◎ 文 《法人》雜志全媒體記者 白馗 見習(xí)記者 姚瑤
身份證號��、家庭住址�、手機(jī)號碼等個人隱私信息被公開······曾經(jīng)的“人肉搜索”如今變本加厲,疊加網(wǎng)絡(luò)暴力升級成為“人肉開盒”��。不過,這些非法獲取和交易個人信息的行為將會從源頭上被遏制�。
▲CFP
近日,國家互聯(lián)網(wǎng)信息辦公室正式發(fā)布的《個人信息保護(hù)合規(guī)審計(jì)管理辦法》(以下簡稱“審計(jì)辦法”)及其附件《個人信息保護(hù)合規(guī)審計(jì)指引》 (以下簡稱“附件”)���,自5月1日起施行�,標(biāo)志著《中華人民共和國個人信息保護(hù)法》(以下簡稱“個人信息保護(hù)法”)及《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》所設(shè)立的個人信息保護(hù)合規(guī)審計(jì)制度正式進(jìn)入落地實(shí)施階段�����。
敲響個人信息保護(hù)警鐘
近年來���,網(wǎng)絡(luò)暴力蔓延至現(xiàn)實(shí)生活的現(xiàn)象時有發(fā)生����。僅因?yàn)樵诰W(wǎng)絡(luò)發(fā)表了不同觀點(diǎn)����,網(wǎng)民就有可能面臨被“人肉開盒”的風(fēng)險。
某群聊組里��,包括虛擬主播在內(nèi)的多名公民個人信息被發(fā)布����,這種像是“拆盒子”的行為其實(shí)已經(jīng)大大侵犯了個人權(quán)益��。受害者綰綰(化名)對《法人》記者說:“自己的個人信息居然是在一個境外網(wǎng)站的聊天群里泄露出去的?����!?/p>
2023年11月起�,中央網(wǎng)信辦曾多次在網(wǎng)絡(luò)“清朗行動”中點(diǎn)名“人肉開盒”行為。近日����,中國企業(yè)財(cái)務(wù)管理協(xié)會數(shù)據(jù)資產(chǎn)特聘專家龐理鵬在接受記者采訪時表示,治理“開盒”亂象����,必須從源頭上遏制非法獲取和交易個人信息的行為。個人隱私一旦成為不法分子的牟利工具���,任何人都可能成為被曝光的對象�。因此���,監(jiān)管部門應(yīng)加大執(zhí)法力度�����,依法嚴(yán)懲非法收集�、販賣個人信息的行為,并加強(qiáng)對相關(guān)利益鏈條的追蹤和打擊�����,防止個人隱私在非法交易中流轉(zhuǎn)�����。
“人肉開盒”指通過非法手段獲取�����、公開他人隱私信息并疊加騷擾����、攻擊等惡性行為。一旦被“人肉開盒”���,一系列的麻煩便找上門來�,受害者及其家屬可能受到無盡的電話�����、短信騷擾,甚至被上門威脅······當(dāng)個人隱私成為被隨意攻擊和羞辱的“箭靶”�,需要為個人信息保護(hù)再加把“鎖”��。
山東德衡律師事務(wù)所高級權(quán)益合伙人姜保良向記者分析�,“人肉開盒”具體觸犯的法律法規(guī)可以根據(jù)行為的嚴(yán)重性從民事、行政�����、刑事三個層次依次展開�。首先在民事層面涉及民事侵權(quán)法律責(zé)任,《中華人民共和國民法典》明確規(guī)定自然人享有名譽(yù)權(quán)�����、隱私權(quán)���,禁止實(shí)施非法刺探公開他人隱私信息���、貶損他人名譽(yù)的行為?�!伴_盒”行為可能同時侵犯他人的隱私權(quán)�、名譽(yù)權(quán)�,受害者可要求停止侵害�、賠禮道歉、消除影響���,并主張精神損害賠償��。
如果“人肉開盒”行為次數(shù)較多或較為嚴(yán)重��,也可能觸犯《中華人民共和國治安管理處刑法》��,面臨行政處罰�。
