中心研究|从最高检发布的典型案例看如何保护生物识别信息
随着人工智能、区块链等技术和相关产业的飞速发展,我国生物识别产业发展迅速。近年来,生物识别信息的利用和保护逐渐成为重点问题。《个人信息保护法》的出台,明确生物识别信息属于“敏感个人信息”,但其“唯一性”、“不可更改性”等天然特性决定了生物识别信息难以与一般敏感个人信息等同对之,如何平衡生物识别技术应用与安全风险成为了亟待解决的难题,并引发了司法系统的关注。
3月30日,最高人民检察院发布了8件个人信息保护检察公益诉讼典型案例,主要焦点在于“保护个人生物识别信息”,涉及景区违法采集游客人脸信息、医疗机构非法向保险代理机构提供患者医疗健康信息、非法获取股民个人信息进行电信网络诈骗、保障房政务公开暴露公民敏感信息,以及泄露用户订单信息、快递面单信息等。本次发布的8件典型公益诉讼案例可对各领域的个人信息保护工作提供借鉴和思考。
一、 什么是生物识别信息?
生物识别信息是指通过运用生物识别技术手段对人的身体特征进行数字化处理后得到的个人信息,包括但不限于个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部特征等个人信息。生物识别技术已被广泛应用于安防、教育、金融、交通和智慧园区等领域,实现身份认证、消费支付、门禁控制、考勤管理等功能,极大地便利了人们日常生活,提高了社会管理效率。但不同于一般个人信息,生物识别信息具有唯一性、不可更改性等特点,其利用价值与风险并存。
二、 生物识别技术的广泛应用会带来哪些问题?
一是生物识别信息泄露后果严重。生物识别信息具有很高的经济价值,被恶意盗取、泄露的现象突出,很容易被用于电信诈骗、勒索、申请信用贷款等严重侵害公民权益的犯罪行为中。而且人脸数据具有唯一性且不可更改,使得其一旦被泄露,将造成更为严重的后果。
二是生物识别技术存在被滥用现象。从上班打卡到酒店入住、从消费支付到安全检查,从医院挂号到进入小区,生物识别技术正在被广泛且未经充分质证必要性地应用于生活的方方面面,呈现出“遍地开花”的趋势。例如,清华大学教授劳东燕公开反对小区安装人脸识别门禁;浙江理工大学副教授郭兵向法院他起诉杭州野生动物园强制游客刷脸进园。
三是生物识别技术安全性不足。由于缺乏统一的行业标准,以及技术开发商、运营商考虑到成本与技术保密等因素,应用于不同场景的生物识别技术的安全性其实也参差不齐,导致一些生物识别应用经常被“以假乱真”的照片、3D模型破解。
三、 检察机关在个人信息保护领域可发挥哪些作用?
2021年11月1日,《个人信息保护法》正式施行,明确授权检察机关可以提起个人信息保护领域公益诉讼。据统计,全国检察机关2022年共立案办理个人信息保护公益诉讼案件6000余件。此外,全国检察机关还聚焦个人信息保护领域突出问题,突出整治违规收集个人信息问题,紧盯处理大规模个人信息的互联网平台,重点整治侵害孕产妇、老年人等特定群体个人信息安全的行为,打击电信网络诈骗黑灰产,防控网络摄像技术侵犯隐私。
此次发布的典型案例体现了刑事检察与公益诉讼检察协同履职,发挥联动优势,在依法追究行为人刑事责任的同时,追究公益损害责任,通过提出停止侵害、消除危险、赔偿损失等诉求,发挥检察公益诉讼制度的独特价值;以及检察机关在办理个人信息保护案件时注重溯源治理,推动解决行业、领域、系统内普遍性和根源性问题等特点。
