从侵犯个人信息案件视角看个人信息安全风险评估

近日，海淀区检察院起诉的某科技（北京）有限公司（以下简称“某科技公司”）、王某某等人涉嫌侵犯公民个人信息罪一案，经北京市第一中级人民法院裁定维持原判，案件一审判决生效。被告单位某科技公司被判处罚金人民币四千万元，被告人王某某被判处有期徒刑七年，罚金人民币一千万元，其他被告人均被判处相应刑罚。「内容来源：海淀检察院」

而笔者在最高法所属的文书公开网站—-中国裁判文书网中，输入“侵犯个人信息罪”、“刑事案件”、“判决书”等关键字后，共检索到全国范围内14个省（市、自治区）共计25起相关案件，时间跨度自2017年至2021年之间，鉴于这些案件发生时期均在《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）正式施行之前，故判决依据均根据《中华人民共和国刑法》（以下简称《刑法》）相关条款，因此在罚金上远低于上述案件。

可以说此案对被告单位判处的罚金数额、对被告人判处的刑期和罚金数额，均系近年来全国同类案件判罚最重案例，可以说此案证明违反《个人信息保护法》将予以从严从重判罚。

某科技公司成立于2014年，主要经营招聘工具软件和大数据分析等业务。2015年至2019年间①该公司组建专门爬虫技术团队，在未取得求职者和平台直接授权的情况下②秘密爬取国内主流招聘平台上的求职者简历数据。本案涉案人员多、涉案电子存储设备多、涉案数据量特别巨大、被告人作案手段呈现高技术化特征，针对这些问题海淀区检察院科技犯罪检察团队适时提前介入案件③并密切配合公安机关取证工作。案件审查过程中，针对海量涉案公民简历数据，检察官提出具体指导意见，从涉案数据中发现具有爬虫特征的2.1亿余条个人信息④，经查，某科技公司获取上述数据后，对数据进行重整，并用于开发产品意图谋利⑤期间，某科技公司爬虫技术团队负责人欧某某，私自将公司窃取的简历数据对外出售⑤个人非法获利人民币30余万元。「内容来源：海淀检察院」

①该违法行为发生在2015年至2019年间，而《个人信息保护法》与2021年11月1日正式施行，说明《个人信息保护法》具备溯及力。

②未经授权，非法爬取数据，此行为违反了《中华人民共和国数据安全法》第三十二条的规定：任何组织、个人收集数据，应当采取合法、正当的方式，不得窃取或者以其他非法方式获取数据，同时也违反了《刑法》第二百五十三条之一【侵犯公民个人信息罪】。

③本案由海淀区检察院提起公诉，依据是最高人民检察院在2021年8月21日（《个人信息保护法》通过次日）所下发的《关于贯彻执行个人信息保护法推进个人信息保护公益诉讼检察工作的通知》（以下简称《通知》），在通知中正式将个人信息保护纳入检察公益诉讼法定领域。

《通知》明确根据《个人信息保护法》有关规定，各级检察机关在履行公益诉讼检察职责时应当突出重点、从严把握以下方面：

④涉案的个人信息达2.1亿余条，远超“处理100万人以上的大规模个人信息应当重点保护”的标准，属于《个人信息保护法》第六十六条的“情节严重”、属于《刑法》第二百五十三条之一【侵犯公民个人信息罪】的“情节特别严重”，因此所做出的判罚从严从重，罚金接近最高处罚、刑事入罪则是顶格处罚。

⑤《个人信息保护法》第二十五条规定的个人信息处理者不得公开其处理的个人息，取得个人单独同意的除外。根据前文信息可知该公司作为个人信息处理者，通过开发产品公开获得的个人信息而未经个人同意，显然违反了此条规定，同时也违反了《刑法》第二百五十三条之一【侵犯公民个人信息罪】规定：违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金；违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的「注：并非一定要以牟利为目的」，依照前款的规定从重处罚；单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。

自《个人信息保护法》施行以来，全国各地法院已审理公益诉讼案件几十起。国家在APP专项治理工作进入常态化，工作组已设立举报平台APP，共收到举报信息33000余条，每月都会收到约2000余条的举报信息，涉及6000余款APP。同时，市场监管总局开展的“守护消费”暨打击侵害消费者个人信息违法行为专项执法行动，也立案查处各类侵害消费者个人信息案件1474件，查获涉案信息369万余条，罚没款1946万余元，组织执法联动4225次，开展行政约谈3536次。可以说在个人信息保护上，强化合法监督和合规管理显然是趋势。

放眼全球，大多数国家正在加紧数据安全战略部署，对数据合规与隐私保护开展严格的法规监管，可以说开展个人信息保护已经成为全球共识，各国立法节奏明显加快，执法力度加大，政策环境持续优化。

那么对于组织来说应该如何避免此类法律风险，我们认为当务之急是本着“应评尽评”的原则，尽快开展个人信息安全风险评估工作，充分了解个人信息保护现状和可能存在的影响，再通过相关处置措施，加强个人信息保护，以规避法律风险。

同时《个人信息保护法》对个人信息安全风险评估也有相关规定要求，其第五十五条规定：有下列情形之一的，个人信息处理者应当事前进行个人信息保护影响评估，并对处理情况进行记录：

因此对存在上述个人信息处理活动的客户，美创科技提供个人信息安全风险评估服务，旨在帮助客户有效评估在各项数据处理活动中的所存在个人信息、特别是个人敏感信息所可能存在的各项风险情况，同时结合对出现个人信息相关安全事件时所造成的影响进行分析的结果，给予相关的风险处置建议。

本服务是以符合《个人信息保护法》为基线要求，以遵从《GB/T 35273-2020 信息安全技术 个人信息安全规范》为目的，利用美创个人信息安全风险评估模型，对客户单位的个人信息相关处理活动进行评估的服务。同时，也针对不同的客户诉求，提供个人信息安全风险评估--基础性评估和详尽性评估两类服务项目，客户可根据实际需要进行灵活选择。

指针对组织的个人信息保护工作所展开安全体系化的评估工作，其着眼于组织当前的个人信息保护能力是否符合法律法规和行业监管等基线型要求，以便能够尽快完成组织在个人信息保护上的纠错性工作，是面向组织且通过模板化方式进行快速评估、输出简明评估报告，满足对组织最基本情况的了解，作为开展符合性判定的参考意见以便尽快落实法律中关于评估的相关要求，是属于宏观性风险评估，而非针对具体业务的风险性评估。服务遵循以下流程：

着眼于组织具体业务的个人信息处理活动的梳理、理清数据的流向，并据此完成对应的个人信息保护影响评估工作，进而开展相关的安全风险分析工作。其面向具体业务系统，根据选定的系统范围，通过数据安全相关专家的全面评估，并明确给出具体的整改措施意见，是以满足业务开展需要、落实细化合规监管要求为目标，属于微观性的量化评估工作。服务遵循以下流程：

实施个人信息安全风险评估，能够有效加强对个人信息主体权益的保护，有利于组织对外展示其保护个人信息安全的努力，提升透明度，増进个人信息主体对其的信任。主要体现在以下三个方面：

【名词解释】