急中心在其官网发布了《“在线影音类”App 个人信息收集情况测试报告》。报告显示,在搜索音视频场景下,8款受测App均上传了搜索词;在发送弹幕评论场景中,所有受测App均上传了评论内容。
此外,在后台静默场景中,调用权限次数最多的是PP视频,调用了7次——5次位置权限,2次应用列表权限。
据了解,近期中国网络空间安全协会、国家计算机网络应急技术处理协调中心对部分“在线影音类”App收集个人信息情况进行了测试。
测试选取了累计下载量达到1亿次的“在线影音类”App,共计8款,包括腾讯视频、爱奇艺、西瓜视频、优酷视频、好看视频、哔哩哔哩、搜狐视频、PP视频。
在启动App场景中,调用系统权限种类最多的为腾讯视频、爱奇艺、PP视频,分别调用5类;调用系统权限次数最多的为PP视频,调用了16次;搜狐视频调用5次位置权限,好看视频调用6次设备信息权限。
在后台静默场景下,调用系统权限种类最多的是爱奇艺、搜狐视频、PP视频,均调用了位置权限和应用列表权限;调用权限次数最多的是PP视频,调用了7次——5次位置权限,2次应用列表权限。
除启动App、后台静默场景外,在搜索、播放音视频的场景下,调用权限次数最多的App依然为PP视频。在发送弹幕评论场景下,受测App中只有好看视频调用了两次设备信息权限,其他App未调用权限。
在搜索音视频场景下,8款受测App均上传了搜索词;其中,PP视频上传个人信息种类最多,不仅包括搜索词,还上传了经纬度、当前连接Wi-Fi Mac地址;安卓ID、OAID(开放匿名设备标识符)、手机MAC地址、手机号码。
此外,在网络上传流量方面,在用户完成一次在线影音搜索播放活动时,西瓜视频平均上传数据流量最多,约为1097KB;平均最少的为优酷视频,约为121KB。8款App后台静默12小时,上传数据流量平均最多的为好看视频,约为458KB;平均最少的为PP视频,约为99KB。
2.中国证券投资基金业协会:发布《基金管理公司网络和信息安全三年提升计划(2023-2025)》
关键词:网络和信息安全 提升计划
为贯彻落实党的二十大精神,根据中国证监会相关工作部署,中国证券投资基金业协会(以下简称协会)发布了《基金管理公司网络和信息安全三年提升计划(2023-2025)》(以下简称《提升计划》),旨在引导公募基金管理公司全面提升网络和信息安全保障能力,保护投资者合法权益,赋能基金行业数字化转型和高质量发展。
《提升计划》编制过程中,协会广泛征求意见、分析过往数据、发挥专家智慧、凝聚行业共识,聚焦行业信息系统安全存在的基础性、深层次问题,查找安全运行的薄弱环节,突出引导性定位,提高行业自主性,力求《提升计划》更具有代表性与可操作性,更符合公募基金管理公司实际情况。
《提升计划》的发布实施将促进公募基金管理公司不断提升网络和信息安全保障水平,行业从业人员增强网络和信息安全意识。
《提升计划》主要包含发展现状与形势、总体要求、重点任务、保障措施及附件等5个部分,回顾了行业发展情况,分析了网络和信息安全建设现状,阐述了发展形势与挑战,提出了“6体系1落实7保障”的工作思路与具体建议,设定了33项量化指标,明确了指标统计口径,着力促进公募基金管理公司持续加大信息技术资金及人员投入,持续健全网络和信息安全管理体系,不断强化系统全流程研发管控力度,大力夯实网络和信息安全技术基础,探索深化数据安全全链路治理能力,持续完善网络和信息安全运维机制,不断提升网络和信息安全应急水平,积极落实网络和信息安全监管要求。
未来三年,希望公募基金管理公司统筹发展与安全,以《提升计划》作为开展自身网络和信息安全工作的行动指南,进一步筑牢网络和信息安全基石,支撑基金行业高质量发展。
协会将持续做好基金行业网络和信息安全相关培训、交流、评估等工作,积极培育公募基金管理公司网络和信息安全健康发展新生态。
链接:《基金管理公司网络和信息安全三年提升计划(2023-2025)》
3.浙江省互联网信息办公室:发布《浙江省个人信息出境标准合同备案指引》
关键词:个人信息 出境标准
《个人信息出境标准合同办法》自2023年6月1日起施行,根据《个人信息出境标准合同办法》和国家互联网信息办公室发布的《个人信息出境标准合同备案指南(第一版)》要求,为指导和帮助个人信息处理者规范、有序备案个人信息出境标准合同,浙江省互联网信息办公室编制了《浙江省个人信息出境标准合同备案指引》,并开通个人信息出境标准合同备案咨询电话。
一、适用范围
