小琳是一个四岁孩子的母亲,今年以来她遇到了件烦心事,每天都有好几个早教机构打来电话推销课程,对方能够准确说出她女儿的姓名、出生年月。她很纳闷,自己都没听说这些机构,不可能把女儿的信息给他们,对方怎么会对自己的信息了如指掌?这些不断打来的电话,已经严重影响了她的正常生活。像小琳这样的家长还有很多,他们提出疑问,自己孩子的信息是怎么被泄露出去的?背后会不会有产业链存在?
图源IC
早教机构人员离职后非法出售婴幼儿信息
耿某某原在某早教机构做市场督导,负责地推宣传——在人流量较大的市场、地表建筑等处发放广告资料、介绍生源并收集客户资料。耿某某在任职期间收集了2万多条客户数据,交给公司后自己做了一份备份留在身边。2018年6月耿某某从该早教机构离职。2018年底,马某某联系耿某某称其公司做幼儿英语推广需要一些此客源的数据资料,欲向其购买。耿某某就将自己原先在早教机构留下的客户资料3549条(包括姓名、出生年月、联系电话等信息),先后于2018年11月、12月通过微信分别以2元1条、3元1条的价格,于2019年5月至8月间通过QQ邮箱出售给马某某,非法获利共计人民币3000余元。
小琳女儿的信息就是被耿某某出售的信息中的一条。小琳回忆,在案发前一年,路遇该早教机构的推销摊位,因了解该机构早教内容,对其感兴趣,将女儿的姓名、出生年月、自己的联系方式给了推销人员,希望对方能够推荐适合其女儿的课程。没想到,这次举动会给自己的生活带来这么多烦恼。
提起公益诉讼保护未成年人合法权益
宝山区检察院副检察长房长缨获悉此案后,认为本案中耿某某侵犯了公民个人信息,应当受到刑罚的制裁,但与此同时,耿某某、购买人马某某及其所在公司违反国家有关规定,非法买卖公民个人信息并组织他人拨打电话推销业务,致使未成年人的监护人受到电话骚扰,个人生活安宁被破坏,公民个人信息、隐私权被侵害,损害了社会公共利益,应当提起刑事附带民事公益诉讼。为此,房长缨当即决定带领未成年人刑事办案组对该起案件开展立案调查,全面了解耿某某就职期间地推宣传的工作职责,以及该公司在地推人员收集、管理客户数据的情况。经过专家意见支持,确定本案的刑事附带民事公益诉讼人除了刑事案件被告人耿某某外,将购买人马某某及其所在公司列为被告人,承担相应的民事责任。
值得一提的是,在本案办理过程中,参考了即将施行的《民法典》中对于隐私权保护的理念。检察官认为:合法收集,得到允许的拨打推销不构成对隐私权的侵犯,但本案中未得到权利人明确同意的情况下,非法收买个人号码并予以电话拨打骚扰,这种行为侵犯了公民的私人生活安宁,构成了对公民隐私权的侵害。明年即将施行的《民法典》中设专章明确隐私权的含义,并列举了侵犯隐私权的行为类别,保护个人对自己信息的收集、整理和利用的权利,以及个人信息的私密性,不为外界所干扰。由此体现了我国立法者对于个人信息保护的日益重视。
7月24日,宝山区检察院对这起侵犯婴幼儿个人信息、隐私权案提起公诉,并依法对耿某某、马某某及其所在公司提起刑事附带民事公益诉讼,要求其赔偿损失、永久删除保存的涉案公民个人信息数据,在本市媒体上公开赔礼道歉。日前,法院以侵犯公民个人信息罪判处耿某某有期徒刑六个月,缓刑一年,并处罚金人民币五千元;追缴耿某某的违法所得依法予以没收;附带民事公益诉讼被告人耿某某、马某某以及所在公司连带赔偿损失人民币三千元,永久删除本案未成年人信息数据,并在上海市媒体上向社会公众赔礼道歉。
检察建议助力早教机构规范管理
本案中暴露了该早教机构管理方面存在的诸多问题,例如地推人员收集未成年人信息后应该多久上交数据?数据上交后留下的记载有未成年人信息的纸质宣传单应该如何处置?是否有专人负责未成年人信息数据的管理?员工离职时是否采取了必要措施提醒和防止员工将未成年人信息私自带走?这些未成年人信息的收集和使用流程管理等方面的漏洞,使得耿某某有机会私自备份留存未成年人信息,并最终导致这些信息被泄露。而该早教机构数据安全保护意识和信息保护意识都有待进一步提升。
为加强未成年人个人信息保护,宝山区检察院向该早教机构制发检察建议,提出:一是要规范未成年人信息储存、使用流程管理。要求加强制度建设,建立健全未成年人信息从收集、使用、管理的全套规范流程,同时设置专门的未成年人个人信息保护岗位,由专人负责,确保未成年人信息的流程管理有章可循,具体保护措施落实有责。对于未成年人个人信息设置保留期限,在保留期限后及时对个人信息进行删除或匿名化处理。二是完善数据保护安全措施。按照《网络安全法》《儿童个人信息网路保护规定》的要求,建立相应的合规的数据等级保护体系。成立专门的安全团队,采用加密等一切合理可行的措施储存儿童个人信息。以最小授权为原则,严格设定内部信息访问权限,控制儿童个人信息知悉范围,记录数据访问情况,制定访问信息审批记录制度。三是提高安全意识,开展专项排查。定期对有机会接触信息的员工举办安全和隐私保护培训课程,加强员工的安全意识以及对于信息保护重要性的认识;通过法律法规学习、组织员工参加观摩相关案件庭审等方式提高员工的法治意识;开展专项的信息泄露风险排查,对目前可能存在的管理漏洞进行查漏补缺。
在案件庭审当日,该早教机构负责人进行旁听并表示,当天的庭审是一次很好的法治教育,对他们触动很大。近日,宝山区检察院收到整改方案。方案包括规范未成年人信息储存、使用流程管理,对信息收集、使用、管理采用信息化的方式,设立“未成年人个人信息保护”岗位;完善数据保护安全措施,采取信息系统安全管理制度,并设定内部信息访问权限;提升公司及员工信息保护意识,新增员工《保密协议》,开展专项法律培训。