个人信息保护十大法治事件（2022）发布：监管从严保障个人信息权益

21世纪经济报道记者 王俊 实习生 张玲、个人管骆婷 北京报道

“个人信息保护”已成为数字经济发展中不可忽视的信息息权基础议题，平衡个人信息保护与数据要素流动的保护布监关系，对于数字经济健康发展、大法行稳致远至关重要。治事障2021年8月20日，严保益第十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》，人信自2021年11月1日起施行，个人管自此个人信息保护领域有了专门性法律，信息息权为个人在数字空间中的保护布监数据与经济活动提供了法治保障，也为企业合规开展平台业务，大法更好发挥在数字经济中的治事障角色提供了方向指南。《个人信息保护法》实施一年来，严保益行政执法、人信司法监管在个人信息保护领域综合发力，个人管积极推进法律落地。

今天（11月1日）是《个人信息保护法》实施一周年，南方财经全媒体集团宣布发起“个人信息保护月”大型活动，并在京举办由中央网信办网络法治局指导、中国社会科学院法学研究所主办、南方财经全媒体集团承办的”《个人信息保护法》实施一周年实践与展望高峰论坛”。论坛上，发布“个人信息保护十大法治事件（2022）”，同社会各界共同回顾这一年来个人信息保护领域的变化与收获，并就此展望未来的监管趋势。

1． 《反电信网络诈骗法诈骗法》通过，对个人信息保护双重发力

2022年9月2日，十三届全国人大常委会第三十六次会议表决通过《中华人民共和国反电信网络诈骗法》，成为我国首部专门聚焦打击电信网络诈骗领域的法律。

该法从反电信网络诈骗的“小切口”出发，衔接《个人信息保护法》等的规则，对个人信息保护双重发力，既从上游阻断为实施电诈提供信息源，也防止在反电信网络诈骗工作中个人信息的二次泄露。

反电信诈骗法在电信治理、金融治理、互联网治理等方面均提出真实身份登记的要求；将“出售、提供个人信息”规定为支持和帮助实施电信网络诈骗活动的行为方式之一，明确了电信网络诈骗场景下“出售、提供个人信息”的违法性；对与实施电信网络诈骗密切相关的物流信息、贷款信息、交易信息、婚介信息等要予以重点保护；并且，反电信网络诈骗法更关注对公民财产的保护，强调对个人信息泄露导致财产丧失的风险预防。

2． 国家网信办发布《数据出境安全评估办法》 处理个人信息达百万者数据出境需申报

2022年7月7日，国家互联网信息办公室（以下简称“国家网信办”）发布《数据出境安全评估办法》，于2022年9月1日起施行。

近年来，随着数字经济的蓬勃发展，数据跨境活动日益频繁，数据处理者的数据出境需求快速增长。同时，由于不同国家和地区法律制度、保护水平等的差异，数据出境安全风险也相应凸显。数据跨境活动既影响个人信息权益，又关系国家安全和社会公共利益。世界上许多国家和地区相继从本国、本地区实际出发，对数据跨境安全管理作了制度探索。制定出台《办法》是落实《网络安全法》、《数据安全法》、《个人信息保护法》有关数据出境规定的重要举措，目的是进一步规范数据出境活动，保护个人信息权益，维护国家安全和社会公共利益，促进数据跨境安全、自由流动。

3． 工信部要求落实个人信息保护“双清单” 共享用户信息更加透明

2021年11月，工业和信息化部发布《关于开展信息通信服务感知提升行动的通知》。《通知》明确要求为了让用户清晰掌握个人信息在手机应用程序、软件开发工具包及其他第三方之间的共享情况，工业和信息化部在前期手机应用程序专项治理行动基础上，进一步要求企业在二级菜单中列出手机应用程序与第三方共享的用户个人信息基本情况，包括与第三方共享的个人信息种类、使用目的、使用场景和共享方式等，即落实“双清单”（已收集个人信息清单、与第三方共享个人信息清单）的要求。

