◎ 文 《法人》雜志全媒體記者 白馗 見習記者 姚瑤
身份證號、家庭住址�、手機號碼等個人隱私信息被公開······曾經的“人肉搜索”如今變本加厲,疊加網絡暴力升級成為“人肉開盒”�����。不過���,這些非法獲取和交易個人信息的行為將會從源頭上被遏制��。
▲CFP
近日�����,國家互聯(lián)網信息辦公室正式發(fā)布的《個人信息保護合規(guī)審計管理辦法》(以下簡稱“審計辦法”)及其附件《個人信息保護合規(guī)審計指引》 (以下簡稱“附件”)�����,自5月1日起施行�,標志著《中華人民共和國個人信息保護法》(以下簡稱“個人信息保護法”)及《網絡數(shù)據(jù)安全管理條例》所設立的個人信息保護合規(guī)審計制度正式進入落地實施階段。
敲響個人信息保護警鐘
近年來�����,網絡暴力蔓延至現(xiàn)實生活的現(xiàn)象時有發(fā)生�。僅因為在網絡發(fā)表了不同觀點,網民就有可能面臨被“人肉開盒”的風險���。
某群聊組里�,包括虛擬主播在內的多名公民個人信息被發(fā)布�����,這種像是“拆盒子”的行為其實已經大大侵犯了個人權益�����。受害者綰綰(化名)對《法人》記者說:“自己的個人信息居然是在一個境外網站的聊天群里泄露出去的����?��!?/p>
2023年11月起���,中央網信辦曾多次在網絡“清朗行動”中點名“人肉開盒”行為�����。近日�����,中國企業(yè)財務管理協(xié)會數(shù)據(jù)資產特聘專家龐理鵬在接受記者采訪時表示�����,治理“開盒”亂象����,必須從源頭上遏制非法獲取和交易個人信息的行為�����。個人隱私一旦成為不法分子的牟利工具���,任何人都可能成為被曝光的對象��。因此����,監(jiān)管部門應加大執(zhí)法力度,依法嚴懲非法收集�����、販賣個人信息的行為��,并加強對相關利益鏈條的追蹤和打擊�,防止個人隱私在非法交易中流轉。
“人肉開盒”指通過非法手段獲取��、公開他人隱私信息并疊加騷擾��、攻擊等惡性行為�。一旦被“人肉開盒”,一系列的麻煩便找上門來��,受害者及其家屬可能受到無盡的電話����、短信騷擾�,甚至被上門威脅······當個人隱私成為被隨意攻擊和羞辱的“箭靶”����,需要為個人信息保護再加把“鎖”。
山東德衡律師事務所高級權益合伙人姜保良向記者分析��,“人肉開盒”具體觸犯的法律法規(guī)可以根據(jù)行為的嚴重性從民事�����、行政���、刑事三個層次依次展開。首先在民事層面涉及民事侵權法律責任�,《中華人民共和國民法典》明確規(guī)定自然人享有名譽權、隱私權����,禁止實施非法刺探公開他人隱私信息、貶損他人名譽的行為�。“開盒”行為可能同時侵犯他人的隱私權��、名譽權����,受害者可要求停止侵害���、賠禮道歉、消除影響���,并主張精神損害賠償��。
如果“人肉開盒”行為次數(shù)較多或較為嚴重�,也可能觸犯《中華人民共和國治安管理處刑法》�,面臨行政處罰。
“以‘人肉開盒’侵犯公民個人信息����,情節(jié)嚴重的,涉嫌侵犯公民個人信息罪��,比如����,非法獲取、提供行蹤軌跡��、通信內容��、征信信息、財產信息50條以上或者非法獲取���、提供住宿���、通信、健康生理���、交易信息等可能影響人身�����、財產安全的公民個人信息500條以上等或者違法所得5000元以上以及其他法律規(guī)定情形的,構成侵犯公民個人信息罪�,情節(jié)嚴重的,處三年以下有期徒刑或拘役�����,并處或者單處罰金�����;情節(jié)特別嚴重的��,將面臨三年以上七年以下有期徒刑?!苯A颊f。