但个人信息保护检察公益诉讼目前仍面临一些困难。一是法律供给尚有不足。《网络安全法》《数据安全法》未设置检察公益诉讼条款,衔接协同保护个人信息安全、网络安全、数据安全的法律监督有待补强立法供给。二是行政执法与公益诉讼检察衔接协作有待加强。个人信息安全领域违法类型不断迭代升级,行政机关和司法机关需要强化协同协作。三是个人信息保护公益诉讼调查取证难度较大。个人信息违法行为多数与互联网、大数据、人工智能等高新科技相关联,呈现出跨区划、匿名化、涉众型、全链条等特点,检察公益诉讼调查方式有限且缺乏刚性,调查取证难度较大。
四、 典型案例要点分析
(一)防止过度收集生物识别信息,应当严格落实网络安全等级保护制度
【基本案情】
湖南省长沙市望城区卫生健康局(以下简称区卫健局)为推进数字化门诊建设,自2019年7月12日起,要求长沙市望城区辖区内17家医疗卫生机构陆续使用电子签核系统推送疫苗接种知情告知书,疫苗受种者或监护人点击“同意”时系统自动采集指纹和人脸识别信息,收集电子数据的存储及主机均由各社区卫生服务中心管理。截至2022年3月11日,上述机构共收集83万余条涉及指纹、人脸识别等个人生物识别信息。
【案件处理】
检察机关认为医疗卫生机构违反个人信息处理的合法、正当、必要和诚信原则,过度收集服务对象指纹和人脸等个人生物识别信息,未按要求解决电子签核系统的弱口令、数据未加密等安全漏洞,未能防患未经授权的访问及个人信息泄露、篡改、丢失等高风险,未落实网络安全等级保护制度要求,对敏感个人信息保护的内部管理不到位。
在收到行政公益诉讼诉前检察建议后,相关单位完成电子签核系统升级,取消生物识别信息功能;已彻底删除既往数据,并按照保密文件要求将已收集个人生物识别信息交区疾控中心代为封存保管,疫苗有效期满后进行硬盘格式化删除;升级后的电子签核系统完善了内部信息安全管理制度、加强系统物理隔离、对数据传输和存储加密保护、新增限制授权访问等安全防护措施,信息安全等级保护经专家评定为1级,系统改为局域网内部运行。
【典型意义】
检察机关认为对过度收集的个人生物识别信息应当采取“备份封存+本地彻底删除+到期彻底删除”方式消除安全风险,并进行“电子签核系统升级改造+网络安全等级保护”技术整改,平衡好个人信息保护与公共事务管理中个人信息合理利用的关系,充分实现“互联网+”与公共卫生服务领域保障信息安全的良好结合。
(二)收集人脸信息应当确保用户知情权与选择权,违法收集的信息应当及时删除
【基本案情】
A景区由G公司负责实际运营。2020年7月,A景区通过招标委托H公司建设完成人脸识别系统,并投入运行。系统使用期间,A景区在采集游客人脸信息时未依法履行告知义务,存在强制要求购票游客录入人脸信息、“刷脸”入园的情形,且景区未对采集到的人脸信息定期予以删除,致使游客个人信息被侵害,损害了社会公共利益。
【案件处理】
经调查发现,A景区现场购票除要求游客提供身份证外,还要求游客进行“刷脸”认证,且未告知“刷脸”入园的必要性及后续如何处理刷脸信息,对游客人脸信息储存和使用缺乏具体制度规范。检察机关向G公司制发检察建议,督促G公司积极整改,确保依法运营,要求其删除景区前期采集储存的人脸信息数据,规范人脸信息的收集和使用。
目前,景区门口和购票处已设置告知牌,告知游客“刷脸”入园的相关事项,征求游客意愿,游客可以自由选择人脸识别、购买纸质门票、网络购票等多种方式进入景区。对于采用人脸识别进入景区的游客,景区会根据游客入园的需要合理设置人脸数据删除的期限,并在游客游玩结束后自动删除人脸信息,确保游客人脸信息安全。
【典型意义】
人脸信息属于敏感个人信息,一旦被泄露或者非法使用,容易导致人格尊严受到侵害或者人身、财产安全受到危害。本案中,景区违法采集游客人脸信息,严重侵害了游客个人信息安全。景区运营企业应当合法合规收集、使用和存储人脸信息,充分保障游客的知情权和选择权等合法权益,对于违法收集的人脸信息应当进行删除。
