摘要：个人信息保护是一个时代命题，其发端于网络应用，深刻于数字社会发展。加强个人信息保护与自然人个人利益密切相关，同时涉及国家利益和社会公共利益，是推进国家治理体系和治理能力现代化必须破解的难题。《中华人民共和国个人信息保护法》设立公益诉讼条款，明确将个人信息保护纳入公益诉讼法定领域。对此，检察机关应积极履职，从个案办理入手，依托数字技术赋能，深化监督职能一体化，实现个人信息全链条保护。

一 审视：个人信息涉案现状

大数据时代，个人信息的随意收集、违法获取、过度使用、非法买卖等侵权行为渗透在社会生活各个层面，涉及网贷、医疗、教育、移动支付等多个领域，相关案件呈现刑民行杂糅的特点，且易诱发衍生犯罪。2021年度，窃取倒卖身份证、通讯录、快递单、微信账号、患者信息等各类侵犯公民个人信息犯罪等相关案件数量同比上升60.2%，社会危害严重，群众反响强烈，个人信息保护已然成为广大人民群众最关心、最直接、最现实的利益问题之一。而司法实践中，个人信息涉案突显出以下问题：

（一）涉及领域广泛，法律衔接不紧密

侵犯公民个人信息权益案件涉及刑民行多重领域，侵权行为渗透生活、工作各个领域。如“郭某诉杭州野生动物世界违法搜集个人面部特征信息、指纹识别信息案”涉及民事领域；而“政务公开泄露敏感个人信息案”则突出政务领域不当公开致个人信息泄露的问题。刑事领域多见于非法窃取公民个人信息数据，如侵犯公民个人信息犯罪，存在通过暗网平台购买他人真实收货地址信息近百万条的犯罪行为。司法裁判显示，个人信息保护民事、行政与刑事案件在各自“场域”展开，对个人信息保护存在真空地带。

（二）个人信息甄别困难，鉴定技术存壁垒

部分案件作案手段技术含量高，个人信息鉴定甄别存在困难。比如“4.26特大侵犯公民个人信息案”，该案涉案信息量特别巨大，数据文件达到28TB，存储在69个硬盘、U盘等存储介质中，且行为人硬盘数据还涉及磁盘阵列等存储技术和信息解密技术，鉴定难度极大，鉴定时间超出诉讼时间，增加案件办理难度。

（三）行业管理不严，行业规范亟待整治

部分案件反映出部分行业治理不规范问题。如“通信行业内部人员贩卖电话卡案”，某通信公司开卡部门业务组长徐某受利益驱使，在客户办卡时采集身份信息，私自激活多张实名电话卡并非法售卖；再如“快递单泄露公民个人信息案”，多家快递企业的快递单未对用户个人信息采取隐匿化等有效保护措施，存在泄露公民个人信息重大隐患；又如“房地产、装修行业侵犯消费者个人信息案”，陈某、杨某等人非法获取当地70多个小区近10万余条业主个人信息并非法出售、转让，造成消费者个人信息泄露，涉及多家房地产开发企业和装饰装修企业。

（四）民生重点领域失防，特殊群体权益遭到侵害

部分案件反映出针对儿童、妇女、残疾人、老年人等特殊群体的个人信息侵害比较严重，教育、医疗等重点民生领域成为个人信息保护的沦陷区。如“非法购买新生婴儿信息案”，疾控中心工作人员韩某利用工作便利，窃取疾控中心每月更新的全市新生婴儿信息（每月约1万余条）并出售给他人；又如“产妇信息公益诉讼案”，母婴护理机构非法购买意愿内部系统平台产妇的个人信息；“校外培训机构非法获取学生个人信息案”，校外培训机构非法获取学生个人信息用于营销招生、侵害学生合法权益。

（五）诱发衍生犯罪，催生关联犯罪

公民个人信息通过信息网络传播、交易被不法分子大量窃取、利用，极易催生电信网络诈骗等衍生或关联犯罪，严重威胁公民人身、财产安全和社会管理秩序。如本院在办理的“某某帮助信息网络犯罪活动罪案”的过程中，发现被害人邹某某之所以被诈骗,是由于不法分子通过非法手段掌握邹某某的个人信息后，对其进行社会关系分析，最后冒充邹某某的熟人对其实施精准诈骗，骗取被害人邹某某18万元。

