【关键词】
刑事附带民事公益诉讼 快递面单个人信息 数据采集工具 企业数据合规
【要 旨】
对于快递行业龙头企业内部员工利用工作便利泄露信息,因快递业数据采集工具“巴枪”管理不善导致大量公民个人信息受到侵害的情形,检察机关以刑事附带民事公益诉讼追究违法者民事责任,通过制发社会治理类检察建议督促企业依法规范寄递用户信息采集管理,全面维护用户个人信息安全。
【基本案情】
2020年10月以来,某快递公司营业点主管以及仓库管理员付某等8人,利用职务便利通过营业点主管账户查询指定手机号码对应的快递单号,再通过手机拍照将快递单号发至购买方,购买方通过“巴枪”(快递业数据采集工具)获取快递单号在某快递公司的所有信息,包括寄收方姓名、联系方式、收寄货地址、物品信息等,严重侵犯公民个人信息安全,损害了社会公共利益。
【调查和诉讼】
广东省深圳市宝安区人民检察院(以下简称宝安区院)通过该院综合指挥中心案件集中评估平台,在刑事案件中发现付某等8人侵犯公民个人信息民事公益诉讼案件线索。公益诉讼检察部门发挥一体化办案优势,全程参与刑事案件调查,厘清证据链条,全面掌握付某等8人违法事实和社会公共利益受损情况,并多次走访某快递公司了解其日常监管模式及操作流程。
2021年8月,宝安区院依法提起刑事附带民事公益诉讼,诉请判令付某等8人支付其侵犯公民个人信息赔偿金240183.08元。人民法院经审理于2022年5月作出判决,支持宝安区院全部诉讼请求,以侵犯公民个人信息罪判处付某等8人有期徒刑十个月至三年不等并处罚金;判决付某等8人支付公益诉讼赔偿金共计240183.08元。目前,付某等8人已全额支付公益诉讼赔偿金。
案件办理过程中,宝安区院发现快递行业普遍存在快递查单系统权限设置过大、查单系统账号和密码安保级别低、“巴枪”管理不到位等问题。某快递公司作为快递行业龙头企业,虽然已采取多种安全保障措施,但在硬件设置和管理流程风控上仍然存在改进空间。2022年10月9日,宝安区院向某快递公司发出检察建议,建议其针对涉案个人信息的管理漏洞整改治理,依法规范个人信息收集、管理措施。
某快递公司收到检察建议后积极开展整改,聘请专业机构针对个人信息泄露风险点进行全流程梳理。一是优化用户个人信息保密制度,落实保密内容、细化保密环节及明确保密责任。严格设置不同级别员工的查询、访问权限,实行“账号负责制”;二是根据服务范围或服务对象分配内部人员的最小所需数据访问权限,快递员仅可查询其服务客户相关地址信息,通过一键拨号功能隐藏客户真实手机号;三是严控账号安全风险,采用CAS框架对应用进行统一的用户登陆管理;四是另行开发APP逐步取代“巴枪”,同步加强对现有“巴枪”的管理,宝安区院及时跟进监督,邀请人大代表走访某快递公司营业点,现场抽查管理人员登陆系统、“巴枪”查询权限等整改情况,经组织整改验收确认相关公益损害风险已消除。
【典型意义】
物流行业掌握大量公民个人生活信息,通过大数据分析后可精准画出用户购物习惯、消费水平、生活轨迹的图谱,极易滋生诈骗、不正当竞争等违法行为。本案中,检察机关通过刑事附带民事公益诉讼加大侵权成本、震慑违法犯罪,同时通过制发社会治理检察建议,着力实现“后端惩治”到“全流程风控”转化,引导快递行业龙头企业良性运行,建立快递企业个人信息安全保护通用标准,实现“由点到线,由线到面”的辐射效应。
——《个人信息保护检察公益诉讼典型案例》之七