2021年8月20日《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)发布,并即将于2021年11月1日正式生效实施。《个人信息保护法》第七十条确立了个人信息保护公益诉讼制度,检察机关通过提起公益诉讼的方式实现对于非法处理个人信息行为的监督。结合2021年4月22日最高人民检察院(以下简称“最高检”)发布的首批11个检察机关个人信息保护公益诉讼典型案例(以下简称“典型案例”)[1]以及2021年8月21日刚刚公布的个人信息保护公益诉讼办案重点(以下简称“办案重点”)[2],个人信息保护领域监管及执法力度再次加码,即意味着企业违反个人信息监管要求将会面临更为严格的执法力度以及更重的法律责任。
一、检察机关个人信息保护公益诉讼办案重点
《个人信息保护法》发布后,2021年8月21日最高检随即发布《关于贯彻执行个人信息保护法推进个人信息保护公益诉讼检察工作的通知》(以下简称“通知”),明确个人信息保护公益诉讼办案重点。
-
检察机关公益诉讼办案重点关注敏感个人信息、特殊群体、重点领域的违法信息处理活动。《个人信息保护法》并未根据场景、群体对个人信息作出类型划分,而是从对个人信息主体权益影响的角度,针对敏感个人信息提出更高的保护要求;而检察机关办案重点主要考虑对人身、财产安全所造成的影响。相较于《个人信息保护法》规定仅将儿童个人信息视为敏感个人信息,通知同样注重对于妇女、残疾人、老年人、军人等特殊主体的个人信息保护。尽管《个人信息保护法》对于处理上述个人信息未施以特别的监管要求,但就办案重点而言,个人信息处理者需要注重敏感个人信息以及通知中所明确列举的涉及特殊群体、重点领域的个人信息处理活动的合规性,以避免因不合规而面临涉诉风险。
-
检察机关重点关注大型个人信息处理者的个人信息处理活动。《个人信息保护法》中对于“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”提出更高的合规要求。相比之下,检察机关办案重点则仅从处理个人信息的数量入手,而无业务场景等其他要求,实际上扩大了检察机关的监督范围,即只要处理超过100万以上个人信息的个人信息处理者,即使是单一业务场景,也可能会因非法处理个人信息行为而被检察机关提起公益诉讼。
-
个人信息的认定将成为办案重点。数字时代个人信息的内涵随着技术的发展而不断有所变化。动态IP地址、访问记录是否属于个人信息,基于当下的监管要求,都会得出和此前完全不同的答案。因此,通知明确精准保护“因时间、空间等联结形成的特定对象的个人信息”,例如动态信息、行踪轨迹,也突出了从安全角度考虑对于个人信息的保护。根据《个人信息保护法》中关于个人信息的定义,结合近期网络安全执法动态,个人信息处理者需要将信息性质识别工作作为开展合规工作的前提,综合监管文件、执法案件、司法实践确认所处理的信息是否属于个人信息。
二、检察机关个人信息公益诉讼制度的适用条件及相关法律责任
近期与个人信息保护以及公益诉讼有关的监管文件陆续出台,进一步明确了检察机关在个人信息保护领域提起公益诉讼的相关规则。
-
2021年1月1日
《民事案件案由规定》、《关于行政案件案由的暂行规定》正式施行,均新增“公益诉讼”二级案由,确定实践中检察机关提起公益诉讼的案由适用。[3]
同日,《最高人民法院、最高人民检察院关于检察公益诉讼案件适用法律若干问题的解释》生效实施,对于审判阶段民事及行政检察公益诉讼的法律适用问题作出明确规定。
-
2021年7月1日
《人民检察院公益诉讼办案规则》正式施行,确定了检察机关办理公益诉讼案件的细则规定。
-
2021年8月20日
《个人信息保护法》全文发布,并将于2021年11月1日正式生效实施,明确个人信息处理者违法处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。
-
2021年8月21日
最高人民检察院下发《关于贯彻执行个人信息保护法推进个人信息保护公益诉讼检察工作的通知》,明确个人信息保护公益诉讼办案重点。
以下根据法律规定,就个人信息保护领域检察公益诉讼的适用条件及对应的法律责任进行梳理。
(一)检察民事公益诉讼
