智慧停车系统收集个人行踪轨迹、小区进出闸机收录人脸信息、不法机构通过虚假招聘获取求职者信息、医疗机构泄露病患医疗信息……大数据时代带来的个人信息被泄露、滥用的风险,很多人都有着切身感受。检察机关正是从这些“小切口”案件着手,做好个人信息保护的“关键题”
《法治周末》记者 王京仔
“2025年1月至11月,全国检察机关依法惩治侵犯公民个人信息违法犯罪,起诉5440人,办理公益诉讼4086件。”不久前召开的全国检察长会议上透露的这组数据,昭示着过去一年检察机关在持续为个人信息安全保驾护航。
2021年11月1日起施行的个人信息保护法专门设立了检察公益诉讼条款,自此我国个人信息保护纳入检察公益诉讼的法定领域。2026年1月22日,最高人民检察院发布一批个人信息保护检察公益诉讼典型案例,这6起案例无疑是过去几年检察机关积极履行公益代表职责的缩影。
智慧停车系统收集个人行踪轨迹、小区进出闸机收录人脸信息、不法机构通过虚假招聘获取求职者信息、医疗机构泄露病患医疗信息……大数据时代带来的个人信息被泄露、滥用的风险,很多人都有切身感受。检察机关正是从这些“小切口”案件着手,做好个人信息保护的“关键题”。
“这批案例不仅是检察机关履行公益诉讼职能的生动实践,更标志着我国个人信息保护工作从单点治理迈向全链条、系统化防控的新阶段,为筑牢数字时代公民个人信息安全屏障提供了坚实的司法样本。”《法治日报》律师专家库成员、北京德和衡律师事务所高级合伙人马丽红表示。
治理智慧停车信息泄露“源头”
“停个车,个人信息怎么就被泄露了?”扫一下二维码,在手机上点几下,就能快速交钱停车,这是智慧停车系统给停车管理、出行带来的便利,但其背后可能隐藏着巨大的信息安全隐患。
河北省保定市徐水区的多家医院、火车站、汽车站及多个路边停车场,都使用着同一款智慧停车App。用户可以通过输入车牌信息在该App里随意绑定5辆车,绑定后,这5辆车的车牌信息只要被停车场摄像头拍到,相关信息就会被采集并传输到智慧停车App。这意味着,绑定者只要知道了他人车辆的车牌号,就可能通过这款App查到车辆的位置、在相关停车场的出入时间、行车轨迹等敏感信息。
2025年2月,河北省公益诉讼检察大数据智能化应用平台向保定市徐水区人民检察院(以下简称“徐水区检察院”)推送线索反映,徐水区部分智慧停车场存在违规收集消费者个人信息的情形。徐水区检察院经初步调查,确定相关违法行为属实,并于2月14日正式立案。
徐水区检察院查明:徐水区18家大型智慧停车场分布于核心商圈及重点区域,管理车位共计1300余个,注册用户达9.6万余人,存在智慧停车App软件系统存贮载体缺乏防范网络攻击的安全技术措施、强制关注微信公众号方能缴费、未提供隐私协议索要信息或者未明确公示信息收集目的和范围、未加密传输或未定期安全测评、任意查询车辆轨迹信息等违法违规行为。
2025年3月4日,徐水区检察院召开公开听证会,明确违法行为、受损事实以及行政监管职责。同年3月14日,该院向徐水区城市管理综合行政执法局、区住房和城乡建设局、区市场监督管理局分别制发检察建议,建议其各自履行职责。三行政机关收到检察建议后联合部署智慧停车数据安全专项整治,对全区运营企业集中约谈和督促整改。
去年5月底,徐水区检察院对全区18家智慧停车场开展跟进调查,运用专门检测系统进行检测,并组织多部门与专家开展整改评估,经公开听证程序确认,全区18家智慧停车场均已整改到位。
该案例的典型意义在于:检察机关充分运用多项调查手段,精准识别各类违法违规行为;通过公开听证、检察建议等方式,厘清相关职能部门监管职责,督促推动个人信息保护源头治理,以点带面打好智慧停车场信息泄露“歼灭战”,筑牢个人信息保护安全屏障。
堵住医疗机构泄露逝者信息漏洞