(一)适用主体。所在地为浙江省的个人信息处理者。
(二)适用情形。个人信息处理者通过订立标准合同的方式向境外提供个人信息的,同时符合下列情形的,应当向浙江省互联网信息办公室 (以下简称“省网信办”) 备案标准合同:
1.非关键信息基础设施运营者;
2.处理个人信息不满100万人的;
3.自上年1月1日起累计向境外提供个人信息不满10万人的;
4.自上年1月1日起累计向境外提供敏感个人信息不满1万人的。
法律、行政法规或者国家网信部门另有规定的,从其规定。
个人信息处理者不得采取数量拆分等手段,将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。
(三)相关说明
以下情形属于个人信息出境行为:
1.个人信息处理者将在境内运营中收集和产生的个人信息传输、存储至境外;
2.个人信息处理者收集和产生的个人信息存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出;
3.国家网信办规定的其他个人信息出境行为。
二、备案方式
个人信息处理者应当在标准合同生效之日起10个工作日内,通过送达书面材料并附带材料电子版的方式,向省网信办备案。
个人信息处理者提交的备案材料,应按照《个人信息出境标准合同备案指南(第一版)》附件列出的材料顺序整理。
三、备案流程
标准合同备案流程包括材料提交、材料查验及反馈备案结果、补充或者重新备案等环节。
(一)材料提交
个人信息处理者备案标准合同,应当提交如下材料:
1.统一社会信用代码证件(影印件加盖公章)
2.法定代表人身份证件(影印件加盖公章)
3.经办人身份证件(影印件加盖公章)
4.经办人授权委托书(原件)
5.承诺书(原件)
6.个人信息出境标准合同(原件)
7.个人信息保护影响评估报告(原件)
8.其他相关证明材料
个人信息处理者对所提交材料的真实性负责,提交虚假材料的,按照备案不通过处理,并依法追究相应法律责任。
(二)材料查验及反馈备案结果
省网信办收到材料后,在15个工作日内完成材料查验,并通知个人信息处理者备案结果。
备案结果分为通过、不通过。通过备案的,省网信办向个人信息处理者发放备案编号;不通过备案的,个人信息处理者将收到备案未成功通知及原因,要求补充完善材料的,个人信息处理者应当补充完善材料并于10个工作日内再次提交。
(三)补充或者重新备案
在标准合同有效期内出现下列情形之一的,个人信息处理者应当重新开展个人信息保护影响评估,补充或者重新订立标准合同,并履行相应备案手续:
1.向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化,或者延长个人信息境外保存期限的;
2.境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等可能影响个人信息权益的;
3.可能影响个人信息权益的其他情形。
个人信息处理者在标准合同有效期内补充订立标准合同的,应当向省网信办提交补充材料;重新订立标准合同的,应当重新备案。补充或者重新备案的材料查验时间为15个工作日。
4.上海市经济和信息化委员会:全国首批无驾驶人智能网联汽车道路测试牌照正式发放
关键词:无人驾驶 智能网联汽车
6月8日上午,“应新于时、乘势而上”临港新片区智能网联汽车创新引领区启动发布会在临港中心举行。市委常委、临港新片区党工委书记、管委会主任陈金山,同济大学党委书记方守恩,中国工程院院士、国家智能网联汽车创新中心首席科学家李克强出席本次会议。
会上,市经济信息化委副主任汤文侃与市交通委副主任叶兴、市公安局交警总队总队长张玉学、临港新片区管委会专职副主任唐浩共同为友道智途、图森未来、赛可智能、云骥智行四家企业发放了全国首批无驾驶人智能网联汽车道路测试牌照。
为抢抓智能网联汽车产业发展先机,上海制定出台了《上海市浦东新区促进无驾驶人智能网联汽车创新应用规定》,为无驾驶人智能网联汽车创新应用扫清制度障碍。
截至目前,上海市已累计在嘉定、浦东、临港、奉贤等区域开放了926条1800公里测试道路,打造了全车型、全出行链、全风险类别、全测试环节的自动驾驶测试场景,向29家企业624辆车发放了道路测试和示范应用牌照;测试企业数、牌照发放量、开放道路里程、道路测试里程、场景丰富度等均位居全国第一。
会上,临港新片区管委会发布了《临港新片区智能网联汽车创新引领区总体建设方案》,力争在2025年将临港建成全国第一个“数据通全路、云网联全车、智能赋全城”的智能网联汽车创新引领区。
