數據保護典型案例與執法新動向—2023年315曝光案例解析
作者:王良 周珈宇 2023-03-28案例一 免費評書機暗藏天價神藥騙局
【基本案情】 藥品銷售商通過向老人免費郵寄評書機,高價推銷“保健品”。評書機經過定制,其內唯一音頻對藥品進行虛假廣告宣傳,夸大藥品治療效果。藥品銷售商通過同行間買賣輕易獲取大量公民個人信息,借助“評書機”這一工具,將成本低至幾十元的產品以幾千元的價格向老人兜售。上海、鎮江、蘇州等多地均查獲類似案件,受騙老人來自全國各國。 【案例解析】 本案藥品經銷商的虛假廣告宣傳行為,嚴重侵害消費者的合法權益,在同行間買賣公民個人信息并非法利用,則涉嫌個人信息犯罪。個人信息與公民的個人隱私、人身安全與財產安全緊密相連,侵犯個人信息可能產生民事責任、行政責任乃至刑事責任。 我國《個人信息保護法》明確規定,任何組織、個人不得非法收集、使用、加工、傳輸他人個人信息,不得非法買賣、提供或者公開他人個人信息。但由于老年群體缺少必要的安全防范意識,個人信息容易被惡意收集,容易被誘導操作,遭受金融詐騙、電信詐騙等網絡詐騙,如何保護和關愛老年群體成為數字時代的重要課題。最高人民檢察院把個人信息保護納入公益訴訟的法定范圍,要求各級檢察機關在履行公益訴訟檢察職責時應當突出重點、從嚴把握兒童、婦女、殘疾人、老年人、軍人等特殊群體的個人信息需要特別保護;教育、醫療、就業、養老、消費等重點領域處理的個人信息也列為重點保護。我國法律為老年群體提供的特別保障和公益訴訟的維權途徑,將有助于老年群體跨越“數字鴻溝”,減輕老年群體權益受損的社會問題。 【執法動向】 近年來,工信部開展互聯網應用適老化及無障礙改造專項行動,并提出對于老年人隱私和數據保護的特別要求。《互聯網應用適老化及無障礙改造專項行動方案》《互聯網網站適老化通用設計規范》《移動互聯網應用(APP)適老化通用設計規范》的發布,倡導企業對互聯網網址和APP進行適老化及無障礙改造,適老版網頁及App禁止廣告彈窗、禁止誘導類按鍵,從而助力老年群體平等便捷地獲取、使用互聯網應用信息。
案例二 ETC禁用短信騙局
【基本案情】 詐騙分子通過向消費者發送“ETC卡禁用”“快遞丟失理賠”等短信,誘騙消費者登錄詐騙釣魚網站。當消費者在鏈接中輸入的姓名、身份證號、手機號、銀行賬戶信息等個人信息時,系統會自動記錄儲存,相關信息就此被詐騙分子掌握。此外,詐騙分子還利用線上會議的屏幕共享、遠程協助等功能,實時盜取短信驗證碼等關鍵信息,同步進行詐騙活動。 【案例解析】近年來,“互聯網+經濟犯罪”交織,成為網絡犯罪的新態勢。其中,個人信息泄露相關的網絡詐騙現象嚴重,電信網絡詐騙犯罪多發高發,在刑事犯罪案件中占據很大比重。這些案件背后發生的公民個人信息的泄露,成為網絡犯罪鏈條中的關鍵環節。由個人信息泄露引發的一系列詐騙、敲詐勒索、惡意騷擾等違法犯罪行為,嚴重侵害公民的人身安全與財產安全。 最高人民法院發布的第35批指導性案例中有四個案例均為公民個人信息保護刑事案例,分別涉及人臉識別信息、居民身份證信息、微信等社交媒體賬號、手機驗證碼等刑法保護的公民個人信息。上海市檢察院發布的《上海網絡犯罪檢察白皮書(2022)》也重點提到諸多非法獲取個人信息的方式,包括App過度或違規收集公民個人信息、出借身份證和銀行賬戶、使用撞庫、利用“爬蟲”技術、發送釣魚網站欺詐鏈接等。 【執法動向】 我國的《個人信息保護法》賦予個人信息主體各項數據權利,著力解決個人信息濫用和個人信息泄露兩大問題。