一、数据隐私保护的现状
近日,某互联网公司副总裁之女涉嫌通过“开盒”(即非法获取并公开他人隐私信息)手段网暴一名孕妇的事件闹得沸沸扬扬。
“开盒”,指在网络上恶意公开他人隐私的行为,它的前身应该是“人肉搜索”。不知从何时起,“人肉搜索”演变成“开盒”,并很快进入游戏、娱乐圈,被一群年轻人,包括未成年人熟练使用,甚至由此衍生出网络暴力行为——一些人“开盒”后,经常恶搞他人,甚至煽动网民对他人进行谩骂、威胁等。自2023年11月起,中央网信办多次在网络“清朗行动”中点名“人肉开盒”行为。“开盒”涉嫌侵犯隐私权、涉嫌违反治安管理处罚法,严重的还可能构成犯罪:如侵犯公民个人信息罪、诽谤罪等,可能受到刑事处罚。
隐私泄露事件在全球范围频发:比如2024年3月,法国劳动局因数据存储阶段的安全防护措施不足,导致约4300万公民的详细个人信息被黑客通过入侵的方式窃取;2024年6月,云存储提供商Snowflake被披露其客户数据泄露事件已造成165家机构受到影响。在中国,仅2024年就发生了某市小区业主信息泄露、香港某大学数据泄露和某市酒店数据泄露等多起泄露事件。数据泄露事件频发,不仅威胁到个人隐私安全,更对国家安全、经济发展乃至社会稳定构成了严峻挑战,因此隐私保护已经成为各国普遍亟待解决的问题。
二、我国数据隐私相关法律法规
数据隐私的保护已成为全球企业合规中的重中之重。欧盟《通用数据保护条例》(GDPR)、《加州消费者隐私法案》(CCPA)等国际法规对组织在个人信息处理、存储和跨境传输等方面提出了高标准要求。
近年来我国相继出台《网络安全法》《数据安全法》《个人信息保护法》,为维护网络安全特别是网络数据安全打造了“三驾马车”,三部法律从不同层面构建了网络数据安全的基本框架,具体如下:
作为上述三部法律的重要配套行政法规,自2025年1月1日起施行的《网络数据安全管理条例》(以下简称“《条例》”),聚焦个人信息、重要数据、网络数据跨境流动等突出问题,细化补充了相关监督管理制度。尤其是个人信息保护在《条例》单独成章并居各章前列,足见其在网络数据安全管理中的重要地位。
三、个人信息保护合规审计的规范与实践反思
个人信息保护合规审计,是指对个人信息处理者的个人信息处理活动是否遵守法律、行政法规的情况进行审查和评价的监督活动。目前,已明确要求企业实施个人信息保护合规审计的法律法规及政策指导文件主要包括:
从笔者合作的相关机构汇总的审计实践来看,个人信息保护合规审计一般包括两个维度,分别为技术审计与法律审计。其中技术审计聚焦于技术层面的测试与体系的建立健全,审计团队仅由技术人员构成,容易忽视法律合规性风险的识别。而法律审计则更聚焦法律法规,审计团队仅由律师组成——对律师而言,鉴于术业有专攻,最终呈现的方案通常为单纯的法律分析和建议。
然而个人信息保护合规审计是一个实践性很强的工作,比如在前期准备及审前调查,就应该组建由具备个人信息保护相关资质认证的法律专业人员和技术专业人员构成的审计组,确定涉及的业务线条和部门,定好内部协调及汇报工作的链路,确保审计活动具备必要的资源支持。
故律师层面单纯的书面方案是无法将服务的价值最大化的,因为对客户而言,律师无法提供有效安全技术和管理措施,抑或提出的措施较为浅显和空泛,纸上谈兵,缺乏落地价值。客户要另外寻找技术公司,徒增费用和沟通、信任成本。总而言之,技术审计与法律审计两个维度在实际操作分开进行各有其局限性。
四、双维度个人信息保护合规审计的优势
双维度审计指的是律师团队牵头与技术团队一起组成严密的合作,以法律专家和技术专家联合工作组的方式为客户提供整体化解决方案,以实现客户一次性签约、沟通端口统一、全面解决问题的诉求。这就要求在前期准备阶段就要确定涉及审计的业务线条和汇报链路、法律和专家小组共同确定审计计划;在实施技术审计阶段的技术性测试和穿行测试;在实施法律性审计阶段的尽职调查工作(包括尽职调查清单、业务线条人员的访谈、业务场景的现场走访、合规审计制度的建立完善等等);合规审计证据的收集、采信、整理;撰写审计底稿;合规差距分析及整改建议。可见,相比单维度的法律或技术合规审计,双维度审计具有独特的优势。
首先,双维度审计可以降低客户沟通和信任成本。个人信息数据的处理包括收集、存储、使用、加工、传输、提供、公开、删除等八大关键步骤,每一步都潜藏着技术风险和合规风险。如前所述,技术审计欠缺合规考量、法律审计往往不落地的问题必须通过技术与法律双重视角一并解决,从而最大程度减少企业的沟通成本。
其次,双维度审计可以全面保障用户数据的安全。双维度审计服务不仅关注合规方面,也深入技术层面,通过技术测试发现信息系统的漏洞及潜在的脆弱性,然后提出有针对性的安全加固、安全建设的措施并及时予以落地。
再次,双维度审计可以增强企业竞争力。许多组织单位在个人信息保护管理上仍存在没有制度、制度不完善、或空有制度但执行不到位等情形。双维度审计服务不是停留在问题的诊断表面,而是通过提出优化建议、指导执行落实等措施,助力客户的合规管理体系融入业务运营的各个环节,从而提升竞争力,为长远发展奠定基础。
本文作者:申浩律师事务所合伙人张洁律师
