数据保护典型案例与执法新动向—2023年315曝光案例解析
作者:王良 周珈宇 2023-03-28案例一 免费评书机暗藏天价神药骗局
【基本案情】 药品销售商通过向老人免费邮寄评书机,高价推销“保健品”。评书机经过定制,其内唯一音频对药品进行虚假广告宣传,夸大药品治疗效果。药品销售商通过同行间买卖轻易获取大量公民个人信息,借助“评书机”这一工具,将成本低至几十元的产品以几千元的价格向老人兜售。上海、镇江、苏州等多地均查获类似案件,受骗老人来自全国各国。 【案例解析】 本案药品经销商的虚假广告宣传行为,严重侵害消费者的合法权益,在同行间买卖公民个人信息并非法利用,则涉嫌个人信息犯罪。个人信息与公民的个人隐私、人身安全与财产安全紧密相连,侵犯个人信息可能产生民事责任、行政责任乃至刑事责任。 我国《个人信息保护法》明确规定,任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。但由于老年群体缺少必要的安全防范意识,个人信息容易被恶意收集,容易被诱导操作,遭受金融诈骗、电信诈骗等网络诈骗,如何保护和关爱老年群体成为数字时代的重要课题。最高人民检察院把个人信息保护纳入公益诉讼的法定范围,要求各级检察机关在履行公益诉讼检察职责时应当突出重点、从严把握儿童、妇女、残疾人、老年人、军人等特殊群体的个人信息需要特别保护;教育、医疗、就业、养老、消费等重点领域处理的个人信息也列为重点保护。我国法律为老年群体提供的特别保障和公益诉讼的维权途径,将有助于老年群体跨越“数字鸿沟”,减轻老年群体权益受损的社会问题。 【执法动向】 近年来,工信部开展互联网应用适老化及无障碍改造专项行动,并提出对于老年人隐私和数据保护的特别要求。《互联网应用适老化及无障碍改造专项行动方案》《互联网网站适老化通用设计规范》《移动互联网应用(APP)适老化通用设计规范》的发布,倡导企业对互联网网址和APP进行适老化及无障碍改造,适老版网页及App禁止广告弹窗、禁止诱导类按键,从而助力老年群体平等便捷地获取、使用互联网应用信息。
案例二 ETC禁用短信骗局
【基本案情】 诈骗分子通过向消费者发送“ETC卡禁用”“快递丢失理赔”等短信,诱骗消费者登录诈骗钓鱼网站。当消费者在链接中输入的姓名、身份证号、手机号、银行账户信息等个人信息时,系统会自动记录储存,相关信息就此被诈骗分子掌握。此外,诈骗分子还利用线上会议的屏幕共享、远程协助等功能,实时盗取短信验证码等关键信息,同步进行诈骗活动。 【案例解析】近年来,“互联网+经济犯罪”交织,成为网络犯罪的新态势。其中,个人信息泄露相关的网络诈骗现象严重,电信网络诈骗犯罪多发高发,在刑事犯罪案件中占据很大比重。这些案件背后发生的公民个人信息的泄露,成为网络犯罪链条中的关键环节。由个人信息泄露引发的一系列诈骗、敲诈勒索、恶意骚扰等违法犯罪行为,严重侵害公民的人身安全与财产安全。 最高人民法院发布的第35批指导性案例中有四个案例均为公民个人信息保护刑事案例,分别涉及人脸识别信息、居民身份证信息、微信等社交媒体账号、手机验证码等刑法保护的公民个人信息。上海市检察院发布的《上海网络犯罪检察白皮书(2022)》也重点提到诸多非法获取个人信息的方式,包括App过度或违规收集公民个人信息、出借身份证和银行账户、使用撞库、利用“爬虫”技术、发送钓鱼网站欺诈链接等。 【执法动向】 我国的《个人信息保护法》赋予个人信息主体各项数据权利,着力解决个人信息滥用和个人信息泄露两大问题。一方面,要求数据处理者履行数据合规义务,从技术和管理方面来保障个人信息的安全。另一方面,通过设立个人信息泄露通知制度,让执法与监管机构可以及时介入数据泄露环节进行应对。 我国将于2023年6月1日实施的《网信部门行政执法程序规定》,聚焦网络数据安全和个人信息保护等问题,通过规范相关案件的行政执法程序,保障网信部门依法行使行政处罚权,推动我国构建实体与程序并重的网络法治体系。对于个人信息泄露为根源引发的网络诈骗等社会问题,各级行政执法与司法部门需要强化全链条打击、推进一体化治理,形成健全的网络综合治理体系。 案例三 水军操盘直播间诱导跟风下单
【基本案情】 直播带货平台购买水军增加直播播放量、点赞评论数的现象已是行业公开秘密,直播公司以此带动直播平台氛围,吸引消费者冲动跟风、下单消费。水军业务明码标价,相关公司还拥有自己的下单平台,平日微信群中也有大量的水军需求。直播公司通过群控系统、云控系统等,利用一台电脑同时操控成百上千台手机,通过“物联卡”注册平台账户,冒充真实用户充当水军。 【案例解析】 直播带货行业水军泛滥,充斥着虚假流量,滋生着网络黑灰产业。直播平台刷量、电商平台薅羊毛、社交平台刷粉等网络黑灰产业,或在平台上推广引流,或违法获取个人信息或计算机信息系统数据,或提供利用技术支持,或提供群控设备,或提供资金结算通道等。其中的“灰产”游走在法律边缘,“黑产”则直接触犯国家法律。黑灰产业的利润高、违法成本低、监管难度大,各类非法主体分工协作,彼此相互交织,形成黑灰产业链。 【执法动向】 网络犯罪打击的重点就是黑灰产业链,通过打击组织雇佣网络水军的幕后黑手,压实网络平台的主体责任,严格审核平台内容,压缩黑灰产业的生存空间。我国刑法针对典型的黑灰产形态增设专门罪名,对利用信息网络实施诈骗、传授犯罪方法,为犯罪提供互联网接入、服务器托管、网络存储、通讯传输等技术支持等行为做出了“入罪”规定。全国各级网信部门结合网络生态综合治理及“清朗”系列专项行动,持续加大网络执法力度,整治MCN机构信息内容乱象、整治网络直播和短视频领域乱象。针对存在涉流量造假、网络水军的行为,采取约谈、限期整改、处理责任人、实施行政处罚等手段,依法严厉打击网上各类违法违规行为。