工信部要求落实“双清单”，可约束隐蔽的第三方SDK对个人信息的收集，将企业使用的个人信息更加具体化的呈现在“阳光”下，接受监管机构或消费者的监督。

4． 公安机关严厉打击偷拍偷窥黑色产业链条 将持续高压严打维护群众合法权益

2021年11月以来，针对偷拍偷窥事件频发，严重侵犯公民个人隐私，影响人民群众安全感情况，公安部网安局部署开展依法严厉打击偷拍偷窥黑色产业链条行动，侦破刑事案件160余起，抓获犯罪嫌疑人860余名，打掉窃听窃照专用器材生产窝点15个，缴获专用器材1.1万件，查获被非法控制的网络摄像头3万个。

公安部网安局有关负责人表示，公安机关将继续保持对偷拍偷窥违法犯罪行为的高压严打态势，切实维护人民群众合法权益，坚决维护社会管理秩序。广大群众一旦发现个人隐私被偷拍偷窥要第一时间报案，公安机关必将一查到底、严惩不贷。公安机关正告相关违法犯罪人员要立即向公安机关投案自首，否则将受到法律的严惩。

5． 国家卫健委印发《医疗卫生机构网络安全管理办法》 人脸识别数据只能用于身份识别目的

2022年8月29日，国家卫生健康委、国家中医药局、国家疾控局发布了《医疗卫生机构网络安全管理办法》，自印发之日起开始实施。《办法》共计三十四条，分为总则、网络安全管理、数据安全管理、监督管理、管理保障五个大章节。

作为行业垂直领域内首部网络安全管理办法，《办法》进一步规范了医疗卫生机构网络和数据安全管理、促进“互联网+医疗健康”发展，加快推动卫生健康行业高质量发展进程。

对于备受关注的人脸识别问题，《办法》要求，各医疗卫生机构开展人脸识别或人脸辨识时，应同时提供非人脸识别的身份识别方式，不得因数据主体不同意收集人脸识别数据而拒绝数据主体使用其基本业务功能，人脸识别数据不得用于除身份识别之外的其他目的，包括但不限于评估或预测数据主体工作表现、经济状况、健康状况、偏好、兴趣等。各医疗卫生机构应采取安全措施存储和传输人脸识别数据，包括但不限于加密存储和传输人脸识别数据，采用物理或逻辑隔离方式分别存储人脸识别和个人身份信息等。

6． 银保监会开展专项整治 要求银行保险机构排查侵害个人信息权益乱象

2022年8月，银保监会下发《关于开展银行保险机构侵害个人信息权益乱象专项整治工作的通知》。

《通知》指出，各机构要对照“银行保险机构侵害个人信息权益乱象主要表现形式”，全面摸排本机构2021年以来与消费者个人信息处理活动相关的经营行为和管理情况，深入查找本机构个人信息保护方面存在的问题，列出问题清单。

银保监会披露了银行保险机构侵害个人信息权益的7大乱象，对于乱象，《通知》要求强化整治问责。对于整治发现的问题，银行保险机构要逐一建档，确保整改到位、问责到位。对违反银行业保险业规章制度的问题，要依规处理；对不当操作行为，要立即叫停或纠正，出现泄露个人信息等严重侵害消费者信息安全权问题的，要问责到人；对涉及违法犯罪的问题，要移送司法机关惩处。

7． 国家邮政局等三部门启动邮政快递领域个人信息安全治理专项行动 隐私面单全面推开

2022年4月，国家邮政局、公安部、国家互联网信息办公室联合召开电视电话会议，部署开展为期半年的邮政快递领域个人信息安全治理专项行动。

据介绍，经过各部门和全行业上下共同努力，专项行动成效明显，隐私面单推广工作在行业内全面铺开，日均使用量达到1亿单左右，累计侦破窃取、贩卖寄递信息案件189起，寄递企业信息安全基础得到进一步夯实。 

