引子

　　一位老人去營業廳給手機充話費，孰料手機號碼等信息被代理商招聘的員工賣給他人﹔一名女士下載使用一款“顏值檢測”軟件，手機相冊裡的圖片竟被盜取……信息時代，個人信息安全保護變得突出和緊迫。

　　2018年4月，習近平總書記在全國網絡安全和信息化工作會議上強調，“沒有網絡安全就沒有國家安全，就沒有經濟社會穩定運行，廣大人民群眾利益也難以得到保障。”“要依法嚴厲打擊網絡黑客、電信網絡詐騙、侵犯公民個人隱私等違法犯罪行為，切斷網絡犯罪利益鏈條，持續形成高壓態勢，維護人民群眾合法權益。”

　　依法治理是最可靠、最穩定的治理。黨的十八大以來，從網絡安全法的施行到民法典的頒布實施，從數據安全法的出台到個人信息保護法的制定，在數字經濟發展和法治建設進程中，我國個人信息保護法律制度逐步建立並不斷發展完善。

　　法律的生命力在於實施。公安部發布的數據顯示，2021年全國公安機關共偵辦侵犯公民個人信息案件9800余起，抓獲犯罪嫌疑人1.7萬余名。最高人民檢察院發布的數據顯示，2021年檢察機關辦理個人信息保護領域公益訴訟2000余件，同比上升近3倍。今年3月8日，在第十三屆全國人民代表大會第五次會議上，最高人民法院向大會報告2021年主要工作時指出：認真貫徹個人信息保護法，嚴懲竊取倒賣身份証、通訊錄、快遞單、微信賬號、患者信息等各類侵犯公民個人信息犯罪，審結相關案件4098件，同比上升60.2%。

　　今年的最高人民法院工作報告還列舉了有關典型案例：“依法從嚴懲治行業‘內鬼’泄露個人信息”“審理‘顏值檢測’軟件竊取個人信息案，懲治網絡黑灰產業鏈犯罪”“嚴懲通過非法侵入監控系統販賣幼兒園、養老院實時監控數據的犯罪分子”“審理人臉識別第一案，明確人臉識別技術應用范圍，守護公眾重要生物識別信息安全”……日前，記者就此採訪相關當事人、司法工作者、專家等，看法治如何為個人信息安全保駕護航。

　　強化源頭治理，依法從嚴懲治行業“內鬼”

　　“我把手機遞給工作人員充話費，沒想到個人信息被賣掉了，我自始至終完全不知情。”日前，71歲的湖南懷化洪江市居民唐文（化名）介紹了去年4月在中國移動洪江市商業路營業廳辦理業務的經歷。

　　當時，這家營業廳由某代理商運營。去年2月至7月，該代理商招聘的唐某、張某利用為一些客戶辦理業務的機會，在未告知對方的情況下，將客戶相關信息出售給他人。

　　“唐某、張某供述，他們將客戶手機號等信息發到特定微信群，供群內客服人員注冊某些網絡平台賬號，每成功一例獲取1元至20元酬金。”洪江市公安局刑偵大隊副大隊長廖美斌介紹。

　　“兩人借平時為客戶辦理話費充值、套餐升級等工作便利獲取、出售個人信息，屬典型的行業內部人員泄露信息犯罪。”廖美斌說，兩人共出售個人信息1000余條，其中唐某非法獲利1.19萬余元，張某非法獲利5700余元。

　　辦案過程中，警方隨機抽取20名受害人詢問核實，其中60歲以上的15人、50至60歲的3人、40至50歲的2人。“他們多挑老年人作案，因為不少老年人不擅長手機操作，便於其實施竊取個人信息的行為，而且不容易被發現。”廖美斌說。

　　今年1月，洪江市人民法院一審認定唐某、張某犯侵犯公民個人信息罪，判處有期徒刑6個月，分別並處罰金1.5萬元、1萬元。兩人均未上訴。

　　“違法所得不多，但社會危害性不小。”案件主審法官、洪江市人民法院刑事審判庭副庭長胡南數三解釋說，“非法獲取、出售公民個人信息用於注冊網絡平台賬號，處在電信網絡詐騙犯罪鏈條的底端。這些少則幾元、多則十幾元就能買來的平台賬號，讓從事電信網絡詐騙的不法分子擁有了虛假身份，降低了犯罪門檻，提高了公安機關破案的難度。”

　　“剛買了房，就接到裝修公司電話﹔剛生了小孩，就有機構推銷胎毛筆……這些不時發生在我們生活中的‘精准’推銷，很多與行業內部人員泄露公民個人信息有關。”湘潭大學法學院副院長連光陽說。

