历时两年，历经三次审议和两次修改意见，《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）于2021年11月1日起正式施行，为大数据时代下个人的信息安全提供了强有力的法律保护。

2021年8月，广东省广州市首例个人信息保护领域刑事附带民事公益诉讼案告破。广州市白云区人民检察院以犯侵犯公民个人信息罪，对盗取大量客户交易信息的当事人余某（化名）提起公诉的同时，提起了附带民事公益诉讼，白云区人民法院支持了白云区人民检察院的全部诉讼请求，依法判决被告人余某犯侵犯公民个人信息罪，判处有期徒刑三年二个月，并处罚金五千元，同时判令其委托电信部门向被侵权人群发短信提醒其注意个人信息保密，并在全国性公开发行的媒体上公开赔礼道歉。

采访广州市白云区人民检察院检察长庞良程

南方日报、南方+记者来到广州市白云区人民检察院，远程采访当事人余某。同时，采访了广州市白云区人民检察院检察长庞良程，从检察官的专业角度对案情进行分析，以案说法，给广大群众以警示。

聊天收到私信邀请，余某以为“天上掉了馅饼”

2021年3月20日，广州某电子商务公司的客服人员一反常态地接到了不少顾客的投诉，纷纷称遭到各种诈骗电话的骚扰。顾客称，给他们打电话的人详细说出了自己购买的产品及购买的时间和金额，还以公司的名义索取相关费用。

公司对内部员工的店铺接待账号进行核查时，发现刚来不久的员工余某所使用的店铺账号存在异常。随后对其账号进行检测，结果显示员工余某的账号在两天时间内，访问已卖出的订单详情次数远超正常范围。公司最终确定是余某泄露了公司客户的信息，遂向公安机关报案。2021年4月20日，广州市公安局白云区分局以涉嫌侵犯公民个人信息罪将余某移送广州市白云区人民检察院审查批准逮捕。

余某此前从事美工设计，区别于在时尚杂志等单位里光鲜亮丽的工作，他的工作相对而言朴素得多。一个月大概有4000块钱收入，但是不包吃、不包住。工作主要来源于QQ群，这意味着是否有活干取决于能否在群中接到活。

不稳定的工作量和工资收入，使得他将更多的精力放在了本职工作以外的事情上。“因为不是每天都有工作，有时候可以在电脑上聊聊天。”余某说道。在空余时间里，余某喜欢在一款境外的聊天软件上与外国人聊天，据其称，这款聊天软件中充斥着各种违法信息。正是这款聊天软件，让他萌生了售卖他人信息的念头。

2021年3月份，余某在使用该境外聊天软件过程中收到私信，那人告知他个人信息能够卖钱。主动找上门来的网友许诺余某，盗取个人信息进行售卖，三年之内买车又买房，而且风险很低。这无异于天上掉馅饼的事情，余某心动了。加上当时手头拮据，他便答应了网友的邀约，由此踏上了非法获取他人个人信息的违法犯罪道路。

两天盗取21588条，远超入罪标准十倍

2021年3月14日，余某按照与不法网友合谋的内容到白云区某电子商务有限公司应聘客服工作，随后顺利地进入了该公司。入职仅四天，余某被安排负责该公司天猫平台客服业务，便开始着手实施计划内容。在上班时间，余某利用公司提供的客服账号和口令，成功登录上了公司的APP，并趁同事不注意时将不法网友提供给他的信息采集软件非法植入其中。短时间内余某非法盗取的公民交易信息达两万余条，涵盖客户的姓名、电话号码、收货地址等信息。

据余某供述，其所盗取的信息主要涉及客户的姓名、电话号码、收货地址、购买的东西与价格等，后台能显示的客户个人信息差不多都被泄露。

不同信息种类所造成的危害影响不同，量刑标准对不同信息种类的数量要求也不一样。根据《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第五条第一款第四项规定，非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息500条以上的，应认定为侵犯公民个人信息罪规定的“情节严重”。第五条第二款规定，实施前款规定的行为，数量达到前款规定标准10倍以上的应当认定为“情节特别严重”。