同时,临港新片区智能网联汽车战略咨询专家委员会与“临港新片区智能网联汽车创新联盟”正式成立,智能网联汽车创新应用场景及标准体系“揭榜挂帅”清单现场发布,临港新片区管委会将联合各行业共同支撑打造智能网联汽车产业应用生态,构建临港新片区特色标准体系,助力临港新片区智能网联汽车产业高质量发展。
市经济信息化委、市交通委、市公安局、市道运局、市通信管理局、苏州市政府、临港新片区管委会、上海机电学院等相关部门负责人参加发布会。
5.南昌市网信办:依法对某股份有限公司作出行政处罚
关键词:行政处罚
2023年4月13日,接上级网信部门通报,江西某股份有限公司运营的网络智能办公系统疑似遭黑客组织攻击并植入木马病毒,主机存在受控的风险。当日,南昌市互联网信息办公室决定立案调查并派执法人员开展案件调查工作。
经过现场勘验、抽样取证、远程勘验(样本技术分析)、笔录问询等程序,查明:
①该公司的OA系统和服务器内存储了大量敏感数据,但该公司履行数据安全保护义务不到位,OA系统感染了可获取服务器文件管理权限和命令执行权限的木马程序,相关行为违反了《中华人民共和国数据安全法》第二十七条规定;②该公司开展数据处理活动未加强风险监测,在发现数据安全漏洞风险和事件时未采取补救措施,未履行风险监测、补救处置等义务,相关行为违反了《中华人民共和国数据安全法》第二十九条规定。
2023年5月30日,南昌市网信办依据《中华人民共和国数据安全法》第四十五条的规定,对江西某股份有限公司处以警告、罚款50万元,对直接负责的主管人员处以罚款5万元的行政处罚。
涉案公司及时缴纳了罚款并表示已全面开展整改工作,今后将严格落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》等法规要求,切实履行好网络安全和数据安全保护义务。
下一步,南昌市网信办将持续依法加大网络安全、数据安全、个人信息保护等领域执法力度,依法打击危害网络安全、数据安全、侵害公民个人信息等违法行为,切实维护网络安全、数据安全和社会公共利益,进一步营造安全稳定的网络环境。
6.国家互联网信息办公室与香港特区政府创新科技及工业局:签署《关于促进粤港澳大湾区数据跨境流动的合作备忘录》
关键词:数据跨境
2023年6月29日,国家互联网信息办公室与香港特区政府创新科技及工业局签署《关于促进粤港澳大湾区数据跨境流动的合作备忘录》,在国家数据跨境安全管理制度框架下,建立粤港澳大湾区数据跨境流动安全规则,促进粤港澳大湾区数据跨境安全有序流动,推动粤港澳大湾区高质量发展。
在香港回归祖国26周年之际,签署粤港澳大湾区数据跨境流动合作备忘录,有利于加强内地与香港的数据跨境流动,充分发挥数据基础性作用,推动粤港澳大湾区数字经济创新发展,支持香港更好融入国家发展大局。
7.中国消费者协会:在全国范围内开展“反对强制关注公众号”消费监督工作
关键词:消费监督
停车缴费、点餐、购物……如今,扫码支付代替人工服务已然成为一种常见做法,但这种本该“提高效率”“便捷快速”的消费方式,却因为部分场所设置的通过关注公众号来缴费、被迫授权个人信息、日常频繁推送广告等情况,给不少消费者带来困扰。
消费者在扫码关注后,常常会受到公众号发送的大量广告、优惠券等无关信息的侵扰,还有可能在申请各种权限的过程中面临个人信息泄露和落入消费陷阱的风险。
《中华人民共和国消费者权益保护法》第二十六条规定:“经营者不得以格式条款、通知、声明、店堂告示等方式,作出排除或者限制消费者权利、减轻或者免除经营者责任、加重消费者责任等对消费者不公平、不合理的规定,不得利用格式条款并借助技术手段强制交易。
”第二十九条规定:“经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。……”《互联网用户公众账号信息服务管理规定》第十二条规定:“公众账号信息服务平台应当规范公众账号推荐订阅关注机制,未经互联网用户同意,不得以任何方式强制或者变相强制订阅关注其他用户公众账号。”
互联网时代,扫码消费在继续普及推广,经营者要求消费者关注公众号,并通过公众号下单、结账、开具发票的做法,可以使自己获得大批阅读量和关注量,并通过广告和信息推送等方式,吸引消费者更多关注和再次光顾,增强用户黏性。
但任何企业的任何商业行为,都必须尊重消费者的意愿,维护消费者的合法权益,守住法律的底线。
