引子

　　一位老人去營業(ye) 廳給手機充話費，孰料手機號碼等信息被代理商招聘的員工賣給他人；一名女士下載使用一款“顏值檢測”軟件，手機相冊(ce) 裏的圖片竟被盜取……信息時代，個(ge) 人信息安全保護變得突出和緊迫。

　　2018年4月，習(xi) 近平總書(shu) 記在全國網絡安全和信息化工作會(hui) 議上強調，“沒有網絡安全就沒有國家安全，就沒有經濟社會(hui) 穩定運行，廣大人民群眾(zhong) 利益也難以得到保障。”“要依法嚴(yan) 厲打擊網絡黑客、電信網絡詐騙、侵犯公民個(ge) 人隱私等違法犯罪行為(wei) ，切斷網絡犯罪利益鏈條，持續形成高壓態勢，維護人民群眾(zhong) 合法權益。”

　　依法治理是最可靠、最穩定的治理。黨(dang) 的十八大以來，從(cong) 網絡安全法的施行到民法典的頒布實施，從(cong) 數據安全法的出台到個(ge) 人信息保護法的製定，在數字經濟發展和法治建設進程中，我國個(ge) 人信息保護法律製度逐步建立並不斷發展完善。

　　法律的生命力在於(yu) 實施。公安部發布的數據顯示，2021年全國公安機關(guan) 共偵(zhen) 辦侵犯公民個(ge) 人信息案件9800餘(yu) 起，抓獲犯罪嫌疑人1.7萬(wan) 餘(yu) 名。最高人民檢察院發布的數據顯示，2021年檢察機關(guan) 辦理個(ge) 人信息保護領域公益訴訟2000餘(yu) 件，同比上升近3倍。今年3月8日，在第十三屆全國人民代表大會(hui) 第五次會(hui) 議上，最高人民法院向大會(hui) 報告2021年主要工作時指出：認真貫徹個(ge) 人信息保護法，嚴(yan) 懲竊取倒賣身份證、通訊錄、快遞單、微信賬號、患者信息等各類侵犯公民個(ge) 人信息犯罪，審結相關(guan) 案件4098件，同比上升60.2%。

　　今年的最高人民法院工作報告還列舉(ju) 了有關(guan) 典型案例：“依法從(cong) 嚴(yan) 懲治行業(ye) ‘內(nei) 鬼’泄露個(ge) 人信息”“審理‘顏值檢測’軟件竊取個(ge) 人信息案，懲治網絡黑灰產(chan) 業(ye) 鏈犯罪”“嚴(yan) 懲通過非法侵入監控係統販賣幼兒(er) 園、養(yang) 老院實時監控數據的犯罪分子”“審理人臉識別第一案，明確人臉識別技術應用範圍，守護公眾(zhong) 重要生物識別信息安全”……日前，記者就此采訪相關(guan) 當事人、司法工作者、專(zhuan) 家等，看法治如何為(wei) 個(ge) 人信息安全保駕護航。

　　強化源頭治理，依法從(cong) 嚴(yan) 懲治行業(ye) “內(nei) 鬼”

　　“我把手機遞給工作人員充話費，沒想到個(ge) 人信息被賣掉了，我自始至終完全不知情。”日前，71歲的湖南懷化洪江市居民唐文（化名）介紹了去年4月在中國移動洪江市商業(ye) 路營業(ye) 廳辦理業(ye) 務的經曆。

　　當時，這家營業(ye) 廳由某代理商運營。去年2月至7月，該代理商招聘的唐某、張某利用為(wei) 一些客戶辦理業(ye) 務的機會(hui) ，在未告知對方的情況下，將客戶相關(guan) 信息出售給他人。

　　“唐某、張某供述，他們(men) 將客戶手機號等信息發到特定微信群，供群內(nei) 客服人員注冊(ce) 某些網絡平台賬號，每成功一例獲取1元至20元酬金。”洪江市公安局刑偵(zhen) 大隊副大隊長廖美斌介紹。

