检察公益诉讼视野下公民个人信息权益保护
2022-11-28   作者:​李丹 廉秀利   来源:中国检察官公众号

image.png

检察公益诉讼视野下

公民个人信息权益保护

——以望城区检察院办理敏感

个人信息保护行政公益诉讼案为切入

image.png

李 丹

长沙市望城区人民检察院

第五检察部主任

image.png

廉秀利

长沙市望城区人民检察院

第五检察部检察官助理

随着互联网、大数据和人工智能等现代信息技术的广泛应用,网络已经并且仍持续不断地全面融合覆盖现实生活,网络大数据也通过信息的流动和共享改变着人们的生活方式,因网络的普遍应用而汇聚起的海量个人信息已成为发展数字经济的最重要因素。互联网时代如何有效实现公民个人信息权益保护已经成为社会各界关注的社会问题。

《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)专门设立公益诉讼条款,明确将个人信息保护纳入检察公益诉讼法定领域;最高人民检察院随之下发了《关于贯彻执行个人信息保护法推进个人信息保护公益诉讼检察工作的通知》,要求检察机关切实加大办案力度,推动公益诉讼条款落地落实。长沙市望城区人民检察院借助检察一体化优势,通过办理督促医疗卫生机构推进预防接种信息化中完善敏感个人信息保护行政公益诉讼案,有效保护了80余万条指纹和80余万条人脸信息等敏感个人信息,补齐公民个人信息权益保护短板的同时,通过丰富检察公益诉讼司法实践助力个人信息权益保护的法治建设与完善。

一、个人信息权益保护现状

1.个人信息权益保护得到高度重视

一是个人信息保护的法律体系建设不断完善。随着《个人信息保护法》的施行,我国已形成了以《个人信息保护法》为统筹、《网络安全法》等法律、《关键信息基础设施安全保护条例》等行政法规、《湖南省网络安全和信息化条例》等地方性法规、《信息系统等级保护管理办法》等规章、《信息安全技术 个人信息安全规范》等适用标准组成的多层级个人信息确权和保护机制,构建了涵盖民商事法、行政法、刑事法等多个法律部门共同组成的个人信息权益保护法律体系。二是强化个人信息权益保护的高位决策。党的二十大报告在“推进国家安全体系和能力现代化,坚决维护国家安全和社会稳定”中明确要求“加强个人信息保护”;2022年《政府工作报告》在“推进社会治理共建共治共享”中要求“强化网络安全、数据安全和个人信息保护”;《中共中央关于加强新时代检察机关法律监督工作的意见》在“积极稳妥推进公益诉讼检察”中要求检察机关探索办理个人信息保护等领域公益损害案件。

2.个人信息在个人信息处理活动中的全过程“裸奔”

望城区院在办案中发现,医疗卫生机构在处理个人信息过程中存在如下对敏感个人信息处理不当、保护不到位的问题:一是违反充分必要性原则规定,过度收集疫苗受种者或监护人的指纹和人脸识别等敏感个人信息;二是违反敏感个人信息处理规则,收集信息前未取得个人的单独同意、未告知处理敏感个人信息必要性及对个人权益的影响;三是未按要求采取有效技术措施防止未经授权的访问及个人信息泄露、篡改、丢失风险,现行电子签核系统存在弱口令、未对数据传输和存储加密、未授权访问和非法使用用户个人信息、目录遍历等安全漏洞,经鉴定电子签核系统为高风险信息安全级别;四是管理措施不到位,未制定内部管理制度和操作规程、未定期对从业人员进行安全教育和培训、未制定并组织实施个人信息安全事件应急预案等;五是未落实网络安全等级保护制度要求并向公安机关办理信息系统备案手续。由此可见,个人信息处理者的不规范处理活动可能贯穿个人信息的收集、存储、传输、使用等全过程,从而使个人信息处于全过程“裸奔”状态。