《个人信息保护法》明确规定检察机关可以向人民法院提起个人信息民事公益诉讼。同时根据《中华人民共和国民事诉讼法》规定,消费者组织和由国家网信部门确定的组织提起诉讼的,人民检察院可以支持起诉。[4]
参考典型案例7——浙江省杭州市余杭区人民检察院诉某网络科技有限公司侵害公民个人信息民事公益诉讼案,人民检察院发现APP存在强制索取“访问设备上的照片、媒体内容和文件”及手机设备号等权限行为,涉及违法违规获取、存储用户个人信息数量千万条以上。该款APP违法违规收集个人信息的行为已侵害不特定多数个人信息权益,致使社会公共利益受到损害,经公告,没有法律规定的机关和有关组织提起诉讼,最终由检察机关提起公益诉讼。最终涉案APP:
-
删除违法违规收集、储存的全部用户个人信息1100万余条
-
公开赔礼道歉
-
与检察机关达成合法合规经营协议
(二)检察行政公益诉讼
基于《行政诉讼法》规定,检察机关提起行政公益诉讼以其发出检察建议为前置条件,本质上在于通过检察机关的监督力量督促行政执法机关履行保护个人信息职责。[5]检察机关发现履行个人信息保护职责的部门未履行职责时,应首先提出检察建议,督促其依法履行职责。只有在相关机关接到检察建议未履行职责的情况下,检察机关可以向人民法院提起诉讼,要求相关机关履行职责。在个人信息保护领域,行政公益诉讼的结果即在于实现督促履行个人信息保护职责的部门履行职责,此时个人信息处理者面临行政处罚的风险。
就已公布典型案例来看,检察机关提起个人信息保护行政公益诉讼的案件线索主要来源于:
-
媒体报道
-
举报投诉
-
刑事案件
-
检察机关自行发现
结合法律规定和典型案例来看,检察机关在行政监管领域的介入将会增加企业面临行政监管的风险。参考典型案例3——甘肃省平凉市人民检察院督促整治快递单泄露公民个人信息行政公益诉讼案,检察机关基于群众举报线索向市邮政局发出诉前检察建议,建议其依法全面履行快递市场安全监督管理职责,督促快递企业采取有效手段保护用户信息安全。收到检察建议后,市邮政局印发《关于切实做好邮政行业用户信息安全保护的通知》并进行专项整改,约谈快递企业负责人并要求企业采取技术、管理等措施加强对个人信息的保护。
(三)检察刑事附带民事公益诉讼
根据《刑事诉讼法》规定,对于无具体受害人,损害公共利益、造成损失的行为,检察机关可以提起刑事附带民事诉讼。[6]区别于前两种公益诉讼,此种情形下必然以发生刑事犯罪为前提,也意味着除刑事责任外,企业也需要面临相应的民事责任。参考典型案例10——贵州省安顺市西秀区人民检察院诉熊某某等人侵犯公民个人信息刑事附带民事公益诉讼案,检察机关在审查熊某某等3人涉嫌侵犯公民个人信息罪一案时,发现熊某某等3人的行为可能损害社会公共利益,遂以侵犯公民个人信息刑事附带民事公益诉讼立案。最终法院判决,除承担刑事责任外,刑事附带民事公益诉讼被告人:
-
删除所有非法获取的公民个人信息
-
支付赔偿金共计人民币70余万元
-
在国家级媒体上公开赔礼道歉
三、从典型案例发布情况看监管趋势
(一)覆盖民事、行政公益诉讼,案件类型多样
根据诉讼案件类型,可以将典型案例分为两类,分别是:
案件类型的多元化意味着企业面临监管力度的加大和法律风险的提升。
首先,检察机关可以直接提起公益诉讼,成为侵犯个人信息行为的直接监管机构。在此之前,各级公安机关、互联网信息办公室、市场监督管理局、通信管理局等行政执法机构主要负责个人信息保护领域的监管工作,检察机关通过对侵犯个人信息的犯罪行为提起公诉,以刑事手段成为个人信息保护的最后一道防线。而将个人信息保护纳入公益诉讼领域,则意味着检察机关可以同时协同上述行政机关直接共同监管侵犯个人信息但尚未构成犯罪的行为。检察机关介入更为前置的监管阶段,监管力量的增强必然意味着更大的监管力度。
其次,企业个人信息处理活动将会面临更大的法律风险。个人信息保护公益诉讼制度落地,企业因侵犯个人信息行为承担法律责任的类型和程度都会扩大。检察机关可以提起个人信息保护行政公益诉讼,意味着尽管企业未遭受行政处罚,但不排除其会面临因行政公益诉讼引发的行政处罚风险;即使企业已经承担相应刑事责任,但仍然需要面对附带民事公益诉讼;以及除与个人信息主体间的普通民事纠纷以外,企业也会面临来自检察机关直接提起的民事公益诉讼。
(二)覆盖个人信息处理活动全部环节