(三)医疗机构非法向保险代理机构提供患者医疗健康信息进行保险营销的行为,严重侵害患者权益
【基本案情】
2021年以来,部分保险代理机构与某市5家大型医院达成协议,由保险代理机构在合作医院推销相关保险产品。部分保险代理机构业务人员在推销保险产品过程中,为精准销售“手术意外险”等险种,通过合作医院违法获取大量患者的姓名、手术类型、联系电话等医疗健康信息,对相关患者进行保险推销,患者不堪其扰。该行为严重侵害患者的合法权益,损害了社会公共利益。
【案件处理】
检察机关收到群众举报,立案办理并进行全面摸排核实,一是查明医疗健康信息泄露源头。通过走访各大医院,了解医院与保险代理机构签订合作协议情况,并初步核实保险代理机构业务人员通过医院手术科室护士站查询病人纸质病历或登录病历管理系统违法获取大量患者医疗健康信息(包括病人姓名、身份证号、联系方式、手术类型等)的情况。二是通过大数据比对分析,发现保险代理机构业务人员手机通话记录与患者办理住院手续时间点相吻合,手机通话的先后顺序反映患者在办理住院手续后不久即会接到保险代理机构业务人员电话,进一步印证了患者个人信息泄露的事实。
检察机关向卫生健康部门制发行政公益诉讼诉前检察建议,要求其依法处理相关医院,采取有效整改措施,及时堵塞患者个人信息保护漏洞;加强日常监管,对本辖区范围内所有医疗机构开展全面清查;加强个人信息保护宣传教育,切实增强医护人员关于患者个人信息的保护意识。
卫生健康部门收到检察建议后,组织召开加强患者诊疗信息安全管理工作部署会,督促5家涉案医院限期整改,制定出台《第三方保险业务关于患者医疗健康信息的保密规定》,明确规定保险代理机构业务人员接触患方时间、不得私自提前与患方联系等,并规范患者诊疗信息查询程序,堵塞信息泄露漏洞。同时,在全市439家医疗机构部署开展为期一个月的患者诊疗信息安全专项整顿活动,共发现并整改重大信息安全隐患37个,推动建立风险防范机制256项,组织12994名医务人员分期分批参加患者诊疗信息安全培训,进一步增强医疗健康信息保护意识,筑牢公民个人信息安全防护网。
【典型意义】
医疗健康信息属于可能影响公民人身、财产安全的敏感个人信息。本案中,医疗机构违反法律规定的合法、正当、必要和诚信的原则,未经患者同意向保险代理机构提供相关个人信息,严重侵害公民个人信息安全和合法权益,扰乱了社会公共秩序。通过开展专项整顿、安全培训等方式,可以堵塞医疗健康信息安全漏洞,推动医疗机构、医疗从业人员增强风险防范意识,强化行业自律,健全医疗健康信息保护长效机制。
(四)相关公益损失难以直接计算的,按照侵权人通过网络交易获得的利益确定赔偿金额
【基本案情】
2021年7月下旬,张某通过网络技术手段非法侵入某软件公司计算机信息系统,获取该公司系统内客户订单信息6万余条。客户订单信息中包含消费者姓名、手机、住址、交易记录等信息。之后,张某将上述个人信息出售给他人,并在暗网获利人民币38760元。因客户交易信息泄露,某软件公司被第三方交易平台索赔,部分客户接到诈骗电话,众多消费者面临诈骗风险,公共利益处于持续受损状态。
【案件处理】
围绕公益损害与私益损害的区别及违法所得的庭审焦点,检察机关认为,张某窃取及转卖行为导致众多消费者人身财产损失风险及个人信息保护秩序的破坏,无法通过张某与技术公司赔偿等私益赔偿得以实现。通过提起公益损害赔偿可以更好地修复受损公益,起到惩罚及预防违法行为的作用。根据《中华人民共和国民法典》第一千一百八十二条规定,赔偿数额按照被侵权人因此受到的损失或者侵权人因此获得的利益予以确定。据此检察机关认定张某应赔偿数额为通过网络获利的金额人民币38760元。在法院主持下,张某认可检察机关附带民事公益诉讼提出的诉讼请求,双方达成调解。
