检察公益诉讼视角下的个人信息保护_第1页
检察公益诉讼视角下的个人信息保护_第2页
检察公益诉讼视角下的个人信息保护_第3页
检察公益诉讼视角下的个人信息保护_第4页
检察公益诉讼视角下的个人信息保护_第5页
已阅读5页,还剩8页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、 13/13检察公益诉讼视角下的个人信息保护公益诉讼焦点问题 宋伟等人2021年8月20日中华人民共和国个人信息保护法(以下简称个人信息保护法)发布,并即将于2021年11月1日正式生效实施。个人信息保护法第七十条确立了个人信息保护公益诉讼制度,检察机关通过提起公益诉讼的方式实现对于非法处理个人信息行为的监督。结合2021年4月22日最高人民检察院发布的首批11个检察机关个人信息保护公益诉讼典型案例(“典型案例”) 最高检发布检察机关个人信息保护公益诉讼典型案例斩断个人信息侵权与电信网络诈骗之间的利益链条/xwfbh/wsfbt/202104/t20210422_516357.shtml#1以

2、及2021年8月21日刚刚公布的个人信息保护公益诉讼办案重点 最高检下发通知 明确个人信息保护公益诉讼办案重点/spp/zdgz/202108/t20210822_527281.shtml,个人信息保护领域监管及执法力度再次加码,即意味着企业违反个人信息监管要求将会面临更为严格的执法力度以及更重的法律责任。检察机关个人信息保护公益诉讼办案重点个人信息保护法发布后,2021年8月21日最高人民检察院随即发布关于贯彻执行个人信息保护法推进个人信息保护公益诉讼检察工作的通知(“通知”),明确个人信息保护公益诉讼办案重点。办案重点个人信息保护法关联内容生物识别、宗教信仰、特殊身份、医疗健康、金融账号、

3、行踪轨迹等敏感个人信息应当严格保护个人信息处理者应重点关注敏感个人信息处理规则。儿童、妇女、残疾人、老年人、军人等特殊群体的个人信息需要特别保护教育、医疗、就业、养老、消费等重点领域处理的个人信息应当重点保护处理100万人以上的大规模个人信息应当重点保护个人信息处理者应重点关注针对提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者的监管要求。对因时间、空间等联结形成的特定对象的个人信息加强精准保护个人信息处理者需关注个人信息的定义,以进行性质识别。检察机关公益诉讼办案重点关注敏感个人信息、特殊群体、重点领域的违法信息处理活动。个人信息保护法并未根据场景、群体对个人信息作出类型划

4、分,而是从对个人信息主体权益影响的角度,针对敏感个人信息提出更高的保护要求;而检察机关办案重点主要考虑对人身、财产安全所造成的影响。相较于个人信息保护法规定仅将儿童个人信息视为敏感个人信息,通知同样注重对于妇女、残疾人、老年人、军人等特殊主体的个人信息保护。尽管个人信息保护法对于处理上述个人信息未施以特别的监管要求,但就办案重点而言,个人信息处理者需要注重敏感个人信息以及通知中所明确列举的涉及特殊群体、重点领域的个人信息处理活动的合规性,以避免因不合规而面临涉诉风险。检察机关重点关注大型个人信息处理者的个人信息处理活动。个人信息保护法中对于“提供重要互联网平台服务、用户数量巨大、业务类型复杂的

5、个人信息处理者”提出更高的合规要求。相比之下,检察机关办案重点则仅从处理个人信息的数量入手,而无业务场景等其他要求,实际上扩大了检察机关的监督范围,即只要处理超过100万以上个人信息的个人信息处理者,即使是单一业务场景,也可能会因非法处理个人信息行为而被检察机关提起公益诉讼。个人信息的认定将成为办案重点。数字时代个人信息的内涵随着技术的发展而不断有所变化。动态IP地址、访问记录是否属于个人信息,基于当下的监管要求,都会得出和此前完全不同的答案。因此,通知明确精准保护“因时间、空间等联结形成的特定对象的个人信息”,例如动态信息、行踪轨迹,也突出了从安全角度考虑对于个人信息的保护。根据个人信息保护

6、法中关于个人信息的定义,结合近期网络安全执法动态,个人信息处理者需要将信息性质识别工作作为开展合规工作的前提,综合监管文件、执法案件、司法实践确认所处理的信息是否属于个人信息。检察机关个人信息公益诉讼制度的适用条件及相关法律责任近期与个人信息保护以及公益诉讼有关的监管文件陆续出台,进一步明确了检察机关在个人信息保护领域提起公益诉讼的相关规则。2021年1月1日民事案件案由规定、关于行政案件案由的暂行规定正式施行,均新增“公益诉讼”二级案由,确定实践中检察机关提起公益诉讼的案由适用。 最高人民法院印发关于修改民事案件案由规定的决定的通知14.增加第二级案由“五十二、公益诉讼”。 最高人民法院印发