3.公民对个人信息保护工作满意度有待提高

中国政法大学数据法治研究院发布的《个人信息保护和数据安全网民满意度调查报告(2021)》从三个角度反映了网民对个人信息保护的感知情况。一是网民对个人信息保护的整体评价不高。认为非常好或比较好的占比分别为10.02%、27.5%,共计37.52%;认为一般 、不太好及非常不好的占比分别为35.86%、17.64%、8.98%,共计62.48%。二是网民对个人信息泄露感受强烈。没有遇到或很少遇到个人信息泄露的占比分别为9.26%、13.82%,共计23.08%;有一些、比较多甚至非常多遇到个人信息泄露的占比分别为35.66%、27.32%、13.93%,共计76.91%。三是网民对生物识别信息的利用充满担忧。对生物识别技术的安全性非常担心或比较担心的占比分别为21.34%、36.62%,共计57.96%;很少担心或没有担心的占比分别为11.99%、4.95%,共计16.94%。这三组数据直观地反映出公民的个人信息权益保护意识不断觉醒,对强化个人信息保护力度的需求不断增大。

不管是从法律体系的完善,还是从高位决策来说,个人信息保权益保护工作已经得到前所未有的重视。在此背景下,个人信息权益保护“短板”仍较为突出,个人信息在个人信息处理活动中仍处于全过程“裸奔”状态、公民对个人信息权益保护工作满意度仍然不高,个种原因,值得深思。

二、个人信息权益保护存在“短板”的原因分析

1.个人信息权益保护与利用的失衡

个人信息权益起源于《宪法》中的“人格尊严”,承接自《民法典》中的“人格权”,在权利位阶体系中具有重要地位。同时,数字经济时代,个人信息数据已经成为重要的治理资源和财富来源。个人信息数据在个人与公共等不同层面具有个人权益与隐私、社会经济与公共安全等多重不同的属性和价值,使个人信息权益保护与利用的权衡成为必然,个人信息权益保护“短板”则是两者失衡的具体体现。两者失衡的原因主要在于:一是权利(力)主体力量失衡。个人信息处理者往往因其强大的技术力量、资本的高度集中及作为服务提供者一方,居于强势一方;个人信息主体则由于信息不对称、不透明的决策环境及技术弱势,为获取相应产品或服务而处于弱势一方,这使得个人信息主体面对权益侵害时无能为力。二是利益平衡机制失衡。尤其是在个人信息数据已成为新型资产的社会背景下,个人信息处理者倾向于过度收集甚至违规处理个人信息,个人信息主体对权益保护的需求与信息处理者对个人信息利用的需求之间产生了尖锐冲突。面对冲突,处于弱势地位的个人信息主体无力维护合法权益,使个人信息处理者的违法成本更加降低,造成个人信息保护机制的失灵与个人信息处理的无序,利益平衡机制失衡成为必然。

2.履行个人信息保护职责部门的监管缺位

望城区院在调查核实时发现,17家社区卫生服务中心中,表示主管部门要求对收集的个人信息保密的为6家,占比35%;参加过主管部门专门组织的关于个人信息保护培训的为2家,占比11.76%;主管部门对电子签核系统的运行情况进行过监督检查的为0家;等级保护管理部门如公安部门、网信部门对电子签核系统进行过监督检查的为0家。等级保护管理部门则表示,社区卫生服务中心未就电子签核系统的安装或使用提交过审核,亦未办理备案手续,社区卫生服务中心使用电子签核系统处理敏感个人信息的活动处于无法监管、不能监管的状态。可以看出,履行个人信息保护职责部门的监管缺位,体现在以下两个方面:一是主管部门只重前期部署,不重事中与事后督促指导,导致个人信息处理活动标准不一,处于无序状态;二是主管部门与等级保护管理部门沟通机制不畅通,信息系统未进入监管部门“视线”,导致出现监管“真空”。

3.法律法规未能具体落实落地

一是相关法律法规的规定较为原则,如《个人信息保护法》第二十八条第二款规定的敏感个人信息处理原则,“只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息”,“特定的目的”和“充分的必要性”较为抽象,规则的具体适用仍需细化。二是法律法规规定的条款多为不完全法条,如《民法典》中第一千零三十七条第二款规定的“自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的,有权请求信息处理者及时删除”,这里的“法律、行政法规的规定”,仍需进一步查找法条并在释法说理的基础上强化衔接。三是相关法律法规规定较为分散。互联网时代,加强个人信息权益保护需强化网络安全,而《个人信息保护法》《网络安全法》等法律各有不同的立法目的,保护的法益亦不相同,各法律规范如何在保护同一法益方面强化衔接与协调尚没有成熟的路径与实践经验,使同一法益的保护工作不能完全和彻底。