一方面,要求數據處理者履行數據合規義務,從技術和管理方面來保障個人信息的安全。另一方面,通過設立個人信息泄露通知制度,讓執法與監管機構可以及時介入數據泄露環節進行應對。 我國將于2023年6月1日實施的《網信部門行政執法程序規定》,聚焦網絡數據安全和個人信息保護等問題,通過規范相關案件的行政執法程序,保障網信部門依法行使行政處罰權,推動我國構建實體與程序并重的網絡法治體系。對于個人信息泄露為根源引發的網絡詐騙等社會問題,各級行政執法與司法部門需要強化全鏈條打擊、推進一體化治理,形成健全的網絡綜合治理體系。 案例三 水軍操盤直播間誘導跟風下單
【基本案情】 直播帶貨平臺購買水軍增加直播播放量、點贊評論數的現象已是行業公開秘密,直播公司以此帶動直播平臺氛圍,吸引消費者沖動跟風、下單消費。水軍業務明碼標價,相關公司還擁有自己的下單平臺,平日微信群中也有大量的水軍需求。直播公司通過群控系統、云控系統等,利用一臺電腦同時操控成百上千臺手機,通過“物聯卡”注冊平臺賬戶,冒充真實用戶充當水軍。 【案例解析】 直播帶貨行業水軍泛濫,充斥著虛假流量,滋生著網絡黑灰產業。直播平臺刷量、電商平臺薅羊毛、社交平臺刷粉等網絡黑灰產業,或在平臺上推廣引流,或違法獲取個人信息或計算機信息系統數據,或提供利用技術支持,或提供群控設備,或提供資金結算通道等。其中的“灰產”游走在法律邊緣,“黑產”則直接觸犯國家法律。黑灰產業的利潤高、違法成本低、監管難度大,各類非法主體分工協作,彼此相互交織,形成黑灰產業鏈。 【執法動向】 網絡犯罪打擊的重點就是黑灰產業鏈,通過打擊組織雇傭網絡水軍的幕后黑手,壓實網絡平臺的主體責任,嚴格審核平臺內容,壓縮黑灰產業的生存空間。我國刑法針對典型的黑灰產形態增設專門罪名,對利用信息網絡實施詐騙、傳授犯罪方法,為犯罪提供互聯網接入、服務器托管、網絡存儲、通訊傳輸等技術支持等行為做出了“入罪”規定。全國各級網信部門結合網絡生態綜合治理及“清朗”系列專項行動,持續加大網絡執法力度,整治MCN機構信息內容亂象、整治網絡直播和短視頻領域亂象。針對存在涉流量造假、網絡水軍的行為,采取約談、限期整改、處理責任人、實施行政處罰等手段,依法嚴厲打擊網上各類違法違規行為。
案例四 手機恢復出廠設置不一定能徹底清除手機數據
【基本案情】 隨著隱私意識的增強,個人電子產品的信息安全問題開始受到關注,二手手機和電子產品的數據與隱私問題日益凸顯。根據315 信息安全實驗室的測試,在徹底清除手機數據時,應當勾選所有存儲項目。反之,如一鍵刪除、快速格式化和默認不勾選“格式化SDK卡和手機存儲”等操作都不能完全將手機中數據刪除。在清除電腦數據時,一鍵刪除只刪除了文件索引和目錄,可以輕易通過技術工具找回真正的文件內容。只有通過完全格式化,同時取消勾選“快速格式化”,才能徹底刪除電腦硬盤和U盤內的數據內容。 【案例解析】 個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息,不包括匿名化處理后的信息。匿名化,是指個人信息經過處理無法識別特定自然人且不能復原的過程。根據法律規定,公開使用經匿名化脫敏處理后的數據內容屬無需另行征得用戶的明示同意。消費者在處理二手手機或電子產品時,如果不被“匿名化”處理,不徹底清除或“脫敏”所涉隱私信息或個人數據的,會產生數據泄露的隱患。 手機等電子產品的硬件廠商是否有義務提供數據匿名化或“脫敏”的工具,是否應當承擔相應的個人信息保護責任呢?