8． 购物APP自动化推荐引纠纷 杭州互联网法院判决力求信息权益保护与互联网发展平衡

2022年8月，杭州互联网法院发布个人信息保护十大典型案，其中包括购物类APP自动化推荐引发的个人信息纠纷案件。

原告郭某某在注册、使用被告公司运营的某购物APP过程中发现，打开案涉APP时，APP会弹窗显示《隐私权政策》《用户协议》等，要求其选择“同意”或“拒绝”，若其选择“拒绝”，则不能继续使用该购物APP。郭某某针对违反《个人信息保护法》第16条、第24条的相关规定，遂提起个人信息保护纠纷。

杭州互联网法院认为，案涉购物APP在《隐私权政策》中采取了首次运行时、用户注册时均提示用户是否同意隐私政策的事前概括同意机制，对用户基本知情同意权进行了保障。同时，通过在APP内部设置便捷的拒绝自动化推荐选项，对用户个人信息权益保障提供了事后选择机制。故案涉APP提供的前述选择机制，符合《个人信息保护法》第二十四条的规定，APP在首次运行时、用户注册时提示郭某某阅读并请求其同意《隐私权政策》，并非以拒绝提供服务的形式强迫用户同意的行为。综上，被告公司未侵害原告个人信息权益，法院依法驳回了原告的诉讼请求。判决后，当事人均服从法院判决未提起上诉，判决已生效。

9． 不满被差评商家公布消费者微信个人账号 广州互联网法院判决其构成侵权

2021年4月4日，原告谷某、杨某某通过微信预约后前往某娱乐公司经营的实体店铺包间内进行剧本杀游戏。游戏结束后，谷某、杨某通过大众点评网对某娱乐公司给予低分差评。2021年4月9日，某娱乐公司在其微信公众账号中发布《澄清声明》，指责原告恶意发布差评，披露被告工作人员与原告等的微信群聊记录截图、游戏包间监控视频录像片段及原告微信个人账号昵称、头像、微信号等信息，称“可向公众提供全程监控录像”。

2021年12月，广州互联网法院判决，该公司立即停止在微信公众号中公开含有原告等画面的监控录像，删除“可提供全程监控录像”的表述以及原告等的微信个人账号信息，通过微信公众号发布致歉声明，并向原告等人赔偿精神损害抚慰金各1000元。

广州互联网法院认为，经营者因提供商品或服务获取的消费者个人微信账号属于个人信息，擅自公开消费者微信个人账号信息，构成对消费者个人信息权益的侵害，消费者请求经营者删除违法公开的个人信息并承担赔礼道歉、赔偿损失等民事责任，人民法院应依法予以支持。

10． 房产中介开网站卖600万条业主“楼单”个人信息 检察机关提起公益诉讼

2021年11月1日，《中华人民共和国个人信息保护法》正式实施。同日，上海市奉贤区人民检察院对非法获取公民个人信息，并通过网络及微信等方式出售，造成600多万条公民个人信息被非法泄露的犯罪嫌疑人刘某提起刑事附带民事公益诉讼。

检察机关表示，上述行为违反了《中华人民共和国民法典》《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》等规定，使600多万条公民个人信息处于被侵害的危险之中，侵犯了不特定多数人的合法权益，损害了社会公共利益。刘某在承担刑事责任的同时，应依法承担相应的民事侵权责任。

2021年11月12日，上海市奉贤区人民法院开庭审理该案，法院当庭作出判决，被告人刘某因侵犯公民个人信息罪，被判处有期徒刑三年，并处罚金人民币两万五千元；没收扣押在案的犯罪工具及赃款；附带民事公益诉讼被告刘某赔偿损失人民币两万四千元，在新闻媒体上公开道歉，删除其个人电脑储存的侵害公民个人信息数据，注销侵权所用微信号。