余某非法获取的信息包含有公民交易商品的具体情况，可以认定为公民交易信息。经广州市白云区人民检察院审查，其非法获取的公民交易信息共计21588条、公民个人信息共计909条，已达到情节特别严重的标准，应适用“处三年以上七年以下有期徒刑，并处罚金”的量刑档次。

盗窃过程“顺风顺水”，公司监管在哪里？

余某入职的电商公司规模不大，主要经营医疗器械与保健品等产品的销售业务。相比于服装、化妆品而言，医疗电商所覆盖的消费人群相对较窄。主要的购买人群为有消费能力的年轻人，老年人的数量不多。

“做客服的必须看得到客户的个人信息，不然无法确保订单是否真实有效”。公司没有设置其他的加密措施，只需要公司的账号和口令便可以查看存储的客户个人信息。然而除了客服之外，客服主管、运营、财务方面的岗位都可以有权限看到客户的个人信息。根据电商公司的人员构成进行分析，这意味着该公司中绝大多数员工是能够接触到客户信息的。

尽管平台上会留有访问客户个人信息的记录，根据权限，运营人员可以查看到客服在何时查看及下载了多少条信息。但公司无论是在管理制度，还是在技术监管层面，都没有对客服人员查看与下载客户个人信息的行为进行有效监管。

余某称，“公司的管理较为松散，没有比较严格的管理体系，对于职工这方面没有任何约束。”谁也没有发现余某的办公电脑上多了一个违规的数据采集软件，更无从察觉大量客户信息已经被盗取。直到有客户拨打公司的客服电话进行投诉，客户向公司反映，公司才过来进行调查，案发前余某仍像往常一样在公司中上班。

保护个人信息安全，维护社会公共利益

根据现有证据，余某非法获取消费者的个人信息，已经造成了大量消费者遭到诈骗电话骚扰的后果。其非法获取客户个人信息，不仅危害了他人个人的信息安全，还严重影响了人民群众的安全感，损害社会公共利益。

监管与立法不到位使得电子商务平台成为个人信息泄露的捷径，除此之外，犯罪分子还会利用各种途径对个人信息进行盗取出售。面对在大数据时代下个人信息泄露防不胜防的现象，除了个人要注意保护自身信息外，来自法律层面的保障必不可少。

2021年8月20日，十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》。在有关法律的基础上，《个人信息保护法》进一步细化、完善个人信息保护应遵循的原则和个人信息处理规则。其中第70条规定：“个人信息处理者违反本法规定处理个人信息，侵害众多个人的权益的，人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼”，明确将个人信息保护纳入检察公益诉讼法定领域。

除此之外，广州某电子商务有限公司作为经营者，收集了大量的消费者个人信息，应采取必要措施以确保消费者个人信息安全，但是其并无采取技术等措施予以防范，致使其员工余某能轻易地在该公司电脑上安装软件，非法获取消费者个人信息，侵害了消费者合法权益，损害了社会公共利益。

对此，广州市白云区人民检察院已经启动了行政公益诉讼诉前程序，向相关行政职能部门发出磋商意见函，建议其依法履行监管职责，对广州某电子商务有限公司及其职员侵犯公民个人信息的行为进行处理。相关行政职能部门在收到磋商意见函后，已经对广州某电子商务有限公司进行立案审查。在行政职能部门的监管下，该公司已经建立了对客户信息加强保护的管理制度，并且聘请了技术人员在技术层面予以保障。

