最高检发布典型案例聚焦个人信息保护 关注“网络开盒”、人脸识别等

1月22日，最高人民检察院发布了一批个人信息保护检察公益诉讼典型案例。本次发布的典型案例共6件，涉及智慧停车场、小区人脸识别、网络虚假招聘、“网络开盒”、逝者及其亲属个人信息泄露、“黄牛”及旅行社滥用个人信息等场景。

　　>>案例一

　　智慧停车场过度收集消费者个人信息

　　【基本案情】

　　河北省保定市徐水区部分智慧停车场的App软件系统收集信息违反“最小必要”“告知同意”原则，过度收集消费者个人信息，对行踪轨迹等敏感个人信息存储不规范，导致公民个人信息面临安全隐患，侵害众多消费者个人信息权益，损害了社会公共利益。

　　【检察机关履职情况】

　　2025年2月，河北省公益诉讼检察大数据智能化应用平台向河北省保定市徐水区人民检察院（以下简称徐水区院）推送线索反映，徐水区部分智慧停车场存在违规收集消费者个人信息的情形。

　　徐水区院经初步调查，确定相关违法行为属实并立案。徐水区院查明徐水区18家大型智慧停车场分布于核心商圈及重点区域，管理车位共计1300余个，注册用户达9.6万余人，存在智慧停车App软件系统存贮载体缺乏防范网络攻击的安全技术措施、强制关注微信公众号方能缴费、未提供隐私协议索要信息或者未明确公示信息收集目的和范围、未加密传输或未定期安全测评、任意查询车辆轨迹信息等五大类违法违规行为。

　　2025年3月4日，徐水区院召开公开听证会，邀请信息专家对智慧停车系统在信息传输、存储方面的安全风险进行论证，明确违法行为、受损事实以及行政监管职责。根据相关规定及相关部门职权清单，区城市管理综合行政执法局（以下简称区执法局）、区住房和城乡建设局（以下简称区住建局）分别对公共区域、居住（含物业）区域停车泊位负有行业主管职责。区市场监督管理局（以下简称区市监局）对弹窗广告相关问题负有监管职责。

　　2025年3月14日，徐水区院向上述三个行政机关分别制发检察建议，建议其各自履行职责，对案涉停车场扫码缴费场景存在的侵害消费者个人信息权益等行为依法监管。相关行政机关收到检察建议后联合部署智慧停车数据安全专项整治，对全区运营企业集中约谈和督促整改。

　　>>案例二

　　一公司存有超10万条人脸数据

　　存在违法违规问题

　　【基本案情】

　　重庆某科技有限公司的物业管理居住场所涉及人脸信息储备数量巨大，存在10个以上风险问题；重庆某生活服务有限公司管理涉及13个小区，小区进出设备主要以人脸识别为主，存在4个风险问题；重庆某置业有限公司在人脸识别技术使用过程中存在6个风险问题。上述3家公司均存在未与第三方数据处理者签署安全协议等普遍性问题，侵害公民个人信息权益，损害了社会公共利益。

　　【检察机关履职情况】

　　2023年10月，重庆市两江新区人民检察院（以下简称两江新区院）与重庆市两江新区互联网信息办公室（以下简称区网信办）签订《关于加强个人信息保护协同治理工作的实施意见》，建立技术支撑、信息共享、专项协作等工作机制。

　　2025年5月，两江新区院发现，重庆某科技有限公司信息系统存有超过10万条人脸数据，且在人脸识别技术应用中存在违法违规问题。两江新区院遂立案办理，通过现场勘验、走访行政机关、调取书证等方式依法开展调查工作。同时，两江新区院邀请区网信办安全中心的业务专家赴现场检查，认定重庆某科技有限公司、重庆某生活服务有限公司、重庆某置业有限公司等3家企业在个人信息保护方面存在较大风险隐患，主要为：采集的人脸信息通过互联网传输，采集14岁以下未成年人信息时未取得监护人同意，人脸信息等个人敏感信息未进行本地化存储，对人脸信息处理未采取数据脱敏、加密存储，未对敏感数据进行加密传输，隐私协议未明确告知处理者处理目的、保存期限等，未与第三方数据处理者签署安全协议等普遍性问题。

　　2025年7月29日，根据有关规定，两江新区院向区住房和城乡建设委员会（以下简称区住建委）制发检察建议，建议其依法履行监管职责，督促相关企业对使用人脸识别技术收集个人信息违反法律规定的问题进行整改。

　　区住建委收到检察建议后高度重视，对案涉企业依法监管的同时，向全区物业企业下发《加强物业小区人脸识别系统运用与个人信息保护的通知》，从行业层面划定规范红线，严格限定应用场景，健全数据管理制度，严控信息存储时限。