　　1月14日召開的公安部新聞發布會介紹，2021年，全國公安機關共偵辦侵犯公民個人信息案件9800余起，抓獲犯罪嫌疑人1.7萬余名。最高人民檢察院網站信息顯示，2021年，500余名泄露公民個人信息的“內鬼”被檢察機關起訴，涉及通信、銀行、保險、房產、酒店、物業、物流等多個行業。

　　“行業內部人員作案，反映出部分涉案人員法律意識淡薄，相關單位、行業需要加強內部管理，強化源頭治理。”胡南數三說。

　　本案發生后，中國移動通信集團湖南有限公司懷化市洪江市分公司第一時間注銷了涉案個人的工號，清退了代理商。同時組織全市代理商、一線工作人員簽訂《客戶信息安全保護承諾書》，並完善各營業廳監控設備，加大隨機抽檢、巡檢頻次。

　　“去年11月1日起施行的個人信息保護法對個人信息處理者的義務作了明確規定，要求其應當採取必要措施確保個人信息安全。”連光陽介紹，這些措施包括制定內部管理制度和操作規程，對個人信息實行分類管理，採取相應的加密、去標識化等安全技術措施，合理確定個人信息處理的操作權限並定期對從業人員進行安全教育和培訓，制定並組織實施個人信息安全事件應急預案等。

　　堅持多方共治，斬斷網絡黑灰產業鏈

　　不到一年時間，憑借非法控制的多個遠程攝像頭，巫某牟利80多萬元。

　　2018年4月，巫某通過網上購買的軟件，破譯了大量某品牌已售攝像頭的用戶名和密碼信息，通過這些信息可隨時調看相關監控的實時畫面。巫某借此搭建經營一款手機客戶端，向會員用戶提供實時監控畫面並收取費用。“根據可調看的畫面數量，會員收費分68元、368元、668元3個檔次，通過第三方支付平台自動收取。”案發后，巫某供述。

　　平台交易數據的異常變化，讓巫某非法經營的這個客戶端進入北京市公安機關視野。公安機關通過網絡偵查手段發現，北京市朝陽區多個藥房、養老院、家庭的遠程攝像頭被非法控制。北京市公安局朝陽分局網絡安全保衛大隊中隊長李震介紹，截至2019年3月巫某被刑事拘留時，該客戶端已非法控制遠程攝像頭18萬余個，吸引注冊用戶1萬多人。

　　2019年12月，北京市朝陽區人民法院以非法控制計算機信息系統罪，一審判處巫某有期徒刑5年，並處罰金10萬元。巫某不服，提起上訴。2020年2月，北京市第三中級人民法院作出駁回上訴、維持原判的終審裁定。

　　根據刑法及相關司法解釋規定，“計算機信息系統”指具備自動處理數據功能的系統，包括計算機、網絡設備、通信設備、自動化控制設備等。一審法官、北京市朝陽區人民法院審判員王楊說：“巫某非法控制的攝像頭實時採集影像、聲音，經存儲、加工后遠程傳送至手機等終端，已具備採集數據並回傳的網絡設備功能，綜合違法所得及非法控制攝像頭數量等情節，可以認定為非法控制計算機信息系統罪。”

　　巫某不是單獨犯罪。為達到推廣的目的，他在網上找到網名為“建站老司機”的洪某，支付1000元請其制作相關宣傳網頁。王楊介紹，洪某因犯幫助信息網絡犯罪活動罪，被判處有期徒刑10個月，並處罰金1萬元，同時被禁止從事與互聯網相關技術工作3年。

　　在該案二審法官、北京市第三中級人民法院審判員段偉看來，這類網絡犯罪“具有成本低、門檻低、產業化特征明顯的特點”。

　　“傳統的共同犯罪，多存在於熟人之間的意思聯絡。但這樣的網絡犯罪打破了地域和人與人之間熟悉程度的限制，隻需使用虛擬身份即可完成意思聯絡，具有快捷性、跨區域性、犯罪對象廣泛性的特點，增加了案件偵辦、審理難度，還容易引發電信網絡詐騙等其他犯罪。”北京市第三中級人民法院副院長王海虹說，“信息網絡安全監管涉及多個領域，相關部門需形成治理合力。”

　　2021年5月至8月，中央網信辦、工信部、公安部、市場監管總局在全國范圍組織開展了攝像頭偷窺等黑產集中治理。對人民群眾反映強烈的非法利用攝像頭偷窺個人隱私畫面、交易隱私視頻、傳授偷窺偷拍技術等侵害公民個人隱私行為進行集中治理。各類網站平台清理相關違規有害信息2.2萬余條，處置平台賬號4000余個、群組132個，下架違規產品1600余件﹔存在隱私視頻信息泄露隱患的14家視頻監控App廠商被約談，並被督促完成整改。