【典型意义】
通过非法入侵计算机系统的方式获取大量公民个人信息并通过网络出售牟利,是侵害众多公民个人信息权益的一种表现形式。检察机关在依法追究其刑事责任的同时,通过公益诉讼追究侵权人应承担的民事责任,体现保护公益、全面追责的独特价值。检察机关在提起附带民事公益诉讼时,可提出停止侵害、删除数据、赔偿损失等诉请。公益诉讼损害赔偿是建立在维护个人信息安全秩序基础上对受损公益提出的补偿。针对网络侵害的特点,相关公益损失难以直接计算的,可以按照侵权人通过网络交易获得的利益确定公益损害赔偿金额。
(五)对个人信息泄露案例提起刑事附带民事公益诉讼可加大侵权成本
【基本案情】
2020年10月以来,某快递公司营业点主管以及仓库管理员付某等8人,利用职务便利通过营业点主管账户查询指定手机号码对应的快递单号,再通过手机拍照将快递单号发至购买方,购买方通过“巴枪”(快递业数据采集工具)获取快递单号在某快递公司的所有信息,包括寄收方姓名、联系方式、收寄货地址、物品信息等,严重侵犯公民个人信息安全,损害了社会公共利益。
【案件处理】
2021年8月,检察机关依法提起刑事附带民事公益诉讼,诉请判令付某等8人支付其侵犯公民个人信息赔偿金240183.08元。人民法院经审理于2022年5月作出判决,支持宝安区院全部诉讼请求,以侵犯公民个人信息罪判处付某等8人有期徒刑十个月至三年不等并处罚金;判决付某等8人支付公益诉讼赔偿金共计240183.08元。目前,付某等8人已全额支付公益诉讼赔偿金。
案件办理过程中,检察机关发现快递行业普遍存在快递查单系统权限设置过大、查单系统账号和密码安保级别低、“巴枪”管理不到位等问题。某快递公司作为快递行业龙头企业,虽然已采取多种安全保障措施,但在硬件设置和管理流程风控上仍然存在改进空间。2022年10月9日,宝安区院向某快递公司发出检察建议,建议其针对涉案个人信息的管理漏洞整改治理,依法规范个人信息收集、管理措施。
某快递公司收到检察建议后积极开展整改,聘请专业机构针对个人信息泄露风险点进行全流程梳理。一是优化用户个人信息保密制度,落实保密内容、细化保密环节及明确保密责任。严格设置不同级别员工的查询、访问权限,实行“账号负责制”;二是根据服务范围或服务对象分配内部人员的最小所需数据访问权限,快递员仅可查询其服务客户相关地址信息,通过一键拨号功能隐藏客户真实手机号;三是严控账号安全风险,采用CAS框架对应用进行统一的用户登陆管理;四是另行开发APP逐步取代“巴枪”,同步加强对现有“巴枪”的管理,宝安区院及时跟进监督,邀请人大代表走访某快递公司营业点,现场抽查管理人员登陆系统、“巴枪”查询权限等整改情况,经组织整改验收确认相关公益损害风险已消除。
【典型意义】
物流行业掌握大量公民个人生活信息,通过大数据分析后可精准画出用户购物习惯、消费水平、生活轨迹的图谱,极易滋生诈骗、不正当竞争等违法行为。检察机关通过刑事附带民事公益诉讼加大侵权成本、震慑违法犯罪,同时通过制发社会治理检察建议,着力实现“后端惩治”到“全流程风控”转化,引导快递行业龙头企业良性运行,建立快递企业个人信息安全保护通用标准,实现“由点到线,由线到面”的辐射效应。
(六)政务信息公开时需采取去标识化等手段以加强对公民个人信息的保护
【基本案情】