先前报道>>> 南方+记者持续跟进，《个保法》出台开启个人信息保护新篇章

近日，网友们一众热捧的大热门APP都集中修改了《用户服务协议》及《用户隐私政策》，以符合《个人信息保护法》的要求。

2021年11月1日，《中华人民共和国个人信息保护法》（以下简称“个保法”）正式实施，宣布个人信息的“裸奔时代”终结。这部法案于2021年8月经第十三届全国人民代表大会常务委员会第三十次会议通过，是个人信息保护方面的专门立法，全文共8章74条。

个保法要求，禁止互联网平台“大数据杀熟”，用户可以拒绝互联网平台推送的“个性化广告”，买卖个人信息也被认定为违法行为。

南方+记者观察发现，个保法出台后，中国个人信息保护掀开了新篇章：互联网大厂的监管被加强，多地法院开庭审理公益诉讼，因买卖个人信息入刑的判例越来越多。广东财经大学法学院教授姚志伟表示，个人信息非法获取、过度采集等现象得到有效遏制；企业的合规成本因此变得更高，公众的个人信息得到了更好保护。

社会各方广泛呼吁，《个保法》顺利出台

“虽然近年来中国个人信息保护力度不断加大，但在现实生活中，一些企业、机构甚至个人，从商业利益等出发，随意收集、违法获取、过度使用、非法买卖个人信息，利用个人信息侵扰人民群众生活安宁、危害人民群众生命健康和财产安全等问题仍十分突出。”

2020年10月，时任全国人大常委会法工委副主任刘俊臣说出来上述这番话，他表示，社会各方面广泛呼吁出台专门的“个人信息保护法”。当时，个保法草案首次亮相，提请十三届全国人大常委会初次审议。

全国人大常委会法工委经济法室副主任杨合庆说：“越来越多的企业利用大数据分析、评估消费者的个人特征用于商业营销，这有利于提高经济活动的效率，提升消费者的消费体验。同时，也有一些企业通过掌握消费者的经济状况、消费习惯、对价格的敏感程度等信息，对消费者在交易价格等方面实行歧视性的差别待遇，误导、欺诈消费者，其中最典型的就是社会反映突出的‘大数据杀熟’。”

杨合庆认为，此类行为违反了诚实信用原则，侵犯了消费者权益保护法规定的消费者享有公平交易条件的权利，应当在法律上予以禁止。

南方+记者关注到，个保法立法过程中，越来越多有关互联网平台在个人信息保护中的义务内容经讨论被加入到法律草案当中。

2021年4月，全国人大宪法和法律委员会副主任委员江必新表示，有的部门和专家建议强化对超大型互联网平台的个人信息保护义务，并加强监督。为此，草案二审稿新增加了第57条规定。

该规定要求，提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，应当成立主要由外部成员组成的独立机构，对个人信息处理活动进行监督；对严重违反法律、行政法规处理个人信息的平台内的产品或服务提供者，停止提供服务；定期发布个人信息保护社会责任报告，接受社会监督。后来在个保法草案三审时，该条变更为58条。

2021年8月19日，是个保法草案交付表决的前一天，草案再度增加内容，要求大型互联网平台应当“按照国家规定建立健全个人信息保护合规制度体系”。

千呼万唤始出来。2021年8月20日，全国人大常委会正式审议通过个保法。这部法律的制定经历了18个年头：2003年，专家起草个保法建议稿；2018年，个保法正式进入立法流程；之后三年，历经三次审议最终成形。

《个保法》共分为8章74条，明确了个人信息处理活动中的权利义务边界，是首部完整规定个人信息处理规则的法律。进一步强化了对互联网大厂等主体的监管、设置了高额罚款，此外还对滥用人脸识别等各界关切的热点作出回应。

无法独善其身，互联网大厂被加强监管

“之前我打算买台电脑，在浏览器上搜索了相关型号，后来再打开淘宝、京东等电商平台，发现他们在首页上就开始给我推荐相关产品，打开视频APP也能刷到类似的推荐。”广州的王先生向南方+记者讲述了他在2021年10月的一段经历，他对此感到很不舒服，觉得个人信息被“偷窥”了，很想取消这些推荐，但没有办法。

