原标题:激活行政执法效能保护个人生物识别信息 最高检发布个人信息保护检察公益诉讼典型案例
3月30日,最高人民检察院发布一批个人信息保护检察公益诉讼典型案例。此次发布的典型案例共8件,其中4件是行政公益诉讼诉前监督案例。检察机关灵活运用诉前磋商、公开听证、检察建议等方式,督促行政机关依法履职,推动相关违法主体积极整改,充分体现了发挥行政公益诉讼制度优势,激活行政执法效能,把诉前维护公益目的作为最佳司法状态的特点。
最高检第八检察厅负责人说,下一步,检察机关将继续加大个人信息保护领域公益诉讼办案力度,突出保护重点人员、重点领域的个人信息,严格保护敏感类别信息及特定群体的个人信息。
数字技术监督保护个人信息
江苏省无锡市新吴区某健身房使用具有人脸识别、指纹识别等功能的信息管理系统,强制要求会员刷脸或录入指纹进入。消费者未被告知个人信息收集清单及权限。部分会员明确拒绝人脸采集识别,该健身房擅自将会员办卡时提供的照片录入系统作为刷脸进出凭证,且在会员要求删除照片等信息时,以无管理权限为由拒绝,其行为侵害众多消费者合法权益,损害社会公共利益。
【调查和督促履职】2022年6月,“益心为公”检察云平台志愿者向新吴区人民检察院反映该案件线索。该院运用公益损害风险防控平台,排查易发生非法收集个人信息的服务场所,绘制风险防控“数字地图”,发现全市案件线索16件,其中涉及新吴区5件。该院经初步调查后立案。
新吴区检察院引入专业技术机构协助调查取证,现场勘验涉案信息管理系统,出具专家意见,认为该系统在个人信息传输、存储等方面存在安全风险;针对涉案服务场所采集、存储个人信息的必要性和合理性,邀请公安、市场监管、第三方专业机构等召开论证会。该院审查认为,消费者的人脸、指纹等属于生物识别类敏感个人信息,涉案服务场所系公共场所,非维护公共安全必需且未取得消费者单独同意,强制采集、非加密传输、违法存储、未定期删除敏感个人信息的行为,损害了众多消费者合法权益。新吴区检察院向区市场监管局制发行政公益诉讼诉前检察建议,督促对涉案服务场所依法处理;开展行业规范整治,加大监管力度,建立长效机制。
区市场监管局收到检察建议后,对涉案5家服务场所集体谈话、责令改正,组织专项执法行动,并建立定期检查、约谈、通报等监管机制。涉案服务场所改变进入场所方式,采取安全措施传输、定期删除个人信息,向监管部门报送个人信息管理情况。
新吴区检察院联合区市场监管局“回头看”现场验收,确认涉案服务场所均整改到位。同时,该院将其他11件线索移送无锡市人民检察院。无锡市检察院开展专项监督,在全市范围排查服务场所126处,督促整改56处,删除违法采集信息9300余条,开展普法宣传,有效保障公民个人信息安全。
【典型意义】检察机关积极发挥公益诉讼检察职能,运用数字技术,通过“专业取证+专门论证+专家意见”等方式,破解公民个人信息保护领域线索发现、调查取证、损害认定等难题,制发诉前检察建议,开展专项监督,督促行政机关履职,推动服务场所规范收集、传输、存储、删除个人信息,加强数据安全管控,促进个人信息全链条保护。
推动网络安全等级保护落地见效
湖南省长沙市望城区卫生健康局为推进数字化门诊建设,自2019年7月起,要求辖区内17家医疗卫生机构使用电子签核系统推送疫苗接种知情告知书,疫苗受种者或监护人点击“同意”时系统自动采集指纹和人脸识别信息,数据存储及主机由各社区卫生服务中心管理。截至2022年3月11日收集83万余条涉及指纹、人脸识别等个人生物识别信息。
【调查和督促履职】2022年2月,望城区人民检察院接到群众反映该案件线索。经初步调查确认属实,该院分别对望城区卫健局、长沙市公安局望城分局立案调查。