案例四 手机恢复出厂设置不一定能彻底清除手机数据
【基本案情】 随着隐私意识的增强,个人电子产品的信息安全问题开始受到关注,二手手机和电子产品的数据与隐私问题日益凸显。根据315 信息安全实验室的测试,在彻底清除手机数据时,应当勾选所有存储项目。反之,如一键删除、快速格式化和默认不勾选“格式化SDK卡和手机存储”等操作都不能完全将手机中数据删除。在清除电脑数据时,一键删除只删除了文件索引和目录,可以轻易通过技术工具找回真正的文件内容。只有通过完全格式化,同时取消勾选“快速格式化”,才能彻底删除电脑硬盘和U盘内的数据内容。 【案例解析】 个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。匿名化,是指个人信息经过处理无法识别特定自然人且不能复原的过程。根据法律规定,公开使用经匿名化脱敏处理后的数据内容属无需另行征得用户的明示同意。消费者在处理二手手机或电子产品时,如果不被“匿名化”处理,不彻底清除或“脱敏”所涉隐私信息或个人数据的,会产生数据泄露的隐患。 手机等电子产品的硬件厂商是否有义务提供数据匿名化或“脱敏”的工具,是否应当承担相应的个人信息保护责任呢?从技术上看,该类厂商如果具有底层的信息收集控制能力,则需要其在产品开发和设计中遵循“隐私设计”(Privacy by Design,PbD)原则,将个人信息的保护的要求以技术架构和规则的方式嵌入到产品和服务的形态设计中去,实现数据收集和存储最小化等PbD策略,从而尽到合理谨慎的个人信息保护义务。 【执法动向】 二手手机等电子产品的回收已成为个人信息泄露的源头之一。用户在使用的过程中,大量的个人隐私、个人信息、银行账号等敏感信息被智能终端收集和存储。在回收的过程中,这些数据信息处理不彻底,可能导致信息泄露,侵犯个人隐私权。这是二手电子产品回收行业发展过程中亟待解决的问题,也将成为个人信息保护行政执法的新关注。北京市于2022年发布的《废弃电器电子产品回收规范(征求意见稿)》提出,回收废旧手机、电脑等涉及个人隐私的电子产品时,应当面清理用户个人信息,维护客户隐私权;不得向第三方透露客户相关信息。《“十四五”循环经济发展规划》中也强调了保障手机、电脑等电子产品回收利用全过程的个人隐私信息安全。通过在电子产品回收市场建立起个人信息删除或匿名化处理的标准,规范并完善回收渠道及流程,可以让用户的个人信息更安全。
案例五 破解版APP成永不消失的追踪器
【基本案情】破解版APP相较于官方版本,被额外嵌入了其他第三方插件,即SDK软件包。当破解版APP运行时,其能同步盗取用户的MAC地址、手机硬件的唯一识别码IMEI 、SIN卡全球唯一码SIM号等信息。这些信息看似不是最核心的个人信息,实则掌握这些信息后,即使用户更换了手机或电话号码,它也能精准锁定用户,实时捕捉和追踪用户动态,形成用户的精准画像。有些破解版APP通过绕开手机的安全提醒机制,盗取用户的通话记录等关键信息,甚至传输至境外电信诈骗集团。 【案例解析】 软件破解是指通过技术手段件对正版软件进行“二次开发”,规避或突破正版软件的使用规则或授权限制。以营利为目的破解他人软件并售卖的行为,侵犯权利人的著作权并会给权利人和消费者造成损害。破解软件通常会捆绑恶意软件,指向非法网站链接诱导用户下载其他软件进行获利,操控者也可以轻易获取使用者的数据,甚至是银行卡密码等敏感个人信息,造成个人信息泄露与财产损失。 手机用户常用的设备信息包括硬件序列号、设备 MAC 地址、软件列表、唯一设备识别码(如IMEI/Android ID/IDFA/OpenUDID/GUID/SIM 卡 IMSI 信息)等,这些信息都属于唯一设备标识符。唯一设备标识符的最大的作用在于广告追踪,其目的都是商家为了实现对用户画像和用户需求的精准识别,以及营销广告的针对性投放。相关司法案例表明,App 首次运行未经用户阅读同意隐私政策,就开始收集用户设备的MAC地址、IMEI等信息的行为违法。企业确需收集用户唯一设备标识符的,需要取得用户授权同意并为用户提供便捷的撤回同意路径。 【执法动向】近年来,工信部、市场监管总局、网信办等各级行政主体对App行业开展了系列的执法检查和治理,有效促进了App运营者落实个人信息保护职责,保障个人信息的法定权利。工信部《关于进一步提升移动互联网应用服务能力的通知》中提出,要从行业协同规范发展、上下游联防共治的角度出发,抓住当前移动互联网服务的五类关键主体,即APP开发运营者、分发平台、SDK(软件开发工具包)、终端和接入企业,进行全流程、全链条治理,加强个人信息保护、用户权益保护,增强网络和数据安全保障能力,加快安全产业创新发展。