规制“卷款跑路”行为

◎ 文 《法人》杂志全媒体记者 白馗 见习记者 姚瑶

身份证号、家庭住址、手机号码等个人隐私信息被公开······曾经的“人肉搜索”如今变本加厉，叠加网络暴力升级成为“人肉开盒”。不过，这些非法获取和交易个人信息的行为将会从源头上被遏制。

▲CFP

近日，国家互联网信息办公室正式发布的《个人信息保护合规审计管理办法》（以下简称“审计办法”）及其附件《个人信息保护合规审计指引》 （以下简称“附件”），自5月1日起施行，标志着《中华人民共和国个人信息保护法》（以下简称“个人信息保护法”）及《网络数据安全管理条例》所设立的个人信息保护合规审计制度正式进入落地实施阶段。

敲响个人信息保护警钟

近年来，网络暴力蔓延至现实生活的现象时有发生。仅因为在网络发表了不同观点，网民就有可能面临被“人肉开盒”的风险。

某群聊组里，包括虚拟主播在内的多名公民个人信息被发布，这种像是“拆盒子”的行为其实已经大大侵犯了个人权益。受害者绾绾（化名）对《法人》记者说：“自己的个人信息居然是在一个境外网站的聊天群里泄露出去的。”

2023年11月起，中央网信办曾多次在网络“清朗行动”中点名“人肉开盒”行为。近日，中国企业财务管理协会数据资产特聘专家庞理鹏在接受记者采访时表示，治理“开盒”乱象，必须从源头上遏制非法获取和交易个人信息的行为。个人隐私一旦成为不法分子的牟利工具，任何人都可能成为被曝光的对象。因此，监管部门应加大执法力度，依法严惩非法收集、贩卖个人信息的行为，并加强对相关利益链条的追踪和打击，防止个人隐私在非法交易中流转。

“人肉开盒”指通过非法手段获取、公开他人隐私信息并叠加骚扰、攻击等恶性行为。一旦被“人肉开盒”，一系列的麻烦便找上门来，受害者及其家属可能受到无尽的电话、短信骚扰，甚至被上门威胁······当个人隐私成为被随意攻击和羞辱的“箭靶”，需要为个人信息保护再加把“锁”。

山东德衡律师事务所高级权益合伙人姜保良向记者分析，“人肉开盒”具体触犯的法律法规可以根据行为的严重性从民事、行政、刑事三个层次依次展开。首先在民事层面涉及民事侵权法律责任，《中华人民共和国民法典》明确规定自然人享有名誉权、隐私权，禁止实施非法刺探公开他人隐私信息、贬损他人名誉的行为。“开盒”行为可能同时侵犯他人的隐私权、名誉权，受害者可要求停止侵害、赔礼道歉、消除影响，并主张精神损害赔偿。

如果“人肉开盒”行为次数较多或较为严重，也可能触犯《中华人民共和国治安管理处刑法》，面临行政处罚。

“以‘人肉开盒’侵犯公民个人信息，情节严重的，涉嫌侵犯公民个人信息罪，比如，非法获取、提供行踪轨迹、通信内容、征信信息、财产信息50条以上或者非法获取、提供住宿、通信、健康生理、交易信息等可能影响人身、财产安全的公民个人信息500条以上等或者违法所得5000元以上以及其他法律规定情形的，构成侵犯公民个人信息罪，情节严重的，处三年以下有期徒刑或拘役，并处或者单处罚金；情节特别严重的，将面临三年以上七年以下有期徒刑。”姜保良说。

网络平台作为信息传播的重要渠道，也需切实履行管理责任。庞理鹏告诉记者，平台应当完善内容审核机制，建立高效的信息举报和处理流程，确保涉及隐私泄露的内容能够被迅速删除或屏蔽。同时，企业也应提升数据安全管理水平，采取更严格的信息加密和访问控制措施，防止用户隐私在存储和流转过程中被滥用或泄露，从根本上减少风险。监管部门则应加强对平台的监督，对未能有效管理违规信息的企业施以惩戒，以促使其完善隐私保护措施，形成更加完善的监管体系。

记者了解到，个人信息被互联网平台广泛收集早已不是个例，用户在手机上随意打开一个APP，首先需要同意平台对用户的个人信息进行处理，才能正常使用该软件，甚至不少手机游戏软件都需要用户先进行实名认证，方能进行体验。个人信息保护和个人信息利用的矛盾日益突出。虽然个人信息保护法和《网络数据安全管理条例》已对个人信息处理者开展合规审计作出规定，但从执行层面来看，风险控制和监督仍然缺少更为细化的规定。而审计办法为个人信息处理者开展个人信息保护合规审计提供了更为系统性的指引。

为合规审计要求“加码”

近日，北京大成（广州）律师事务所高级合伙人张伟伟对记者表示，审计办法是规范个人信息保护合规审计活动的里程碑式文件，明确了适用范围、个人信息处理者的责任、合规审计的频率和条件、专业机构的要求、审计报告的提交、违规处理等内容。

