大数据时代下,信息已然成为经济社会发展和人民工作生活的重要支点之一,但在其背后也有许多不容忽视的问题。而信息数据安全小到影响个人日常生活,大到国家安全,其风险隐患日渐突出。特别是在后疫情时代之下,一方面是区域性抗疫与常态化抗疫的要求,另一方面是国民经济恢复与发展的需求,个人信息应当如何利用与保护已成为当前需要面临的重要问题,特别是随着公民对于加强个人信息保护的需求愈加强烈,检察机关应如何能动发挥公益诉讼检察职能作用,积极回应群众期盼。本院结合近年来所办理的涉及公民个人信息保护领域的办案实践,进行总结反思。
一、当前国家在保护公民个人信息方面的制度构建
(一)国家保护公民个人信息的法律法规构建。就现行法律法规体系而言,《中华人民共和国网络安全法》《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》“三位一体”的模式已基本构建起我国大数据时代之下个人信息保护的法律屏障。其中,《网络安全法》和《数据安全法》主要立足宏观层面,以网络安全与网络空间的国家主权和数据安全为着眼点,从大格局之下奠定了网络空间的有序发展和整体安全总基调。而《个人信息保护法》则将视野集中于公民自身的个人信息安全,从处理规则、敏感信息、权利与义务以及救济方式等方面出发,聚焦公民这一微观层面对个人信息保护作出全面详实的规定。同时,《民法典》《居民身份证法》《政府信息公开条例》等法律法规也从公民隐私权、个人信息、政府信息公开等方面不同程度的对保护公民个人信息安全进行了规定和阐述。
(二)检察机关履行公益诉讼职能保护公民个人信息的制度构建。除开《民事诉讼法》和《行政诉讼法》关于检察机关公益诉讼的相关规定,近年来国家以及地方也先后出台有关文件对检察机关履行公益诉讼职能保护公民个人信息方面进行进一步的明确。2021年6月,中共中央出台的《关于加强新时代检察机关法律监督工作的意见》提出了“积极稳妥拓展公益诉讼案件范围,探索办理个人信息保护等领域公益损害案件。”2019年7月,湖北省人大常委会作为全国第一家省级人大常委会审议通过《关于加强检察公益诉讼工作的决定》,明确授权湖北省检察机关依法在安全生产、文物和文化遗产保护、电信互联网涉及众多公民个人信息保护等领域开展公益诉讼工作。2021年11月1日,《中华人民共和国个人信息保护法》正式实施,其中第七十条规定:“个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。”上述政策文件以及法律的规定,为检察机关依法有序开展涉个人信息保护领域公益诉讼工作提供了足够的制度和法律支撑。
二、办案实践
通过分析本院近年来办理的13起涉及公民个人信息保护领域行政公益诉讼案和6件侵犯公民个人信息刑事案件,公民个人信息公开和保护面临的现状主要是以下几点:
(一)政府职能之下的公民个人信息保护现状。在大数据的应用推广的背景之下,公民个人信息具有着基石性作用,是我国政府及有关部门进行行政活动的重要支撑和参考材料。那么,个人信息安全与否也从侧面反映出政府行政行为及时有效合法与否。根据各个行政机关职责的不同,行政主体在履行职责过程中会因工作需求不同程度的获取公民个人信息。如:教育部门的贫困大学生补助政策、民政部门的高龄补贴政策以及精准扶贫过程中相关部门的各项补贴政策等等。行政主体为确保政策的实施,采集的公民个人信息包括但不限于:姓名、公民身份号码、电话号码、户籍信息、银行账户等。行政主体在确保信息准确、政策落实的基础上,会依据公平公正便民的原则以及《政府信息公开条例》相关要求向社会大众进行公示。但《政府信息公开条例》中并未对政府信息的收集、利用、保护以及信息删除等作出详实规定。并且由于行政部门的内部要求各有不同,导致审核程序存在不规范不严谨之处,再未采取脱敏、去标识化或技术处理的前提下就进行公示。并且《政府信息公开条例》也未对数据保存、公示等相关期限进行明确规定,各部门仅注重信息采集与公示,对于后续处理并未重视,导致的现实情况就是部分信息公示长达数年之久,大大增加了个人信息泄露的风险。
