激活行政執法效能 保護個(ge) 人生物識別信息

　　最高檢發布個(ge) 人信息保護檢察公益訴訟典型案例

　　法治日報全媒體(ti) 記者 張昊

　　3月30日，最高人民檢察院發布了一批個(ge) 人信息保護檢察公益訴訟典型案例。此次發布的典型案例共8件，其中4件是行政公益訴訟訴前監督案例。檢察機關(guan) 靈活運用訴前磋商、公開聽證、檢察建議等方式，督促行政機關(guan) 依法履職，推動相關(guan) 違法主體(ti) 積極整改，充分體(ti) 現了發揮行政公益訴訟製度優(you) 勢，激活行政執法效能，把訴前維護公益目的作為(wei) 最佳司法狀態的特點。

　　最高檢第八檢察廳負責人說，下一步，檢察機關(guan) 將繼續加大個(ge) 人信息保護領域公益訴訟辦案力度，突出保護重點人員、重點領域的個(ge) 人信息，嚴(yan) 格保護敏感類別信息及特定群體(ti) 的個(ge) 人信息。

　　數字技術監督保護個(ge) 人信息

　　江蘇省無錫市新吳區某健身房使用具有人臉識別、指紋識別等功能的信息管理係統，強製要求會(hui) 員刷臉或錄入指紋進入。消費者未被告知個(ge) 人信息收集清單及權限。部分會(hui) 員明確拒絕人臉采集識別，該健身房擅自將會(hui) 員辦卡時提供的照片錄入係統作為(wei) 刷臉進出憑證，且在會(hui) 員要求刪除照片等信息時，以無管理權限為(wei) 由拒絕，其行為(wei) 侵害眾(zhong) 多消費者合法權益，損害社會(hui) 公共利益。

　　【調查和督促履職】

　　2022年6月，“益心為(wei) 公”檢察雲(yun) 平台誌願者向新吳區人民檢察院反映該案件線索。新吳區人民檢察院運用公益損害風險防控平台，排查易發生非法收集個(ge) 人信息的服務場所，繪製風險防控“數字地圖”，發現全市案件線索16件，其中涉及新吳區5件。新吳區人民檢察院經初步調查後立案。

　　新吳區檢察院引入專(zhuan) 業(ye) 技術機構協助調查取證，現場勘驗涉案信息管理係統，出具專(zhuan) 家意見，認為(wei) 該係統在個(ge) 人信息傳(chuan) 輸、存儲(chu) 等方麵存在安全風險；針對涉案服務場所采集、存儲(chu) 個(ge) 人信息的必要性和合理性，邀請公安、市場監管、第三方專(zhuan) 業(ye) 機構等召開論證會(hui) 。新吳區檢察院審查認為(wei) ，消費者的人臉、指紋等屬於(yu) 生物識別類敏感個(ge) 人信息，涉案服務場所係公共場所，非維護公共安全必需且未取得消費者單獨同意，強製采集、非加密傳(chuan) 輸、違法存儲(chu) 、未定期刪除敏感個(ge) 人信息的行為(wei) ，損害了眾(zhong) 多消費者合法權益。新吳區檢察院向區市場監管局製發行政公益訴訟訴前檢察建議，督促對涉案服務場所依法處理；開展行業(ye) 規範整治，加大監管力度，建立長效機製。

　　新吳區市場監管局收到檢察建議後，對涉案5家服務場所集體(ti) 談話、責令改正，組織專(zhuan) 項執法行動，並建立定期檢查、約談、通報等監管機製。涉案服務場所改變進入場所方式，采取安全措施傳(chuan) 輸、定期刪除個(ge) 人信息，向監管部門報送個(ge) 人信息管理情況。

　　新吳區檢察院聯合區市場監管局“回頭看”現場驗收，確認涉案服務場所均整改到位。同時，新吳區檢察院將其他11件線索移送無錫市人民檢察院。無錫市檢察院開展專(zhuan) 項監督，在全市範圍排查服務場所126處，督促整改56處，刪除違法采集信息9300餘(yu) 條，開展普法宣傳(chuan) ，有效保障公民個(ge) 人信息安全。

　　【典型意義(yi) 】

　　檢察機關(guan) 積極發揮公益訴訟檢察職能，運用數字技術，通過“專(zhuan) 業(ye) 取證+專(zhuan) 門論證+專(zhuan) 家意見”等方式，破解公民個(ge) 人信息保護領域線索發現、調查取證、損害認定等難題，製發訴前檢察建議，開展專(zhuan) 項監督，督促行政機關(guan) 履職，推動服務場所規範收集、傳(chuan) 輸、存儲(chu) 、刪除個(ge) 人信息，加強數據安全管控，促進個(ge) 人信息全鏈條保護。

　　推動網絡安全等級保護落地見效

　　湖南省長沙市望城區衛生健康局為(wei) 推進數字化門診建設，自2019年7月起，要求轄區內(nei) 17家醫療衛生機構使用電子簽核係統推送疫苗接種知情告知書(shu) ，疫苗受種者或監護人點擊“同意”時係統自動采集指紋和人臉識別信息，數據存儲(chu) 及主機由各社區衛生服務中心管理。截至2022年3月11日收集83萬(wan) 餘(yu) 條涉及指紋、人臉識別等個(ge) 人生物識別信息。