網絡平臺作為信息傳播的重要渠道�,也需切實履行管理責任。龐理鵬告訴記者�����,平臺應當完善內容審核機制����,建立高效的信息舉報和處理流程,確保涉及隱私泄露的內容能夠被迅速刪除或屏蔽�����。同時����,企業(yè)也應提升數(shù)據(jù)安全管理水平,采取更嚴格的信息加密和訪問控制措施���,防止用戶隱私在存儲和流轉過程中被濫用或泄露��,從根本上減少風險�����。監(jiān)管部門則應加強對平臺的監(jiān)督��,對未能有效管理違規(guī)信息的企業(yè)施以懲戒�,以促使其完善隱私保護措施,形成更加完善的監(jiān)管體系����。
記者了解到,個人信息被互聯(lián)網平臺廣泛收集早已不是個例����,用戶在手機上隨意打開一個APP,首先需要同意平臺對用戶的個人信息進行處理����,才能正常使用該軟件�,甚至不少手機游戲軟件都需要用戶先進行實名認證,方能進行體驗�����。個人信息保護和個人信息利用的矛盾日益突出。雖然個人信息保護法和《網絡數(shù)據(jù)安全管理條例》已對個人信息處理者開展合規(guī)審計作出規(guī)定���,但從執(zhí)行層面來看�,風險控制和監(jiān)督仍然缺少更為細化的規(guī)定��。而審計辦法為個人信息處理者開展個人信息保護合規(guī)審計提供了更為系統(tǒng)性的指引�。
為合規(guī)審計要求“加碼”
近日,北京大成(廣州)律師事務所高級合伙人張偉偉對記者表示�,審計辦法是規(guī)范個人信息保護合規(guī)審計活動的里程碑式文件,明確了適用范圍����、個人信息處理者的責任、合規(guī)審計的頻率和條件�����、專業(yè)機構的要求���、審計報告的提交��、違規(guī)處理等內容�����。
審計辦法第四條規(guī)定的“審計頻率”��,要求處理超過1000萬人個人信息的處理者�,應當每兩年至少開展一次個人信息保護合規(guī)審計;審計辦法第七條規(guī)定的“專業(yè)機構資質”�,要求專業(yè)機構應當具備開展個人信息保護合規(guī)審計的能力,有與服務相適應的審計人員�、場所、設施和資金等����。
“以上可以看出,審計辦法對個人信息保護合規(guī)審計活動的各個環(huán)節(jié)作出較為明確的指引��?��!睆垈τ浾弑硎?,附件列出的合規(guī)審計指引���,包括合法性基礎、處理規(guī)則���、告知義務�����、共同處理����、委托處理、敏感信息處理��、未成年人信息處理��、跨境傳輸��、刪除權保障等多個方面的審計重點���。
龐理鵬表示�,還應重點關注附件在如下場景的個人信息保護合規(guī)審計要求:第一���,附件第十一條規(guī)定了公共場所安裝圖像收集���、個人身份識別設備的個人信息保護合規(guī)審查內容。這一場景中���,應同時結合《公共安全視頻圖像信息系統(tǒng)管理條例》(4月1日起施行)把握個人信息保護合規(guī)審計的重點審查事項���。第二��,附件第十五條涉及向境外提供個人信息的合規(guī)審計要求���。這一場景中,應當區(qū)分關鍵信息基礎設施運營者和非關鍵信息基礎設施運營者進行合規(guī)事項的重點審查��。第三��,附件第二十四條和第二十五條對個人信息安全事件應急預案及響應處理的合規(guī)審計要求提出明確規(guī)定�。此場景中,審計應重點檢查應急預案的制定情況及其執(zhí)行效果����,評估企業(yè)在突發(fā)信息安全事件的響應能力和處置效果。第四��,附件第二十六條強調了對提供重要互聯(lián)網平臺服務�����、用戶數(shù)量巨大���、業(yè)務類型復雜的個人信息處理者所制定的平臺規(guī)則的合規(guī)審計要求���。審計應重點關注運營規(guī)則是否與法律法規(guī)相抵觸、個人信息保護條款的有效性及平臺規(guī)則的執(zhí)行情況��。
考驗機構合規(guī)審計能力
審計辦法明確����,個人信息處理者自行開展個人信息保護合規(guī)審計的,應當由個人信息處理者內部機構或者委托專業(yè)機構定期對其處理個人信息遵守法律�、行政法規(guī)的情況進行合規(guī)審計。