（六）企业用户信息处理存在合规风险

企业经营者存在违规私自收集、过度收集、超范围收集用户数据信息并进行商业数据分析、非法使用的行为，严重侵害用户合法权益。如“某公司违规APP侵害公民个人信息案”，某网络科技有限公司开发的音乐视频教学类APP存在违法违规收集、储存、使用个人信息等情形；与此同时，企业在进行合法的数据收集、存储、传输、处理、使用等数据活动之时，可能会产生用户数据泄露事件，如“东航泄露乘客信息事件”。

二 问诊：涉个人信息案件的问题剖析

当个案进入司法机关承办人员审视视野时，会陷入多点问题散发，难以串联信息点的窘境，似乎每个案件都有其各自特性和代表性的问题，但每个问题背后似乎隐藏串联者根源性问题。我们依托业务系统，结合数据比对、碰撞方法，让孤立的每个信息链条之间拥有交集、串联，进而发现问题并追溯归因：

首先，侵犯公民个人信息的犯罪可分为两个方面：一方面是公民个人信息自身遭受的犯罪行为；另一方面是利用公民个人信息作为手段进行的其他犯罪行为。针对前者，大致分为四类行为：第一类是散见侵权，如利用暗网平台、微信群、QQ群等平台买卖公民个人信息诸如真实快递地址、联系方式等，暴露出针对互联网、黑市的监管漏洞。第二类是行业侵权，近几年频繁出现通信行业人员获取用户信息并开办黑卡的情况。第三类是企业侵权，一方面，企业出于经营需要违法收集用户信息用于商业分析，或者在合法经营过程中对收集的用户信息管理不善，有较大合规风险。第四类是重点民生领域侵权，比如医疗机构、教辅机构违法收集医患、母婴、学生等特殊群体信息，侵犯社会公共利益；针对后者，实践中具体指不法分子利用公民个人信息作为手段实施精准诈骗、敲诈勒索等犯罪：行为人开设公司上线贷款类APP，让被害人下载相关APP并填写相关个人信息来获得所谓的贷款资格，借此非法采集公民个人信息，再将个人信息提供给下游用于实施诈骗，这类关联犯罪值得引起重视。

其次，通过个案办理溯源犯罪脉络，我们发现公民个人信息泄露包括以下途径：①违规APP数据采集导致个人信息数据泄露。②政府信息公开、司法公开以及日常履职过程中导致的个人信息数据泄露。③非法窃取个人信息数据（暗网、技术黑客、地下数据交易等大规模侵权和分散性侵权）。④企业、行业内部人员泄露正常运营收集的信息+违规收集、使用用户信息。

再次，针对行政机关在履职过程中掌握的公民个人信息泄露问题应当予以重视。国家机关、承担行政职能的法定机构及其工作人员对于履行职责过程中知悉的自然人的隐私和个人信息，如疫情防控搜集的小区住户信息，政府信息公开信息都有泄露的可能。

又次，个人信息保护领域尚未形成全面的个人信息保护法律体系。首先，法律关系尚未明确，《中华人民共和国个人信息保护法》（下称《个保法》）作为一部专门针对个人信息立法的基本法，未解决与《中华人民共和国刑法》《中华人民共和国民法典》之间的法律关系问题；其次，条款适用顺位不清晰，散落在各部法律的个人信息保护相关条款之间的先后适用顺序、选择、规范冲突尚未厘清；最后，《个保法》与一般法之间如《数据安全法》《中华人民共和国网络安全法》等法律彼此之间缺乏衔接配合。办案实践中，面对散落在各个法律法规中的个人信息保护相关条款，办案机关存在不会用、不敢用、怕用错的本领恐慌。