　　“兩(liang) 人借平時為(wei) 客戶辦理話費充值、套餐升級等工作便利獲取、出售個(ge) 人信息，屬典型的行業(ye) 內(nei) 部人員泄露信息犯罪。”廖美斌說，兩(liang) 人共出售個(ge) 人信息1000餘(yu) 條，其中唐某非法獲利1.19萬(wan) 餘(yu) 元，張某非法獲利5700餘(yu) 元。

　　辦案過程中，警方隨機抽取20名受害人詢問核實，其中60歲以上的15人、50至60歲的3人、40至50歲的2人。“他們(men) 多挑老年人作案，因為(wei) 不少老年人不擅長手機操作，便於(yu) 其實施竊取個(ge) 人信息的行為(wei) ，而且不容易被發現。”廖美斌說。

　　今年1月，洪江市人民法院一審認定唐某、張某犯侵犯公民個(ge) 人信息罪，判處有期徒刑6個(ge) 月，分別並處罰金1.5萬(wan) 元、1萬(wan) 元。兩(liang) 人均未上訴。

　　“違法所得不多，但社會(hui) 危害性不小。”案件主審法官、洪江市人民法院刑事審判庭副庭長胡南數三解釋說，“非法獲取、出售公民個(ge) 人信息用於(yu) 注冊(ce) 網絡平台賬號，處在電信網絡詐騙犯罪鏈條的底端。這些少則幾元、多則十幾元就能買(mai) 來的平台賬號，讓從(cong) 事電信網絡詐騙的不法分子擁有了虛假身份，降低了犯罪門檻，提高了公安機關(guan) 破案的難度。”

　　“剛買(mai) 了房，就接到裝修公司電話；剛生了小孩，就有機構推銷胎毛筆……這些不時發生在我們(men) 生活中的‘精準’推銷，很多與(yu) 行業(ye) 內(nei) 部人員泄露公民個(ge) 人信息有關(guan) 。”湘潭大學法學院副院長連光陽說。

　　1月14日召開的公安部新聞發布會(hui) 介紹，2021年，全國公安機關(guan) 共偵(zhen) 辦侵犯公民個(ge) 人信息案件9800餘(yu) 起，抓獲犯罪嫌疑人1.7萬(wan) 餘(yu) 名。最高人民檢察院網站信息顯示，2021年，500餘(yu) 名泄露公民個(ge) 人信息的“內(nei) 鬼”被檢察機關(guan) 起訴，涉及通信、銀行、保險、房產(chan) 、酒店、物業(ye) 、物流等多個(ge) 行業(ye) 。

　　“行業(ye) 內(nei) 部人員作案，反映出部分涉案人員法律意識淡薄，相關(guan) 單位、行業(ye) 需要加強內(nei) 部管理，強化源頭治理。”胡南數三說。

　　本案發生後，中國移動通信集團湖南有限公司懷化市洪江市分公司第一時間注銷了涉案個(ge) 人的工號，清退了代理商。同時組織全市代理商、一線工作人員簽訂《客戶信息安全保護承諾書(shu) 》，並完善各營業(ye) 廳監控設備，加大隨機抽檢、巡檢頻次。

　　“去年11月1日起施行的個(ge) 人信息保護法對個(ge) 人信息處理者的義(yi) 務作了明確規定，要求其應當采取必要措施確保個(ge) 人信息安全。”連光陽介紹，這些措施包括製定內(nei) 部管理製度和操作規程，對個(ge) 人信息實行分類管理，采取相應的加密、去標識化等安全技術措施，合理確定個(ge) 人信息處理的操作權限並定期對從(cong) 業(ye) 人員進行安全教育和培訓，製定並組織實施個(ge) 人信息安全事件應急預案等。