三、检察公益诉讼助力信息化时代个人信息权益保护

1.推动个人信息权益保护与信息化的协同发展

“网络安全和信息化是一体之两翼、驱动之双轮”。习近平总书记在主持中共十九届政治局第二十六次集体学习时强调,要“坚持统筹发展和安全,坚持发展和安全并重,实现高质量发展和高水平安全的良性互动”。信息化时代个人信息权益保护和利用的失衡直接导致个人信息权益保护成为网络安全的短板。望城区院通过办理发挥公益诉讼检察职能作用,采取“对已收集的敏感个人信息数据‘备份封存+本地彻底删除+到期彻底删除’、电子签核系统升级改造为电子屏签字+网络安全等级保护”的整改方式,在发挥新一代信息技术在医疗领域促进基本公共服务均等化、便利化的同时,厘清了医疗卫生机构推进预防接种信息化建设过程中个人信息权益保护和利用的界限,补齐了预防接种数字化门诊建设过程中的敏感个人信息保护短板,推动了个人信息权益保护与信息化的协同发展。

2.汇聚各方合力强化个人信息保护

一是发挥检察一体化优势推进溯源治理。秉持以“小切口”解决“大问题”的司法理念,长沙市人民检察院全程参与、指导望城区院办理公益诉讼案件,并以“望城经验”为蓝本,从市级层面与行政机关加强对话,推动市卫健委强化市域类似问题整改,切实形成办理一案、整改和警示一片的办案效果。二是推动履行个人信息保护职责部门协同发力。依法具化网信部门的统筹协调职责:组织信息安全等级保护评估机构对检察机关办案所涉问题进行个人信息安全影响评估,提升办案科学性和有效性;强化与主管部门的对话与协调,形成周延的个人信息权益保护体系;持续跟进案件整改方案,保持对敏感个人信息保护与信息化协同的重视和审慎。明确主管部门对信息化建设及数字化门诊建设的组织管理责任、等级保护管理部门的网络安全等级保护监督职责,督促加强执法,切实实现双赢多赢共赢。三是凝聚共识强化公民个人信息保护。望城区院主动邀请人大代表、政协委员参与听证会,听取人大代表、政协委员在加强个人信息权益保护方面的意见、建议,凝聚了社会共识。

3.强化释法说理推动法律规范落地见效

一是推动个人信息保护立法与个人信息保护标准化的良性互动。如结合《信息安全技术 个人信息安全规范》(GB/T 35273-2020)中关于“收集个人信息的最小必要”原则,明确“收集的个人信息类型应与实现产品或服务的业务功能有直接关联,即没有上述个人信息的参与,产品或服务的功能无法实现,且只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量”,对《个人信息保护法》中处理敏感个人信息的“特定的目的”和“充分必要性”进行细化和补充。二是强化不同法律规范的衔接与协调,实现个人信息安全管理。管理措施和技术措施是强化个人信息安全管理的主要措施,而访问操作权限设置、去标识化或加密等技术措施尤为专业和有效。望城区院以落实《网络安全法》《信息安全等级保护管理办法》中网络安全等级保护制度为基础、发挥网络安全等级测评机构专业优势,实现不同法律规范在个人信息权益保护中的有效衔接,切实推动法律规范落地见效。

《个人信息保护法》的施行,标志着大数据时代我国个人信息权益保护进入了新的历史阶段,但个人信息权益保护的法律规定仍需细化和补充、不同法律规范之间仍需加强衔接与协调、负有个人信息保护职责的部门如何履职仍需强化统筹和沟通。望城区院贯彻“小切口”解决“大问题”的司法理念,通过发挥公益诉讼检察职能作用,强化释法说理推动法律规范落地见效,汇聚各方合力补齐互联网时代个人信息权益保护的短板,有效探索了公民个人信息权益保护的规范路径,切实助力个人信息权益保护和治理体系的严密和完善。

[责任编辑:虞滢颖]