【资料图】

新京报讯（记者行海洋）最高人民检察院今天（3月30日）发布的个人信息保护检察公益诉讼典型案例披露，湖南省长沙市望城区在推进数字化门诊建设过程中，望城区卫健局、长沙市公安局望城分局未尽到监管职责，公民个人生物识别信息被医疗卫生机构过度收集，存在泄露风险。

据介绍，长沙市望城区卫生健康局为推进数字化门诊建设，自2019年7月12日起，要求长沙市望城区辖区内17家医疗卫生机构陆续使用电子签核系统推送疫苗接种知情告知书，疫苗受种者或监护人点击“同意”时系统自动采集指纹和人脸识别信息，收集电子数据的存储及主机均由各社区卫生服务中心管理。截至2022年3月11日，上述机构共收集83万余条涉及指纹、人脸识别等个人生物识别信息。

2022年2月11日，长沙市望城区人民检察院接到群众举报，反映自己和孩子的指纹和人脸等个人生物识别信息被医疗卫生机构过度收集，存在泄露风险。望城区检察院经初步调查确认属实，遂于2022年3月19日、5月16日分别对望城区卫健局、长沙市公安局望城分局立案调查。

望城区检察院通过现场勘验、委托第三方单位对电子签核系统进行安全检测、调取相关书证与电子数据、询问相关人员、咨询专业人员等方式进行调查取证，查明望城区17家医疗卫生机构违反个人信息处理的合法、正当、必要和诚信原则，过度收集服务对象指纹和人脸等个人生物识别信息，未按要求解决电子签核系统的弱口令、数据未加密等安全漏洞，未能防患未经授权的访问及个人信息泄露、篡改、丢失等高风险，未落实网络安全等级保护制度要求，对敏感个人信息保护的内部管理不到位。望城区卫健局和区公安分局对上述医疗卫生机构收集、处理敏感个人信息活动未尽到监管职责。

2022年5月11日、16日，望城区检察院分别向区卫健局、区公安分局送达行政公益诉讼诉前检察建议，建议区卫健局改进征求知情同意的方式，避免过度收集指纹或人脸识别信息等个人生物识别信息；完善技术和管理措施，防止未经授权的访问及个人信息泄露、篡改、丢失。建议区公安分局对17家医疗卫生机构未履行网络安全等级保护责任的行为依法处理。同时将上述检察建议抄送望城区网信部门。

望城区卫健局、区公安分局收到检察建议后高度重视，部署开展了专项行动。截至2022年6月10日，全区23家单位均已完成电子签核系统升级，取消生物识别信息功能；21家单位已彻底删除既往数据，并按照保密文件要求将已收集个人生物识别信息交区疾控中心代为封存保管，疫苗有效期满后进行硬盘格式化删除；升级后的电子签核系统完善了内部信息安全管理制度、加强系统物理隔离、对数据传输和存储加密保护、新增限制授权访问等安全防护措施，信息安全等级保护经专家评定为1级，系统改为局域网内部运行，于2022年8月初在全区正式启用。

2022年8月8日，望城区检察院跟进监督发现，升级后的电子签核系统采用电子屏签字的方式确认接种告知并在局域网运行；收集的电子签字、疫苗接种等个人信息已加密；已收集的个人生物识别信息已在医疗卫生机构彻底删除。上述整改方式在全市范围内推广已显成效。同年8月11日，该院组织召开听证会，邀请人大代表、政协委员、“益心为公”志愿者及专家学者担任听证员，与会人员一致认为行政机关已采取积极有效措施全面履职，敏感个人信息被侵害的重大风险已消除。

编辑 唐峥

校对 赵琳

关键词：