近年来,扫码缴费、刷脸通行、线上预约等数字化服务深度嵌入日常生活,便利背后也伴随个人信息被“多收、乱用、弱保护”的隐患。
最高人民检察院此次发布的典型案例显示,个人信息保护的风险点已从单一环节外泄,延伸到采集、传输、存储、使用、共享等全链条,且往往发生在群众高频使用的民生消费场景,具有覆盖人群广、隐蔽性强、扩散速度快等特点。
一是问题集中表现为“过度采集与防护缺失并存”。
在河北保定徐水区,检察机关根据大数据平台推送线索核查发现,部分智慧停车场在扫码缴费等环节存在多类违法违规情形:有的系统存储载体缺乏抵御网络攻击的必要技术措施,有的以强制关注公众号作为缴费前置条件,有的未依法提供隐私政策或未清晰公示收集目的与范围,有的未落实加密传输或未开展定期安全测评,甚至出现随意查询车辆轨迹等行为。
相关停车场覆盖核心商圈及重点区域,管理车位数量较多,涉及注册用户规模大,若发生泄露或滥用,可能直接影响公民出行安全与财产安全。
在重庆,两江新区检察机关在物业管理场景中发现,部分企业采集、处理人脸信息存在风险隐患:人脸信息经互联网传输但缺少充分保护措施,涉及未成年人时未依法取得监护人同意,存储与传输环节未做脱敏或加密处理,隐私协议对处理目的、保存期限等告知不充分,且与第三方数据处理者之间缺少安全约定。
这类问题的共性在于,将生物识别信息等敏感数据视作“可用资源”,却未按敏感信息的更高保护要求落实安全底线。
在江西景德镇,景区预约系统被“黄牛”钻空子:部分人员违法使用他人身份信息完成预约并倒卖二维码,个别旅行社反复使用旅客身份信息登记入馆,甚至出现异常高频入馆现象,既扰乱旅游市场秩序,也让公民个人信息暴露在倒卖与滥用风险之中。
预约制度本为“限流提效”,一旦身份信息成为牟利工具,公共服务的公平性与游客体验均会受到冲击。
二是原因既有技术短板,也有治理缺口和逐利冲动。
一些经营主体在数字化改造中重功能、轻合规,追求“数据越多越好”,以营销转化、用户沉淀为导向扩大采集范围;在安全投入上“能省则省”,缺少加密、访问控制、漏洞修复、日志审计等基本能力。
与此同时,部分场景存在监管边界交叉、标准执行不统一的问题,导致对隐私政策告知、最小必要收集、第三方共享管理等要求落实不到位。
更值得警惕的是,个别链条可能与非法交易相勾连,使信息从“收集不当”进一步滑向“流通牟利”。
三是影响具有“放大效应”,关系社会信任与公共安全。
个人信息一旦被过度收集或被弱保护保存,容易被撞库、钓鱼、精准诈骗等黑灰产利用;车辆轨迹、出入记录、人脸特征等敏感信息还可能引发人身安全风险。
对企业而言,合规缺失会带来声誉受损、行政处罚乃至民事责任;对公共服务体系而言,预约倒卖、异常使用会挤占公共资源,损害群众公平获得服务的权利。
更深层次看,个人信息保护做不好,会侵蚀数字社会的信任基础,影响数字经济健康发展。
四是对策体现“检察监督+行政监管+行业整改”的组合拳。
河北保定徐水区检察机关通过数据比对、技术支撑等方式查明事实后,依法召开公开听证,邀请信息领域专家论证,厘清违法行为与监管职责,并向相关行政机关制发检察建议,推动开展智慧停车数据安全专项整治。
经整改,涉案停车场完成多项漏洞修复,规范处置敏感个人信息数据,完善杀毒与安全测评措施,增加身份验证模块,更新并公开隐私政策条款,推动落实“最小必要”原则,实现从“补漏洞”向“立规矩”的转变。
同时,检察机关向当地政府提交专项调研报告,围绕包括智慧停车在内的多类民生消费领域信息保护问题提出完善建议,推动监管体系更系统、更前置。
重庆案例中,检察机关邀请网信部门业务专家协助调查取证,通过检察建议督促行政机关依法履职,推动物业及房地产企业开展行业整改,针对人脸信息采集、未成年人保护、第三方合作安全等关键点补齐制度与技术短板,促使敏感数据处理回到合法、正当、必要轨道。
江西景德镇案例中,检察机关向文旅主管部门发出检察建议后,相关部门组织开展旅游市场票务秩序专项整治,依法打击倒卖预约二维码等违法行为,推动景区升级票务系统并嵌入异常预约识别机制,同时建立文旅、公安、网信等部门协作机制,推动旅行社等主体作出个人信息保护承诺,形成“打击+治理+机制”并行的综合路径。
五是前景在于以制度化、标准化、技术化手段提升长效治理能力。
下一步,个人信息保护在民生领域需进一步强化三个方向:其一,推动经营主体将合规要求嵌入产品设计与业务流程,做到“默认保护、最少收集、边界清晰”;其二,完善跨部门协同监管与线索共享机制,提升对高风险场景的穿透式监督能力;其三,鼓励采用更可验证的安全技术与管理措施,如分级分类保护、加密与脱敏、权限最小化、第三方安全评估与审计等,降低系统性风险。
随着相关制度和执法司法实践不断细化,个人信息保护将从“事后整改”更多转向“事前预防”和“持续合规”。
个人信息安全关系到每个公民的合法权益,也关系到社会的信任基础。
最高检发布的这一系列典型案例表明,检察机关正在通过公益诉讼制度,积极主动地介入个人信息保护领域,推动形成企业自律、行政监管、司法保护三位一体的保护体系。
随着相关法律制度的不断完善和检察工作的深入推进,个人信息泄露现象必将得到有效遏制,群众的获得感和安全感也将不断提升。
同时,这也要求全社会树立个人信息保护的意识,形成保护隐私、尊重隐私的良好风尚。