破解手机APP侵犯个人信息公益诉讼监督难题

2021-11-27 10:44刘龙军杨妍
中国检察官·经典案例 2021年6期
关键词:手机app个人信息

刘龙军 杨妍

摘 要:个人信息保护工作是近年来国家治理中的一项重要内容,也是检察机关公益诉讼工作聚焦的新领域。该案立足于这一国家治理新动向以及最高人民检察院公益诉讼新部署,创新办案模式,通过利用“外脑+公证”、采取“听证+磋商”等方式,借力专业检测力量,破除行业及专业壁垒以及监督难题,提升公益诉讼监督能力和质效,助推行政机关全面履职,充分发挥检察公益诉讼在个人信息保护中的制度优势和实践价值。

关键词:个人信息 手机APP 第三方检测

一、基本案情与诉前程序

(一)基本案情

2020年7月,江西省南昌市人民检察院(以下简称南昌市院)发现有关媒体报道手机APP侵犯个人隐私问题,委托专业检测公司在人民监督员及公证人员的见证下,对“贪玩蓝月”“地宝网”“洪城乐骑行”“江教在线”“魔题库”等6款手机APP进行了详细检测,依据《APP违法违规收集使用个人信息行为认定方法》,发现上述APP存在未明示收集使用个人信息的目的、方式和范围;未经用户同意收集使用个人信息;违反必要原则,收集与提供服务无关的个人信息;未经同意向他人提供个人信息等违规收集个人信息的问题。

(二)诉前程序

根据《网络安全法》等法律规定,结合相关部门“三定方案”、权力清单,江西省通信管理局(以下简称省“通信管理局”)、南昌市公安局(以下简称“市公安局”)、南昌市互联网信息办公室(以下简称“市网信办”)具有相应监管、管理职责。南昌市院依据调查收集的相关证据材料,在立案前与上述职能部门进行了积极沟通,于2020年8月20日决定立案。

因手机APP侵犯公民个人信息涉及多个监管部门,存在职能交叉、层级不同等问题,且属于新领域案件,为稳妥办理该案并实现良好办案效果,南昌市院决定于2020年8月21日举行公开听证和会谈磋商。在与行政机关沟通后,南昌市院邀请了3名听证员(1名人民监督员、1名高校教授及1名律师)及省通信管理局、市公安局、市网信办相关处室负责人参加听证会。与会人员一致认为,手机APP侵犯个人信息的问题不是个例,而且对人们切身合法权益、社会公共利益造成了现实侵害,检察机关及时开展监督非常有必要。

2020年8月27日,南昌市院分别向市公安局、市网信办发出检察建议,要求两行政机关依法对案涉6款手机APP违法收集使用个人信息行为进行监管及处罚,并加强对本市辖区APP涉嫌违法违规收集使用个人信息等行为的监管,强化网络执法督查相关工作。2020年10月23日,市公安局、市网信办回复南昌市院,两部门根据属地管理原则,要求案涉5款手机APP运营主体针对检测发现的25个问题逐一进行对照、整改及优化等工作,市公安局对“地宝网”“洪城乐骑行”“江教在线”“魔题库”等4款手机APP运营主体进行了警告处罚。

2020年8月28日,根据诉前磋商达成的一致意见,南昌市院向省通信管理局移送了案涉6款手机APP存在具体问题的函及相关证据材料,建议通信管理部门立足职能加强监管。省通信管理局于2020年10月21日回函称,2020年9月组织开展了全省电信和互联网行业网络安全检查,重点抽查了包括“地宝网”所属的南昌地宝传媒有限公司、“魔题库”所属的江西软云科技股份有限公司等在内的10家互联网企业的数据安全及个人信息保护情况,对APP违规收集个人信息整改进行现场督导。并在2020年10月10日举办的江西省电信和互联网行业网络安全培训中,结合《APP违法违规收集用户个人信息行为认定方法》进行宣传教育,督促相关企业主体重视公民个人信息保护工作,进一步提升APP安全管理能力和水平。