经营者将关注公众号或使用手机APP、小程序作为消费者行使权利或享受服务的前提,并在此过程中获取与服务无关的消费者个人信息的行为,已经违反了《中华人民共和国消费者权益保护法》《中华人民共和国个人信息保护法》的规定,侵害了消费者的自主选择权、公平交易权,消费者有权拒绝和举报。
北京市消费者协会、上海市消费者权益保护委员会、江苏省消费者权益保护委员会、深圳市消费者委员会等地方消协组织已经就“扫码强制关注使用”发声,通过发布倡议、组织经营者进行自律承诺、开展专项消费监督等维权工作,呼吁商场、餐厅、停车场等商家在扫码缴费过程中不强制消费者关注商家公众号、不过度索取消费者个人信息。
为保护消费者的自主选择权、公平交易权和个人信息等权益,针对扫码消费中存在的问题,中国消费者协会将在全国范围内开展“反对强制关注公众号”消费监督工作,消费者可将遇到的此类问题通过电子邮件(ccaxfjd@cca.org.cn)方式向中国消费者协会进行反映。
中国消费者协会将委托专业维权志愿者对线索进行汇总、分析、整理,并视情节采取提示警示、约谈劝喻、支持消费者诉讼、提起消费民事公益诉讼等方式,依法维护消费者合法权益。
链接:中国消费者协会:在全国范围内开展“反对强制关注公众号”消费监督工作
三、案件聚焦
1.案例丨解某某、辛某某等人侵犯公民个人信息案
【案情简介】
被告人解某某,北京某信息咨询有限公司法定代表人;被告人辛某某,北京某信息咨询有限公司股东;被告人吴某某、郝某、李某某等基本情况略。
该公司2015年7月成立后,最初主要是网络商业推广,后公司出现亏损。解某某、辛某某便决定出售公民信息牟利。
2018年1月至2019年6月,解某某、辛某某雇佣吴某某、郝某、李某某等50余人通过在网上刊登贷款广告、在公司的“点有钱”微信公众号设置贷款广告链接,吸引有贷款需求的人填写“姓名、手机号、有无本地社保和公积金、有无负债、房产和车辆持有状况、工资收入、有无保险、征信情况、借款需求、还款周期”等信息。
获取上述信息后,解某某、辛某某指使员工将上述信息上传到公司开发的“点有钱”App,再通过在微信群搜集、在“点有钱”微信公众号发放广告,获取银行、金融公司信贷员的姓名和手机号。
通过与信贷员联系,吸引他们在App注册充值。信贷员充值后,解某某、辛某某等人在未经信息权利人同意的情况下,将信息以每条30元至150元的价格出售给信贷员。通过出售上述信息,解某某、辛某某等人违法所得共计450余万元。
2019年6月,公安机关立案侦查,将解某某、辛某某等人抓获,从网站后台提取到公民个人信息共计31万余条。
【检察机关履职过程】
(一)审查逮捕
2019年8月5日,北京市昌平区人民检察院以涉嫌侵犯公民个人信息罪对解某某等人批准逮捕。批捕后,检察机关建议公安机关围绕涉案公民个人信息的内容、数量、是否属于单位犯罪等问题进一步侦查。
(二)审查起诉
2019年12月30日,公安机关将解某某等人移送审查起诉。检察机关审查认为,2017年底,解某某、辛某某决定实施犯罪,招募员工,收集、出售公民信息,除此之外公司并无其他合法经营活动,依法应以自然人犯罪论处。
由于存放数据的服务器域名过期未续费导致原始信息被删除,通过后台提取的信息包含“*”,客观上无法对具体信息条数排重计算。
于是,检察机关通过审查银行流水、业绩单等电子证据等认定每名被告人的违法所得均超过5万元,属于“情节特别严重”。
在共同犯罪中,解某某、辛某某起主要作用,系主犯;其余被告人系被雇佣,在犯罪中分工合作,实施信息上传、筛选、销售等,起次要作用,系从犯。
经释法说理,解某某、辛某某等人均自愿认罪认罚。2020年6月24日,昌平区人民检察院以解某某、辛某某等人涉嫌侵犯公民个人信息罪提起公诉。
(三)指控与证明犯罪
2020年9月16日,昌平区人民法院依法公开审理。
庭审中,被告人对指控的事实与罪名均无异议。但有的辩护人提出,一是本案属于单位犯罪。二是信息数量没有排重,故数量认定不准确。三是指控的违法所得包含了公司其他合法经营所得,该部分不应当作为犯罪金额。
公诉人答辩指出,一是谢某某、辛某某成立公司后,虽然最初是合法经营,但公司出现亏损后,自2017年底就预谋收集、出售公民信息,并招募员工等,2018年以后除实施收集、出售公民信息犯罪活动以外,并无其他合法经营。
根据《最高人民法院关于审理单位犯罪案件具体应用法律有关问题的解释》的规定,公司、企业、事业单位设立后,以实施犯罪为主要活动的,不以单位犯罪论处。