(二)疫情防控情形下的公民个人信息保护现状。目前,疫情防控已成为常态化工作,全国各地已基本形成了以地方政府为主导,卫生行政部门授权,疾控、医疗机构采集、公布疫情相关监测数据的抗疫联防模式。[]在这种联防模式之下,信息采集主体过于分散、数据加密、脱敏等技术的不成熟以及对于信息保护认识不一等情形的客观存在,导致信息采集利用过程不可避免的存在漏洞,难以形成完整的保护闭环。因此,疫情防控中依职权或被授权行使个人信息的采集、管理等职能的主体呈现出的多元化态势,这为个人信息的利用保护增设了不可控的因素,致使在国家治理、风险管控以及个人信息保护等方面负担剧增。应对疫情这种突发性公共卫生事件,如《传染病防治法》《突发公共卫生事件应急条例》等法律法规未就收集主体在个人信息收发、利用与保护等方面如何行使权利予以详细规定。而且个人信息所依托的载体复杂多样,任何一种传播媒介都有可能导致个人信息在短时间内迅速传播,以致于一些损害个人信息主体合法权益的事件屡见不鲜。因此,在权责不明、措施不当的情况下,任何一个信息收集主体都存在信息泄露的风险,而且一旦出现信息泄露情况,又难以溯源追责。同时因疫情防控任务的艰巨性,一旦漏报、瞒报,主体将承担非常严重的责任,加之具体获取的信息范围没有明确规定与限制,这使得大部分授权主体会违背个人信息采集的最小必要原则,尽可能获取更大范围的信息以求稳妥,因而超过必要范围收集信息的情况十分普遍。
(三)刑事犯罪下的公民个人信息保护现状。通过违法犯罪行为与公民个人信息的关系,主要分为直接针对公民个人信息的犯罪和将公民个人信息作为手段工具进行犯罪两种形式。结合办理的刑事案件来看,特别是对于基层检察院而言,直接针对公民个人信息的犯罪较为普遍,其主要表现为利用各种手段、方式非法获取、非法售卖公民个人信息。如:作为通讯行业工作人员的犯罪嫌疑人利用其职务便利,以办理业务为由获取客户电话号码等信息,并在未经客户允许的情况下向他人出售;部分犯罪嫌疑人通过朋友圈、qq等社交平台收购淘宝、京东、陌陌等app账户,再通过其他渠道进行售卖,以此赚取差价等等。行业“内鬼”、贪图小利的犯罪表现形式成为了基层检察机关办理涉及公民个人信息保护刑事案件的主体。将公民个人信息作为手段和工具进行犯罪的行为则主要表现为各种诈骗、冒用盗用类的违法犯罪行为,特别是电信网络类诈骗案件。电信网络诈骗高度依赖公民个人信息,犯罪嫌疑人通过获取个人信息,并以此映射出特定个人的活动轨迹、健康信息、人际网络、消费行为、生活习惯、交易习惯等,通过分析以此达到“精准诈骗”目的。因此,在此类犯罪中,犯罪嫌疑人通常对被害人了如指掌。直接针对公民个人信息的犯罪行为通常是利用公民个人信息作为手段和工具进行犯罪的行为的上游犯罪,大量的非法获取、售卖个人信息行为出现,为网络诈骗等犯罪行为提供了充足的、可利用的犯罪基础,从而形成了一条完整的“产业链条”。
三、通过办案引发的思考