2020年11月1日,为评估整改效果,南昌市院委托专业检测公司对6款手机APP整改情况进行复测。经检测发现,除“贪玩蓝月”APP未完全整改到位之外,其他5款手机APP在行政机关的督促下已完成整改。针对仍然存在的问题,南昌市院于12月23日再次将该线索移交省通信管理局。该局立即组织相关专业技术专家对江西贪玩蓝月公司整改工作进行业务指导,并于2021年1月6日向南昌市院书面回复,已督促完全整改到位。

二、本案办理难点

(一)发现、收集、固定证据难

信息时代随着智能手机的普及,与之相伴大量手机APP应运而生,面对各类形形色色的手机APP,人们在享受其带来便利的同时,个人信息保护方面受到的威胁随之而来。办案过程中,南昌市院随机从本地资讯类、教育类、游戏类、生活服务、政务服务等类别中共挑选了6款APP进行测试,比照信息保护相关法律法规、工信部关于手机APP收集使用个人信息相关规定,我们发现均存在违规收集个人信息的问题,检出问题率达100%,结合不断曝光的个人信息泄露事件,手机APP已然成为网络手段侵害个人信息的重灾区之一。其原因之一就在于通过手机APP等网络手段侵害个人信息的行为具备技术性、虚拟性和迅速性等特性[1],普通个体难以发现个人信息被侵害,更无法收集个人信息被侵害的证据。通过检测发现,一些违规手机APP在用户使用乃至下载安装尚未使用时,即已经开始非法“刺探”、收集相关个人信息,这一过程许多用户甚至毫不知情。

证实个人信息被侵害的证据一般都是以电子数据形式呈现,如何发现并固定这类证据是办案的难点。一款看似简单的手机APP,其背后是庞大的数据代码。一方面由于信息更迭速度的大幅跃升,大数据框架下的信息传导与增殖速率也大大提升,这种网络信息增殖使人们必须面对大量冗余数据,这显然增加了人们找到目标信息和文件的难度。[2]因此,要在互联网五花八门的数据信息中找寻涉案證据无异于大海捞针。另一方面即使找到了上述证据,如何依据《信息安全技术 个人信息安全规范》《信息安全技术 移动互联网应用(APP)收集个人信息基本规范》《APP违法违规收集使用个人信息行为认定方法》等专业标准,对数据进行解读、提取以及固定涉案电子数据内容,即固化为检察公益诉讼办案的相关证据材料,确定个人信息是否受侵害、侵害的具体形式乃至在何种程度上以何种方式被侵害,也是办案中的困难所在。

(二)监督管理职能交叉存“九龙治水”现象

从立法方面看,近年来国家逐步加大了个人信息法律保护力度,个人信息保护相关法律法规渐趋完善。2012年全国人大常委会出台了《关于加强网络信息保护的决定》,明确规定收集、使用公民个人电子信息,应当遵循“合法、正当、必要的原则”。2016年出台的《网络安全法》,以专章规定了网络信息安全,更为详细规定了网络运营者保护网络信息安全的法律义务。民法总则第111条规定“自然人的个人信息受法律保护”。民法典在人格权编中,将“隐私权和个人信息保护”做了专章规定。就已有立法来看,我国对个人信息保护的立法虽渐趋完善,但零散分布在不同法律法规中,仍呈现碎片化的特点,个人信息保护行政监管也呈现出明顯的部门性、行业性。由此导致监督管理职能交叉,一定程度上存在“九龙治水”的问题。且从执法实践来看,我国目前没有拥有独立职权的常设监管部门对个人信息收集进行规制,中央层面针对APP收集使用个人信息的监管主要由中央网信办、工信部、公安部、市场监督总局四部门负责。但具体到市、县一级,由于机构设置的差异,具体监管职能部门往往不一致,需要准确界定。

