公民|过度收集、“内鬼”泄露、个人注销难……个人信息如何保护？泄露|注销|个人信息|保护|内鬼

最近，某速递公司深陷舆论漩涡：40万条客户信息被“内鬼”泄露。据悉，今年7月底，该公司总部监测到两个加盟网点有员工账号存在运单信息异常查询，疑似有“内鬼”和第三方勾结导致客户信息外泄，公司随即报案，相关犯罪嫌疑人已落网。虽然是“内鬼”作案，但公司作为客户信息的处理者，对于泄露事件难辞其咎。
过度收集、“内鬼”泄露、个人注销难……近年来侵犯公民个人信息案件频出，不断敲响公民个人信息保护警钟。网络时代，如何给“失控”的个人信息按下“刹车键”？特别是检察机关，在依法惩治相关刑事犯罪的同时，如何发挥公益诉讼职能保护公民个人信息？近日，采访人员就此采访了相关法律专家和办案检察官。
处理
个人信息收集不能“跨出”合理界限
2020年7月，工信部公布2020年第二批侵害用户权益行为App名单，在被点名的15个App中，有13个涉及公民个人信息过度收集。这只是公民个人信息被过度收集的“冰山一角”。
根据中国青年报社社会调查中心联合问卷网对1971名受访者进行的一项调查显示，79.2%的受访者觉得自己的信息被过度收集了，66.1%的受访者指出很多手机应用不授权就没法用，用户只能被迫接受。
可以说，公民个人信息被过度收集是各种侵犯公民个人信息案件频发的一个诱因。那么，合理收集与过度收集的界限如何划定？西南政法大学民商法学院教授张力认为，应结合收集个人信息的目的进行判断，收集用途应具有正当性，收集范围应当限于实现处理目的的最小范围，不得未经用户同意擅自扩大搜集信息的范围。
“收集的信息与提供的服务间应有内在联系，为提供相关服务可以合理收集必要的信息，但超出范围的就属于过度收集。”北京大学法学院教授薛军举例说，打车软件要求获取地址信息可以理解，但在此基础上收集用户身份证号的就是过度收集，过度收集可能侵害用户的隐私权、知情同意权等。
采访人员注意到，针对个人信息被过度收集现象，检察机关的公益诉讼探索在持续推进。比如因互联网应用商店对收录软件个人信息保护问题未履行管理责任，上海市检察院曾向应用商店运营商——某网络科技有限公司制发检察建议。
2019年6月，上海市检察院组织浦东、杨浦、静安等区检察院开展调查，在某应用商店内发现涉及留学、育儿、就业招聘、理财、网购等与民生密切相关的10余款手机App存在违规获取用户授权、隐私政策文本不规范、信息保护机制不完善等问题，侵害用户合法利益。以公证形式固定相关证据后，上海市检察院向应用商店运营商制发检察建议书，建议其督促应用商店内的应用程序提供者完善和规范隐私政策文本，对违法违规收集使用个人信息的，视情采取警示、暂停发布、下架应用程序等措施。同时，该院也向有关App运营企业分别制发检察建议书，要求其加强用户个人信息保护等工作。随后，应用商店运营商更新并提高了应用商店软件收录标准，制定了更加严格的用户个人信息保护政策，对于违规App，采取暂停、下架处理，并通知相关App运营方整改。目前，涉事企业已落实整改完毕。
“检察机关对此类案件考虑提起公益诉讼，能够为制度的运行注入动力。惩罚并不是越重越好，关键是要把制度真正运行起来。”薛军补充说，10月13日提请十三届全国人大常委会初次审议的个人信息保护法草案确立了“知情—同意”规则。处理个人信息的同意，应当由个人在充分知情的前提下，自愿、明确作出意思表示。个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，应当重新取得个人同意。总体来看，收集不能“跨出”合理界限，否则可能侵害公民的隐私权、知情同意权等。

文章插图
浙江省温州市鹿城区检察院对一起侵犯公民信息案件进行回访
保护
个人信息保护不能“单打独斗”
网络已成为生产生活的新空间、交流合作的新纽带，在此背景下，公民个人信息收集变得更加便利、隐蔽，在不同主体间的转移也更加容易，被泄露的信息经反复流转，极可能成为精准诈骗的重要信息来源。对于个人信息的处理，即收集、存储、使用、加工、传输、提供、公开等，新颁布的民法典作出规定：应当遵循合法、正当、必要原则，不得过度处理。具体需符合以下条件：征得该自然人或者其监护人同意，但是法律、行政法规另有规定的除外；公开处理信息的规则；明示处理信息的目的、方式和范围；不违反法律、行政法规的规定和双方的约定。