(一)关于办理公民个人信息保护行政公益诉讼案件。行政公益诉讼本质上是监督之诉、协同之诉,其工作目标与价值追求同行政机关是完全一致的。随着电子政务的普及,更多政府行使职权、管理事务都需要借助网络施行。《政府信息公开条例》明确规定:“涉及商业秘密、个人隐私等公开会对第三方合法权益造成损害的政府信息,行政机关不得公开。”对于政府部门来说,保护公民隐私是应尽的法律义务,公示绝非泄露公民隐私的“法外之地”,政府部门应充分尊重公民的正当权利,严守权利边界,对收集的个人信息的用处、处理及保护措施等对公民进行主动释明,让公民能够安心行使自身权利。《政府信息公开条例》明确规定,县级以上地方人民政府办公厅(室)是一行政区域内的政府信息公开工作主管部门,各行政部门依照规定进行公开。因此对于检察机关在履行公益诉讼职能过程中发现的,由于政府部门相工作疏漏等原因,导致在政务公开过程中出现的泄露公民隐私等情形,应及时通过诉前磋商、公开听证、检察建议等形式,及时帮助督促行政机关依法整改,堵住监管漏洞。可以依托政府的职能定位,通过建立以政府为中心、各行政机关为网络的政府信息公开审核机制,明确“谁公开、谁负责”的责任导向,形成一个完整的采集、利用、公示、保存、删除的闭环管理模式。在政府部门履行公开政务信息义务的同时,夯实其保护公民个人信息的责任,以检察公益诉讼职能推动政府部门完善信息公开前的审查制度,助推其治理能力的提升,共同筑牢保护公民个人信息的防线。
(二)关于办理公民个人信息保护民事公益诉讼方面。要充分发挥检察一体化优势,针对严重侵害公民个人信息的犯罪行为,通过提起刑事附带民事公益诉讼,一方面依法追究其刑事责任,另一方面通过刑附民要求刑事被告人承担民事责任,提高违法犯罪成本。对于公民自身就个人信息受到侵害需要维护自己合法权益的,检察机关可以探索通过支持起诉的方式引导被害人自主通过法律的方式进行维权,这有利于全社会共同形成良好的自我保护意识。《民法典》规定了承担民事责任的主要方式,即停止侵害、赔偿损失、赔礼道歉等 11 种方式。但是从现实来看,鉴于网络空间的虚拟性特点,对于公民个人信息保护来说,这些责任方式的有效性、针对性尚有不够。如“赔偿损失”,虽然《个人信息保护法》第六十九条:“其损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;难以确定的,根据实际情况确定赔偿数额。”就赔偿问题进行了规定,但是公民个人信息所反映出的对于特定人的价值以及损失往往难以用金钱进行等价衡量,难以达到损害同赔偿的有效平衡。再如“恢复原状、消除影响”作为事后救济性措施,部分检察机关在办理“收购并转卖”类型的公民个人信息的案件中,通常会要求被告人永久删除已获取的公民信息,但对于已泄露的信息而言,无论是从技术层面而言、还是从消除现实影响来看,这些相关手段都难以对已造成泄露的情形进行有效补救的,即一部分事后救济性措施作为诉求在公民个人信息民事公益诉讼方面不易实现。对此,针对公民个人信息保护民事公益诉讼的特点,可以探索适用新的救济方式。一是适用惩罚性赔偿制度。《网络安全法》第六十四条就明确规定了“处违法所得一倍以上十倍以下罚款”的行政处罚制度。那么在民事公益诉讼案件,可以探索适用惩罚性赔偿。侵犯公民个人信息案件属于获利远高于支出的“暴利”行业,通过惩罚性赔偿可以有效解决这一现象,提高犯罪成本;同时也能震慑企图通过侵犯公民个人信息获利的行为人。二是可以对接诚信监管体系或者引入行业禁止的相关规定。针对侵犯公民个人信息的犯罪,可以参考“失信人”的管理办法,对涉案人员或涉案企业纳入个人诚信或者企业诚信评价体系。再如参考《中华人民共和国食品安全法》第一百三十五条明确规定的食品行业吊销营业执照或因食品犯罪被判处有期徒刑以上刑罚后的行业禁止条例,通过引入类似规定,对被告人或者被告企业在一定期限内禁止从事与公民个人信息相关的业务或工作。这样不仅可以有效打击行业“内鬼”,也能规范涉及信息领域的市场运行。