从明星周海媚抢救病历被泄露,到疑似网红“起床了小澈”的住院单被流出,医疗健康信息的泄露,往往给“逝者安宁”与“生者隐私”带来双重拷问。
“亲人刚离世,骚扰电话就接踵而至。”我们每一个人都可能成为隐私泄露的“受害者”,殡葬人员电话轰炸、上门骚扰的“精准推销”背后,是病患的医疗信息沦为个别医疗机构从业人员倒卖牟利的工具。
2021年7月至2025年3月,上海市闵行区某医院医生及区急救中心急救人员就利用工作便利,通过全市疾病控制信息管理系统或救护车显示屏,获取包含逝者住址、死亡时间、原因、逝者亲属姓名、联系方式等在内的逝者及其亲属个人信息800余份,违法提供给殡葬行业从业人员并获取非法利益。
上海市闵行区人民检察院(以下简称“闵行区检察院”)在履职中发现本案线索,初查后于2025年7月11日立案调查。
闵行区检察院通过询问医疗卫生机构工作人员,查明非法提供逝者及其亲属信息的具体操作方式、数量、获利等情况,明确信息终端被非法利用的事实;赴涉案医院现场调查,查明医生以密钥登录疾病控制信息管理系统便可查询全市医院开具的死亡报告信息,明确信息收集、储存未有效防护情况;赴区急救中心及120站点调查,查明救护车急救人员可从车内工作显示屏直接获取患者亲属姓名、电话、住址等信息,区急救中心未实质开展逝者亲属回访,明确信息流转存在泄露隐患。
去年7月31日,闵行区检察院向闵行区卫生健康委员会制发检察建议,督促其依法对涉案单位及相关人员查处,加强日常检查和监管,督促涉案单位完善管理制度。闵行区卫健委收到检察建议后,迅速组成工作专班开展查处和督促整改工作。
2025年10月27日,闵行区检察院邀请“益心为公”志愿者前往涉案医疗卫生机构评估本案整改情况,确认整改措施得到有效落实、公共利益得到有效维护。
该案例的典型意义在于:检察机关通过开展行政公益诉讼,督促行政机关依法全面履职,推动医疗卫生机构建立健全保护逝者及其亲属个人信息的管理制度,规范该行业信息收集、存储与流转的全流程,加强数据核验及权限管理,填补全市医疗信息系统登录、使用的安全漏洞,取得良好办案效果。
值得关注的是,新修订的《殡葬管理条例》将于今年3月30日起施行,明确对倒卖逝者信息等行为依法处置,并在殡葬服务信息系统中进行标注,向社会公开,为逝者信息保护提供更坚实的制度保障。
严查“黄牛”滥用他人信息抢票
“约不到!根本约不到!”随着“旅游热”“博物馆热”的兴起,部分景点人气爆满、一票难求,这些景区通过“门票预约制”来提升游客体验、保障公共秩序。
然而,“实名预约”还是没能挡住一些“黄牛”的倒票行为。一些消费者将自己的姓名、身份证号、手机号等个人信息提供给“黄牛”买票,通过大大小小的“买票群”,这些个人信息被不断流转,可能再次被他人冒名利用。
作为我国唯一一所陶瓷艺术专业性博物馆,位于江西省景德镇市的国家一级博物馆——中国陶瓷博物馆是热门景点之一,年参观人数超300万。部分“黄牛”违法使用他人身份信息完成入馆预约,并将预约二维码在线上线下贩卖,旅行社多次使用原有旅客身份信息反复登记入馆,甚至出现个别旅客半年内重复入馆上百次的情况,严重危害公民个人信息安全。
2025年5月,景德镇市人民检察院(以下简称“景德镇市检察院”)接到“益心为公”志愿者提报的上述线索,经初步调查后于同年7月16日以行政公益诉讼立案。
景德镇市检察院查明,部分“黄牛”违法使用他人姓名、身份证号等个人信息预约博物馆,并在博物馆附近及部分网络平台,将绑定他人个人信息预约入馆的二维码等凭证以80元至300元的价格倒卖。同时,办案人员调取了中国陶瓷博物馆2025年1月至6月的20.7万余条团队通道入馆人员名单,发现部分个人信息存在异常高频登记入馆,最多重复入馆达上百次。其中,半年内通过团队通道入馆10次以上的个人信息达556条;20.7万余条记录中重复登记的个人信息为9.6万余条,约占46.78%。景德镇市检察院进一步调查发现,部分旅行社存在未重新取得他人授权的情况下,违法使用原获取的旅客信息重复预约抢票的情形。