二是本案在客观上无法实现信息排重,但有确实、充分的证据可以证实各被告人违法所得数额均在5万元以上。
根据的规定,信息数量、违法所得数额中某一项达到刑事追诉标准,即构成侵犯公民个人信息罪。本案虽然无法确定信息数量,但可以证实被告人违法所得数额达到5万元以上,属于“情节特别严重”。
三是被告人供述、公司银行流水、业绩单及各被告人之间的微信聊天记录等证据可以证实谢某某、辛某某自2018年1月以后除出售公民个人信息外并无其他合法经营活动,所以指控的金额均系犯罪所得。
(四)裁判结果
2020年12月11日,昌平区人民法院采纳检察机关指控意见和量刑建议,以侵犯公民个人信息罪判处解某某、辛某某等被告人有期徒刑三年六个月至一年四个月不等,并处罚金。
【典型意义】
(一)非法获取、出售征信信息,情节严重的,应以侵犯公民个人信息罪依法惩处。个人征信信息属于公民个人信息,包括个人基本信息、个人信贷交易信息,以及反映个人信用状况的其他信息。
具有非法获取、出售征信信息50条以上,或者违法所得5000元以上情形之一的,属于“情节严重”,依法应以侵犯公民个人信息罪定罪处罚。
数量或者数额达到上述规定标准十倍以上的,属于“情节特别严重”,依法应处三年以上七年以下有期徒刑,并处罚金。
(二)对客观上无法排重计算信息数量的,可以通过确定违法所得数额作为定罪量刑的事实依据。信息数量、违法所得数额是侵犯公民个人信息罪定罪量刑的重要依据。
其中之一达到司法解释规定的标准,即可认定为“情节严重”或者“情节特别严重”,按照侵犯公民个人信息罪定罪量刑。如果二者分别属于不同的量刑幅度的,可以按照处罚较重的量刑幅度处理。
(三)提高自我保护意识,防止个人信息泄露。征信信息全面反映个人信贷状况,与公民人身、财产安全直接相关,被泄露后容易成为电信网络诈骗、套路贷等违法犯罪活动的被害人。生活中,要注意选择正规的金融机构贷款,不随意点击不明贷款链接,不轻易透露个人财产状况,谨防信息泄露。
2.案例丨李某侵犯公民个人信息案
【案情简介】
被告人李某,某网络科技有限公司软件开发人员。2020年6月至9月,李某制作了一款可以窃取安装者手机内的照片的软件。
当手机用户下载安装该软件打开使用时,软件就会自动获取手机相册的照片并且上传到李某搭建的服务器后台。李某将该软件发布在暗网某论坛售卖,截至2021年2月9日,共卖得网站虚拟币30$。
后李某为炫耀技术、满足虚荣心,又将该软件伪装成“颜值检测”软件,发布在某论坛供网友免费下载安装,以此方式窃取安装者手机相册照片1751张。其中,含有人脸信息、姓名、身份证号码、联系方式、家庭住址等100余条公民个人信息。
2020年9月,李某又用虚拟币在该暗网的论坛购买“社工库资料”并转存于网盘。2021年2月,李某为炫耀自己的能力,明知“社工库资料”含有户籍信息、车主信息等,仍将网盘链接分享到“业主交流”QQ群(150名成员)。经去除无效数据、合并去重后,该“社工库资料”包含公民个人信息共计8100余万条。
2021年3月9日,公安机关将李某抓获。经侦查,因“社工库资料”内容庞大且存储于境外网盘,未查到有人下载使用。
【检察机关履职过程】
(一)审查逮捕
2021年3月26日,公安机关对李某提请批准逮捕。上海市奉贤区人民检察院审查认为,李某非法获取并在QQ群内提供8100余万条公民个人信息,信息数量巨大,符合“情节特别严重”的规定,且李某利用“颜值检测”软件窃取“人脸信息”等事实需继续侦查,本案存在毁灭证据的可能,遂于4月2日批准逮捕。
(二)审查起诉
2021年5月28日,公安机关将该案移送审查起诉。奉贤区人民检察院审查认为,李某非法获取并提供公民个人信息,已涉嫌侵犯公民个人信息罪,且信息数量符合“情节特别严重”的规定,鉴于李某主观上没有出售牟利的目的,客观上未造成信息传播、扩散,且系初犯,自愿认罪认罚,8月10日,奉贤区人民检察院以李某涉嫌侵犯公民个人信息罪提起公诉,提出有期徒刑三年,缓刑三年的量刑建议。
(三)指控与证明犯罪
公诉人在庭审中指控犯罪,2021年8月23日,奉贤区人民法院依法公开审理。庭审中,辩护人提出,一是本案未对涉案8100余万条信息的真实性核实确认,数量认定依据不足。
二是被告人到案后如实供述自己利用黑客软件窃取照片的事实,还主动交代公安机关未掌握的在暗网非法购买公民个人信息并分享至QQ群的事实,对于该事实应当认定为自首。
