一位老人去营业厅给手机充话费,孰料手机号码等信息被代理商招聘的员工卖给他人;一名女士下载使用一款“颜值检测”软件,手机相册里的图片竟被盗取……信息时代,个人信息安全保护变得突出和紧迫。
2018年4月,习近平总书记在全国网络安全和信息化工作会议上强调,“没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障。”“要依法严厉打击网络黑客、电信网络诈骗、侵犯公民个人隐私等违法犯罪行为,切断网络犯罪利益链条,持续形成高压态势,维护人民群众合法权益。”
依法治理是最可靠、最稳定的治理。党的十八大以来,从网络安全法的施行到民法典的颁布实施,从数据安全法的出台到个人信息保护法的制定,在数字经济发展和法治建设进程中,我国个人信息保护法律制度逐步建立并不断发展完善。
法律的生命力在于实施。公安部发布的数据显示,2021年全国公安机关共侦办侵犯公民个人信息案件9800余起,抓获犯罪嫌疑人1.7万余名。最高人民检察院发布的数据显示,2021年检察机关办理个人信息保护领域公益诉讼2000余件,同比上升近3倍。今年3月8日,在第十三届全国人民代表大会第五次会议上,最高人民法院向大会报告2021年主要工作时指出:认真贯彻个人信息保护法,严惩窃取倒卖身份证、通讯录、快递单、微信账号、患者信息等各类侵犯公民个人信息犯罪,审结相关案件4098件,同比上升60.2%。
今年的最高人民法院工作报告还列举了有关典型案例:“依法从严惩治行业‘内鬼’泄露个人信息”“审理‘颜值检测’软件窃取个人信息案,惩治网络黑灰产业链犯罪”“严惩通过非法侵入监控系统贩卖幼儿园、养老院实时监控数据的犯罪分子”“审理人脸识别第一案,明确人脸识别技术应用范围,守护公众重要生物识别信息安全”……日前,记者就此采访相关当事人、司法工作者、专家等,看法治如何为个人信息安全保驾护航。
强化源头治理,依法从严惩治行业“内鬼”
“我把手机递给工作人员充话费,没想到个人信息被卖掉了,我自始至终完全不知情。”日前,71岁的湖南怀化洪江市居民唐文(化名)介绍了去年4月在中国移动洪江市商业路营业厅办理业务的经历。
当时,这家营业厅由某代理商运营。去年2月至7月,该代理商招聘的唐某、张某利用为一些客户办理业务的机会,在未告知对方的情况下,将客户相关信息出售给他人。
“唐某、张某供述,他们将客户手机号等信息发到特定微信群,供群内客服人员注册某些网络平台账号,每成功一例获取1元至20元酬金。”洪江市公安局刑侦大队副大队长廖美斌介绍。
“两人借平时为客户办理话费充值、套餐升级等工作便利获取、出售个人信息,属典型的行业内部人员泄露信息犯罪。”廖美斌说,两人共出售个人信息1000余条,其中唐某非法获利1.19万余元,张某非法获利5700余元。
办案过程中,警方随机抽取20名受害人询问核实,其中60岁以上的15人、50至60岁的3人、40至50岁的2人。“他们多挑老年人作案,因为不少老年人不擅长手机操作,便于其实施窃取个人信息的行为,而且不容易被发现。”廖美斌说。
今年1月,洪江市人民法院一审认定唐某、张某犯侵犯公民个人信息罪,判处有期徒刑6个月,分别并处罚金1.5万元、1万元。两人均未上诉。
“违法所得不多,但社会危害性不小。”案件主审法官、洪江市人民法院刑事审判庭副庭长胡南数三解释说,“非法获取、出售公民个人信息用于注册网络平台账号,处在电信网络诈骗犯罪链条的底端。这些少则几元、多则十几元就能买来的平台账号,让从事电信网络诈骗的不法分子拥有了虚假身份,降低了犯罪门槛,提高了公安机关破案的难度。”
“刚买了房,就接到装修公司电话;刚生了小孩,就有机构推销胎毛笔……这些不时发生在我们生活中的‘精准’推销,很多与行业内部人员泄露公民个人信息有关。”湘潭大学法学院副院长连光阳说。