最后，技术短板突显。公民个人信息的类型和数量直接影响定罪量刑，司法实践中，犯罪活动涉及的电子数据海量、类型复杂多样，难以对涉案信息进行分类、测算；且针对电脑、手机、硬盘等存储介质证据的数据提取、固定、转化和验证也面临技术壁垒；同时，办案部门存在技术水平受限、缺乏应对经验、力量分散等问题，都在一定程度上降低了防治侵犯公民个人信息及关联犯罪的效率和效果。

三破局：检方促力个人信息维权机制的建构逻辑

新时代实现个人信息安全的全链条保护，关键在于检察机关有效履职。检察机关是宪法确定的国家的法律监督机关，且四大检察一体化，涵盖刑民行领域，契合个人信息全链条、全领域、全方位的保护要求。对此，检察机关应当积极适应数字社会，树立综合治理观，善用数字手段，以维护公民个人信息权益为契机，深化检察机关监督职能一体化改革，探索建立“个案办理+协作机制+公益诉讼+跟进监督+专题调研+社会治理”的个人信息保护闭环模式，实现检察视域下公民个人信息的全链条、全方位保护，维护公共利益。

（一）构建检察和数字深度融合的工作新格局

1.拓宽线索来源思路

一是健全内部线索移送机制，提升线索供给效能；二是加强与其他行政执法、司法部门的协作，拓宽数据来源，让信息数据库同步、共享；三是打通依职权发现线索渠道，在12309窗口、浙江检察APP、政府服务终端等信息终端开放线索征集功能，让社会公众为我们提供侵犯公民个人信息权益的线索；四是走进社区街道、企业单位、行政机关，通过调查问卷、网上问卷等方式，广泛征集侵犯个人信息线索和完善工作机制建议；五是关注社会热点，从新闻报道、社会时事中敏锐发现个人信息受损线索。

2.建立数字一体化办案协作机制

强化“四大检察”协作机制，形成个人信息保护合力，推行三查融合，提升法律监督职能一体化水平：一是在检院统一业务系统内设置线索移送专栏，相关线索业务部门之间一键移送。二是在案管部门基础上建立数字办案小组，小组成员由各部主任组成，各部门另行确定1-2名业务骨干作为联络专员。例如，从刑事案件获取的线索，刑检部门对获取的信息进行犯罪构成要件分析、定性分析后，认为涉及侵犯公共利益的，由刑检部门联络专员将线索提交至数字办案小组分析研判。三是汇总经验做法。业务部门可以收集、汇总好的案例做法、总结工作经验、问题，编发专刊与数字办案指引，利于业务实务交流。   

3.打造个人信息应用场景

构建个人信息数据分析模型，沿溯“个案办理—类案监督—系统治理”的路径，从个案中获取涉案关键词，以此碰撞、比对外源数据，精准获取涉案线索，开展类案监督，通过达到反哺社会治理的效果：第一，依托检院统一业务系统、检院数字应用平台等平台获取原始刑事案件数据源，通过归纳要素点，找准案件的特征，分析嫌疑对象会在哪些地方留下数据痕迹，并将案件特征转化为数据特征，同时通过大数据局、政府开放数据库、行业内部数据库等平台申请外源数据，做好数据材料准备；第二，在数据应用平台上对“涉个人信息案件”开展数字建模，设计数据算子流程，画出思维导图，锚定开展步骤，快速抓取、过滤个人信息涉案数据，并运用关联串并法、特征筛查法、比例分析法等数据分析法，合理选择适用平台上“合并、连接、选择、交集、过滤”等数据运算算子对抓取的目标数据（本院数据与外源数据）进行碰撞、比对、组合，形成数据表单；第三，对碰撞、比对所得的数据表单进行人工筛选、审查、分析，同时结合对案卷材料的审查，精准挖掘出串案、类案线索开展类案监督，促进相关行业治理。