(作者:庞广宇,董君一;兴山县人民检察院)
一、当前国家在保护公民个人信息方面的制度构建
(一)国家保护公民个人信息的法律法规构建。就现行法律法规体系而言,《中华人民共和国网络安全法》《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》“三位一体”的模式已基本构建起我国大数据时代之下个人信息保护的法律屏障。其中,《网络安全法》和《数据安全法》主要立足宏观层面,以网络安全与网络空间的国家主权和数据安全为着眼点,从大格局之下奠定了网络空间的有序发展和整体安全总基调。而《个人信息保护法》则将视野集中于公民自身的个人信息安全,从处理规则、敏感信息、权利与义务以及救济方式等方面出发,聚焦公民这一微观层面对个人信息保护作出全面详实的规定。同时,《民法典》《居民身份证法》《政府信息公开条例》等法律法规也从公民隐私权、个人信息、政府信息公开等方面不同程度的对保护公民个人信息安全进行了规定和阐述。
(二)检察机关履行公益诉讼职能保护公民个人信息的制度构建。除开《民事诉讼法》和《行政诉讼法》关于检察机关公益诉讼的相关规定,近年来国家以及地方也先后出台有关文件对检察机关履行公益诉讼职能保护公民个人信息方面进行进一步的明确。2021年6月,中共中央出台的《关于加强新时代检察机关法律监督工作的意见》提出了“积极稳妥拓展公益诉讼案件范围,探索办理个人信息保护等领域公益损害案件。”2019年7月,湖北省人大常委会作为全国第一家省级人大常委会审议通过《关于加强检察公益诉讼工作的决定》,明确授权湖北省检察机关依法在安全生产、文物和文化遗产保护、电信互联网涉及众多公民个人信息保护等领域开展公益诉讼工作。2021年11月1日,《中华人民共和国个人信息保护法》正式实施,其中第七十条规定:“个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。”上述政策文件以及法律的规定,为检察机关依法有序开展涉个人信息保护领域公益诉讼工作提供了足够的制度和法律支撑。
二、办案实践
通过分析本院近年来办理的13起涉及公民个人信息保护领域行政公益诉讼案和6件侵犯公民个人信息刑事案件,公民个人信息公开和保护面临的现状主要是以下几点:
(一)政府职能之下的公民个人信息保护现状。在大数据的应用推广的背景之下,公民个人信息具有着基石性作用,是我国政府及有关部门进行行政活动的重要支撑和参考材料。那么,个人信息安全与否也从侧面反映出政府行政行为及时有效合法与否。根据各个行政机关职责的不同,行政主体在履行职责过程中会因工作需求不同程度的获取公民个人信息。如:教育部门的贫困大学生补助政策、民政部门的高龄补贴政策以及精准扶贫过程中相关部门的各项补贴政策等等。行政主体为确保政策的实施,采集的公民个人信息包括但不限于:姓名、公民身份号码、电话号码、户籍信息、银行账户等。行政主体在确保信息准确、政策落实的基础上,会依据公平公正便民的原则以及《政府信息公开条例》相关要求向社会大众进行公示。但《政府信息公开条例》中并未对政府信息的收集、利用、保护以及信息删除等作出详实规定。并且由于行政部门的内部要求各有不同,导致审核程序存在不规范不严谨之处,再未采取脱敏、去标识化或技术处理的前提下就进行公示。并且《政府信息公开条例》也未对数据保存、公示等相关期限进行明确规定,各部门仅注重信息采集与公示,对于后续处理并未重视,导致的现实情况就是部分信息公示长达数年之久,大大增加了个人信息泄露的风险。