　　>>案例三

　　发布虚假招聘广告

　　获取个人信息非法出售牟利

　　【基本案情】

　　广东省广州市天河区是广州市国际金融商业中心，吸引大量企业和人才汇聚。一些不法分子通过虚假注册企业或者冒用他人公司名义的方式，在某招聘网站上发布虚假招聘广告，获取求职者上传简历内的姓名、手机号码、籍贯、毕业学校及专业、入学及毕业时间、工作经历等个人信息，并非法出售牟利，给求职者的人身安全、财产权益带来重大风险隐患，损害了社会公共利益。

　　【检察机关履职情况】

　　2023年11月24日，广东省广州市天河区人民检察院（以下简称天河区院）在办理刑事案件中发现上述线索，决定以行政公益诉讼立案调查。调查发现招聘平台存在对企业账户审核不严、未对求职者信息进行脱敏处理、对异常招聘行为动态监测不足等问题，不法分子使用“空壳公司”在平台上注册账号发布虚假招聘广告，非法获取个人信息3.7万余条。同时，天河区院研发大数据法律监督模型，调取网络招聘信息、辖区企业工商登记信息等多项数据，通过碰撞、分析发现虚假招聘线索61条，同步移送行政机关排查，加强类案监督，防范虚假招聘风险。

　　天河区院审查认为，根据相关规定，结合相关职能部门权责清单和“三定方案”，天河区人力资源和社会保障局（以下简称区人社局）、天河区市场监督管理局（以下简称区市监局）未充分履行对重点领域、重点行业个人信息保护职责，对网络招聘平台长期监管不到位，致使社会公共利益持续受到侵害。

　　2023年12月14日，天河区院向区人社局、区市监局分别制发检察建议，督促人社部门加强对网络招聘平台的监管，督促市监部门加大力度整治“空壳公司”和虚假人才招聘广告，推动共同履行保护求职者信息安全的职责，规范行业治理，切实维护劳动者合法权益。两部门收到检察建议后高度重视，开展了专项行动。

　　>>案例四

　　周某某等人“网络开盒”

　　发布1200余条个人信息

　　【基本案情】

　　2023年7月至2024年3月期间，周某某等六人（含部分未成年人）在某境外软件上创建、管理专门用于“开盒”的三个频道。六人通过共享、购买及利用“社工库”机器人搜索等途径非法收集公民个人信息，并先后在上述频道内发布1200余条包含明星、“网红”、社会热点事件当事人等不特定自然人的个人信息，浏览量超过400万次。六人通过在频道内发布广告、互相推荐等方式，增加频道热度，并吸引他人付费查询、购买个人信息，从中非法牟利。同时，六人在发布部分个人信息时，附加侮辱性评语，甚至组织、煽动频道关注者对“开盒”对象进行电话、短信骚扰和辱骂，严重侵害不特定主体的个人信息权益，损害了社会公共利益。

　　【检察机关履职情况】

　　2024年4月，浙江省杭州市临安区人民检察院（以下简称临安区院）在履职中发现本案线索。经初步调查后，发现本案“开盒”行为涉及众多社会公众人物的大量个人敏感信息，并在网络上被广泛传播。因本案公益损害侵权主体与刑事责任主体不完全一致，侵权行为地分属多地，且刑事案件已分案处理，为一并追究公益损害共同侵权责任，临安区院于2024年6月24日以民事公益诉讼立案并发布公告。

　　为全面核实公益损害事实，临安区院先后前往陕西、广东、湖南等地开展调查取证，查明侵权行为人的动机等共同侵权行为的主观故意内容，以及多名被害人因被“开盒”网暴遭遇线下骚扰的客观危害后果。

　　2025年4月11日，临安区院依法向杭州互联网法院提起民事公益诉讼，诉请周某某等人停止侵权，删除相关个人信息；周某某等人及部分监护人共同承担10万元公益损害赔偿金，并在国家级媒体上公开赔礼道歉。检察机关起诉后，鉴于各被告已在开庭审理前自行删除涉案的相关个人信息、注销相关账号，故撤回关于停止侵权的诉讼请求。同年8月28日，杭州互联网法院开庭审理本案并当庭作出判决，支持检察机关的全部诉讼请求。判决生效后，各被告已支付上述公益损害赔偿金并公开赔礼道歉。