“以‘人肉開盒’侵犯公民個人信息���,情節(jié)嚴(yán)重的�����,涉嫌侵犯公民個人信息罪���,比如,非法獲取����、提供行蹤軌跡�、通信內(nèi)容���、征信信息�、財(cái)產(chǎn)信息50條以上或者非法獲取����、提供住宿��、通信�、健康生理、交易信息等可能影響人身�����、財(cái)產(chǎn)安全的公民個人信息500條以上等或者違法所得5000元以上以及其他法律規(guī)定情形的���,構(gòu)成侵犯公民個人信息罪��,情節(jié)嚴(yán)重的���,處三年以下有期徒刑或拘役,并處或者單處罰金����;情節(jié)特別嚴(yán)重的�,將面臨三年以上七年以下有期徒刑�。”姜保良說��。
網(wǎng)絡(luò)平臺作為信息傳播的重要渠道����,也需切實(shí)履行管理責(zé)任。龐理鵬告訴記者�����,平臺應(yīng)當(dāng)完善內(nèi)容審核機(jī)制��,建立高效的信息舉報和處理流程��,確保涉及隱私泄露的內(nèi)容能夠被迅速刪除或屏蔽��。同時�����,企業(yè)也應(yīng)提升數(shù)據(jù)安全管理水平��,采取更嚴(yán)格的信息加密和訪問控制措施,防止用戶隱私在存儲和流轉(zhuǎn)過程中被濫用或泄露��,從根本上減少風(fēng)險��。監(jiān)管部門則應(yīng)加強(qiáng)對平臺的監(jiān)督���,對未能有效管理違規(guī)信息的企業(yè)施以懲戒�����,以促使其完善隱私保護(hù)措施,形成更加完善的監(jiān)管體系�。
記者了解到,個人信息被互聯(lián)網(wǎng)平臺廣泛收集早已不是個例�����,用戶在手機(jī)上隨意打開一個APP�,首先需要同意平臺對用戶的個人信息進(jìn)行處理,才能正常使用該軟件��,甚至不少手機(jī)游戲軟件都需要用戶先進(jìn)行實(shí)名認(rèn)證�,方能進(jìn)行體驗(yàn)。個人信息保護(hù)和個人信息利用的矛盾日益突出����。雖然個人信息保護(hù)法和《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》已對個人信息處理者開展合規(guī)審計(jì)作出規(guī)定�����,但從執(zhí)行層面來看����,風(fēng)險控制和監(jiān)督仍然缺少更為細(xì)化的規(guī)定��。而審計(jì)辦法為個人信息處理者開展個人信息保護(hù)合規(guī)審計(jì)提供了更為系統(tǒng)性的指引�����。
為合規(guī)審計(jì)要求“加碼”
近日�,北京大成(廣州)律師事務(wù)所高級合伙人張偉偉對記者表示,審計(jì)辦法是規(guī)范個人信息保護(hù)合規(guī)審計(jì)活動的里程碑式文件���,明確了適用范圍����、個人信息處理者的責(zé)任��、合規(guī)審計(jì)的頻率和條件、專業(yè)機(jī)構(gòu)的要求�、審計(jì)報告的提交、違規(guī)處理等內(nèi)容�����。
審計(jì)辦法第四條規(guī)定的“審計(jì)頻率”����,要求處理超過1000萬人個人信息的處理者,應(yīng)當(dāng)每兩年至少開展一次個人信息保護(hù)合規(guī)審計(jì)���;審計(jì)辦法第七條規(guī)定的“專業(yè)機(jī)構(gòu)資質(zhì)”���,要求專業(yè)機(jī)構(gòu)應(yīng)當(dāng)具備開展個人信息保護(hù)合規(guī)審計(jì)的能力�����,有與服務(wù)相適應(yīng)的審計(jì)人員���、場所����、設(shè)施和資金等。
“以上可以看出�����,審計(jì)辦法對個人信息保護(hù)合規(guī)審計(jì)活動的各個環(huán)節(jié)作出較為明確的指引����。”張偉偉對記者表示���,附件列出的合規(guī)審計(jì)指引�����,包括合法性基礎(chǔ)��、處理規(guī)則���、告知義務(wù)、共同處理����、委托處理、敏感信息處理�����、未成年人信息處理、跨境傳輸��、刪除權(quán)保障等多個方面的審計(jì)重點(diǎn)�。