公诉人答辩指出,一是司法鉴定机构去除无效信息,合并去重进行鉴定,鉴定出有效个人信息8100余万条,信息数量客观、真实,符合《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》规定的对批量公民个人信息具体数量的认定规则,且公安机关抽样验证,随机抽取部分个人信息进行核实,能够确认涉案个人信息的真实性。
二是公安机关抓获李某前已掌握其在暗网非法购买公民个人信息并分享到QQ群的事实,与其利用黑客软件窃取照片的行为属同种罪行,依法不能认定为自首。
(四)裁判结果
奉贤区人民法院审理认为,李某具有坦白情节,且自愿认罪认罚,对其依法从宽处理,以侵犯公民个人信息罪判处李某有期徒刑三年,缓刑三年,并处罚金。
【典型意义】
(一)对批量公民个人信息的条数,根据查获的数量直接认定,但是有证据证明信息不真实或者重复的除外。侵犯公民个人信息犯罪中,涉案信息动辄上万乃至数十万条,在海量信息状态下,对信息逐一核实在客观上较难实现。
所以,实践中允许适用推定规则,即根据查获的数量直接认定,但这不意味着举证责任倒置,对通过技术手段可以去重的,应当作去重处理,排除重复的信息。对信息的真实性,可以采取抽样方式进行验证。
(二)人脸信息是具有不可更改性和唯一性的生物识别信息。人脸识别技术给生活带来便利的同时,也容易被犯罪分子窃取利用或者制作合成,破解人脸识别验证程序,侵害隐私、名誉和财产。生活中,要谨慎下载使用“颜值检测”等“趣味”软件,防范个人信息泄露,造成合法权益受损。
3.案例丨谢某、李某甲等人侵犯公民个人信息案
【案情简介】
2020年,某公司针对新型农村社会养老保险(简称“新农保”)研发了一款具备快速注册和人脸识别功能的App。谢某获悉后,联系该公司表示可免费承接认证操作业务。2021年4月至7月,谢某先后组织杨某等10人前往吉林、辽宁多地农村,使用该App对参保村民进行认证。
其间,天津市宁河区的李某甲、李某乙等人与谢某联系,向谢某提供事先已经批量注册的百家号“白号”(未实名认证),由谢某等人借“新农保”认证之机采集村民姓名、身份证号码和人脸信息,将上述“白号”激活为具备发布功能和商业营销价值的实名认证账号,再向李某甲、李某乙等人出售。
通过此种方式,李某甲、李某乙从谢某处购得账号1.9万余个,连同从张某、刘某甲等人处非法获取的其他账号,在宁河区又向高某、刘某乙等20余人出售。高某、刘某乙等人将所得账号再出售或者批量运营,致使包含公民个人信息的实名账号被多次转卖,被用于运营收益等。
2021年7月至11月,上述人员被陆续抓获。经查,李某甲违法所得70余万元,谢某等11人违法所得共计31余万元,李某乙、刘某甲等26人违法所得数千元至10余万元不等。
【检察机关履职过程】
(一)引导侦查
应公安机关商请,天津市宁河区人民检察院提出犯罪嫌疑人的行为涉嫌侵犯公民个人信息罪,建议围绕信息获取方式、数量、流向、违法所得等收集证据,固定关键电子证据防止灭失。公安机关及时开展侦查,排查控制了其他上下游涉案人员,同步扣押手机、电脑等作案工具。
(二)审查逮捕
公安机关将谢某、李某甲等29人提请批准逮捕。宁河区人民检察院审查认为,上述犯罪嫌疑人在主观恶性、犯罪层级、违法所得数额等方面存在较大差异,应区分处理。
审查后,对谢某等直接窃取公民个人信息的犯罪团伙成员,李某甲等专门从事网络账号灰产的购买者及其他情节较重、违法所得数额较高的犯罪嫌疑人依法作出批捕决定;对情节较轻、违法所得数额较低的中末端购买者,评估社会危险性后作出不批捕决定。
根据这一标准,公安机关对后续拟提请批准逮捕的9名犯罪嫌疑人采取了非羁押强制措施。批捕后,检察机关制发继续侦查提纲,建议公安机关继续深挖上下游犯罪。
(三)审查起诉
2021年10月29日、12月10日,公安机关陆续将谢某、李某甲等38人移送审查起诉。宁河区人民检察院全面审查案件事实、证据,开展认罪认罚和追赃工作。
审查后,检察机关对窃取信息源头的主犯、与谢某直接联络的始端购买者李某甲、李某乙等9人依法起诉并建议判处实刑;对团伙从犯、销售环节赚取差价及仅有购买行为的27名中末端人员,结合情节、获利、退赃情况依法起诉并建议判处缓刑;对犯罪情节轻微,依法不需要判处刑罚的1名未成年犯罪嫌疑人,1名在校就读的大学生犯罪嫌疑人作出相对不起诉处理。
上述38名犯罪嫌疑人均认罪认罚,退赃共计100余万元。
(四)指控与证明犯罪
2021年12月14日、2022年3月9日,宁河区人民检察院陆续将谢某、李某甲等36人提起公诉。庭审中,各被告人均当庭认罪认罚。李某甲的辩护人提出,被告人系先买入后卖出的行为,计算违法所得时应将购买信息的费用作为成本扣减。