　　“斬斷網絡黑灰產業鏈犯罪，需要不斷完善多方共治機制。”中國政法大學刑事司法學院教授阮齊林說，“生產企業應堵塞技術漏洞，完善反黑客技術措施﹔網絡平台應加強信息審核及安全風險提示﹔相關部門需加大對生產企業、重點行業監管，形成持久治理機制。”

　　司法+監管，規范應用程序信息收集處理

　　實際皮膚年齡，皮膚健康度，總體顏值……打開某款“顏值檢測”軟件，用戶上傳一張個人照片，就能給自己的長相、皮膚打分，相關指標分析看似專業。

　　“這款軟件名為‘顏值檢測’，實際上用戶下載使用后，手機相冊裡的圖片信息就會被盜取上傳至相關服務器。”上海市奉賢區人民檢察院公益檢察室副主任衛倩雯說，很多下載這款軟件的用戶在毫無防備的情況下被竊取了信息。

　　“不少圖片信息包含銀行卡、身份証等重要信息，被竊取后會帶來隱患。”上海市公安局奉賢分局刑偵支隊民警江旭亮說，“有人可能會冒用他人身份信息注冊網絡賬號、實施網絡貸款，還有犯罪分子會利用獲取的信息進行電信網絡詐騙。”

　　開發這款手機軟件的李某，原為上海某網絡公司員工。2020年6月，他將這款具有非法竊取安裝者相冊圖片功能的手機軟件，以“顏值檢測”軟件的名義在網上發布，供人免費下載。奉賢區人民檢察院第一檢察部檢察官陳磊鳳介紹，除了利用“顏值檢測”軟件竊取個人信息，李某還在“暗網”上非法購買了1.5億余條公民個人信息資料，並在多個QQ群中傳播，經去除無效數據、合並去重后，數量仍達8100余萬條。

　　“李某的行為已危害到不特定多數人的個人信息安全，不僅觸犯刑法，而且侵犯了公共利益，構成民事侵權。”衛倩雯介紹，對這類利用惡意程序、“釣魚”欺詐等形式非法獲取個人信息的案件，被侵權人往往不知情，且受制於取証能力不足、訴訟成本高等因素，較難通過提起訴訟等方式開展維權。

　　根據2020年7月起施行的《上海市人民代表大會常務委員會關於加強檢察公益訴訟工作的決定》，上海市檢察機關可以依法探索開展城市公共安全、金融秩序、知識產權、個人信息安全等領域的公益訴訟工作。2021年8月，奉賢區人民檢察院指控被告人李某犯侵犯公民個人信息罪，向奉賢區人民法院提起公訴，並提起刑事附帶民事公益訴訟。

　　2021年8月23日，奉賢區人民法院一審判決李某犯侵犯公民個人信息罪，判處有期徒刑3年，宣告緩刑3年，並處罰金1萬元。同時判令其承擔刪除“顏值檢測”軟件及相關代碼、刪除存儲在網盤上的相關公民個人信息、在國家級新聞媒體上對其侵犯公民個人信息的行為賠禮道歉等民事責任。李某當庭表示認罪認罰，不再提起上訴。該案主審法官、奉賢區人民法院刑事審判庭審判員管玉潔說：“在個人信息保護案件中引入公益訴訟制度，既能減輕個體維權訴累，又能提高違法犯罪成本，對遏制個人信息領域犯罪具有重要意義。”

　　個人信息保護法規定：“個人信息處理者違反本法規定處理個人信息，侵害眾多個人的權益的，人民檢察院、法律規定的消費者組織和由國家網信部門確定的組織可以依法向人民法院提起訴訟。”今年6月公布的最高人民檢察院《關於加強刑事檢察與公益訴訟檢察銜接協作嚴厲打擊電信網絡犯罪加強個人信息司法保護的通知》，要求各地檢察機關積極推動促進個人信息保護法等法律法規的統一正確實施，參與網絡空間治理，強化刑事檢察和公益訴訟檢察職能銜接協作，實現全鏈條打擊、一體化網絡治理。

　　最高人民檢察院今年2月發布的消息顯示，2021年檢察機關共辦理個人信息保護領域公益訴訟案件2000余件，同比上升近3倍。其中，辦理網絡侵害個人信息公益訴訟案件800余件，同比上升約1.7倍。