1月14日召开的公安部新闻发布会介绍,2021年,全国公安机关共侦办侵犯公民个人信息案件9800余起,抓获犯罪嫌疑人1.7万余名。最高人民检察院网站信息显示,2021年,500余名泄露公民个人信息的“内鬼”被检察机关起诉,涉及通信、银行、保险、房产、酒店、物业、物流等多个行业。
“行业内部人员作案,反映出部分涉案人员法律意识淡薄,相关单位、行业需要加强内部管理,强化源头治理。”胡南数三说。
本案发生后,中国移动通信集团湖南有限公司怀化市洪江市分公司第一时间注销了涉案个人的工号,清退了代理商。同时组织全市代理商、一线工作人员签订《客户信息安全保护承诺书》,并完善各营业厅监控设备,加大随机抽检、巡检频次。
“去年11月1日起施行的个人信息保护法对个人信息处理者的义务作了明确规定,要求其应当采取必要措施确保个人信息安全。”连光阳介绍,这些措施包括制定内部管理制度和操作规程,对个人信息实行分类管理,采取相应的加密、去标识化等安全技术措施,合理确定个人信息处理的操作权限并定期对从业人员进行安全教育和培训,制定并组织实施个人信息安全事件应急预案等。
坚持多方共治,斩断网络黑灰产业链
不到一年时间,凭借非法控制的多个远程摄像头,巫某牟利80多万元。
2018年4月,巫某通过网上购买的软件,破译了大量某品牌已售摄像头的用户名和密码信息,通过这些信息可随时调看相关监控的实时画面。巫某借此搭建经营一款手机客户端,向会员用户提供实时监控画面并收取费用。“根据可调看的画面数量,会员收费分68元、368元、668元3个档次,通过第三方支付平台自动收取。”案发后,巫某供述。
平台交易数据的异常变化,让巫某非法经营的这个客户端进入北京市公安机关视野。公安机关通过网络侦查手段发现,北京市朝阳区多个药房、养老院、家庭的远程摄像头被非法控制。北京市公安局朝阳分局网络安全保卫大队中队长李震介绍,截至2019年3月巫某被刑事拘留时,该客户端已非法控制远程摄像头18万余个,吸引注册用户1万多人。
2019年12月,北京市朝阳区人民法院以非法控制计算机信息系统罪,一审判处巫某有期徒刑5年,并处罚金10万元。巫某不服,提起上诉。2020年2月,北京市第三中级人民法院作出驳回上诉、维持原判的终审裁定。
根据刑法及相关司法解释规定,“计算机信息系统”指具备自动处理数据功能的系统,包括计算机、网络设备、通信设备、自动化控制设备等。一审法官、北京市朝阳区人民法院审判员王杨说:“巫某非法控制的摄像头实时采集影像、声音,经存储、加工后远程传送至手机等终端,已具备采集数据并回传的网络设备功能,综合违法所得及非法控制摄像头数量等情节,可以认定为非法控制计算机信息系统罪。”
巫某不是单独犯罪。为达到推广的目的,他在网上找到网名为“建站老司机”的洪某,支付1000元请其制作相关宣传网页。王杨介绍,洪某因犯帮助信息网络犯罪活动罪,被判处有期徒刑10个月,并处罚金1万元,同时被禁止从事与互联网相关技术工作3年。
在该案二审法官、北京市第三中级人民法院审判员段伟看来,这类网络犯罪“具有成本低、门槛低、产业化特征明显的特点”。
“传统的共同犯罪,多存在于熟人之间的意思联络。但这样的网络犯罪打破了地域和人与人之间熟悉程度的限制,只需使用虚拟身份即可完成意思联络,具有快捷性、跨区域性、犯罪对象广泛性的特点,增加了案件侦办、审理难度,还容易引发电信网络诈骗等其他犯罪。”北京市第三中级人民法院副院长王海虹说,“信息网络安全监管涉及多个领域,相关部门需形成治理合力。”
2021年5月至8月,中央网信办、工信部、公安部、市场监管总局在全国范围组织开展了摄像头偷窥等黑产集中治理。对人民群众反映强烈的非法利用摄像头偷窥个人隐私画面、交易隐私视频、传授偷窥偷拍技术等侵害公民个人隐私行为进行集中治理。各类网站平台清理相关违规有害信息2.2万余条,处置平台账号4000余个、群组132个,下架违规产品1600余件;存在隐私视频信息泄露隐患的14家视频监控App厂商被约谈,并被督促完成整改。