三、应对措施

(一)引入专业力量强化证据收集与固定

如上所述,由于电子数据收集和存取难度较传统数据难度更大,被伪造和毁损的风险也高出不少,为克服这一难题,我们专门请检测公司提供技术支持。为保证证据提取的合法性,避免出现程序瑕疵,确保符合诉讼中证据资格标准,前期就与该公司确立一套严格的技术流程。一是确保检测范围全,解决侵害公益代表性问题。该公司依据《网络安全法》《消费者权益保护法》《信息安全技术 个人信息安全规范》《信息安全技术 移动互联网应用(APP)收集个人信息基本规范》《APP违法违规收集使用个人信息行为认定方法》,梳理了六大类共31个小类的测评指标,指标涵盖了当时对APP收集使用个人信息的全部监管项目。二是强化检测规范,满足办案规范性要求。检测采取情境式提取模式,在测试机中嵌入一部普通手机,以普通用户身份在手机应用市场平台或官方网站下载安装软件,对评测的31项结果,逐一记载,最后形成一份详细的认定报告。三是外部见证提高证据收集证明力。虽然检察机关开展公益诉讼工作可以采取相关调查措施,但由于该类型证据调取需依托第三方,且要将手机APP后台侵犯个人信息的行为具体化,并要将其作为证明公共利益受损或存在损害公益风险的证据材料,办案过程中,检察机关主动邀请了两位人民监督员全程见证取证过程,并邀请了公证机构对检测全过程予以公证,进一步增强取证过程的证明力。

(二)广泛走访沟通准确界定监管职责

由于上述监管职能部门多、上下不一致等情形,加之刚刚进行的一轮行政机构职能改革,确定监管职能部门是办案的重要一环。在办理本案中,检察机关梳理了相关法律法规,到机构编制部门调取了《南昌市机构改革实施方案》、有关行政机关的“三定方案”,在此基础上,为确保监督对象精准,检察机关进行了上门走访,以准确锁定行政机关的监管职责。最终,检察机关依据《网络安全法》《消费者权益保护法》以及《关于开展APP违法违规收集使用个人信息专项治理的公告》等规定,上门走访沟通情况,最终确定江西省通信管理局、南昌市网信办、南昌市公安局对该类问题具有监管职责。

(三)“听证+磋商”确保形成整改共治合力

公开听证改变了检察机关以书面审查为主的传统办案模式,主动邀请第三方加入司法活动,是一项制度层面的创新和完善,是保证办案质量、提升司法公信力的重要举措,特别适合公众关注度高、案件疑难复杂的案件。本案公共利益是否受损、行政机关如何形成监管合力等方面的问题,通过公开听证将更明晰。而行政公益诉讼立案后磋商机制是行政诉前程序一种办案模式,它强调“双赢、多赢、共赢”的效果,要求检察人员审慎、客观地对待检察监督权,通过“沟通”和“对话”构筑交流的平台,促进问题的解决。从本案来看,个人信息保护行政监管明显的部门区隔,增加了本案中确定监管对象、监管职责的难度,加之本案涉及民生,公众关注度高,运用“听证+磋商”的模式,可以更好促进问题解决。

为了确保“听证+磋商”的效果,一是做好会前充分准备。根据前期的调查走访情况,通过6款手机APP的公司注册地是否在本市、是否在本市进行工商登记、是否在电信主管部门备案等情形,确定了省通信管理局、市公安局、市网信办具有相应监管职责。审慎确定听证员,考虑本案的专业性、复杂性,邀请了一名法学教授,一名律师及一名人民监督员担任听证员。二是引导聚焦重点及难点。听证会上,办案组检察官分别就案件办理经过、事实认定、证据情况、法律适用情况,重点就手机APP违规行为带来的危害、行政机关应当如何监管、多家单位如何形成合力、检察机关如何落实双赢多赢共赢要求等问题进行阐释和说明。行政机关对自身的职责进行了介绍及分析,并对检察机关收集的证据及监督工作,以及后续履职发表了意见。三名听证员分别就有关问题向承办检察官、行政机关进行了提问和了解。听证员经过评议,一致认为手机APP侵犯个人信息的问题已经对社会公共利益造成现实侵害,检察机关及时开展监督非常有必要。经过磋商,行政机关均在会上表示将就检察机关指出的具体问题抓紧整改,并努力做到举一反三,促进类似问题得到更有效治理。