“沈阳市住房保障网”公示了2013年至2022年期间多个公租房项目申请公租房保障人员的摇号结果、配租结果等信息,公开的各类名单包含有公民个人的姓名、身份证号、户籍所在地、申请住房门牌号、申请家庭人口情况、人均居住建筑面积、人均可支配月收入等信息,共计87000余条。上述公民个人敏感信息未进行任何去标识化、匿名化处理,存在严重安全隐患,社会公共利益持续受到侵害。
【案件处理】
对“沈阳市住房保障网”相关信息进行梳理排查,组织对各工作网站开展全面排查,并对涉公民个人敏感信息采取点对点的去标识及隐匿化举措。对已超过公示期限的信息,立即从互联网上撤除。对后续要进行公示的信息,通过办公软件程序设计,将信息上传网络之前先按照既定整改方案进行处理:两字姓名中的第二个字用符号替代;三字姓名中间的字用符号替代;身份证号码第7-14位数字用符号替代;公租房申请人公示信息中,家庭住址公示至区县街道,不再具体到楼号门牌号;电脑派位结果公示中“电脑派位房间号”公示至街路名,具体小区及楼号门牌号用符号替代;低收入住房困难家庭公示信息中,不再公示申请人身份证号码、家庭所在社区、家庭成员关系、家庭人口数、困难具体情况等。
【典型意义】
政府部门在政务公开过程中会涉及个人信息的公开,应当加强对个人信息的保护。例如,在公开身份证号码和姓名等个人信息时,应当对其进行去标识化处理,对非必要公示的信息不得进行公示,公示内容均应当按照相关标准执行,才能有效消除公益损害的风险。
动态观察|欧盟成员国GDPR重点执法案例汇编(2023.02)动态观察|欧盟成员国GDPR重点执法案例汇编(2023.01)域外观察|美国CSIS发布《投资于联邦网络弹性》报告域外观察|美智库研究认为两类网络安全问题值得关注
中心研究|《个人信息出境标准合同办法》出台,具体场景适用可参考欧盟成熟经验中心研究|欧盟发布《医疗数据空间条例》,为重点行业数据共享提供经验域外观察|联合国发布《隐私增强技术指南》中心研究|我国主要立法中数据处理者相关评估义务规定研究域外观察|瑞典发布一份欧盟《数据法案》妥协方案域外观察|ITIF发布《不损害人工智能创新发展的十项监管原则》报告域外观察|美国NIST发布《人工智能风险管理框架》年度观察|2022年网络法治盘点与回顾(一):数据治理篇年度观察|2022年网络法治盘点与回顾(二):数字平台篇
年度观察|2022年网络法治盘点与回顾(三):数字内容篇
年度观察|2022年网络法治盘点与回顾(四):数字安全篇
中心会议│第六届互联网法律研讨会在京顺利召开中心研究 | 美欧之间能否再次顺利签署跨大西洋数据流动协议?中心研究|2022年美国ICT领域重要立法进展
中心研究|印尼《个人数据保护法》能否为全球数据跨境流动探索出替代数据本地化的新路径?
中心研究|《数字市场法》案例梳理系列—(一)谷歌购物案
中心研究 | 《个人信息保护法》实施一周年观察之数据保护带来的成本究竟几何中心研究 | 我国跨境数据流动管理制度概论——兼析《网络安全法》第37条的制度构建及意义域外观察|欧盟发布《欧洲互操作法案》,加速欧洲公共部门数字化转型域外观察|欧盟签署《欧洲数字权利和原则宣言》域外观察 | 欧盟《网络弹性法案》研究报告域外观察|亚太地区数据保护法律中有关“个人数据处理的合法性基础”的比较分析
域外观察|爱尔兰DPC针对Meta爱尔兰公司的数据泄露问题做出决定
域外观察|美国出口管制政策真的能扼制中国AI发展未来吗?域外观察 | 印度个人数据保护法案为何历经四度更迭?(附最新版法案译文)
域外观察|国外聚焦“黑暗模式”探索监管路径域外观察|欧洲数据保护委员会发布新版《数据控制者、处理者识别牵头监管机构指南》专家解读|加快规范深度合成技术应用