　　>>案例五

　　逝者及其亲属个人信息800余份

　　被违法提供给殡葬行业从业人员

　　【基本案情】

　　2021年7月至2025年3月，上海市闵行区某医院医生及区急救中心急救人员利用工作便利，通过全市疾病控制信息管理系统或救护车显示屏获取包含逝者住址、死亡时间、原因、逝者亲属姓名、联系方式等在内的逝者及其亲属个人信息800余份，违法提供给殡葬行业从业人员并获取非法利益。殡葬行业从业人员获取信息后，迅即开展商业营销，严重侵害逝者亲属安宁及隐私，损害了社会公共利益。

　　【检察机关履职情况】

　　上海市闵行区人民检察院（以下简称闵行区院）在履职中发现本案线索，初查后于2025年7月11日立案调查。闵行区院通过询问医疗卫生机构工作人员，查明非法提供逝者及其亲属信息的具体操作方式、数量、获利等情况，明确信息终端被非法利用的事实；赴涉案医院现场调查，查明医生以密钥登录疾病控制信息管理系统便可查询全市医院开具的死亡报告信息，明确信息收集、储存未有效防护情况；赴区急救中心及120站点调查，查明救护车急救人员可从车内工作显示屏直接获取患者亲属姓名、电话、住址等信息，区急救中心未实质开展逝者亲属回访，明确信息流转存在泄露隐患。

　　闵行区院审查认为，信息处理者应严格规范相关信息处理权限，不得违法处理逝者及其亲属个人信息。根据相关规定，闵行区卫生健康委员会（以下简称区卫健委）对医疗信息安全制度、保障措施不健全导致医疗信息泄露，医师泄露患者隐私或者个人信息、违法处理个人信息等行为具有行政处罚权，在其职责范围内负责个人信息保护和监管工作。

　　2025年7月31日，闵行区院向区卫健委制发检察建议，督促其依法对涉案单位及相关人员查处。区卫健委收到检察建议后高度重视，迅速组成工作专班开展查处和督促整改工作。调查后，区卫健委对涉案医院作出责令立即改正违法行为、警告、罚款的行政处罚决定，对涉案医生作出警告、罚款、暂停执业活动的行政处罚决定，解除相关急救人员的外包劳动关系。区卫健委经报上级主管部门调整，严格限制登录疾控信息系统权限，区医疗急救中心对救护车工作显示屏中非必要个人信息进行屏蔽，在驾驶员位置新增视频监控。

　　>>案例六

　　“黄牛”违法使用他人身份信息

　　将入馆预约二维码线上线下贩卖

　　【基本案情】

　　位于江西省景德镇市的中国陶瓷博物馆（以下简称陶瓷博物馆）是我国唯一一所陶瓷艺术专业性博物馆，系国家一级博物馆，年参观人数超300万。部分“黄牛”违法使用他人身份信息完成入馆预约，并将预约二维码在线上线下（300959）贩卖，旅行社多次使用原有旅客身份信息反复登记入馆，甚至出现个别旅客半年内重复入馆上百次的情况，严重危害公民个人信息安全。

　　【检察机关履职情况】

　　2025年5月，江西省景德镇市人民检察院（以下简称景德镇市院）接到“益心为公”志愿者提报的上述线索，经初步调查后于同年7月16日以行政公益诉讼立案。景德镇市院通过现场调查、网络检索，并前往市文化市场综合执法支队、公安机关等调取有关行政执法材料，查明部分“黄牛”违法使用他人姓名、身份证号等个人信息预约博物馆，并在博物馆附近及部分网络平台，将绑定他人个人信息预约入馆的二维码等凭证以80至300元的价格倒卖。同时，办案人员调取了中国陶瓷博物馆2025年1至6月的团队通道入馆人员名单共计20.7万余条，通过比对发现部分个人信息存在异常高频登记入馆，最多重复入馆达上百次。

　　根据相关规定，景德镇市文化广电旅游局（以下简称市文旅局）负有维护旅游市场基本秩序及旅游行业个人信息保护的监管职责。

　　2025年8月13日，景德镇市院向市文旅局制发检察建议，建议其依法履行个人信息保护及旅游市场规范管理的监管职责，消除公民个人信息被滥用的安全隐患。

　　收到检察建议后，市文旅局高度重视，立即组织开展全市旅游市场票务秩序专项整治行动，向公安机关移送相关线索，打掉“黄牛”票务团伙6个，行政拘留4人，在网络平台下架有关门票预约的转售信息；推动多家景区升级票务系统，严格实名认证核验；设立黑名单机制，对异常高频预约入馆信息进行实时排查并转人工审核；同时，在各大景区游客中心设置个人信息保护宣传展板，公布票务举报热线，维护市场秩序。 据最高检微信公众号