“百度副总裁女儿开盒网暴事件”作为一起典型的个人信息泄露事件,对企业存在诸多教育和警示意义。在当今数字化时代,在数据各种合法、非法跨境流动高发的大背景下,每个企业都要担负起网络安全、数据安全的法律责任,如此,才能保证国家、企业、个人数据安全。
以下,我们从“百度副总裁女儿开盒网暴事件”出发,来分析企业在在个人信息保护与数据安全中的法律责任。
一、基本情况及背景
近日,百度副总裁谢广军13岁女儿“开盒”网暴他人一事引发网络热议。事件起因是,微博网名为“妳的眼眸是世界上最小的湖泊”的涉事人员因追星与网民发生争执,随后其通过名为“开盒”的违规手段收集了普通用户的个人信息并发布至其社交账号,导致包括一名孕妇在内的多名用户遭遇网络暴力。此后,其他网民通过其发布的一份在职证明曝光了涉事人员的身份,其父亲被指为百度副总裁谢广军。此事冲上微博热搜后,谢广军被质疑利用职务之便向其女儿提供了个人信息。百度回应:所涉个人信息不是从百度泄露的,而是出自海外社群。
“开盒”又称“人肉开盒”或“开盒挂人”,是指通过各种手段获取他人姓名、住址、电话等个人信息并在网上公开曝光。目前,非法获取个人隐私信息形成了有组织、规模化的黑色产业链。据2025年3月18日公安部网安局发布,2024年全年,全国公安机关共侦破7000余起侵犯公民个人信息犯罪的相关案件,部分典型案例显示,犯罪团伙会通过制作木马程序等各类非法手段获得个人信息,并将其出售牟利。
二、对企业的警示:
立即找到自身网络安全、数据安全的漏洞
近几日的数据安全事件,除了“百度副总裁女儿开盒网暴事件”,还有“上海韵达货运涉诈骗宣传品进入寄递渠道被立案调查”,高发的数据安全事件希望能给予每个企业以警示:立即找到自身网络安全、数据安全的漏洞。
实践中,企业在个人信息保护和数据安全领域常常存在以下问题:
(一)企业合规缺位
1. 制度不完善:企业虽然制定了个人信息保护制度,但仍存在漏洞,对于数据的收集、存储、使用、共享等环节缺乏明确细致的规定,无法有效应对复杂多变的实际情况。
2. 执行流于形式:企业的合规制度流于形式,并未真正深入落实。同时对员工在数据处理等关键环节的操作缺乏有力的监督措施。
3. 应急响应不足:企业应急响应机制体系不完善,在落实执行层面更是困难重重。一旦遭遇数据泄露这类安全事件,由于缺乏清晰明确的预案流程以及快速响应的资源调配能力,企业往往无法在第一时间采取行之有效的应对举措,最终导致影响范围不断扩大,给企业自身以及相关利益方带来更为严重的损失。
(二)安全管理缺失
1. 过度追求利益:部分企业过度沉溺于追逐数据资产化带来的经济利益,将个人信息视作获取财富的工具,常出现操作不规范的状况,忽略了对个人信息应有的保护责任。
2. 员工行为管理漏洞:企业缺乏对员工行为的有效管理。部分员工由于对个人信息保护的重要性认识不足,容易在无意识间做出违规操作;同时也有部分员工受个人私利诱惑,不惜违背职业道德与企业规定,违规获取、使用甚至泄露企业所掌握的个人信息。
3. 第三方合作管理不足:企业在与第三方建立合作关系前,未能对其进行全面且充分的资质审查与安全评估,并且在签订的合作合同中,也未清晰界定双方的权利与义务范围,更未明确针对个人信息保护的具体要求及标准。
4. 数据全生命周期管理缺位:企业从数据的收集、存储、使用、传输直至销毁的每一个环节,均缺乏有力的管理与严密的监控。如:在数据收集阶段,部分企业超范围收集个人信息;在存储环节,选用的存储设备陈旧老化,系统也未及时更新维护,存在诸多安全漏洞,极易成为黑客攻击的目标;数据使用过程中,滥用现象屡见不鲜,数据被用于未经授权的业务场景,或是在数据分析时过度挖掘个人隐私;数据传输时,未采用先进加密算法,传输链路安全防护薄弱,数据极易在传输途中被窃取或篡改;到了数据销毁阶段,相关负责人操作极不规范,未采用专业技术彻底删除数据,导致大量数据残留,随时可能引发数据泄露风险。