　　【調查和督促履職】

　　2022年2月，望城區人民檢察院接到群眾(zhong) 反映該案件線索。經初步調查確認屬實，望城區檢察院分別對望城區衛健局、長沙市公安局望城分局立案調查。

　　望城區檢察院查明望城區17家醫療衛生機構違反個(ge) 人信息處理的合法、正當、必要和誠信原則，過度收集服務對象指紋和人臉等個(ge) 人生物識別信息，未按要求解決(jue) 電子簽核係統的弱口令、數據未加密等安全漏洞，未能防患未經授權的訪問及個(ge) 人信息泄露、篡改、丟(diu) 失等高風險，未落實網絡安全等級保護製度要求，對敏感個(ge) 人信息保護的內(nei) 部管理不到位。望城區衛健局和區公安分局未盡到監管職責。

　　望城區檢察院分別向區衛健局、區公安分局送達行政公益訴訟訴前檢察建議，建議區衛健局改進方式，避免過度收集個(ge) 人生物識別信息；完善技術和管理措施，防止未經授權的訪問及個(ge) 人信息泄露、篡改、丟(diu) 失。建議望城區公安分局對未履行網絡安全等級保護責任的行為(wei) 依法處理。上述檢察建議同時抄送望城區網信部門。

　　收到檢察建議，望城區衛健局認真研究解決(jue) 方案，長沙市衛健委以望城整改方案為(wei) 藍本推進全市醫療衛生機構規範、合法處理個(ge) 人信息。望城區公安分局對全區醫療衛生機構進行網絡安全檢查。全區23家單位均已完成電子簽核係統升級，取消生物識別信息功能；21家單位已徹底刪除既往數據，並按保密文件要求將已收集個(ge) 人生物識別信息交望城區疾控中心代為(wei) 封存保管，疫苗有效期滿後進行硬盤格式化刪除；升級後的電子簽核係統信息安全等級保護經專(zhuan) 家評定為(wei) 1級，係統改為(wei) 局域網內(nei) 部運行。

　　望城區檢察院跟進監督，上述整改方式在全市推廣已顯成效，隨後召開聽證會(hui) ，與(yu) 會(hui) 人員一致認為(wei) ，行政機關(guan) 已有效全麵履職，敏感個(ge) 人信息被侵害的重大風險已消除。

　　【典型意義(yi) 】

　　檢察機關(guan) 能動履行公益訴訟檢察職能，通過智慧檢察等手段發現並督促行政機關(guan) 消除個(ge) 人信息安全風險，推動加強個(ge) 人信息保護與(yu) 公共衛生服務信息化建設協同發展。推動網絡安全等級保護製度落地見效。

　　健全長效機製推動行業(ye) 治理

　　2021年以來，部分保險代理機構與(yu) 江西省宜春市中心城區5家大型醫院達成協議推銷相關(guan) 保險產(chan) 品。部分保險代理機構業(ye) 務人員在推銷過程中，為(wei) 精準銷售“手術意外險”等險種，通過合作醫院違法獲取大量患者的姓名、手術類型、聯係電話等醫療健康信息，對相關(guan) 患者推銷。該行為(wei) 嚴(yan) 重侵害患者的合法權益，損害了社會(hui) 公共利益。

　　【調查和督促履職】

　　2022年2月，宜春市人民檢察院收到群眾(zhong) 舉(ju) 報該案線索。宜春市檢察院立案辦理並全麵摸排核實，查明醫療健康信息泄露源頭。走訪宜春市中心城區各大醫院，了解醫院與(yu) 保險代理機構合作協議情況，初步核實保險代理機構業(ye) 務人員通過醫院手術科室護士站查詢病人紙質病曆或登錄病曆管理係統違法獲取大量患者醫療健康信息（包括病人姓名、身份證號、聯係方式、手術類型等）況。大數據比對分析，進一步印證了患者個(ge) 人信息泄露的事實。

　　宜春市檢察院審查認為(wei) ，醫療健康等信息屬於(yu) 敏感個(ge) 人信息，未經本人同意，或未具備具有法律授權等個(ge) 人信息保護法規定的理由，醫院向保險代理機構提供患者醫療健康信息，不屬於(yu) 法律規定的合理處理；保險從(cong) 業(ye) 人員收集、使用獲取的醫療健康信息從(cong) 事保險營銷違反國家規定，侵害了不特定多數患者個(ge) 人信息權利。衛生健康部門負有監管職責。

　　2022年7月，宜春市檢察院向宜春市衛健委製發行政公益訴訟訴前檢察建議，要求其依法處理相關(guan) 醫院，采取有效整改措施，及時堵塞漏洞；加強日常監管，全麵清查；加強宣傳(chuan) 教育，切實增強醫護人員對患者個(ge) 人信息保護意識。

　　宜春市衛健委收到檢察建議後，督促涉案醫院限期整改，製定出台第三方保險業(ye) 務關(guan) 於(yu) 患者醫療健康信息的保密規定。宜春市衛健委在全市醫療機構開展患者診療信息安全專(zhuan) 項整頓，發現並整改重大信息安全隱患37個(ge) ，推動建立風險防範機製256項，組織醫務人員參加患者診療信息安全培訓。

　　【典型意義(yi) 】

　　檢察機關(guan) 運用大數據比對等方式全麵調查取證，發出檢察建議，督促行政機關(guan) 查處醫療機構違法違規行為(wei) ，開展專(zhuan) 項整頓、安全培訓等，堵塞醫療健康信息安全漏洞，強化行業(ye) 自律，健全長效保護機製。