（二）慎稳推进个人信息公益诉讼，理顺法律适用，传递法治声音

延伸公益诉讼检察职能，积极稳妥探索个人信息公益诉讼领域，筑牢个人信息防护墙。2021年4月22日，最高人民检察院发布了检察机关个人信息保护公益诉讼典型案例，为我们实务办案提供指引。检察机关行提起个人信息保护公益诉讼的方式共有3种，分别是行政公益诉讼、民事公益诉讼以及刑事附带民事公益诉讼。行政公益诉讼包括制发诉前检察建议，督促行政机关专项整改，对侵害个人信息的违法行为加以行政处罚等手段；而民事公益诉讼的手段则包括达成调解协议、勒令侵权人立即删除违法违规收集、储存的全部用户个人信息、公开赔礼道歉、出行业禁止令、承诺今后合法合规经营、支付惩罚性赔偿金、制作公益视频等措施；刑事附带民事公益诉讼则是在追究刑事追责之外主张民事损害赔偿，增加行为人违法成本，如本院办理的“郑某、茅某侵犯公民个人信息案”就采用了刑事附带民事公益诉讼的模式，该案系《个保法》实施以来，余姚首例检察机关起诉的侵犯公民个人信息刑事附带民事公益诉讼案，是慎稳推进个人信息公益诉讼的有益尝试。

检察机关通过提起公民个人信息保护公益诉讼，能有效做到释法说理，传递法治声音，起到了积极警示作用和良好的社会效果。此外，检察机关可以通过提起公益诉讼的方式，以此普及诸如刑法、民法典、个人信息保护法等多部法律，并在个案办理中厘清、理顺法律适用的逻辑、层次。

（三）用活监督手段，实现社会效果最优。

检察机关用足用好法律手段，通过个案办理促进类案整改，综合运用检察建议、组织听证会、调查分析报告、企业合规考察、专项活动等手段，有效发挥“办一案、牵一串、治一片”的监督规模效应。

1.发挥检察建议实效。

通过向行政部门、公共机构等制发检察建议，梳理摸排社会治理漏洞，促进公共治理、督促行政机关履职，为问题整改提供指引。比如针对政府信息公开泄露公民个人身份问题，向相关行政机关制发行政检察建议，督促健全信息审核机制，梳理信息管理漏洞，提升政务公开质量。

2.发出行业禁令，促进行业规范。

通过提出行业内禁制令，禁止侵权行为人从事特定领域工作，起到相应威慑作用。比如在办理涉及通信行业内部人员侵犯公民个人权益案件时，可以在追究其刑事责任的基础上提出行业禁止令，禁止行为人从事通信行业领域相关工作，并向通信行业发送综合治理类的检察建议，帮助发现监管漏洞并落实整改。

3. 开展专项治理活动，斩断灰黑产业链。

在办理案件时，开展相关专项行动。比如在办理公民个人信息关联犯罪时，加大对电信网络诈骗、网络传销、侵犯个人信息等各类违法犯罪行为的惩治力度，联合公安、网信等部门开展净网行动，坚决整治网络黑灰产业链，强化源头治理。又如在办理滥用人脸识别系统相关案件时，可以举一反三，对辖区公共场所摄像头开展全面摸排调查，梳理公共场所视频监控存在的突出问题，推动本地区开展排查整治，督促拆除人脸识别设备、删除历史数据，维护个人信息安全。

4. 用好企业合规机制。

针对因侵犯公民个人信息权益而涉案的企业，帮助其建立合规机制，督促企业内部建立监督管理职能部门，对接触到客户个人信息的采集、使用、收集、提供、删除、处理等环节做好流程管理与人员约束，通过定期回访、正向激励、反向处罚、合规评估不起诉等多项措施促进企业合规建设。

5. 丰富普法模式。

通过选派资深检察官直播线上授课、微信公众号宣传、拍摄vlog小视频等方式，向社会公众分享企业及个人信息数据保护方面的办案经验。

（四）强化技术赋能，办案提质增效

一是注重数字检察人才梯队建设。二是选优配强先进“武器”，更新技术鉴定设备，适应办案需要。三是开展检察大数据法律监督专题培训，通过视频培训、现场帮教、一对一教学、引发手册、讲解算子功能、关注“检务科技新动态”公众号等形式帮助检察官更快掌握数据平台应用，场景建模一域突破，全体共享，激发更多价值。四是设立检察机关大数据证据实验室，为办案提供关于数据分析及相关检验报告、鉴定意见审查的协助，助力办案提质增效