(二)疫情防控情形下的公民个人信息保护现状。目前,疫情防控已成为常态化工作,全国各地已基本形成了以地方政府为主导,卫生行政部门授权,疾控、医疗机构采集、公布疫情相关监测数据的抗疫联防模式。[]在这种联防模式之下,信息采集主体过于分散、数据加密、脱敏等技术的不成熟以及对于信息保护认识不一等情形的客观存在,导致信息采集利用过程不可避免的存在漏洞,难以形成完整的保护闭环。因此,疫情防控中依职权或被授权行使个人信息的采集、管理等职能的主体呈现出的多元化态势,这为个人信息的利用保护增设了不可控的因素,致使在国家治理、风险管控以及个人信息保护等方面负担剧增。应对疫情这种突发性公共卫生事件,如《传染病防治法》《突发公共卫生事件应急条例》等法律法规未就收集主体在个人信息收发、利用与保护等方面如何行使权利予以详细规定。而且个人信息所依托的载体复杂多样,任何一种传播媒介都有可能导致个人信息在短时间内迅速传播,以致于一些损害个人信息主体合法权益的事件屡见不鲜。因此,在权责不明、措施不当的情况下,任何一个信息收集主体都存在信息泄露的风险,而且一旦出现信息泄露情况,又难以溯源追责。同时因疫情防控任务的艰巨性,一旦漏报、瞒报,主体将承担非常严重的责任,加之具体获取的信息范围没有明确规定与限制,这使得大部分授权主体会违背个人信息采集的最小必要原则,尽可能获取更大范围的信息以求稳妥,因而超过必要范围收集信息的情况十分普遍。
(三)刑事犯罪下的公民个人信息保护现状。通过违法犯罪行为与公民个人信息的关系,主要分为直接针对公民个人信息的犯罪和将公民个人信息作为手段工具进行犯罪两种形式。结合办理的刑事案件来看,特别是对于基层检察院而言,直接针对公民个人信息的犯罪较为普遍,其主要表现为利用各种手段、方式非法获取、非法售卖公民个人信息。如:作为通讯行业工作人员的犯罪嫌疑人利用其职务便利,以办理业务为由获取客户电话号码等信息,并在未经客户允许的情况下向他人出售;部分犯罪嫌疑人通过朋友圈、qq等社交平台收购淘宝、京东、陌陌等app账户,再通过其他渠道进行售卖,以此赚取差价等等。行业“内鬼”、贪图小利的犯罪表现形式成为了基层检察机关办理涉及公民个人信息保护刑事案件的主体。将公民个人信息作为手段和工具进行犯罪的行为则主要表现为各种诈骗、冒用盗用类的违法犯罪行为,特别是电信网络类诈骗案件。电信网络诈骗高度依赖公民个人信息,犯罪嫌疑人通过获取个人信息,并以此映射出特定个人的活动轨迹、健康信息、人际网络、消费行为、生活习惯、交易习惯等,通过分析以此达到“精准诈骗”目的。因此,在此类犯罪中,犯罪嫌疑人通常对被害人了如指掌。直接针对公民个人信息的犯罪行为通常是利用公民个人信息作为手段和工具进行犯罪的行为的上游犯罪,大量的非法获取、售卖个人信息行为出现,为网络诈骗等犯罪行为提供了充足的、可利用的犯罪基础,从而形成了一条完整的“产业链条”。
三、通过办案引发的思考
