2021-2023数据安全司法执法案件盘点报告(附下载)
数据泄露频发,公民个人隐私亟待保护。数据作为新型生产要素,只有在流动中才能创造出巨大价值,而流动的数据必然伴随风险无处不在,这也使得数据泄露成为无法避免的常态。究其根本,一方面是因为针对公民个人信息的侵权行为具有隐蔽性、多样性的特点,监管部门受技术不足和资源短缺双重约束,处理侵权行为时往往面临发现难、取证难的困境;另一方面则是因为在数字化时代,个人信息背后蕴藏着经济价值,很多不法分子面对利益诱惑时,怀有侥幸心理且法律意识淡薄,容易以身试法。个人信息的安全关乎国家安全,无论从微观的公民基本权益保护出发,还是从宏观的数字中国建设考量,都有必要依法从严惩治针对个人信息的侵权行为。
盘点司法执法案例,剖析数据安全需求。我国的立法、执法、司法、守法在党的领导下,各依其职、各负其责,公检法作为我国司法体制的重要部分,相互配合、目标一致。其中,公安机关具有行政机关与司法机关的双重属性,人民检察院、人民法院分别为专门行使检察权、审判权的司法机关。在针对个人信息保护的案件中,公检法多方协作、重拳出击,共同深入信息安全整治,精准展开侵犯公民个人信息犯罪综合治理,凡是达到侵犯公民个人信息犯罪案件立案标准的,一律严厉打击处理、实施抓捕,震慑侵犯公民个人信息的潜在不法分子。炼石通过梳理中国裁判文书网、12309中国检察网、中国市场监管-行政处罚文书网、北大法宝等网站的数据安全及个人信息保护相关案件,针对人民法院、人民检察院、公安机关、市场监督管理总局、国家互联网信息办公室等司法执法部门,从受案数量、案件类型、部门层级、侵权原因、所处地域、所涉行业、引用法条等维度展开分析,并盘点2021-2023年公安部门等执法案件888起、人民法院司法案件73起,以探寻我国数据安全及个人信息保护在执法层面的新特征。由于作者水平有限,欢迎业界同仁共同探讨完善。
从微信中搜索公众号:炼石网络CipherGateway,并后台回复关键词“炼石就是数据安全098”,即可下载《2021-2023数据安全司法执法案件盘点报告》PDF版(包含2021-2023年888起公安部门等执法案件详情,73起人民法院司法案件等详情)。
注:全部内容请进入“公众号:炼石网络CipherGateway”查看或下载
公检法多策并用,共铸数据安全法治盾牌
01 公安:以管促治,开展隐私泄露侦查打击工作
安全领域行政执法数量逐年递增。据不完全统计,2021年到2023年期间,个人信息保护和数据安全相关的行政处罚案件共计888件,其中2021年2件,2022年420件,2023年466件,呈逐年递增状态。《数据安全法》自2021年9月1日起施行,《个人信息保护法》自2021年11月1日起施行,这两部法律的施行为个人信息和重要数据的安全事件的行政处罚提供了重要法律依据,细化了在数据安全领域行政处罚的裁量基准。至此,我国形成了以《数据安全法》、《个人信息保护法》等为代表的数据安全及个人隐私保护顶层监管框架,且随着数据安全及隐私权益保护体系日渐成熟,企业、机构和个人等主体也将面临更为严格的数据合规监管。
违法违规带来行政处罚影响企业业务。从具体的处罚种类来分析,被“警告、通报批评”共756件,被“罚款、没收违法所得、没收非法财物”共337件,“法律、行政法规规定的其他行政处罚”共41件,被“暂扣许可证件、降低资质等级、吊销许可证件”共24件,被“限制开展生产经营活动、责令停产停业、责令关闭、限制从业”共2件。从惩罚的种类来讲,以“警告、通报批评”为主,占比65.17%;“罚款、没收违法所得、没收非法财物”、“法律、行政法规规定的其他行政处罚”为辅,占比34.66%;性质特别恶劣的,有被“暂扣许可证件、降低资质等级、吊销许可证件”的风险,从而对企业的正常生产经营造成严重影响。