就典型案例来看,涉诉行为基本涵盖了个人信息处理活动的全部环节。
通过上述梳理,不难发现个人信息保护公益诉讼的关注重点仍与此前监管要求保持一致,集中于数据收集、使用及提供三个阶段,且商业营销场景为重点监管领域。鉴于拨打电话、广告推送等商业营销直接与消费者权益等社会公共利益相关,所以企业在开展上述业务时,应当注意满足相应监管要求。
(三)个人、单位均可成为责任主体
就典型案例来看,个人、企业甚至行政机关均有可能成为涉诉主体。
2007年《刑法修正案(七)》规定非法获取公民个人信息罪,仅规制特殊岗位人员侵犯公民个人信息的行为。2015年《刑法修正案(九)》将上述罪名修改为侵犯公民个人信息罪,行为主体为一般主体,即所有自然人及组织均有可能构成本罪,特殊岗位人员成为量刑情节。《中华人民共和国网络安全法》、《中华人民共和国民法典》、《个人信息保护法》相继生效实施,更是明确了个人信息保护的一般主体的义务和责任。在此基础上,公益诉讼涉诉主体呈多元化趋势,通过对监管对象无差别监管进而强化对于个人信息的保护。
(四)责任主体承担多重责任
从典型案例的处理结果来看,企业可能会因面临个人信息保护公益诉讼而承担更重的法律责任,包括企业此前未面临行政监管,但因行政公益诉讼而面临相应行政处罚;或企业未承担刑事责任,但需要承担民事法律责任;以及企业需要同时承担民事、行政及刑事责任的情形。目的在于通过综合运用刑事追诉、公益诉讼手段,增加侵权行为的违法成本。此次公布的典型案例中,涉诉主体同时承担两种以上法律责任的案例数量为5个,几乎占全部案件数量的一半。就目前从严保护个人信息的趋势来看,未来因侵犯个人信息而承担多重法律责任的可能性极大。
与此同时涉诉主体承担法律责任的形式也更加多元。通过对此次发布11个典型案例进行梳理,相关主体承担责任的形式包括:
区别于此前仅针对侵犯公民个人信息仅处以罚款、刑罚等事后追责的形式,目前的监管重点更注重于要求企业实现内部个人信息管理的合规,从而最大限度消除对影响个人信息权益的风险。
四、从典型案例看员工刑事犯罪与公司责任承担
典型案例9 ——上海市宝山区人民检察院诉H科技有限公司、韩某某等人侵犯公民个人信息刑事附带民事公益诉讼案[7],极具代表性意义,明确认定“针对网络服务提供者、网络用户利用互联网侵犯公民个人信息的犯罪行为,网络运营者未依法履行其社会管理职责的情形,检察机关在提起刑事附带民事公益诉讼时,可以依法追加其为附带民事公益诉讼被告,要求其承担侵权责任”。此即意味着网络运营者在个人信息保护方面需履行相应的注意义务,采取恰当的管理及技术措施及时发现并处理网络服务提供者及网络用户侵犯公民个人信息的行为,否则存在因未履行相应职责而与侵权行为人承担连带责任的法律风险。
(一)基本案情
涉诉公司员工任职期间对外独立成立个人信息交易平台,将相关个人信息存储于公司服务器上。公司不构成侵犯个人信息罪,但在附带民事公益诉讼中,法院认为公司为他人从事个人信息交易提供平台,损害了社会公众利益,应当依法承担相应民事责任。
(二)案例分析
此前公司进行数据合规相关工作的重点集中于避免员工非法获取、对外提供个人信息,此案的重要意义即在于提供了一个全新的视角去审视公司的数据合规框架——即公司也应当考虑避免因员工利用公司设备或条件从事侵犯个人信息的私人行为给公司招致不必要的法律及商业风险。
本案中,涉诉公司未采取恰当的数据分类分级制度、未进行数据审计等措施,导致公司不能有效识别出员工存储于公司服务器上的个人信息进而采取相应处置措施,从而实际上为员工侵犯个人信息的行为提供了平台,据此公司需要承担相应的民事法律责任。尽管触发风险的场景不同,但我们也应当注意到企业在个人信息保护方面所承担的义务具有一定程度的一致性,建立必要的数据内控制度是企业实现合规运行的应有之意。
五、企业个人信息处理合规要点提示
(一)基于相关法律规定以及典型案例进行分析,我们认为强监管趋势下,企业应重点关注以下问题:
-
商业营销场景下个人信息的收集与使用
典型案例中,有4个案例与商业营销直接相关,包括儿童摄影公司、校外辅导班、房地产及装饰装修行业等非法获取个人信息进行商业营销、电信诈骗等。商业营销场景下,个人信息主体作为直接营销对象,更容易因受到电话滋扰、短信轰炸等而采取投诉、报案等措施,将企业直接置于行政、刑事的监管之下,因此企业对于此场景下的个人信息处理合规问题应着重关注。