7、关于行政案件案由的暂行规定的通知(二十二)XX(行政行为)公益诉讼同日,最高人民法院、最高人民检察院关于检察公益诉讼案件适用法律若干问题的解释生效实施,对于审判阶段民事及行政检察公益诉讼的法律适用问题作出明确规定。2021年7月1日人民检察院公益诉讼办案规则正式施行,确定了检察机关办理公益诉讼案件的细则规定。2021年8月20日个人信息保护法全文发布,并将于2021年11月1日正式生效实施,明确个人信息处理者违法处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。2021年8月21日最高人民检察院下发关于贯彻执行个人信息保护

8、法推进个人信息保护公益诉讼检察工作的通知,明确个人信息保护公益诉讼办案重点。以下根据法律规定,就个人信息保护领域检察公益诉讼的适用条件及对应的法律责任进行梳理。序号诉讼类型适用条件涉诉主体法律后果1民事公益诉讼个人信息处理者违法处理个人信息,侵害众多个人的权益的,消费者组织和由国家网信部门确定的组织未提起诉讼时,检察机关可以直接起诉;消费者组织和由国家网信部门确定的组织提起诉讼时,检察机关可以支持起诉。个人信息处理者承担民事责任2行政公益诉讼检察机关发现履行个人信息保护职责的部门未履行职责时,应当向相关机关提出检察建议,督促其依法履行职责。相关机关不依法履行职责的,检察机关可以向人民法院提起诉

9、讼。行政机关个人信息处理者面临行政处罚3刑事附带民事公益诉讼检察机关提起刑事公诉时,可以向人民法院一并提起附带民事公益诉讼。个人信息处理者不必然免除刑事责任的前提下,同时承担相应的民事责任(一)检察民事公益诉讼个人信息保护法明确规定检察机关可以向人民法院提起个人信息民事公益诉讼。同时根据中华人民共和国民事诉讼法规定,消费者组织和由国家网信部门确定的组织提起诉讼的,人民检察院可以支持起诉。 中华人民共和国民事诉讼法第五十五条【公益诉讼】对污染环境、侵害众多消费者合法权益等损害社会公共利益的行为,法律规定的机关和有关组织可以向人民法院提起诉讼。人民检察院在履行职责中发现破坏生态环境和资源保护、食品

10、药品安全领域侵害众多消费者合法权益等损害社会公共利益的行为,在没有前款规定的机关和组织或者前款规定的机关和组织不提起诉讼的情况下,可以向人民法院提起诉讼。前款规定的机关或者组织提起诉讼的,人民检察院可以支持起诉。起诉检察机关个人信息处理者检察机关+消费者组织或国家网信部门确定的组织参考典型案例7浙江省杭州市余杭区人民检察院诉某网络科技有限公司侵害公民个人信息民事公益诉讼案,人民检察院发现APP存在强制索取“访问设备上的照片、媒体内容和文件”及手机设备号等权限行为,涉及违法违规获取、存储用户个人信息数量千万条以上。该款APP违法违规收集个人信息的行为已侵害不特定多数个人信息权益,致使社会公共利益

11、受到损害,经公告,没有法律规定的机关和有关组织提起诉讼,最终由检察机关提起公益诉讼。最终涉案APP:删除违法违规收集、储存的全部用户个人信息1100万余条公开赔礼道歉与检察机关达成合法合规经营协议(二)检察行政公益诉讼基于行政诉讼法规定,检察机关提起行政公益诉讼以其发出检察建议为前置条件,本质上在于通过检察机关的监督力量督促行政执法机关履行保护个人信息职责。 中华人民共和国行政诉讼法第二十五条【原告资格】行政行为的相对人以及其他与行政行为有利害关系的公民、法人或者其他组织,有权提起诉讼。有权提起诉讼的公民死亡,其近亲属可以提起诉讼。有权提起诉讼的法人或者其他组织终止,承受其权利的法人或者其他组

12、织可以提起诉讼。人民检察院在履行职责中发现生态环境和资源保护、食品药品安全、国有财产保护、国有土地使用权出让等领域负有监督管理职责的行政机关违法行使职权或者不作为,致使国家利益或者社会公共利益受到侵害的,应当向行政机关提出检察建议,督促其依法履行职责。行政机关不依法履行职责的,人民检察院依法向人民法院提起诉讼。检察机关发现履行个人信息保护职责的部门未履行职责时,应首先提出检察建议,督促其依法履行职责。只有在相关机关接到检察建议未履行职责的情况下,检察机关可以向人民法院提起诉讼,要求相关机关履行职责。在个人信息保护领域,行政公益诉讼的结果即在于实现督促履行个人信息保护职责的部门履行职责,此时个人