　　堅持多方共治，斬斷網絡黑灰產(chan) 業(ye) 鏈

　　不到一年時間，憑借非法控製的多個(ge) 遠程攝像頭，巫某牟利80多萬(wan) 元。

　　2018年4月，巫某通過網上購買(mai) 的軟件，破譯了大量某品牌已售攝像頭的用戶名和密碼信息，通過這些信息可隨時調看相關(guan) 監控的實時畫麵。巫某借此搭建經營一款手機客戶端，向會(hui) 員用戶提供實時監控畫麵並收取費用。“根據可調看的畫麵數量，會(hui) 員收費分68元、368元、668元3個(ge) 檔次，通過第三方支付平台自動收取。”案發後，巫某供述。

　　平台交易數據的異常變化，讓巫某非法經營的這個(ge) 客戶端進入北京市公安機關(guan) 視野。公安機關(guan) 通過網絡偵(zhen) 查手段發現，北京市朝陽區多個(ge) 藥房、養(yang) 老院、家庭的遠程攝像頭被非法控製。北京市公安局朝陽分局網絡安全保衛大隊中隊長李震介紹，截至2019年3月巫某被刑事拘留時，該客戶端已非法控製遠程攝像頭18萬(wan) 餘(yu) 個(ge) ，吸引注冊(ce) 用戶1萬(wan) 多人。

　　2019年12月，北京市朝陽區人民法院以非法控製計算機信息係統罪，一審判處巫某有期徒刑5年，並處罰金10萬(wan) 元。巫某不服，提起上訴。2020年2月，北京市第三中級人民法院作出駁回上訴、維持原判的終審裁定。

　　根據刑法及相關(guan) 司法解釋規定，“計算機信息係統”指具備自動處理數據功能的係統，包括計算機、網絡設備、通信設備、自動化控製設備等。一審法官、北京市朝陽區人民法院審判員王楊說：“巫某非法控製的攝像頭實時采集影像、聲音，經存儲(chu) 、加工後遠程傳(chuan) 送至手機等終端，已具備采集數據並回傳(chuan) 的網絡設備功能，綜合違法所得及非法控製攝像頭數量等情節，可以認定為(wei) 非法控製計算機信息係統罪。”

　　巫某不是單獨犯罪。為(wei) 達到推廣的目的，他在網上找到網名為(wei) “建站老司機”的洪某，支付1000元請其製作相關(guan) 宣傳(chuan) 網頁。王楊介紹，洪某因犯幫助信息網絡犯罪活動罪，被判處有期徒刑10個(ge) 月，並處罰金1萬(wan) 元，同時被禁止從(cong) 事與(yu) 互聯網相關(guan) 技術工作3年。

　　在該案二審法官、北京市第三中級人民法院審判員段偉(wei) 看來，這類網絡犯罪“具有成本低、門檻低、產(chan) 業(ye) 化特征明顯的特點”。

　　“傳(chuan) 統的共同犯罪，多存在於(yu) 熟人之間的意思聯絡。但這樣的網絡犯罪打破了地域和人與(yu) 人之間熟悉程度的限製，隻需使用虛擬身份即可完成意思聯絡，具有快捷性、跨區域性、犯罪對象廣泛性的特點，增加了案件偵(zhen) 辦、審理難度，還容易引發電信網絡詐騙等其他犯罪。”北京市第三中級人民法院副院長王海虹說，“信息網絡安全監管涉及多個(ge) 領域，相關(guan) 部門需形成治理合力。”

　　2021年5月至8月，中央網信辦、工信部、公安部、市場監管總局在全國範圍組織開展了攝像頭偷窺等黑產(chan) 集中治理。對人民群眾(zhong) 反映強烈的非法利用攝像頭偷窺個(ge) 人隱私畫麵、交易隱私視頻、傳(chuan) 授偷窺偷拍技術等侵害公民個(ge) 人隱私行為(wei) 進行集中治理。各類網站平台清理相關(guan) 違規有害信息2.2萬(wan) 餘(yu) 條，處置平台賬號4000餘(yu) 個(ge) 、群組132個(ge) ，下架違規產(chan) 品1600餘(yu) 件；存在隱私視頻信息泄露隱患的14家視頻監控App廠商被約談，並被督促完成整改。