龐理鵬表示,還應(yīng)重點(diǎn)關(guān)注附件在如下場景的個人信息保護(hù)合規(guī)審計(jì)要求:第一���,附件第十一條規(guī)定了公共場所安裝圖像收集����、個人身份識別設(shè)備的個人信息保護(hù)合規(guī)審查內(nèi)容���。這一場景中���,應(yīng)同時結(jié)合《公共安全視頻圖像信息系統(tǒng)管理?xiàng)l例》(4月1日起施行)把握個人信息保護(hù)合規(guī)審計(jì)的重點(diǎn)審查事項(xiàng)。第二��,附件第十五條涉及向境外提供個人信息的合規(guī)審計(jì)要求����。這一場景中����,應(yīng)當(dāng)區(qū)分關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者和非關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者進(jìn)行合規(guī)事項(xiàng)的重點(diǎn)審查��。第三���,附件第二十四條和第二十五條對個人信息安全事件應(yīng)急預(yù)案及響應(yīng)處理的合規(guī)審計(jì)要求提出明確規(guī)定。此場景中�,審計(jì)應(yīng)重點(diǎn)檢查應(yīng)急預(yù)案的制定情況及其執(zhí)行效果,評估企業(yè)在突發(fā)信息安全事件的響應(yīng)能力和處置效果��。第四��,附件第二十六條強(qiáng)調(diào)了對提供重要互聯(lián)網(wǎng)平臺服務(wù)���、用戶數(shù)量巨大��、業(yè)務(wù)類型復(fù)雜的個人信息處理者所制定的平臺規(guī)則的合規(guī)審計(jì)要求��。審計(jì)應(yīng)重點(diǎn)關(guān)注運(yùn)營規(guī)則是否與法律法規(guī)相抵觸�、個人信息保護(hù)條款的有效性及平臺規(guī)則的執(zhí)行情況�。
考驗(yàn)機(jī)構(gòu)合規(guī)審計(jì)能力
審計(jì)辦法明確,個人信息處理者自行開展個人信息保護(hù)合規(guī)審計(jì)的���,應(yīng)當(dāng)由個人信息處理者內(nèi)部機(jī)構(gòu)或者委托專業(yè)機(jī)構(gòu)定期對其處理個人信息遵守法律��、行政法規(guī)的情況進(jìn)行合規(guī)審計(jì)��。
然而記者發(fā)現(xiàn)�,審計(jì)辦法并未對“專業(yè)機(jī)構(gòu)”具體類型和性質(zhì)作出明確規(guī)定。對此��,張偉偉分析�,審計(jì)辦法第七條規(guī)定,“鼓勵相關(guān)專業(yè)機(jī)構(gòu)通過認(rèn)證�����。專業(yè)機(jī)構(gòu)的認(rèn)證按照《中華人民共和國認(rèn)證認(rèn)可條例》(以下簡稱“認(rèn)證認(rèn)可條例”)的有關(guān)規(guī)定執(zhí)行”��。因此��,專業(yè)機(jī)構(gòu)的要求可以參考認(rèn)證認(rèn)可條例的相關(guān)內(nèi)容���。
關(guān)于專業(yè)機(jī)構(gòu)應(yīng)當(dāng)具備的條件���。張偉偉認(rèn)為,專業(yè)機(jī)構(gòu)需要具備熟悉個人信息保護(hù)法律知識����、審計(jì)技能的專業(yè)團(tuán)隊(duì),同時具備開展審計(jì)所需的場所���、工具等�����,另外��,還鼓勵審計(jì)機(jī)構(gòu)通過國家認(rèn)可的認(rèn)證(如依據(jù)認(rèn)證認(rèn)可條例的第三方認(rèn)證)��,以證明其專業(yè)性和合規(guī)性�。