13、信息处理者面临行政处罚的风险。就已公布典型案例来看,检察机关提起个人信息保护行政公益诉讼的案件线索主要来源于:媒体报道举报投诉刑事案件检察机关自行发现结合法律规定和典型案例来看,检察机关在行政监管领域的介入将会增加企业面临行政监管的风险。参考典型案例3甘肃省平凉市人民检察院督促整治快递单泄露公民个人信息行政公益诉讼案,检察机关基于群众举报线索向市邮政局发出诉前检察建议,建议其依法全面履行快递市场安全监督管理职责,督促快递企业采取有效手段保护用户信息安全。收到检察建议后,市邮政局印发关于切实做好邮政行业用户信息安全保护的通知并进行专项整改,约谈快递企业负责人并要求企业采取技术、管理等措施加强对个

14、人信息的保护。(三)检察刑事附带民事公益诉讼根据刑事诉讼法规定,对于无具体受害人,损害公共利益、造成损失的行为,检察机关可以提起刑事附带民事诉讼。 中华人民共和国刑事诉讼法第一百零一条【附带民事诉讼的提起】被害人由于被告人的犯罪行为而遭受物质损失的,在刑事诉讼过程中,有权提起附带民事诉讼。被害人死亡或者丧失行为能力的,被害人的法定代理人、近亲属有权提起附带民事诉讼。如果是国家财产、集体财产遭受损失的,人民检察院在提起公诉的时候,可以提起附带民事诉讼。区别于前两种公益诉讼,此种情形下必然以发生刑事犯罪为前提,也意味着除刑事责任外,企业也需要面临相应的民事责任。参考典型案例10贵州省安顺市西秀区人

15、民检察院诉熊某某等人侵犯公民个人信息刑事附带民事公益诉讼案,检察机关在审查熊某某等3人涉嫌侵犯公民个人信息罪一案时,发现熊某某等3人的行为可能损害社会公共利益,遂以侵犯公民个人信息刑事附带民事公益诉讼立案。最终法院判决,除承担刑事责任外,刑事附带民事公益诉讼被告人:删除所有非法获取的公民个人信息支付赔偿金共计人民币70余万元在国家级媒体上公开赔礼道歉从典型案例发布情况看监管趋势(一)覆盖民事、行政公益诉讼,案件类型多样根据诉讼案件类型,可以将典型案例分为两类,分别是:案件类型案件数量行政公益诉讼6个民事公益诉讼2个刑事附带民事公益诉讼3个案件类型的多元化意味着企业面临监管力度的加大和法律风险的

16、提升。首先,检察机关可以直接提起公益诉讼,成为侵犯个人信息行为的直接监管机构。在此之前,各级公安机关、互联网信息办公室、市场监督管理局、通信管理局等行政执法机构主要负责个人信息保护领域的监管工作,检察机关通过对侵犯个人信息的犯罪行为提起公诉,以刑事手段成为个人信息保护的最后一道防线。而将个人信息保护纳入公益诉讼领域,则意味着检察机关可以同时协同上述行政机关直接共同监管侵犯个人信息但尚未构成犯罪的行为。检察机关介入更为前置的监管阶段,监管力量的增强必然意味着更大的监管力度。其次,企业个人信息处理活动将会面临更大的法律风险。个人信息保护公益诉讼制度落地,企业因侵犯个人信息行为承担法律责任的类型和程

17、度都会扩大。检察机关可以提起个人信息保护行政公益诉讼,意味着尽管企业未遭受行政处罚,但不排除其会面临因行政公益诉讼引发的行政处罚风险;即使企业已经承担相应刑事责任,但仍然需要面对附带民事公益诉讼;以及除与个人信息主体间的普通民事纠纷以外,企业也会面临来自检察机关直接提起的民事公益诉讼。(二)覆盖个人信息处理活动全部环节就典型案例来看,涉诉行为基本涵盖了个人信息处理活动的全部环节。序号环节涉诉行为1收集APP未明示收集使用个人信息的目的、方式和范围;未经用户同意收集使用个人信息;违反必要原则,收集无关个人信息APP强制获取用户权限2使用儿童摄影、培训公司违法使用个人信息用于商业营销培训机构违法获

18、取学生信息用于商业营销拨打营销骚扰电话,并实施消费欺诈3存储公司违规存储个人信息4委托处理、共享、转让、公开披露行政机关违规公开披露个人信息为非法个人信息交易提供平台非法出售个人信息快递单等未采取匿名化等保护措施,存在个人信息泄露风险5个人信息安全行政机关、公司未建立个人信息管理制度确保信息安全通过上述梳理,不难发现个人信息保护公益诉讼的关注重点仍与此前监管要求保持一致,集中于数据收集、使用及提供三个阶段,且商业营销场景为重点监管领域。鉴于拨打电话、广告推送等商业营销直接与消费者权益等社会公共利益相关,所以企业在开展上述业务时,应当注意满足相应监管要求。(三)个人、单位均可成为责任主体就典型案