行政执法在不同执法级别中得到有效落实。据数据统计,个人信息保护及数据安全相关行政处罚案件按执法级别分布为:中央层面2件,省级26件,市级173件,区/县级687件。我国在个人信息保护和数据安全执法过程中,覆盖面广,既包括全国范围的执法案例,也有省级、市级、区/县级的执法案例,这说明我国在个人信息保护和数据安全行政执法方面,从上到下都得到了有效落实,不同规模以及不同地域的责任主体,都有必要做好个人信息和数据安全保护工作。
江苏关于数据安全行政执法的频次和覆盖度突出。从执法地域看,共涉及15个省(自治区、直辖市),其中江苏省的行政处罚案例最多,占比为68.92%;湖北省次之,占比为6.5%;其次是广东省,占比为3.38%。江苏的执法频次和覆盖度突出,省内的常州市、泰州市、淮安市、苏州市、泰州市、南通市、淮安市、连云港市、常州市等地公安网安部门,对违反《数据安全法》、《个人信息保护法》的相关企业、机构或个人处以行政警告并罚款。从地域分布来讲,我国数据安全执法在加速普及过程中,各地方对个人信息和数据的安全保护执法意识也在不断加强。
《个人信息保护法》、《数据安全法》和《网络安全法》是主要执法依据。行政执法重要法律依据包括《个人信息保护法》、《数据安全法》和《网络安全法》等,主要涉及《个人信息保护法》第66条、51条和17条;《数据安全法》第45条、27条和29条;《网络安全法》第64条、22条和41条。以《个人信息保护法》第66条为例,规定违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
02 检察院:守望正义,强化刑事诉讼个人信息保护
近五年涉及个人信息罪的检察文书数量大幅上升。根据北大法宝网站调研数据显示,2014-2023年涉及个人信息罪的检察文书共计13871篇。其中,2014-2018年共3488篇,占比26%;2019-2023年共10064篇,占比74%。2019-2023年是2014-2018年的近三倍。此外,最高检2023年4月印发的《关于加强新时代检察机关网络法治工作的意见》中也公开了侵犯个人信息相关案件的治理情况。数据显示,2019年以来,全国检察机关共批准逮捕涉嫌侵犯公民个人信息罪的犯罪嫌疑人1.5万余人,起诉涉嫌侵犯公民个人信息罪的被告人3.6万余人。截至2023年6月,全国检察机关共办理个人信息保护检察公益诉讼案件1万余件。下一步,检察机关将继续加大个人信息保护领域公益诉讼办案力度,突出保护重点人员、重点领域的个人信息,严格保护敏感类别信息及特定群体的个人信息。
涉及个人信息罪的检察文书基本为刑事案由,侵犯财产罪占比近五成。据北大法宝数据显示,涉及个人信息罪的检察文书都是刑事案由,共包含4807件,分别为侵犯财产罪2475件,侵犯公民人身权利民主权利罪1422件,妨害社会管理秩序罪650件,破坏社会主义市场经济秩序罪511件,危害公共安全罪193件,贪污贿赂罪53件,渎职罪29件。其中,在1422件侵犯公民人身权利民主权利罪中,包含出售、非法提供公民个人信息罪283件,非法获取公民个人信息罪822件,侵犯公民个人信息罪315件。不难发现,侵犯公民个人信息的犯罪行为呈现出多样化和复杂化的特点,社会对于个人信息保护意识还有待加强,个人信息被非法获取、出售和利用的严重性仍需大力普及。
涉及个人信息罪的检察案件分布全国。前五为江苏、浙江、河南、广东和福建,这些省份的共性特征是人口基数大、数字经济较为发达,需要通过有力执法措施维持社会公平正义。
03 法院:以案释法,提升个人信息权益司法保障
个人信息保护受案数量逐年增加。通过在中国裁判文书网检索“个人信息保护法、数据安全法”等关键词,2021-2023年相关案件共343件,其中2021年18件,2022年114件,2023年211件,案件数量上升明显。以往,因缺乏明确的法律依据、个人信息界定不明等原因,相关案件多以侵犯隐私权、一般人格权、商业秘密等判决。2021年,《数据安全法》《个人信息保护法》施行以来,为司法审判提供明确、全面的法律依据,以个人信息为单独案由的案件数量快速增加;同时,两部法律与《国家安全法》《网络安全法》《密码法》《民法典》等共同构建起个人信息保护的法治堤坝,全面维护个人信息权益。
