剛在一個軟件上瀏覽健身教程,打開另一個軟件就收到健身器材廣告;進小區被物業強製要求錄入人臉信息,不然無法通過門禁;到醫院看完病,就接到醫療保險的“精準營銷”電話……近年來,個人信息保護一直受到大家關註。
2021年8月20日,《中華人民共和國個人信息保護法》經十三屆全國人大常委會第三十次會議通過,並於2021年11月1日起施行。兩年來,有關方面落實相關措施,侵害個人信息安全的違法行為正逐步得到遏製,個人信息“防火墻”更加牢固。
強化個人信息保護執法
近年來,執法部門積極作為,落實個人信息保護法及相關法律法規對個人信息的保護。
“為何我的車剛出事故,就有汽修廠聯系我?”今年年初,家住廣東某市的王師傅懷疑自己的個人信息被泄露,遂向有關部門反映了該情況。
經過公安機關調查,原來,某汽車服務公司為拓展汽車維修中介業務,夥同保險公司、拖車公司以及路政部門個別人員,非法獲取交通事故車主信息,並根據車輛品牌、事發地等聯系特定4S店、汽修廠,誘導事故車主前往指定地點維修,賺取信息“中介”費用。與此同時,相關汽車修理機構又通過故意誇大損失、以換代修等方式侵害車主利益。當地公安機關對該案集中偵破,及時保護了群眾的個人信息安全。
據了解,公安部每年組織“凈網”專項行動,依法嚴厲打擊侵犯公民個人信息違法犯罪活動。2020年至今年8月,該專項行動累計偵破案件3.6萬起,抓獲犯罪嫌疑人6.4萬名。
“在加強個人信息保護的過程中,執法機關的‘利劍出鞘’,既能直接懲治違法犯罪,又能震懾潛在違法行為,減少對個人信息權益的侵害。”中國政法大學教授王誌遠說。
不只是公安機關。個人信息保護法規定,國家網信部門負責統籌協調個人信息保護工作和相關監督管理工作。近年來,網信部門進一步完善個人信息保護執法。去年,國家網信辦依法集中處理了135款違法違規處理公民個人信息的APP。今年9月,國家網信辦通報,某知識服務平臺及相關APP存在違反必要原則收集個人信息、未經同意收集個人信息、未公開或未明示收集使用規則、未提供賬號註銷功能、在用戶註銷賬號後未及時刪除用戶個人信息等違法行為。依據個人信息保護法等規定,國家網信辦責令該平臺所屬公司停止違法處理個人信息行為。
其他各部門也紛紛加強個人信息保護領域執法監管:10月,工業和信息化部通報了今年第六批存在違規收集個人信息、過度索權等問題的APP;國家郵政局在郵政快遞領域開展個人信息安全治理專項行動成效明顯,隱私面單推廣工作在行業內全面鋪開……
推動主體責任落實
來自黑龍江哈爾濱的王某某下載了一款短視頻手機應用。在使用微信賬號登錄該應用時,應用申請獲得以下權限:“獲得用戶公開信息(昵稱、頭像、地區及性別)”“尋找與你共同使用該應用的好友”。其中第一處無法取消勾選。
無奈默認勾選後,王某某進入該手機應用。可又發現,雖然並未勾選“尋找與你共同使用該應用的好友”,但在應用中仍然顯示微信好友的瀏覽信息。
“這侵害了我的個人信息權益。”王某某將該短視頻軟件所屬公司訴至法院。
法院經兩審後認為,王某某“微信好友關系”以及“地區、性別”等信息,雖不屬於民法典規定的隱私,但依據個人信息保護法,仍屬於受法律保護的個人信息。
這是人民法院保護個人信息權益諸多案例中的一個代表。華東政法大學副教授韓旭至說:“個人信息保護法的出臺補足了此前立法的空白,使個人信息被更突出地加以保護。”
司法機關對公民個人信息權益的保護,還體現在檢察公益訴訟。
“某某健身房可能存在侵犯敏感個人信息的情形。”日前,江蘇省無錫市某區檢察院接到反映:某健身房強製要求消費者刷臉或錄入指紋進入。在部分消費者拒絕人臉采集識別後,健身房擅自將消費者辦卡時提供的照片錄入系統作為刷臉進出憑證,且在這些消費者要求刪除照片等信息時拒絕刪除。
該區檢察院經過調查後,予以立案。經過詳細研判,檢察機關向市場監督管理部門製發行政公益訴訟訴前檢察建議,依據個人信息保護法等法律規定,督促對涉案服務場所依法處理,開展行業規範整治。不久,在各方督促下,涉案服務場所及時整改,改變進入場所方式。
“個人信息保護法授權檢察機關可以提起個人信息保護領域公益訴訟。”最高檢第八檢察廳負責人介紹,僅2022年,全國檢察機關共立案辦理個人信息保護公益訴訟案件6000余件。
“有了公益訴訟,司法機關對個人信息權益保護的方式,就不再僅僅是對侵害的救濟,而是可以主動作為,推動平臺等各方主體落實個人信息保護責任。”中國政法大學教授王貞會說。
最高檢第八檢察廳負責人介紹,下一步,檢察機關將繼續加大個人信息保護領域公益訴訟辦案力度,突出保護重點人員、重點領域的個人信息,嚴格保護敏感類別信息及特定群體的個人信息。
完善配套製度保障
針對當前個人信息過度收集使用等突出問題,完善“告知—同意”等個人信息處理原則;回應“大數據殺熟”、跨境提供個人信息等熱點問題……翻開個人信息保護法,不難發現,個人信息權益的基礎保護架構已然搭建。
與此同時,個人信息保護領域的基礎性法律還需要各類配套規則來細化、共同配合落實。
9月,海南省網信部門向社會通報了23款移動應用程序存在不同程度違法違規收集使用個人信息的行為,責令相關運營單位限期整改。其中,《APP違法違規收集使用個人信息行為認定方法》《常見類型移動互聯網應用程序必要個人信息範圍規定》等規範和個人信息保護法一起,被網信部門作為處理依據。
舉一綱而萬目張。中國社會科耀世法學研究所網絡與信息法研究室副主任、中國法學會網絡與信息法學研究會副秘書長周輝說:“個人信息保護法實施兩年來,個人信息保護配套立法和相關立法都在加快推進,管理製度不斷細化。”
個人信息保護法頒布後不久,工業和信息化部就發布《關於開展信息通信服務感知提升行動的通知》,要求各相關企業應建立已收集個人信息清單和與第三方共享個人信息清單,並在APP二級菜單中展示,方便用戶查詢。
2022年11月,國家市場監督管理總局、國家互聯網信息辦公室頒布《個人信息保護認證實施規則》,鼓勵個人信息處理者通過認證方式提升個人信息保護能力,並規定了對個人信息處理者開展個人信息收集、存儲、使用、加工、傳輸、提供、公開、刪除以及跨境等處理活動進行認證的基本原則和要求。
不久前製定出臺的《生成式人工智能服務管理暫行辦法》也規定,涉及個人信息的,應當取得個人同意或者符合法律、行政法規規定的其他情形。
周輝認為,下一步,要健全執法程序,加強不同部門間的執法協作,強化對相關製度的落實,進一步提高個人信息保護效能。