公诉人答辩指出,违法所得是犯罪分子因实施违法犯罪活动而取得的全部财产。根据《检察机关办理侵犯公民个人信息案件指引》的规定,对于违法所得,直接以被告人出售公民个人信息的收入予以认定,不必扣减其购买信息的犯罪成本。
(五)裁判结果
2022年6月8日、21日,宁河区人民法院采纳检察机关全部指控事实和量刑建议,认定谢某、李某甲等36人构成侵犯公民个人信息罪,对谢某、李某甲等9人分别判处有期徒刑四年至二年不等,并处罚金,对李某乙等27人分别判处有期徒刑三年至六个月不等,适用缓刑,并处罚金。
4.案例丨李开祥侵犯公民个人信息刑事附带民事公益诉讼案
【案情简介】
2020年6月至9月间,被告人李开祥制作一款具有非法窃取安装者相册照片功能的手机“黑客软件”,打包成安卓手机端的“APK安装包”,发布于暗网“茶马古道”论坛售卖,并伪装成“颜值检测”软件发布于“芥子论坛”(后更名为“快猫社区”)提供访客免费下载。
用户下载安装“颜值检测”软件使用时,“颜值检测”软件会自动在后台获取手机相册里的照片,并自动上传到被告人搭建的腾讯云服务器后台,从而窃取安装者相册照片共计1751张,其中部分照片含有人脸信息、自然人姓名、身份号码、联系方式、家庭住址等公民个人信息100余条。
2020年9月,被告人李开祥在暗网“茶马古道”论坛看到“黑客资料”帖子,后用其此前在暗网售卖“APK安装包”部分所得购买、下载标题为“社工库资料”数据转存于“MEGA”网盘,经其本人查看,确认含有个人真实信息。
2021年2月,被告人李开祥明知“社工库资料”中含有户籍信息、QQ账号注册信息、京东账号注册信息、车主信息、借贷信息等,仍将网盘链接分享至其担任管理员的“翠湖庄园业主交流”QQ群,提供给群成员免费下载。经鉴定,“社工库资料”经去除无效数据并进行合并去重后,包含各类公民个人信息共计8100万余条。
【审理情况】
上海市奉贤区人民检察院以社会公共利益受到损害为由,向上海市奉贤区人民法院提起刑事附带民事公益诉讼。被告人李开祥对起诉指控的基本犯罪事实及定性无异议,且自愿认罪认罚。
辩护人提出被告人李开祥系初犯,到案后如实供述所犯罪行,且自愿认罪认罚等辩护意见,建议对被告人李开祥从轻处罚,请求法庭对其适用缓刑。辩护人另辩称,检察机关未对涉案8100万余条数据信息的真实性核实确认。
上海市奉贤区人民法院于2021年8月23日以(2021)沪0120刑初828号刑事判决,认定被告人李开祥犯侵犯公民个人信息罪,判处有期徒刑三年,宣告缓刑三年,并处罚金人民币一万元;扣押在案的犯罪工具予以没收。
判决李开祥在国家级新闻媒体上对其侵犯公民个人信息的行为公开赔礼道歉、删除“颜值检测”软件及相关代码、删除腾讯云网盘上存储的涉案照片、删除存储在“MEGA”网盘上相关公民个人信息,并注销侵权所用QQ号码。一审判决后,没有抗诉、上诉,判决现已生效。
四、专业问答
公安部7月6日在京召开新闻发布会,通报公安部党委部署全国公安机关认真履行网络安全监管职责,严厉打击网络违法犯罪活动,切实维护国家网络和数据安全的举措成效情况。公安部网络安全保卫局副局长李彤、警务技术二级总监黄小苏向大家介绍有关情况并回答提问。
1.公安机关在网络和数据安全方面如何开展日常监管和行政执法
答:针对关键信息基础设施、重要信息系统和重要数据,公安机关切实履行安全监管职责,持续深入推进网络安全监督检查、专项整治和实战演练,指导重点单位制定完善网络安全应急处置预案,常态化开展应急演练,及时处置网络和数据安全突发事件,不断提高网络安全保护能力和水平。
一是多措并举,压紧压实网络运营者主体责任。采取“日常走访+年度检查”的方式,及时了解掌握网络运营者的安全防护状态,监督指导网络运营者落实网络安全等级保护制度,依法履行网络安全保护义务,按规定向社会告知、向有关部门通报网络安全风险。对网络安全问题突出、风险隐患严重的单位和部门,将进行挂牌督办,切实保护网络运行安全。同时,公安机关对不履行网络安全法定责任义务的单位和个人,加强行政执法力度,压紧压实了网络运营者主体责任。
二是问题导向,全面消除网络安全风险隐患。坚持重点时间、重点活动、重点部位、重点问题相结合,组织开展系列专项执法检查。
2022年,全国公安机关认真组织、周密部署,扎实开展网络安全监督检查工作。期间,部省市三级公安机关累计对3.5万家单位开展了执法检查,下发限期整改通知书4.6万份,有力确保了网络和数据安全。