相关案件被诉类型集中于民事诉讼。343件个人信息保护案件分为民事案由、刑事案由、行政行为、执行案由四类。目前公开的裁判文书中,民事案由数量最多,约占案件总量的67.1%,其中合同、无因管理、不当得利纠纷高达163件,约占民事案件总量的70.9%;此外,民事案件还涉及侵权责任纠纷、人格权纠纷、知识产权与竞争纠纷、物权纠纷、劳动争议、人事争议等。刑事案由约占案件总量的19.5%,其中侵犯公民人身权利、民主权利罪共65件,约占刑事案件总量的97%,侵犯公民个人信息罪归属刑法分则第四章“侵犯公民人身权利、民主权利罪”中,是刑事案件的主要类型。此外,行政行为占比2.9%,执行案由占比0.9%。
司法坚持依法严惩、宽严相济相结合,维护个人信息权益。通过逐一梳理343件案件发现,依据《个人信息保护法》《数据安全法》判决的共73件。从法院层级看,基层法院70件,中级法院3件,上诉案件较少,司法裁判规则日益清晰;从案件类型看,约有69.9%的案件为刑事附带民事判决,约23.3%的案件为民事判决,约6.8%的案件为刑事判决。刑事附带民事诉讼制度是具有我国特色的重要诉讼制度,指司法机关在刑事诉讼过程中,在解决被告人刑事责任的同时,附带解决因被告人犯罪行为所造成物质损失的赔偿问题而进行的诉讼活动。此类案件的特点是以刑事案件的存在为前提,本质上属于民事诉讼,“不收取诉讼费” 是其与单纯民事案件的区别之一,可见我国司法审判坚持依法严惩个人信息侵权行为,并贯彻宽严相济的政策、正确量刑,及时充分地保护受害人合法权益,努力打造清朗网络空间。
互联网平台拉新、人脸识别侵权等行为受重点规制。从侵权原因看,以互联网平台拉新活动为主,占比56.2%;其次为个人信息贩卖约占23.3%,个人信息窃取、侵害人脸信息及隐私各占4.1%。我国司法机构通过揭露花样翻新的诈骗套路以及个人信息侵害行为,助力全民反诈、权益保护,切实维护社会公共利益;同时,针对社会高度关注的因人脸识别技术不当应用和人脸识别信息被不当处理所引发的侵权行为,多个案件依据《个人信息保护法》第二十六条规定的“特定目的”和“充分必要”处理原则进行裁定,对于明确类案裁判规则,增强对违规使用人脸识别技术、侵害人脸信息行为的威慑力具有重要意义。
个人信息保护案件涉及地域较为广泛。共19个省级行政区受理审判个人信息保护案件,其中,广西壮族自治区案件数量最多,占比21.9%;其次为广东省、黑龙江省各占11%,北京市、辽宁省、山东省各占6.9%,陕西省、新疆维吾尔自治区各占5.5%。
电信行业是个人信息侵害的“重灾区”。目前,各行业侵害个人信息的现象日渐增多,尤其是电信行业,由于其汇聚了海量高价值个人信息,有利于违法者通过互联网平台拉新、贩卖个人信息等方式获取高额利益,导致电信行业高频出现侵害个人信息行为,因此电信行业个人信息案件数量最多,占比63%,且多涉及刑事判决;电商、房地产、商业行业次之,各占4.1%;教育、交通、金融、物流行业各占2.7%,法律、游戏、人力资源服务、短视频等行业均有涉及。
发挥检察公益诉讼制度独特价值。从判决依据看,各法条引用次数最多的为第六十九条,共46次,可见多数诉讼为民事判决,通过支付损害赔偿金、公开赔礼道歉等方式,提升公众个人信息保护意识、保护个人信息权益,在个人信息保护中日益发挥重要作用;其次为第七十条,共43次,个人信息保护法明确授权检察机关可以提起个人信息保护领域公益诉讼,人民检察院针对电信行业高频出现的“APP拉新”等多类型侵害个人权益的行为发起诉讼,保障因知识、资金、时间等制约缺乏维权动力的群体的权益。第十条,共19次,部分案件涉及非法收集他人个人信息而造成信息泄露,因此第十条在规范个人信息收集环节发挥重要作用。第四条,共12次,反映多数案件争议焦点在于明确涉案信息是否属于个人信息,第四条为明确个人信息司法解释、裁判依据、平衡信息保护与信息利用作出重要指引。
案件揭露冰山一角,风险催生数据保护需求