“關(guān)于個人信息保護(hù)合規(guī)審計(jì)對專業(yè)機(jī)構(gòu)的要求��,專業(yè)機(jī)構(gòu)必須參照附件開展審計(jì)�,覆蓋合法性、透明性���、安全措施等全流程�����。專業(yè)機(jī)構(gòu)出具的審計(jì)報告需由機(jī)構(gòu)主要負(fù)責(zé)人和合規(guī)審計(jì)負(fù)責(zé)人簽字并加蓋公章���,確保責(zé)任可追溯�?�!睆垈ミM(jìn)一步解讀���,專業(yè)機(jī)構(gòu)不得將審計(jì)任務(wù)轉(zhuǎn)包給其他機(jī)構(gòu)����,確保全程自主執(zhí)行���。專業(yè)機(jī)構(gòu)應(yīng)當(dāng)注意保密義務(wù)�����,對審計(jì)中接觸的個人信息�、商業(yè)秘密等嚴(yán)格保密��,審計(jì)結(jié)束后及時刪除相關(guān)數(shù)據(jù)���。
“個人信息保護(hù)合規(guī)審計(jì)是所有個人信息處理者的法定義務(wù)���,只要構(gòu)成個人信息處理者即應(yīng)開展個人信息保護(hù)合規(guī)審計(jì)?�!饼嬂睐i表示,只要組織���、個人對個人信息進(jìn)行了收集、存儲��、使用��、加工����、傳輸、提供���、公開�����、刪除等處理活動���,且該組織、個人在個人信息處理活動中自主決定處理目的���、處理方式���,則該組織���、個人即應(yīng)當(dāng)開展個人信息保護(hù)合規(guī)審計(jì)。
增加“合規(guī)審計(jì)成本”
龐理鵬認(rèn)為���,互聯(lián)網(wǎng)企業(yè)��,特別是社交媒體����、電商平臺�、在線支付和搜索引擎等企業(yè)應(yīng)重點(diǎn)關(guān)注個人信息保護(hù)合規(guī)審計(jì)?����!盎ヂ?lián)網(wǎng)企業(yè)通常會收集大量用戶的個人信息�,其不僅涉及敏感數(shù)據(jù)的存儲與處理,還面臨著數(shù)據(jù)共享和跨境傳輸?shù)膹?fù)雜問題���,因此合規(guī)審計(jì)尤為重要����。”
張偉偉補(bǔ)充道��,電商企業(yè)�、社交媒體企業(yè)、出行平臺企業(yè)都掌握著海量的個人信息�,因用戶量巨大的互聯(lián)網(wǎng)企業(yè)因復(fù)雜業(yè)務(wù)類型以及龐大數(shù)據(jù),容易發(fā)生大規(guī)模數(shù)據(jù)泄露或自動化決策爭議���。根據(jù)審計(jì)辦法第四條規(guī)定,處理超過1000萬人個人信息的企業(yè)需每兩年至少審計(jì)一次�。此外,關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營企業(yè)����、處理敏感個人信息的企業(yè)、涉及未成年人信息處理的企業(yè)均應(yīng)重點(diǎn)關(guān)注個人信息保護(hù)合規(guī)審計(jì)�����。
姜保良認(rèn)為�����,審計(jì)辦法將對個人信息處理者產(chǎn)生深遠(yuǎn)影響。一是增加了合規(guī)成本�。二是規(guī)范了個人信息處理者的處理活動。三是強(qiáng)化了法律責(zé)任���。
“審計(jì)辦法有利于保護(hù)個人信息權(quán)益��,從源頭上規(guī)范個人信息處理活動���,降低個人信息被泄露、濫用等風(fēng)險�����,更好地保護(hù)個人信息權(quán)益�。同時也為數(shù)字經(jīng)濟(jì)持續(xù)健康發(fā)展提供保障,為個人數(shù)據(jù)的合規(guī)高效流通和價值釋放提供有力保障���,有助于推動數(shù)字經(jīng)濟(jì)高質(zhì)量發(fā)展����,構(gòu)建信任社會�����。審計(jì)辦法完善了我國個人信息保護(hù)的法治體系,為個人信息處理者合規(guī)提供依據(jù)��,也為監(jiān)管部門執(zhí)法提供了明確依據(jù)���?!苯A急硎?���。
法治號