随着个保法的出台，这一情况发生了变化。个保法规定，通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。现在，淘宝、京东等APP都在设置栏目中增加了拒绝个性化推荐的按钮，用户可以随时在互联网平台上取消推荐。

此外，个保法还禁止了“大数据杀熟”。此前，大量互联网用户反映的同一时间用APP预定酒店、叫网约车不同用户价格不同的现象已经很少发生。个保法规定，个人信息处理者不得对个人在交易价格等交易条件上实行不合理的差别待遇。

法律通过的当天，淘宝网就宣布更新用户信息加密技术，商家和开发者被要求跟进系统改造。法律施行的当天，网易集团宣布了新的隐私政策，表示会采用符合业界标准的安全防护措施来防止用户的个人信息遭到未经授权的访问、使用、修改，避免数据的损坏或丢失，此外还会采用严格的数据访问权限控制和多重身份认证技术保护个人信息，避免数据被违规使用。

如果互联网平台滥用个人信息，可能面临高额的罚款。个保法明确，对违法处理个人信息的应用程序，责令暂停或者终止提供服务；拒不改正的，并处一百万元以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

此外，情节严重的违法行为，由省级以上监管部门责令改正，没收违法所得，并处5000万元以下或者上一年度营业额5%以下罚款，并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照。

南方+记者梳理发现，个保法施行后，已有不少互联网平台因涉嫌超范围采集个人隐私信息等违法个保法的行为被点名通报和受到处罚。

2021年11月3日，工信部针对APP超范围、高频次索取权限，非服务场景所必需收集用户个人信息，欺骗误导用户下载等违规行为进行了检查，并对未按要求完成整改的APP进行了公开通报。

这是自个保法发布以来，工信部第一次要求下架违规收集信息的应用软件，依据个保法等相关法律要求，工信部组织对共计106款APP进行下架处理，其中包括“豆瓣”“唱吧”等知名应用软件。

多地开庭审理公益诉讼

个保法规定，个人信息处理者违反本法规定处理个人信息，侵害众多个人的权益的，人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。这则专门设立的公益诉讼条款，明确将个人信息保护纳入检察公益诉讼法定领域。在众多律师和法学专家看来，个人提起的诉讼只能指向个案，即“谁告解决谁的问题”，对普遍侵权行为需要由公益诉讼解决。个保法设置公益诉讼条款，有利于解决个体维权成本高、诉讼时间长等问题，加大了对个人信息领域权益保护的力度。

南方+记者注意到，自个保法施行以来，各地法院宣判了多起涉及个人信息保护的案件。

大连市沙河口区人民法院审理的一则侵犯公民个人信息案，是个保法生效后中国裁判文书网公布的首个根据个人信息保护法审判的案例。

公诉机关指控，被告人杨吉新于2018年12月通过被告人张颢与胡某（另案处理）联系，由张颢提供邮箱及收款账户，杨吉新向胡某邮箱发送公民个人信息43257条，获利人民币7000元。公诉机关认为，被告人张颢、杨吉新违反国家有关规定向他人出售公民个人信息，侵犯了公民隐私权，情节严重，构成侵犯公民个人信息罪。

2021年11月29日，大连市沙河口区法院对此案作出一审判决，两名被告被判侵犯公民个人信息罪，一人被判处有期徒刑二年，缓刑二年，处罚金7000元；另一人判处拘役六个月，缓刑六个月，处罚金2000元。同时判决两人停止侵害，消除危险，删除其存储的公民个人信息和在全国性的报刊媒体上公开赔礼道歉。

按照个保法规定，任何组织、个人不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息；不得从事危害国家安全、公共利益的个人信息处理活动。

【记者】欧阳胜勇 张笛扬

【实习生】吕阳婕 黄雨婷 赵梦珂 蒋君丽 蓝昭仪 常源 李香香 薛雅心 林思敏