法治之下,数据泄露情况依然十分严峻。用户画像信息遭遇强制收集、手机号被泄露频繁接到推销电话,人脸识别摄像头泛滥带来信息安全隐忧……尽管《个人信息保护法》等法律已对公民个人信息权益作出了全链条保护,公检司法也坚持重拳出击,打击相关违法犯罪活动,取得突出成果,为数据泄露的现实情况带来积极改变。但是,相关案件或许仅是揭露的只是冰山一角,公众可感知的泄露问题依旧难以杜绝,公民对于隐私安全仍然表示担忧。据威胁猎人发布的《2023年互联网黑灰产研究年度报告》显示,2023年互联网黑灰产从业人数持续上升,从业人员数量达到587.1万,较2022年上升141%;2023年“公民个人信息”依旧是数据泄露的主要类型,占比超90%;泄露的主要原因包括运营商通道泄露、内鬼泄露、黑客攻击、安全意识问题等。
应对威胁,数据安全实战防护成为企业刚需。电信、金融、交通、物流等领域,作为个人信息泄露的重灾区,在数字化转型及数字经济产业发展中,积累了巨大存量应用且普遍缺失内建数据安全机制,广泛行业应用软件亟待升级改造是广阔的市场空间。由于安全机制和业务处理纽结缠绕,导致企业往往面临开发改造模式成本高、影响业务连续性等问题,还有源代码维护等技术可行性挑战,从而面临“不改有风险、强改会要命”的两难困境。
聚焦场景,炼石免改造数据安全解决落地痛点。炼石作为一家以“免改造”为创新特色的数据安全厂商,团队九年如一日,坚持原创自研和技术创新,积极探索数据安全纵深防御理念和实践,全力打造可灵活交付多重安全能力的免改造平台,帮政企客户打造领先的数据安全保护体系。免改造技术无需开发改造应用代码,面向复杂应用系统可以快速实施密码安全一体化的全面数据保护,重构数据边界,实现防绕过的数据安全实战防护体系。进一步的,炼石依托免改造技术优势,快速响应市场需求,针对三大重点场景:国密合规场景、数据安全实战防护场景、数据要素流通场景,全面贴合业务,为数据流转提供有效安全保护。
国产密码合规场景,一站式密改套餐敏捷交付。炼石国密合规改造方案适用于政务、金融、交通、运营商、医疗、能源、工业、水利等行业客户开展密改工作,支持关基、等保三级、政务等重要网络与信息系统“三同步、一评估”,提供完整的国密改造产品和服务。密改产品方面,以炼石产品为核心提供“一站式敏捷密评整改”方案,特别是基于免改造技术解决“应用和数据安全”改造难题,为用户提供“70分+”和“90分”两档密评合规方案;密改服务方面,以技术支持用户单位密码应用方案设计、密码应用技术规划,结合客户侧已部署密码设施情况和密码应用情况,协助客户建立组织制度体系,以及配套的密码管理制度、人员培训、技能提升等。
数据安全实战场景,事前事中事后全防护。炼石自研免改造的全面数据保护产品,形成包含“一平台:数据安全主平台,多模块:识别、防护、检测响应、审计追溯以及安全合规等安全能力模块”的数据安全产品矩阵,具有应用架构兼容多、免改造应用交付快、密码安全一体化防护好、安全建设成本省、适应业务数据流向管控准等优势,覆盖事前事中事后的安全防控,为用户数据安全体系建设提供技术支撑,增强数据安全保障能力。总体上,在数据安全实战场景中,以数据流动为核心业务体现,以数据控制面作为关键着力点,重构安全规则,从而达到消减风险的目标,实现安全与业务在技术上解耦、能力上融合。
数据要素场景,基于TEE技术的跨域数据管控。炼石创新自研数据跨域管控平台,轻改造模式下落地“数据可见不可转”。数据跨域管控技术可以实现在数据由所有者提供给使用者之后,数据仍然可以按照所有者预先制定的规则被使用者所使用,防止使用者滥用数据,只能在双方约定的范围内使用数据,并且可以实现在没有经过授权的情况下,无法再向第三方批量转移数据,实现数据所有权和使用权的分离。基于TEE技术,将密码与安全堡垒技术结合,实现跨域数据管控方案落地,结合加密和密钥管控技术,使用数据时必须借助专用软件或硬件设备,可防止数据被滥用以及已解密数据非法外泄。
京公网安备 11010802038255号 