　　“斬斷網絡黑灰產(chan) 業(ye) 鏈犯罪，需要不斷完善多方共治機製。”中國政法大學刑事司法學院教授阮齊林說，“生產(chan) 企業(ye) 應堵塞技術漏洞，完善反黑客技術措施；網絡平台應加強信息審核及安全風險提示；相關(guan) 部門需加大對生產(chan) 企業(ye) 、重點行業(ye) 監管，形成持久治理機製。”

　　司法+監管，規範應用程序信息收集處理

　　實際皮膚年齡，皮膚健康度，總體(ti) 顏值……打開某款“顏值檢測”軟件，用戶上傳(chuan) 一張個(ge) 人照片，就能給自己的長相、皮膚打分，相關(guan) 指標分析看似專(zhuan) 業(ye) 。

　　“這款軟件名為(wei) ‘顏值檢測’，實際上用戶下載使用後，手機相冊(ce) 裏的圖片信息就會(hui) 被盜取上傳(chuan) 至相關(guan) 服務器。”上海市奉賢區人民檢察院公益檢察室副主任衛倩雯說，很多下載這款軟件的用戶在毫無防備的情況下被竊取了信息。

　　“不少圖片信息包含銀行卡、身份證等重要信息，被竊取後會(hui) 帶來隱患。”上海市公安局奉賢分局刑偵(zhen) 支隊民警江旭亮說，“有人可能會(hui) 冒用他人身份信息注冊(ce) 網絡賬號、實施網絡貸款，還有犯罪分子會(hui) 利用獲取的信息進行電信網絡詐騙。”

　　開發這款手機軟件的李某，原為(wei) 上海某網絡公司員工。2020年6月，他將這款具有非法竊取安裝者相冊(ce) 圖片功能的手機軟件，以“顏值檢測”軟件的名義(yi) 在網上發布，供人免費下載。奉賢區人民檢察院第一檢察部檢察官陳磊鳳介紹，除了利用“顏值檢測”軟件竊取個(ge) 人信息，李某還在“暗網”上非法購買(mai) 了1.5億(yi) 餘(yu) 條公民個(ge) 人信息資料，並在多個(ge) QQ群中傳(chuan) 播，經去除無效數據、合並去重後，數量仍達8100餘(yu) 萬(wan) 條。

　　“李某的行為(wei) 已危害到不特定多數人的個(ge) 人信息安全，不僅(jin) 觸犯刑法，而且侵犯了公共利益，構成民事侵權。”衛倩雯介紹，對這類利用惡意程序、“釣魚”欺詐等形式非法獲取個(ge) 人信息的案件，被侵權人往往不知情，且受製於(yu) 取證能力不足、訴訟成本高等因素，較難通過提起訴訟等方式開展維權。

　　根據2020年7月起施行的《上海市人民代表大會(hui) 常務委員會(hui) 關(guan) 於(yu) 加強檢察公益訴訟工作的決(jue) 定》，上海市檢察機關(guan) 可以依法探索開展城市公共安全、金融秩序、知識產(chan) 權、個(ge) 人信息安全等領域的公益訴訟工作。2021年8月，奉賢區人民檢察院指控被告人李某犯侵犯公民個(ge) 人信息罪，向奉賢區人民法院提起公訴，並提起刑事附帶民事公益訴訟。