审计办法第四条规定的“审计频率”，要求处理超过1000万人个人信息的处理者，应当每两年至少开展一次个人信息保护合规审计；审计办法第七条规定的“专业机构资质”，要求专业机构应当具备开展个人信息保护合规审计的能力，有与服务相适应的审计人员、场所、设施和资金等。

“以上可以看出，审计办法对个人信息保护合规审计活动的各个环节作出较为明确的指引。”张伟伟对记者表示，附件列出的合规审计指引，包括合法性基础、处理规则、告知义务、共同处理、委托处理、敏感信息处理、未成年人信息处理、跨境传输、删除权保障等多个方面的审计重点。

庞理鹏表示，还应重点关注附件在如下场景的个人信息保护合规审计要求：第一，附件第十一条规定了公共场所安装图像收集、个人身份识别设备的个人信息保护合规审查内容。这一场景中，应同时结合《公共安全视频图像信息系统管理条例》（4月1日起施行）把握个人信息保护合规审计的重点审查事项。第二，附件第十五条涉及向境外提供个人信息的合规审计要求。这一场景中，应当区分关键信息基础设施运营者和非关键信息基础设施运营者进行合规事项的重点审查。第三，附件第二十四条和第二十五条对个人信息安全事件应急预案及响应处理的合规审计要求提出明确规定。此场景中，审计应重点检查应急预案的制定情况及其执行效果，评估企业在突发信息安全事件的响应能力和处置效果。第四，附件第二十六条强调了对提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者所制定的平台规则的合规审计要求。审计应重点关注运营规则是否与法律法规相抵触、个人信息保护条款的有效性及平台规则的执行情况。

考验机构合规审计能力

审计办法明确，个人信息处理者自行开展个人信息保护合规审计的，应当由个人信息处理者内部机构或者委托专业机构定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。

然而记者发现，审计办法并未对“专业机构”具体类型和性质作出明确规定。对此，张伟伟分析，审计办法第七条规定，“鼓励相关专业机构通过认证。专业机构的认证按照《中华人民共和国认证认可条例》（以下简称“认证认可条例”）的有关规定执行”。因此，专业机构的要求可以参考认证认可条例的相关内容。

关于专业机构应当具备的条件。张伟伟认为，专业机构需要具备熟悉个人信息保护法律知识、审计技能的专业团队，同时具备开展审计所需的场所、工具等，另外，还鼓励审计机构通过国家认可的认证（如依据认证认可条例的第三方认证），以证明其专业性和合规性。

“关于个人信息保护合规审计对专业机构的要求，专业机构必须参照附件开展审计，覆盖合法性、透明性、安全措施等全流程。专业机构出具的审计报告需由机构主要负责人和合规审计负责人签字并加盖公章，确保责任可追溯。”张伟伟进一步解读，专业机构不得将审计任务转包给其他机构，确保全程自主执行。专业机构应当注意保密义务，对审计中接触的个人信息、商业秘密等严格保密，审计结束后及时删除相关数据。

“个人信息保护合规审计是所有个人信息处理者的法定义务，只要构成个人信息处理者即应开展个人信息保护合规审计。”庞理鹏表示，只要组织、个人对个人信息进行了收集、存储、使用、加工、传输、提供、公开、删除等处理活动，且该组织、个人在个人信息处理活动中自主决定处理目的、处理方式，则该组织、个人即应当开展个人信息保护合规审计。

增加“合规审计成本”

庞理鹏认为，互联网企业，特别是社交媒体、电商平台、在线支付和搜索引擎等企业应重点关注个人信息保护合规审计。“互联网企业通常会收集大量用户的个人信息，其不仅涉及敏感数据的存储与处理，还面临着数据共享和跨境传输的复杂问题，因此合规审计尤为重要。”

张伟伟补充道，电商企业、社交媒体企业、出行平台企业都掌握着海量的个人信息，因用户量巨大的互联网企业因复杂业务类型以及庞大数据，容易发生大规模数据泄露或自动化决策争议。根据审计办法第四条规定，处理超过1000万人个人信息的企业需每两年至少审计一次。此外，关键信息基础设施运营企业、处理敏感个人信息的企业、涉及未成年人信息处理的企业均应重点关注个人信息保护合规审计。

姜保良认为，审计办法将对个人信息处理者产生深远影响。一是增加了合规成本。二是规范了个人信息处理者的处理活动。三是强化了法律责任。

“审计办法有利于保护个人信息权益，从源头上规范个人信息处理活动，降低个人信息被泄露、滥用等风险，更好地保护个人信息权益。同时也为数字经济持续健康发展提供保障，为个人数据的合规高效流通和价值释放提供有力保障，有助于推动数字经济高质量发展，构建信任社会。审计办法完善了我国个人信息保护的法治体系，为个人信息处理者合规提供依据，也为监管部门执法提供了明确依据。”姜保良表示。