然而記者發(fā)現(xiàn)�,審計辦法并未對“專業(yè)機構”具體類型和性質作出明確規(guī)定。對此��,張偉偉分析���,審計辦法第七條規(guī)定���,“鼓勵相關專業(yè)機構通過認證。專業(yè)機構的認證按照《中華人民共和國認證認可條例》(以下簡稱“認證認可條例”)的有關規(guī)定執(zhí)行”���。因此����,專業(yè)機構的要求可以參考認證認可條例的相關內容。
關于專業(yè)機構應當具備的條件�。張偉偉認為,專業(yè)機構需要具備熟悉個人信息保護法律知識�、審計技能的專業(yè)團隊,同時具備開展審計所需的場所�、工具等,另外����,還鼓勵審計機構通過國家認可的認證(如依據(jù)認證認可條例的第三方認證),以證明其專業(yè)性和合規(guī)性��。
“關于個人信息保護合規(guī)審計對專業(yè)機構的要求�����,專業(yè)機構必須參照附件開展審計����,覆蓋合法性、透明性��、安全措施等全流程����。專業(yè)機構出具的審計報告需由機構主要負責人和合規(guī)審計負責人簽字并加蓋公章��,確保責任可追溯�����。”張偉偉進一步解讀�����,專業(yè)機構不得將審計任務轉包給其他機構��,確保全程自主執(zhí)行�����。專業(yè)機構應當注意保密義務���,對審計中接觸的個人信息���、商業(yè)秘密等嚴格保密,審計結束后及時刪除相關數(shù)據(jù)���。
“個人信息保護合規(guī)審計是所有個人信息處理者的法定義務��,只要構成個人信息處理者即應開展個人信息保護合規(guī)審計�。”龐理鵬表示���,只要組織���、個人對個人信息進行了收集、存儲����、使用、加工�、傳輸、提供���、公開�、刪除等處理活動�����,且該組織�、個人在個人信息處理活動中自主決定處理目的、處理方式,則該組織���、個人即應當開展個人信息保護合規(guī)審計��。
增加“合規(guī)審計成本”
龐理鵬認為�,互聯(lián)網企業(yè)��,特別是社交媒體���、電商平臺、在線支付和搜索引擎等企業(yè)應重點關注個人信息保護合規(guī)審計����。“互聯(lián)網企業(yè)通常會收集大量用戶的個人信息�����,其不僅涉及敏感數(shù)據(jù)的存儲與處理����,還面臨著數(shù)據(jù)共享和跨境傳輸?shù)膹碗s問題,因此合規(guī)審計尤為重要����?!?/p>
張偉偉補充道�����,電商企業(yè)�、社交媒體企業(yè)、出行平臺企業(yè)都掌握著海量的個人信息���,因用戶量巨大的互聯(lián)網企業(yè)因復雜業(yè)務類型以及龐大數(shù)據(jù)���,容易發(fā)生大規(guī)模數(shù)據(jù)泄露或自動化決策爭議。根據(jù)審計辦法第四條規(guī)定�����,處理超過1000萬人個人信息的企業(yè)需每兩年至少審計一次�。此外,關鍵信息基礎設施運營企業(yè)��、處理敏感個人信息的企業(yè)��、涉及未成年人信息處理的企業(yè)均應重點關注個人信息保護合規(guī)審計���。
姜保良認為�,審計辦法將對個人信息處理者產生深遠影響。一是增加了合規(guī)成本�。二是規(guī)范了個人信息處理者的處理活動。三是強化了法律責任���。
“審計辦法有利于保護個人信息權益�����,從源頭上規(guī)范個人信息處理活動��,降低個人信息被泄露、濫用等風險����,更好地保護個人信息權益。同時也為數(shù)字經濟持續(xù)健康發(fā)展提供保障��,為個人數(shù)據(jù)的合規(guī)高效流通和價值釋放提供有力保障��,有助于推動數(shù)字經濟高質量發(fā)展�����,構建信任社會。審計辦法完善了我國個人信息保護的法治體系����,為個人信息處理者合規(guī)提供依據(jù),也為監(jiān)管部門執(zhí)法提供了明確依據(jù)���?�!苯A急硎?����。
法治號