從技術上看,該類廠商如果具有底層的信息收集控制能力,則需要其在產品開發和設計中遵循“隱私設計”(Privacy by Design,PbD)原則,將個人信息的保護的要求以技術架構和規則的方式嵌入到產品和服務的形態設計中去,實現數據收集和存儲最小化等PbD策略,從而盡到合理謹慎的個人信息保護義務。 【執法動向】 二手手機等電子產品的回收已成為個人信息泄露的源頭之一。用戶在使用的過程中,大量的個人隱私、個人信息、銀行賬號等敏感信息被智能終端收集和存儲。在回收的過程中,這些數據信息處理不徹底,可能導致信息泄露,侵犯個人隱私權。這是二手電子產品回收行業發展過程中亟待解決的問題,也將成為個人信息保護行政執法的新關注。北京市于2022年發布的《廢棄電器電子產品回收規范(征求意見稿)》提出,回收廢舊手機、電腦等涉及個人隱私的電子產品時,應當面清理用戶個人信息,維護客戶隱私權;不得向第三方透露客戶相關信息。《“十四五”循環經濟發展規劃》中也強調了保障手機、電腦等電子產品回收利用全過程的個人隱私信息安全。通過在電子產品回收市場建立起個人信息刪除或匿名化處理的標準,規范并完善回收渠道及流程,可以讓用戶的個人信息更安全。
案例五 破解版APP成永不消失的追蹤器
【基本案情】破解版APP相較于官方版本,被額外嵌入了其他第三方插件,即SDK軟件包。當破解版APP運行時,其能同步盜取用戶的MAC地址、手機硬件的唯一識別碼IMEI 、SIN卡全球唯一碼SIM號等信息。這些信息看似不是最核心的個人信息,實則掌握這些信息后,即使用戶更換了手機或電話號碼,它也能精準鎖定用戶,實時捕捉和追蹤用戶動態,形成用戶的精準畫像。有些破解版APP通過繞開手機的安全提醒機制,盜取用戶的通話記錄等關鍵信息,甚至傳輸至境外電信詐騙集團。 【案例解析】 軟件破解是指通過技術手段件對正版軟件進行“二次開發”,規避或突破正版軟件的使用規則或授權限制。以營利為目的破解他人軟件并售賣的行為,侵犯權利人的著作權并會給權利人和消費者造成損害。破解軟件通常會捆綁惡意軟件,指向非法網站鏈接誘導用戶下載其他軟件進行獲利,操控者也可以輕易獲取使用者的數據,甚至是銀行卡密碼等敏感個人信息,造成個人信息泄露與財產損失。 手機用戶常用的設備信息包括硬件序列號、設備 MAC 地址、軟件列表、唯一設備識別碼(如IMEI/Android ID/IDFA/OpenUDID/GUID/SIM 卡 IMSI 信息)等,這些信息都屬于唯一設備標識符。唯一設備標識符的最大的作用在于廣告追蹤,其目的都是商家為了實現對用戶畫像和用戶需求的精準識別,以及營銷廣告的針對性投放。相關司法案例表明,App 首次運行未經用戶閱讀同意隱私政策,就開始收集用戶設備的MAC地址、IMEI等信息的行為違法。企業確需收集用戶唯一設備標識符的,需要取得用戶授權同意并為用戶提供便捷的撤回同意路徑。 【執法動向】近年來,工信部、市場監管總局、網信辦等各級行政主體對App行業開展了系列的執法檢查和治理,有效促進了App運營者落實個人信息保護職責,保障個人信息的法定權利。工信部《關于進一步提升移動互聯網應用服務能力的通知》中提出,要從行業協同規范發展、上下游聯防共治的角度出發,抓住當前移動互聯網服務的五類關鍵主體,即APP開發運營者、分發平臺、SDK(軟件開發工具包)、終端和接入企業,進行全流程、全鏈條治理,加強個人信息保護、用戶權益保護,增強網絡和數據安全保障能力,加快安全產業創新發展。