　　2021年8月23日，奉賢區人民法院一審判決(jue) 李某犯侵犯公民個(ge) 人信息罪，判處有期徒刑3年，宣告緩刑3年，並處罰金1萬(wan) 元。同時判令其承擔刪除“顏值檢測”軟件及相關(guan) 代碼、刪除存儲(chu) 在網盤上的相關(guan) 公民個(ge) 人信息、在國家級新聞媒體(ti) 上對其侵犯公民個(ge) 人信息的行為(wei) 賠禮道歉等民事責任。李某當庭表示認罪認罰，不再提起上訴。該案主審法官、奉賢區人民法院刑事審判庭審判員管玉潔說：“在個(ge) 人信息保護案件中引入公益訴訟製度，既能減輕個(ge) 體(ti) 維權訴累，又能提高違法犯罪成本，對遏製個(ge) 人信息領域犯罪具有重要意義(yi) 。”

　　個(ge) 人信息保護法規定：“個(ge) 人信息處理者違反本法規定處理個(ge) 人信息，侵害眾(zhong) 多個(ge) 人的權益的，人民檢察院、法律規定的消費者組織和由國家網信部門確定的組織可以依法向人民法院提起訴訟。”今年6月公布的最高人民檢察院《關(guan) 於(yu) 加強刑事檢察與(yu) 公益訴訟檢察銜接協作嚴(yan) 厲打擊電信網絡犯罪加強個(ge) 人信息司法保護的通知》，要求各地檢察機關(guan) 積極推動促進個(ge) 人信息保護法等法律法規的統一正確實施，參與(yu) 網絡空間治理，強化刑事檢察和公益訴訟檢察職能銜接協作，實現全鏈條打擊、一體(ti) 化網絡治理。

　　最高人民檢察院今年2月發布的消息顯示，2021年檢察機關(guan) 共辦理個(ge) 人信息保護領域公益訴訟案件2000餘(yu) 件，同比上升近3倍。其中，辦理網絡侵害個(ge) 人信息公益訴訟案件800餘(yu) 件，同比上升約1.7倍。

　　上海社會(hui) 科學院信息研究所副研究員範佳佳認為(wei) ，李某侵犯公民個(ge) 人信息案還反映出，移動互聯時代，一些應用程序存在強製授權、過度索權、超範圍收集個(ge) 人信息等情況。“在加強司法保護的同時，事前事中監管也應同步跟進，強化行業(ye) 、技術監管，推動相關(guan) 互聯網企業(ye) 合規運營，讓數據收集和使用建立在當事人知情、同意的基礎之上，符合個(ge) 人信息保護法等法律法規。”範佳佳說。

　　2019年以來，國家網信辦會(hui) 同工業(ye) 和信息化部、公安部、市場監管總局持續開展App違法違規收集使用個(ge) 人信息專(zhuan) 項治理工作。針對群眾(zhong) 反映強烈的超範圍收集、強製索權等問題，四部門製定發布了《App違法違規收集使用個(ge) 人信息行為(wei) 認定方法》《常見類型移動互聯網應用程序必要個(ge) 人信息範圍規定》等法律配套政策法規，設立微信公眾(zhong) 號等專(zhuan) 門渠道受理App個(ge) 人信息收集使用問題的投訴舉(ju) 報，組織專(zhuan) 業(ye) 技術力量開展App個(ge) 人信息收集使用合規檢測，對違規App綜合采取通報、約談、下架等措施督促整改。2021年，國家網信辦等部門加大整治力度，全年共通報1900款違規App，下架697款拒不整改或情節嚴(yan) 重的App，有力地震懾了違法違規收集使用個(ge) 人信息行為(wei) ，提高了App運營者對個(ge) 人信息保護工作的重視程度。

　　“公民個(ge) 人也需要提升信息保護意識，不隨意下載非官方應用商店軟件，不點擊來路不明的鏈接，對個(ge) 人信息收集、權限索取堅持非必要不提供。”範佳佳建議，“政府部門、司法機關(guan) 、行業(ye) 企業(ye) 、公民個(ge) 人共建共治共享良好數字生態。”

　　完善法律法規，為(wei) 新技術規範應用劃邊界

　　“請正對鏡頭，眨一眨眼睛……”