“斩断网络黑灰产业链犯罪,需要不断完善多方共治机制。”中国政法大学刑事司法学院教授阮齐林说,“生产企业应堵塞技术漏洞,完善反黑客技术措施;网络平台应加强信息审核及安全风险提示;相关部门需加大对生产企业、重点行业监管,形成持久治理机制。”
司法+监管,规范应用程序信息收集处理
实际皮肤年龄,皮肤健康度,总体颜值……打开某款“颜值检测”软件,用户上传一张个人照片,就能给自己的长相、皮肤打分,相关指标分析看似专业。
“这款软件名为‘颜值检测’,实际上用户下载使用后,手机相册里的图片信息就会被盗取上传至相关服务器。”上海市奉贤区人民检察院公益检察室副主任卫倩雯说,很多下载这款软件的用户在毫无防备的情况下被窃取了信息。
“不少图片信息包含银行卡、身份证等重要信息,被窃取后会带来隐患。”上海市公安局奉贤分局刑侦支队民警江旭亮说,“有人可能会冒用他人身份信息注册网络账号、实施网络贷款,还有犯罪分子会利用获取的信息进行电信网络诈骗。”
开发这款手机软件的李某,原为上海某网络公司员工。2020年6月,他将这款具有非法窃取安装者相册图片功能的手机软件,以“颜值检测”软件的名义在网上发布,供人免费下载。奉贤区人民检察院第一检察部检察官陈磊凤介绍,除了利用“颜值检测”软件窃取个人信息,李某还在“暗网”上非法购买了1.5亿余条公民个人信息资料,并在多个QQ群中传播,经去除无效数据、合并去重后,数量仍达8100余万条。
“李某的行为已危害到不特定多数人的个人信息安全,不仅触犯刑法,而且侵犯了公共利益,构成民事侵权。”卫倩雯介绍,对这类利用恶意程序、“钓鱼”欺诈等形式非法获取个人信息的案件,被侵权人往往不知情,且受制于取证能力不足、诉讼成本高等因素,较难通过提起诉讼等方式开展维权。
根据2020年7月起施行的《上海市人民代表大会常务委员会关于加强检察公益诉讼工作的决定》,上海市检察机关可以依法探索开展城市公共安全、金融秩序、知识产权、个人信息安全等领域的公益诉讼工作。2021年8月,奉贤区人民检察院指控被告人李某犯侵犯公民个人信息罪,向奉贤区人民法院提起公诉,并提起刑事附带民事公益诉讼。
2021年8月23日,奉贤区人民法院一审判决李某犯侵犯公民个人信息罪,判处有期徒刑3年,宣告缓刑3年,并处罚金1万元。同时判令其承担删除“颜值检测”软件及相关代码、删除存储在网盘上的相关公民个人信息、在国家级新闻媒体上对其侵犯公民个人信息的行为赔礼道歉等民事责任。李某当庭表示认罪认罚,不再提起上诉。该案主审法官、奉贤区人民法院刑事审判庭审判员管玉洁说:“在个人信息保护案件中引入公益诉讼制度,既能减轻个体维权诉累,又能提高违法犯罪成本,对遏制个人信息领域犯罪具有重要意义。”
个人信息保护法规定:“个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。”今年6月公布的最高人民检察院《关于加强刑事检察与公益诉讼检察衔接协作严厉打击电信网络犯罪加强个人信息司法保护的通知》,要求各地检察机关积极推动促进个人信息保护法等法律法规的统一正确实施,参与网络空间治理,强化刑事检察和公益诉讼检察职能衔接协作,实现全链条打击、一体化网络治理。
最高人民检察院今年2月发布的消息显示,2021年检察机关共办理个人信息保护领域公益诉讼案件2000余件,同比上升近3倍。其中,办理网络侵害个人信息公益诉讼案件800余件,同比上升约1.7倍。
上海社会科学院信息研究所副研究员范佳佳认为,李某侵犯公民个人信息案还反映出,移动互联时代,一些应用程序存在强制授权、过度索权、超范围收集个人信息等情况。“在加强司法保护的同时,事前事中监管也应同步跟进,强化行业、技术监管,推动相关互联网企业合规运营,让数据收集和使用建立在当事人知情、同意的基础之上,符合个人信息保护法等法律法规。”范佳佳说。