　　上海社會科學院信息研究所副研究員范佳佳認為，李某侵犯公民個人信息案還反映出，移動互聯時代，一些應用程序存在強制授權、過度索權、超范圍收集個人信息等情況。“在加強司法保護的同時，事前事中監管也應同步跟進，強化行業、技術監管，推動相關互聯網企業合規運營，讓數據收集和使用建立在當事人知情、同意的基礎之上，符合個人信息保護法等法律法規。”范佳佳說。

　　2019年以來，國家網信辦會同工業和信息化部、公安部、市場監管總局持續開展App違法違規收集使用個人信息專項治理工作。針對群眾反映強烈的超范圍收集、強制索權等問題，四部門制定發布了《App違法違規收集使用個人信息行為認定方法》《常見類型移動互聯網應用程序必要個人信息范圍規定》等法律配套政策法規，設立微信公眾號等專門渠道受理App個人信息收集使用問題的投訴舉報，組織專業技術力量開展App個人信息收集使用合規檢測，對違規App綜合採取通報、約談、下架等措施督促整改。2021年，國家網信辦等部門加大整治力度，全年共通報1900款違規App，下架697款拒不整改或情節嚴重的App，有力地震懾了違法違規收集使用個人信息行為，提高了App運營者對個人信息保護工作的重視程度。

　　“公民個人也需要提升信息保護意識，不隨意下載非官方應用商店軟件，不點擊來路不明的鏈接，對個人信息收集、權限索取堅持非必要不提供。”范佳佳建議，“政府部門、司法機關、行業企業、公民個人共建共治共享良好數字生態。”

　　完善法律法規，為新技術規范應用劃邊界

　　“請正對鏡頭，眨一眨眼睛……”

　　3年多前，杭州野生動物世界正門入口處的人臉識別設備，讓浙江理工大學法政學院副教授郭兵有些擔心，“工作人員沒告知使用的是什麼系統，有的員工用手機為游客刷臉，這讓我感到很不安全。”

　　2019年4月，郭兵以1360元購買了杭州野生動物世界的雙人年卡，按照雙方約定，入園游玩隻需要指紋識別。3個月后，杭州野生動物世界將年卡客戶入園方式調整為人臉識別，並兩次向郭兵發送短信通知。后郭兵與對方多次協商無果。

　　一紙訴狀，郭兵將對方告上法庭。“人臉識別收集的面部特征信息屬於敏感個人信息，一旦被泄露或非法使用，很容易危害公民人身和財產安全。”郭兵說，“我選擇提起訴訟，尋求的不只是維護個體權益，也是提醒公眾提高個人信息保護意識。”

　　2021年4月，杭州市中級人民法院作出二審判決，判令杭州野生動物世界有限公司刪除郭兵辦理指紋年卡時提交的照片在內的面部特征信息、刪除郭兵辦理指紋年卡時提交的指紋識別信息、賠償郭兵合同利益損失及交通費等。

　　“用戶購買年票時雙方約定的入園方式是指紋識別，園方單方面作出人臉識別的改變，構成合同違約。同時，園方欲將收集的郭兵夫婦照片激活處理為人臉信息，不符合個人信息處理的正當性原則。”該案二審法官、杭州市中級人民法院民一庭審判員韓聖超說。

　　案件的審理裁判一度存在困難。“該案涉及生物識別技術應用邊界等司法前沿問題。當時涉及人臉信息處理的規定散見於相關法律法規，且多是原則性規定，哪些情形可以收集處理人臉信息，哪些情形的收集處理構成侵權，缺乏具體的細節條款。我們在相關法律原則的基礎上作出裁判，在判決中明確指出人臉等生物識別信息具有較強的人格屬性，更應謹慎處理和嚴格保護。”韓聖超說，“該案在社會上受到較大關注，判決為同類案件裁判和相關司法解釋的出台提供了案例參考。”

　　2021年8月1日起施行的《最高人民法院關於審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定》，針對實踐中反映較為突出的問題，對相關侵權行為、侵權責任、合同規則以及訴訟程序等方面作出規定，指導各級人民法院正確審理相關案件，統一裁判標准，維護法律統一正確實施。3個月后施行的個人信息保護法，對“敏感個人信息的處理規則”作出專門規定，明確“隻有在具有特定的目的和充分的必要性，並採取嚴格保護措施的情形下，個人信息處理者方可處理敏感個人信息”“處理敏感個人信息應當取得個人的單獨同意”等。

　　“相關法律法規不斷完善，明確個人信息處理活動中的權利義務邊界，有利於規范人工智能、大數據等信息技術的應用和發展。”浙江工商大學法學院教授鄭英龍說，“持續健全相應的規則制度體系，有助於人民群眾在數字經濟發展中不斷增強獲得感、幸福感、安全感。”

　　版式設計：蔡華偉

分享讓更多人看到