19、例来看,个人、企业甚至行政机关均有可能成为涉诉主体。涉诉主体类型个人单位游戏在线教育摄影公司快递公司装修公司数据科技公司医院学校政府机关2007年刑法修正案(七)规定非法获取公民个人信息罪,仅规制特殊岗位人员侵犯公民个人信息的行为。2015年刑法修正案(九)将上述罪名修改为侵犯公民个人信息罪,行为主体为一般主体,即所有自然人及组织均有可能构成本罪,特殊岗位人员成为量刑情节。中华人民共和国网络安全法、中华人民共和国民法典、个人信息保护法相继生效实施,更是明确了个人信息保护的一般主体的义务和责任。在此基础上,公益诉讼涉诉主体呈多元化趋势,通过对监管对象无差别监管进而强化对于个人信息的保护。(四)责

20、任主体承担多重责任从典型案例的处理结果来看,企业可能会因面临个人信息保护公益诉讼而承担更重的法律责任,包括企业此前未面临行政监管,但因行政公益诉讼而面临相应行政处罚;或企业未承担刑事责任,但需要承担民事法律责任;以及企业需要同时承担民事、行政及刑事责任的情形。目的在于通过综合运用刑事追诉、公益诉讼手段,增加侵权行为的违法成本。此次公布的典型案例中,涉诉主体同时承担两种以上法律责任的案例数量为5个,几乎占全部案件数量的一半。就目前从严保护个人信息的趋势来看,未来因侵犯个人信息而承担多重法律责任的可能性极大。与此同时涉诉主体承担法律责任的形式也更加多元。通过对此次发布11个典型案例进行梳理,相关主

21、体承担责任的形式包括:高额惩罚性赔偿建立内部个人信息保护制度赔礼道歉采取网络安全保护技术措施删除违规收集个人信息作出个人信息处理合规承诺区别于此前仅针对侵犯公民个人信息仅处以罚款、刑罚等事后追责的形式,目前的监管重点更注重于要求企业实现内部个人信息管理的合规,从而最大限度消除对影响个人信息权益的风险。从典型案例看员工刑事犯罪与公司责任承担典型案例9上海市宝山区人民检察院诉H科技有限公司、韩某某等人侵犯公民个人信息刑事附带民事公益诉讼案 参考(2020)沪02刑终564号刑事裁定书。,极具代表性意义,明确认定“针对网络服务提供者、网络用户利用互联网侵犯公民个人信息的犯罪行为,网络运营者未依法履行

22、其社会管理职责的情形,检察机关在提起刑事附带民事公益诉讼时,可以依法追加其为附带民事公益诉讼被告,要求其承担侵权责任”。此即意味着网络运营者在个人信息保护方面需履行相应的注意义务,采取恰当的管理及技术措施及时发现并处理网络服务提供者及网络用户侵犯公民个人信息的行为,否则存在因未履行相应职责而与侵权行为人承担连带责任的法律风险。基本案情涉诉公司员工任职期间对外独立成立个人信息交易平台,将相关个人信息存储于公司服务器上。公司不构成侵犯个人信息罪,但在附带民事公益诉讼中,法院认为公司为他人从事个人信息交易提供平台,损害了社会公众利益,应当依法承担相应民事责任。案例分析此前公司进行数据合规相关工作的重

23、点集中于避免员工非法获取、对外提供个人信息,此案的重要意义即在于提供了一个全新的视角去审视公司的数据合规框架即公司也应当考虑避免因员工利用公司设备或条件从事侵犯个人信息的私人行为给公司招致不必要的法律及商业风险。本案中,涉诉公司未采取恰当的数据分类分级制度、未进行数据审计等措施,导致公司不能有效识别出员工存储于公司服务器上的个人信息进而采取相应处置措施,从而实际上为员工侵犯个人信息的行为提供了平台,据此公司需要承担相应的民事法律责任。尽管触发风险的场景不同,但我们也应当注意到企业在个人信息保护方面所承担的义务具有一定程度的一致性,建立必要的数据内控制度是企业实现合规运行的应有之意。企业个人信息处理合规要点提示(一)基于相关法律规定以及典型案例进行分析,我们认为强监管趋势下,企业应重点关注以下问题:商业营销场景下个人信息的收集与使用典型案例中,有4个案例与商业营销直接相关,包括儿童摄影公司、校外辅导班、房地产及装饰装修行业等非法获取个人信息进行商业营销、电信诈骗等。商业营销场景下,个人信息主体作为直接营销对象,更容易因受到电话滋扰、短信

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论