2025年8月13日,景德镇市检察院向景德镇市文化广电旅游局制发检察建议,建议其依法履行个人信息保护及旅游市场规范管理的监管职责,消除公民个人信息被滥用的安全隐患。收到检察建议后,景德镇市文旅局立即组织开展全市旅游市场票务秩序专项整治行动,向公安机关移送相关线索,打掉“黄牛”票务团伙6个,在网络平台下架有关门票预约的转售信息;推动多家景区升级票务系统,嵌入“异常预约行为”智能模块,严格实名认证核验等。
该案例的典型意义在于:检察机关综合运用多种调查方式查实“黄牛”违法倒卖“预约凭证”以及旅行社滥用原有旅客个人信息重新预约抢票的违法行为,并通过检察建议依法督促行业主管部门全面依法履职,及时查处违法行为,协同有关部门开展旅游行业个人信息保护安全整治,推动加强技术防护,严格内部数据管理,健全完善个人信息协同保护长效机制,助力文旅行业规范健康发展。
对“网络开盒”行为全链条追责
除了直接的个人信息权益被侵害,那些非法获取的信息还可能成为网络诈骗、网络暴力等违法犯罪活动的“源头”和“燃料”。
“网络开盒”就是新式网络暴力违法犯罪行为之一,不法分子通过非法手段获取公民个人隐私信息,在网络公开发布并附带侮辱性言论煽动网络暴力。相较于其他5起行政公益诉讼案,浙江省杭州市临安区人民检察院诉周某某等人“网络开盒”侵害公民个人信息民事公益诉讼案,是这批典型案例中唯一的一起民事公益诉讼案。
2023年7月至2024年3月间,包含部分未成年人在内的周某某等6人,在某境外软件上创建、管理专门用于“开盒”的3个频道。6人通过共享、购买及利用“社工库”机器人搜索等途径非法收集公民个人信息,并先后在上述频道内发布1200余条包含明星、“网红”、社会热点事件当事人等不特定自然人的个人信息,浏览量超过400万次。
而周某某等人绝不是为了单纯“分享信息”,为了增加频道热度进而“赚钱”,他们甚至“不择手段”。
周某某等6人通过在频道内发布广告、互相推荐等方式,增加频道热度,并吸引他人付费查询、购买个人信息,从中非法牟利。同时,周某某等在发布部分个人信息时,附加侮辱性评语,甚至组织、煽动频道关注者对“开盒”对象进行电话、短信骚扰和辱骂。
2024年4月,杭州市临安区人民检察院(以下简称“临安区检察院”)在履职中发现本案线索。经初步调查后,因本案公益损害侵权主体与刑事责任主体不完全一致,侵权行为地分属多地,且刑事案件已分案处理,为一并追究公益损害共同侵权责任,临安区检察院于同年6月24日以民事公益诉讼立案并发布公告。
2025年4月11日,临安区检察院依法向杭州互联网法院提起民事公益诉讼,诉请周某某等人停止侵权,删除相关个人信息;周某某等人及部分监护人共同承担10万元公益损害赔偿金,并在国家级媒体上公开赔礼道歉。检察机关起诉后,鉴于各被告已在开庭审理前自行删除涉案的相关个人信息、注销相关账号,故撤回关于停止侵权的诉讼请求。
2025年8月28日,杭州互联网法院开庭审理本案并当庭作出判决,支持检察机关的全部诉讼请求。判决生效后,各被告已支付上述公益损害赔偿金并公开赔礼道歉。
“网络开盒”严重侵害公民个人信息权益,不仅冲击个人信息保护防线,更对公共信息安全构成系统性威胁。该案的典型意义在于:检察机关通过提起民事公益诉讼,实现了对“网络开盒”行为的全链条追责,强化了对潜在违法行为的法律威慑,积极传递了“网络不是法外之地”的鲜明导向,也是检察公益诉讼在网络暴力治理领域的有效探索,为构建清朗网络空间、推进网络空间治理现代化提供了有力司法保障。
责编:肖莎
“掌”握科技鲜闻 (微信搜索techsina或扫描左侧二维码关注)