2019年以来,国家网信办会同工业和信息化部、公安部、市场监管总局持续开展App违法违规收集使用个人信息专项治理工作。针对群众反映强烈的超范围收集、强制索权等问题,四部门制定发布了《App违法违规收集使用个人信息行为认定方法》《常见类型移动互联网应用程序必要个人信息范围规定》等法律配套政策法规,设立微信公众号等专门渠道受理App个人信息收集使用问题的投诉举报,组织专业技术力量开展App个人信息收集使用合规检测,对违规App综合采取通报、约谈、下架等措施督促整改。2021年,国家网信办等部门加大整治力度,全年共通报1900款违规App,下架697款拒不整改或情节严重的App,有力地震慑了违法违规收集使用个人信息行为,提高了App运营者对个人信息保护工作的重视程度。
“公民个人也需要提升信息保护意识,不随意下载非官方应用商店软件,不点击来路不明的链接,对个人信息收集、权限索取坚持非必要不提供。”范佳佳建议,“政府部门、司法机关、行业企业、公民个人共建共治共享良好数字生态。”
完善法律法规,为新技术规范应用划边界
“请正对镜头,眨一眨眼睛……”
3年多前,杭州野生动物世界正门入口处的人脸识别设备,让浙江理工大学法政学院副教授郭兵有些担心,“工作人员没告知使用的是什么系统,有的员工用手机为游客刷脸,这让我感到很不安全。”
2019年4月,郭兵以1360元购买了杭州野生动物世界的双人年卡,按照双方约定,入园游玩只需要指纹识别。3个月后,杭州野生动物世界将年卡客户入园方式调整为人脸识别,并两次向郭兵发送短信通知。后郭兵与对方多次协商无果。
一纸诉状,郭兵将对方告上法庭。“人脸识别收集的面部特征信息属于敏感个人信息,一旦被泄露或非法使用,很容易危害公民人身和财产安全。”郭兵说,“我选择提起诉讼,寻求的不只是维护个体权益,也是提醒公众提高个人信息保护意识。”
2021年4月,杭州市中级人民法院作出二审判决,判令杭州野生动物世界有限公司删除郭兵办理指纹年卡时提交的照片在内的面部特征信息、删除郭兵办理指纹年卡时提交的指纹识别信息、赔偿郭兵合同利益损失及交通费等。
“用户购买年票时双方约定的入园方式是指纹识别,园方单方面作出人脸识别的改变,构成合同违约。同时,园方欲将收集的郭兵夫妇照片激活处理为人脸信息,不符合个人信息处理的正当性原则。”该案二审法官、杭州市中级人民法院民一庭审判员韩圣超说。
案件的审理裁判一度存在困难。“该案涉及生物识别技术应用边界等司法前沿问题。当时涉及人脸信息处理的规定散见于相关法律法规,且多是原则性规定,哪些情形可以收集处理人脸信息,哪些情形的收集处理构成侵权,缺乏具体的细节条款。我们在相关法律原则的基础上作出裁判,在判决中明确指出人脸等生物识别信息具有较强的人格属性,更应谨慎处理和严格保护。”韩圣超说,“该案在社会上受到较大关注,判决为同类案件裁判和相关司法解释的出台提供了案例参考。”
2021年8月1日起施行的《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》,针对实践中反映较为突出的问题,对相关侵权行为、侵权责任、合同规则以及诉讼程序等方面作出规定,指导各级人民法院正确审理相关案件,统一裁判标准,维护法律统一正确实施。3个月后施行的个人信息保护法,对“敏感个人信息的处理规则”作出专门规定,明确“只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息”“处理敏感个人信息应当取得个人的单独同意”等。
“相关法律法规不断完善,明确个人信息处理活动中的权利义务边界,有利于规范人工智能、大数据等信息技术的应用和发展。”浙江工商大学法学院教授郑英龙说,“持续健全相应的规则制度体系,有助于人民群众在数字经济发展中不断增强获得感、幸福感、安全感。”