(三)技术防护不足
1. 系统安全防护不足:以数据加密技术为例,加密算法老旧或密钥管理不善,难以抵挡日益复杂的破解手段;访问控制技术方面,权限划分模糊、身份认证机制简单,易被不法分子绕过;数据备份与恢复技术也存在缺陷,备份策略不合理、恢复流程冗长且易出错。
2. 技术管理存在漏洞:一方面,系统若未能及时更新,便会留存安全漏洞,为攻击者提供可乘之机;另一方面,对网络安全设备管理的缺失,会致使设备无法正常运转,甚至出现配置被恶意篡改的情况。
三、对企业的对策建议:
数据安全的体系化建设刻不容缓
针对上述问题,企业应从对外防护、对内管理以及体系建设等方面着手,加强在个人信息保护与数据安全方面的应对能力。只有企业在完善制度构建及实施的情况下,才能提高企业在公众心中的信任度。
(一)对外防护
1. 构建数据安全技术保护体系,综合运用数据加密、数据脱敏、身份认证、入侵防护、安全检测等技术,筑牢信息网络安全防线,抵御外部人员窃取企业个人信息和数据。
2. 对外部合作方进行个人信息和数据安全管理能力的核查,签署保密协议,明确合作方在数据安全与个人信息保护中的义务,明确数据泄露的违约责任。
3. 密切追踪外部网络安全动态,及时掌握新型攻击手段与安全漏洞,携手专业网络安全机构,实现安全态势感知与预警。
(二)内部管理
1. 设立专门的数据安全管理部门,设置个人信息保护负责人、数据安全负责人。加强内部人员管理,定期组织培训与演练,制定详尽的数据安全事件应急预案。
2. 搭建内部举报机制,鼓励员工举报违规处理个人信息或存在安全隐患的行为,对举报人予以奖励和严格保护。
3. 开展安全文化建设活动,如安全知识竞赛、主题宣传周等,增强员工信息安全意识与责任感。
4. 对涉及个人信息和数据的岗位进行严格背景审查,确保人员可靠,并定期实施岗位轮换,降低内部风险。
(三)安全管理体系建设
1. 建立健全全流程数据安全管理制度,使数据管理各环节有章可循。
2. 对数据进行分类分级保护与管理,形成清晰的目录清单,并针对不同类别和级别采取适配的保护及管理措施。
3. 强化数据全生命周期安全管理,对数据收集、存储、使用、加工、传输、提供、销毁等环节进行严密把控。
4. 引入数据安全审计机制,定期全面审计企业数据安全管理工作,发现问题及时整改。
5. 构建数据安全评估模型,定期量化评估企业数据安全状况,依据评估结果灵活调整安全策略与资源投入。
6. 密切关注国内外相关法律法规的更新,及时调整企业数据安全管理制度与流程,确保合规运营。
希望企业在政府有关部门指导、督促下、在专业技术、法律服务方协助下,担负起企业在个人信息保护与数据安全中的法律责任,高筑国家、企业、个人数据保护的城墙。
作者简介
陈志华
海华永泰高级合伙人
陈志华律师,毕业于天津大学机械电子/经济法双学士学位,现任海华永泰律师事务所公司与商事委员会副主任。二十余年来,陈律师在公司商事、知识产权、数据合规领域,为企业客户提供高质量法律服务。
联系方式:chenzhihua@hiwayslaw.com
崔雯兰
海华永泰律师
崔雯兰律师,中共党员,硕士研究生,毕业于华东理工大学经济法专业(知识产权方向)。执业以来,为工业制造、医疗、教育等各类企业提供专业的常年法律及争议解决等服务。
联系方式:chenzhihua@hiwayslaw.com
余东阳
海华永泰律师助理
余东阳 律师助理,就读于华东理工大学法学院。