　　3年多前，杭州野生動物世界正門入口處的人臉識別設備，讓浙江理工大學法政學院副教授郭兵有些擔心，“工作人員沒告知使用的是什麽(me) 係統，有的員工用手機為(wei) 遊客刷臉，這讓我感到很不安全。”

　　2019年4月，郭兵以1360元購買(mai) 了杭州野生動物世界的雙人年卡，按照雙方約定，入園遊玩隻需要指紋識別。3個(ge) 月後，杭州野生動物世界將年卡客戶入園方式調整為(wei) 人臉識別，並兩(liang) 次向郭兵發送短信通知。後郭兵與(yu) 對方多次協商無果。

　　一紙訴狀，郭兵將對方告上法庭。“人臉識別收集的麵部特征信息屬於(yu) 敏感個(ge) 人信息，一旦被泄露或非法使用，很容易危害公民人身和財產(chan) 安全。”郭兵說，“我選擇提起訴訟，尋求的不隻是維護個(ge) 體(ti) 權益，也是提醒公眾(zhong) 提高個(ge) 人信息保護意識。”

　　2021年4月，杭州市中級人民法院作出二審判決(jue) ，判令杭州野生動物世界有限公司刪除郭兵辦理指紋年卡時提交的照片在內(nei) 的麵部特征信息、刪除郭兵辦理指紋年卡時提交的指紋識別信息、賠償(chang) 郭兵合同利益損失及交通費等。

　　“用戶購買(mai) 年票時雙方約定的入園方式是指紋識別，園方單方麵作出人臉識別的改變，構成合同違約。同時，園方欲將收集的郭兵夫婦照片激活處理為(wei) 人臉信息，不符合個(ge) 人信息處理的正當性原則。”該案二審法官、杭州市中級人民法院民一庭審判員韓聖超說。

　　案件的審理裁判一度存在困難。“該案涉及生物識別技術應用邊界等司法前沿問題。當時涉及人臉信息處理的規定散見於(yu) 相關(guan) 法律法規，且多是原則性規定，哪些情形可以收集處理人臉信息，哪些情形的收集處理構成侵權，缺乏具體(ti) 的細節條款。我們(men) 在相關(guan) 法律原則的基礎上作出裁判，在判決(jue) 中明確指出人臉等生物識別信息具有較強的人格屬性，更應謹慎處理和嚴(yan) 格保護。”韓聖超說，“該案在社會(hui) 上受到較大關(guan) 注，判決(jue) 為(wei) 同類案件裁判和相關(guan) 司法解釋的出台提供了案例參考。”

　　2021年8月1日起施行的《最高人民法院關(guan) 於(yu) 審理使用人臉識別技術處理個(ge) 人信息相關(guan) 民事案件適用法律若幹問題的規定》，針對實踐中反映較為(wei) 突出的問題，對相關(guan) 侵權行為(wei) 、侵權責任、合同規則以及訴訟程序等方麵作出規定，指導各級人民法院正確審理相關(guan) 案件，統一裁判標準，維護法律統一正確實施。3個(ge) 月後施行的個(ge) 人信息保護法，對“敏感個(ge) 人信息的處理規則”作出專(zhuan) 門規定，明確“隻有在具有特定的目的和充分的必要性，並采取嚴(yan) 格保護措施的情形下，個(ge) 人信息處理者方可處理敏感個(ge) 人信息”“處理敏感個(ge) 人信息應當取得個(ge) 人的單獨同意”等。

　　“相關(guan) 法律法規不斷完善，明確個(ge) 人信息處理活動中的權利義(yi) 務邊界，有利於(yu) 規範人工智能、大數據等信息技術的應用和發展。”浙江工商大學法學院教授鄭英龍說，“持續健全相應的規則製度體(ti) 係，有助於(yu) 人民群眾(zhong) 在數字經濟發展中不斷增強獲得感、幸福感、安全感。”