(一)关于办理公民个人信息保护行政公益诉讼案件。行政公益诉讼本质上是监督之诉、协同之诉,其工作目标与价值追求同行政机关是完全一致的。随着电子政务的普及,更多政府行使职权、管理事务都需要借助网络施行。《政府信息公开条例》明确规定:“涉及商业秘密、个人隐私等公开会对第三方合法权益造成损害的政府信息,行政机关不得公开。”对于政府部门来说,保护公民隐私是应尽的法律义务,公示绝非泄露公民隐私的“法外之地”,政府部门应充分尊重公民的正当权利,严守权利边界,对收集的个人信息的用处、处理及保护措施等对公民进行主动释明,让公民能够安心行使自身权利。《政府信息公开条例》明确规定,县级以上地方人民政府办公厅(室)是一行政区域内的政府信息公开工作主管部门,各行政部门依照规定进行公开。因此对于检察机关在履行公益诉讼职能过程中发现的,由于政府部门相工作疏漏等原因,导致在政务公开过程中出现的泄露公民隐私等情形,应及时通过诉前磋商、公开听证、检察建议等形式,及时帮助督促行政机关依法整改,堵住监管漏洞。可以依托政府的职能定位,通过建立以政府为中心、各行政机关为网络的政府信息公开审核机制,明确“谁公开、谁负责”的责任导向,形成一个完整的采集、利用、公示、保存、删除的闭环管理模式。在政府部门履行公开政务信息义务的同时,夯实其保护公民个人信息的责任,以检察公益诉讼职能推动政府部门完善信息公开前的审查制度,助推其治理能力的提升,共同筑牢保护公民个人信息的防线。
(二)关于办理公民个人信息保护民事公益诉讼方面。要充分发挥检察一体化优势,针对严重侵害公民个人信息的犯罪行为,通过提起刑事附带民事公益诉讼,一方面依法追究其刑事责任,另一方面通过刑附民要求刑事被告人承担民事责任,提高违法犯罪成本。对于公民自身就个人信息受到侵害需要维护自己合法权益的,检察机关可以探索通过支持起诉的方式引导被害人自主通过法律的方式进行维权,这有利于全社会共同形成良好的自我保护意识。《民法典》规定了承担民事责任的主要方式,即停止侵害、赔偿损失、赔礼道歉等 11 种方式。但是从现实来看,鉴于网络空间的虚拟性特点,对于公民个人信息保护来说,这些责任方式的有效性、针对性尚有不够。如“赔偿损失”,虽然《个人信息保护法》第六十九条:“其损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;难以确定的,根据实际情况确定赔偿数额。”就赔偿问题进行了规定,但是公民个人信息所反映出的对于特定人的价值以及损失往往难以用金钱进行等价衡量,难以达到损害同赔偿的有效平衡。再如“恢复原状、消除影响”作为事后救济性措施,部分检察机关在办理“收购并转卖”类型的公民个人信息的案件中,通常会要求被告人永久删除已获取的公民信息,但对于已泄露的信息而言,无论是从技术层面而言、还是从消除现实影响来看,这些相关手段都难以对已造成泄露的情形进行有效补救的,即一部分事后救济性措施作为诉求在公民个人信息民事公益诉讼方面不易实现。对此,针对公民个人信息保护民事公益诉讼的特点,可以探索适用新的救济方式。一是适用惩罚性赔偿制度。《网络安全法》第六十四条就明确规定了“处违法所得一倍以上十倍以下罚款”的行政处罚制度。那么在民事公益诉讼案件,可以探索适用惩罚性赔偿。侵犯公民个人信息案件属于获利远高于支出的“暴利”行业,通过惩罚性赔偿可以有效解决这一现象,提高犯罪成本;同时也能震慑企图通过侵犯公民个人信息获利的行为人。二是可以对接诚信监管体系或者引入行业禁止的相关规定。针对侵犯公民个人信息的犯罪,可以参考“失信人”的管理办法,对涉案人员或涉案企业纳入个人诚信或者企业诚信评价体系。再如参考《中华人民共和国食品安全法》第一百三十五条明确规定的食品行业吊销营业执照或因食品犯罪被判处有期徒刑以上刑罚后的行业禁止条例,通过引入类似规定,对被告人或者被告企业在一定期限内禁止从事与公民个人信息相关的业务或工作。这样不仅可以有效打击行业“内鬼”,也能规范涉及信息领域的市场运行。
(作者:庞广宇,董君一;兴山县人民检察院)