四、案件办理的启示

(一)检察公益诉讼要善于从国家治理新动向中发现线索

新时代对个人信息保护的要求越来越严,人民群众关注度也越来越高。2019年中央网信办、工信部、公安部、市场监督总局等四部门针对APP违法违规收集使用个人信息集中开展行动。同年12月,四部门又联合出台了《APP违法违规收集用户个人信息行为认定方法》。自2019年开展APP专项治理工作至2020年3月,四部门多次进行个人信息保护整改行动,累计点名168个违法违规APP,其中包括搜狗浏览器、陌陌等知名APP,并对限期内未完成整改的APP下架处理。[3]与此同时,2019年10月,十九届四中全会提出了关于“拓宽公益诉讼案件范围”的新要求。同月,高检院发布了26件典型案例,“浙江诸暨市房地产、装修行业侵犯消费个人信息公益诉讼”作为个人信息保护案件列入其中。办案人员敏锐发现中央及高检院在个人信息保护上持续发力,于是南昌市院开始着手该案的前期调查工作,以期通过检察公益诉讼具体实践,积极推动相关问题解决,同时为社会治理贡献力量。

(二)检察机关在个人信息保护方面相较个体有突出优势

检察机关开展个人信息保护公益诉讼监督,较私力救济更直接、有效。普通主体即使感觉个人信息被违法收集和利用,但由于网络技术的复杂性、隐秘性,很难独自发现、收集、固定相关证据。所获得的损害赔偿与自己付出的精力以及网络运营者所获得的巨大经济利益相比微不足道。因此,实践中绝大多数人都选择放弃维权。而行政监管贯穿了事前预防、事中监督和事后处罚全过程。同时监管手段多样,包括风险管控、调查核实和处罚等多种手段,对发现的问题,行政机关制止侵权行为具备快速、便捷的特点。检察机关开展行政公益诉讼监督,具有较强的调查取证能力和专业知识水平,其主要通过监督行政机关履职,以国家公权力做后盾,督促问题整改落实,较个体而言能更有效保护个人信息安全。

(三)通过个案监督积极推进类似问题综合治理

检察机关开展公益诉讼监督,可以助推行政机关全面履职,着眼长治长效。行政公益诉讼制度设计的目的是维护公共利益,诉讼不是它的终极的目标,它主要是通过诉前程序,高效便捷发挥监督作用,督促行政机关有效履职,保护公共利益。面对行政机关出现履职不及时不全面等情形,检察机关可以通过行政公益诉讼,特别是通过诉前检察建议督促行政机关全面履职,弥补行政执法及时性、规范性、能动性不足的问题。本案办理初期,个别行政机关对个人信息保护重视不够,对于法定监管职责未全面履行,在本案的诉前程序中,检察机关与行政机关平等交流,检察权与行政权良性互动,促进了行政管理的平衡与协调。在磋商以及检察建议发出后,行政机关结合自身职能,均开展了及时整改,通信管理部门还在全省电信和互联网行业网络安全培训中,结合《APP违法违规收集用户个人信息行为认定方法》进行宣传教育,督促相关企业主体重视公民个人信息保护工作,进一步提升APP安全管理能力和水平,达到“办理一案,影响一片”的良好效果。

*江西省南昌市人民检察院第六检察部主任[300013]

**江西省南昌市人民检察院检察官[300013]

[1] 参见刁胜先:《个人信息网络侵权责任形式的分类与构成要件》,《重庆邮电大学学报(社会科学版)》2014年第2期。

[2] 参见刘桐:《大數据时代下的民事电子证据研究——以个人信息权民事诉讼保护为聚焦》,《网络空间安全》2019年第12期。

[3] 参见《APP个人信息保护颇为依赖行政监管解决之路任重道远》,原文网址:http://xinwen.shangdu.com/zhuanti/2020/0304/

030442407.html,最后访问时间:2021年5月13日。

猜你喜欢
手机app个人信息
个人信息保护实务大全(上)
保护死者个人信息 维权要不留死角
敏感个人信息保护:我国《个人信息保护法》的重要内容
浅论非法使用个人信息的刑法规制
主题语境九:个人信息(1)
刊评调查
“指尖上的党校”在大学生党建工作中的应用
“O2O”模式的月子餐市场前景明朗
互联网+背景下的手机APP安全性测试研究
智能手机APP支持下的大学英语听力教学