望城区检察院查明,望城区17家医疗卫生机构违反个人信息处理的合法、正当、必要和诚信原则,过度收集服务对象指纹和人脸等个人生物识别信息,未按要求解决电子签核系统的弱口令、数据未加密等安全漏洞,未能防患未经授权的访问及个人信息泄露、篡改、丢失等高风险,未落实网络安全等级保护制度要求,对敏感个人信息保护的内部管理不到位。该区卫健局和区公安分局未尽到监管职责。
望城区检察院分别向区卫健局、区公安分局送达行政公益诉讼诉前检察建议,建议区卫健局改进方式,避免过度收集个人生物识别信息;完善技术和管理措施,防止未经授权的访问及个人信息泄露、篡改、丢失。建议区公安分局对未履行网络安全等级保护责任的行为依法处理。上述检察建议同时抄送区网信部门。
收到检察建议后,望城区卫健局认真研究解决方案,长沙市卫健委以望城整改方案为蓝本推进全市医疗卫生机构规范、合法处理个人信息。望城区公安分局对全区医疗卫生机构进行网络安全检查。全区23家单位均已完成电子签核系统升级,取消生物识别信息功能;21家单位已彻底删除既往数据,并按保密文件要求将已收集个人生物识别信息交区疾控中心代为封存保管,疫苗有效期满后进行硬盘格式化删除;升级后的电子签核系统信息安全等级保护经专家评定为1级,系统改为局域网内部运行。
望城区检察院跟进监督,上述整改方式在全市推广已显成效,随后召开听证会,与会人员一致认为,行政机关已有效全面履职,敏感个人信息被侵害的重大风险已消除。
【典型意义】检察机关能动履行公益诉讼检察职能,通过智慧检察等手段发现并督促行政机关消除个人信息安全风险,推动加强个人信息保护与公共卫生服务信息化建设协同发展,推动网络安全等级保护制度落地见效。
健全长效机制推动行业治理
2021年以来,部分保险代理机构与江西省宜春市中心城区5家大型医院达成协议推销相关保险产品。部分保险代理机构业务人员在推销过程中,为精准销售“手术意外险”等险种,通过合作医院违法获取大量患者的姓名、手术类型、联系电话等医疗健康信息,对相关患者推销。该行为严重侵害患者的合法权益,损害了社会公共利益。
【调查和督促履职】2022年2月,宜春市人民检察院收到群众举报该案线索。该院立案办理并全面摸排核实,查明医疗健康信息泄露源头。走访该市中心城区各大医院,了解医院与保险代理机构合作协议情况,初步核实保险代理机构业务人员通过医院手术科室护士站查询病人纸质病历或登录病历管理系统违法获取大量患者医疗健康信息(包括病人姓名、身份证号、联系方式、手术类型等)。大数据比对分析,进一步印证了患者个人信息泄露的事实。
该院审查认为,医疗健康等信息属于敏感个人信息,未经本人同意,或未具备具有法律授权等个人信息保护法规定的理由,医院向保险代理机构提供患者医疗健康信息,不属于法律规定的合理处理;保险从业人员收集、使用获取的医疗健康信息从事保险营销违反国家规定,侵害了不特定多数患者个人信息权利。卫生健康部门负有监管职责。
2022年7月,宜春市检察院向宜春市卫健委制发行政公益诉讼诉前检察建议,要求其依法处理相关医院,采取有效整改措施,及时堵塞漏洞;加强日常监管,全面清查;加强宣传教育,切实增强医护人员对患者个人信息保护意识。
宜春市卫健委收到检察建议后,督促涉案医院限期整改,制定出台第三方保险业务关于患者医疗健康信息的保密规定。宜春市卫健委在全市医疗机构开展患者诊疗信息安全专项整顿,发现并整改重大信息安全隐患37个,推动建立风险防范机制256项,组织医务人员参加患者诊疗信息安全培训。
【典型意义】检察机关运用大数据比对等方式全面调查取证,发出检察建议,督促行政机关查处医疗机构违法违规行为,开展专项整顿、安全培训等,堵塞医疗健康信息安全漏洞,强化行业自律,健全长效保护机制。
本报记者 张昊