【关键词】
行政公益诉讼诉前程序 服务场所 消费者敏感个人信息 数字技术
【要 旨】
针对服务场所强制采集、非加密传输、违法存储、未定期删除消费者敏感个人信息,造成信息泄露安全隐患的行为,检察机关开展专项监督,制发诉前检察建议,督促职能部门依法履行监管职责,维护消费者个人信息安全。
【基本案情】
江苏省无锡市新吴区某健身房使用具有人脸识别、指纹识别等功能的信息管理系统,强制要求会员刷脸或录入指纹进入。由于该管理系统采用分级分层、前后端分离等技术,消费者在前端平台界面仅能看到被采集的个人身份信息,未被告知个人信息收集清单及权限。在部分会员明确拒绝人脸采集识别后,该健身房擅自将会员办卡时提供的照片录入系统作为刷脸进出凭证,且在会员要求删除照片等信息时,以无管理权限为由拒绝删除,其行为侵害众多消费者合法权益,损害社会公共利益。
【调查和督促履职】
2022年6月21日,“益心为公”检察云平台志愿者向江苏省无锡市新吴区人民检察院(以下简称新吴区院)反映,新吴区某健身房存在侵犯消费者敏感个人信息的情形。新吴区院运用公益损害风险防控平台,通过数据交叉比对、智能分析,排查易发生非法收集个人信息的服务场所,绘制风险防控“数字地图”,发现全市案件线索16件,其中涉及新吴区5件。经初步调查,新吴区院于2022年8月11日正式立案。
新吴区院引入专业技术机构协助调查取证,现场勘验涉案服务场所信息管理系统,出具专家意见,认为该系统在个人信息传输、存储等方面存在安全风险。针对涉案服务场所采集、存储个人信息的必要性和合理性,邀请公安、市场监管、第三方专业机构等召开论证会。新吴区院审查认为,根据《中华人民共和国个人信息保护法》第二十六条、第二十八条、第四十七条、《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第一条第三款等规定,消费者的人脸、指纹等属于生物识别类敏感个人信息,涉案服务场所系公共场所,非维护公共安全必需且未取得消费者单独同意,强制采集、非加密传输、违法存储、未定期删除敏感个人信息的行为,损害了众多消费者合法权益。根据《中华人民共和国个人信息保护法》第六十条、第六十一条、《中华人民共和国消费者权益保护法》第二十九条、第三十二条第一款、第五十六条第一款第九项的规定,新吴区院于2022年8月12日向新吴区市场监督管理局制发行政公益诉讼诉前检察建议,督促对涉案服务场所依法处理,切实履行保护消费者合法权益的职责;开展行业规范整治,加大监管力度,建立长效机制,防范类似违法行为发生。
新吴区市场监督管理局收到检察建议后,对涉案5家服务场所进行集体谈话、责令改正,组织开展专项执法行动,并建立定期检查、约谈、通报等监管机制。涉案服务场所及时整改,改变进入场所方式,采取安全措施传输、定期删除个人信息,向监管部门报送个人信息管理情况。
新吴区院联合区市场监督管理局开展“回头看”,进行现场验收,确认涉案服务场所均整改到位。同时,新吴区院将其他11件案件线索移送无锡市人民检察院(以下简称无锡市院)。无锡市院开展服务场所公民个人信息保护专项监督活动,组织全市检察机关排查健身房、超市等服务场所126处,督促整改问题场所56处,删除违法采集信息9300余条,向经营者、消费者普法宣传3000多人次,有效保障公民个人信息安全。
【典型意义】
健身房、超市等公共服务场所采集的信息量大、面广、敏感度高,监管不到位,将严重危害众多消费者人身、财产安全。本案中,检察机关积极发挥公益诉讼检察职能,运用数字技术,通过“专业取证+专门论证+专家意见”等方式,破解公民个人信息保护领域线索发现、调查取证、损害认定等难题,制发诉前检察建议,开展专项监督,督促行政机关依法履职,推动服务场所规范收集、传输、存储、删除个人信息,加强数据安全管控,促进个人信息全链条保护。
——《个人信息保护检察公益诉讼典型案例》之一