-
公开披露个人信息的合规性
通过网站、快递单等形式披露个人信息,致使公民个人信息处于泄露状态,将公民个人信息置于风险敞口之上,被认定为是损害社会公共利益的违法行为。因此对于涉及个人信息对外公开展示的业务场景,公司应当基于最小必要原则的前提下,根据监管的强制性要求,注重个人信息展示的合规性。
-
公司内部数据合规制度构建
无论是因未建立完善的数据合规制度而出现数据安全事件,或相关处罚措施要求公司建立相应数据合规制度,对于公司而言,搭建完善的内部数据合规制度都显得十分重要,一方面可以最大程度避免数据安全风险的出现,另一方面也可以在相应风险出现的情况下最大限度降低公司所可能受到的影响和承担的法律责任。
(二)针对上述重点问题,我们提出以下合规建议供公司参考:
-
从第三方处获取个人信息进行商业营销时,应采取措施对第三方获取个人信息的正当性和合法性进行审查,慎重向非基于自有业务场景而提供个人信息的第三方获取相关个人信息。
-
应在获得个人信息主体同意的情况下进行电话等商业营销,允许个人信息主体拒绝商业营销并提供合理方便的途径,在个人信息主体拒绝后不得再次向其发送商业营销消息。
-
非基于法律规定或个人信息主体授权同意,不公开披露个人信息,必要情况下公开披露个人信息应当进行去标识化等技术处理。
-
公司应当建立数据分类分级制度,覆盖数据生命全周期,进行区分管理,记录个人信息处理活动,并进行审计,留存相应记录。
-
公司应建立数据合作方动态监管机制,进行日常舆情监测、抽样审查等,避免因上下游合作方违规行为导致法律风险传递。
当然,完善的合规工作是个人信息处理者避免面临检察机关公益诉讼的重要前提。但个人信息处理者一旦面临相应诉讼案件,还需及时征求专业的律师意见,及早介入才能有效控制风险。
注释:
[1] 最高检发布检察机关个人信息保护公益诉讼典型案例斩断个人信息侵权与电信网络诈骗之间的利益链条
https://www.spp.gov.cn/xwfbh/wsfbt/202104/t20210422_516357.shtml#1
[2] 最高检下发通知 明确个人信息保护公益诉讼办案重点
https://www.spp.gov.cn/spp/zdgz/202108/t20210822_527281.shtml
[3] 最高人民法院印发《关于修改〈民事案件案由规定〉的决定》的通知
14.增加第二级案由“五十二、公益诉讼”。
最高人民法院印发《关于行政案件案由的暂行规定》的通知
(二十二)XX(行政行为)公益诉讼
[4] 《中华人民共和国民事诉讼法》
第五十五条【公益诉讼】对污染环境、侵害众多消费者合法权益等损害社会公共利益的行为,法律规定的机关和有关组织可以向人民法院提起诉讼。
人民检察院在履行职责中发现破坏生态环境和资源保护、食品药品安全领域侵害众多消费者合法权益等损害社会公共利益的行为,在没有前款规定的机关和组织或者前款规定的机关和组织不提起诉讼的情况下,可以向人民法院提起诉讼。前款规定的机关或者组织提起诉讼的,人民检察院可以支持起诉。
[5] 《中华人民共和国行政诉讼法》
第二十五条【原告资格】行政行为的相对人以及其他与行政行为有利害关系的公民、法人或者其他组织,有权提起诉讼。
有权提起诉讼的公民死亡,其近亲属可以提起诉讼。
有权提起诉讼的法人或者其他组织终止,承受其权利的法人或者其他组织可以提起诉讼。
人民检察院在履行职责中发现生态环境和资源保护、食品药品安全、国有财产保护、国有土地使用权出让等领域负有监督管理职责的行政机关违法行使职权或者不作为,致使国家利益或者社会公共利益受到侵害的,应当向行政机关提出检察建议,督促其依法履行职责。行政机关不依法履行职责的,人民检察院依法向人民法院提起诉讼。
[6] 《中华人民共和国刑事诉讼法》
第一百零一条【附带民事诉讼的提起】被害人由于被告人的犯罪行为而遭受物质损失的,在刑事诉讼过程中,有权提起附带民事诉讼。被害人死亡或者丧失行为能力的,被害人的法定代理人、近亲属有权提起附带民事诉讼。
如果是国家财产、集体财产遭受损失的,人民检察院在提起公诉的时候,可以提起附带民事诉讼。
[7] 参考(2020)沪02刑终564号刑事裁定书。