三是以民为本,加强数据安全和公民个人信息保护。以“重要敏感数据全生命周期安全保护”为重点,突出个人信息安全保护,监督指导网络运营者规范重要数据特别是个人信息数据的处理活动。同时,依法严厉打击非法获取、出售、向他人提供公民个人信息,以及非法向境外提供重要数据等违法活动,有效保护了个人信息和数据安全,切实保护了公民和组织的合法权益。
2.公安机关对攻击基础网络设施、窃取重要数据等违法犯罪行为的工作对策
答:对非法侵入、控制、破坏计算机信息系统和窃取重要数据的行为,公安机关一向坚持零容忍的态度,坚决打击。
近年来,面对来自境内外的黑客类违法犯罪,公安机关坚持打整体战、合成战、集群战,坚持斩链条、铲源头、除危害,深挖实施黑客攻击活动以及提供工具、洗钱等服务的团伙、个人,追溯木马病毒制售、攻击软件平台开发团伙,严厉惩处了一大批不法分子,对违法犯罪行为形成了高压震慑态势,有力保障了关键信息基础设施、重要信息系统和数据安全,切实提升了人民群众的用网安全感,全力为数字经济发展保驾护航。
发布会上通报了几例典型案例如下:2022年4月,四川公安机关破获一起非法侵入控制税务系统案,抓获犯罪嫌疑人4人,查明该团伙虚开发票6231张,非法牟利2000余万。
2022年4月,安徽公安机关侦破一起非法控制计算机信息系统案,打掉一个专门从事漏洞扫描、木马植入等违法活动的犯罪团伙,查获木马控制服务器12台、被控主机700余台、虚拟账号17万余组。
2022年8月,重庆公安机关侦破一起非法侵入银行系统案,抓获犯罪嫌疑人10名,查明该团伙获取储户信息1300余万条。
此外,北京、江苏、陕西、上海、浙江等地公安机关侦办多起境外黑客组织对我能源、军工、金融、教育等领域重点单位实施的网络攻击入侵窃密事件,迅速查明情况、有效堵塞漏洞、及时消除隐患,确保重点单位网络安全。
下一步,公安机关将继续保持对网络攻击类违法犯罪的高压态势,重拳打击利用黑客手段侵入个人、企业信息系统窃取数据,以及危害关键信息基础设施和重要信息系统安全的违法犯罪活动,切实维护网络秩序和广大人民群众的合法权益,坚决维护我国网络空间安全。
3.公安机关对网络安全事件的监测及应对做法
答:当前,经济社会的正常运转和人民群众的生产生活高度依赖网络和信息系统,突发、重大的网络安全事件如果发现不及时、处置不到位,将影响危害单位和个人合法权益、公共秩序甚至国家安全。
对此,公安机关切实履职担当,积极会同有关部门,持续加强网络安全通报机制建设和能力建设,及时发现、预警、处置了一批影响国家安全、群众权益和公共秩序的攻击威胁事件,切实将风险隐患消除在萌芽阶段,最大限度降低网络安全事件造成的影响危害。
一是建成了部省市三级联动的网络与信息安全信息通报预警体系。大力加强部省市三级网络与信息安全信息通报机制建设,持续深化与各重要行业部门、关键信息基础设施运营使用单位的信息通报工作机制,不断整合各科研院所、高校和网络安全企业的资源力量,强化落实网络安全事件报告制度,建成并不断完善纵横联通、协同配合的网络安全通报预警体系。
二是加强了网络安全监测技术体系建设。紧密关注国内外网络安全发展态势,深入研究网络安全新技术新应用,积极统筹国内外前沿技术资源,大力加强网络安全监测技术体系建设,不断提升全国公安机关和重要行业部门网络安全监测水平,并通过点、线、面相结合的指导监督方式,与重要行业部门协同联动、及时有效应对网络安全威胁,提升重要网络系统和数据的安全防护能力。
三是全方位全时空组织开展网络安全实时监测。2020年以来,公安机关已及时监测发现、通报预警、应急处置恶意程序、漏洞隐患、网页篡改、网站后门、数据泄漏等一大批网络安全事件,及时消除了各类网络安全风险隐患,有效抵御了各类网络安全攻击威胁,全力确保了重要网络和数据安全。
下一步,公安机关将继续全面加强网络安全监测预警、信息通报和应急处置,不断完善与各重要行业部门、关键信息基础设施运营使用单位和社会资源力量的协同配合、协调联动工作机制,及时发现、防范、化解网络安全风险隐患,切实提升重要网络系统和数据的安全防护能力。制度实施,各级国家机关、事业单位和团体组织使用财政性资金采购信息安全产品的,应当采购经国家认证的信息安全产品。
2023年7月1日起,在政府采购活动中采购网络安全产品的,不需产品提供国家信息安全产品认证证书。政府采购活动中不得要求或者采取加分等措施变相要求投标产品同时满足安全认证合格和安全检测符合要求。