8月21日，普陀区检察院副检察长顾晓军走访区内企业，就区域互联网企业法治化营商环境开展调研

宝山区检察院开展涉企专项监督活动

　　□法治报记者  谢钱钱

一天当中，你能收到多少条广告推销短信？昨日，记者从国家工信部获悉，在该部门开展的手机应用软件检查中，尚有131款APP未完成整改，包括“上海迪士尼乐园”、“良品铺子”等在内的APP存在违规收集个人信息等侵害用户权益行为。近年来，随意收集、非法获取、过度使用、非法买卖个人信息等事件屡见不鲜。

近日，个人信息保护法草案提请审议，个人信息保护再上台阶，如何落实好网络服务提供者的主体责任？除了翘首期盼《个人信息保护法》的出台，上海检察机关通过制发合规检察建议、依法公正用好检察裁量权、积极参与企业合规管理活动，助力互联网企业合规。

个人信息被暴露“坐标”

2017年7月起，某科技公司法定代表人张某等人使用大量新手机号码和对应验证码冒充新用户，骗取互联网公司首单补贴，合伙通过某平台兜售手机号码和对应验证码牟利，涉案金额达1400余万元。最终，张某等6人因涉嫌非法控制计算机信息系统、帮助信息网络犯罪活动罪被普陀检察院提起公诉。

无独有偶，记者从上海市公安局网安总队获悉，在近日开展的“净网2020”专项行动中，上海轻轻信息科技有限公司旗下的“轻轻教育”APP，其实际申请的权限与显示的隐私政策不对应，存在超范围采集公民个人信息的违法违规行为，涉及的违规内容有未经同意擅自拍摄、录音、读取通讯录、编辑通讯录、拨打电话等个人信息。市公安局网安总队对其处以警告的行政处罚并责令其限期改正。

庞大的用户数据是众多互联网企业生存的资产。然而，在给人们生活带来便利的同时，互联网技术的升级革新却不断将公民的个人信息曝光。推销产品服务的短信、跨平台的消费爱好推广……近年来，随意收集、非法获取、过度使用、非法买卖个人信息等事件屡见不鲜。在互联网“暗黑森林”中，个人信息被暴露“坐标”后，面临的将是无情的“倾轧”。

上海市消保委公布的一份数据显示，通过对上千款APP进行测试，市消保委发现两款SDK插件涉嫌存在上传用户手机中的个人信息，涉及数十个相关APP。日前，上海市公安局网安总队对5000款移动APP开展安全检查，检测出具有安全隐患的APP应用多达3400多款，其中涉嫌诈骗的违法APP应用233款，涉嫌超范围采集公民个人信息的APP应用128款。

华东政法大学数字法治研究院副院长、副研究员韩旭至表示：“个人信息权益被侵害的样态是多样的，在不同场景中个人信息也会面临不同风险”。

“一款手电筒APP，下载时竟要求用户授权位置、通讯录、通话记录等毫不相干的个人信息。”韩旭至表示，此类情况便是在信息收集中，超出最小必要限度收集公民个人信息。在信息的使用中，可能超出了隐私协议所列明的处理目的，从而超出用户的授权范围。他介绍：“例如，某些医药APP超出授权将信息用于个性化推送，甚至提供给保险机构，进而影响用户的保险权益。”此外，在信息的传输中，某些APP未经用户授权，或未经充分提示，就直接通过开放API接口，向第三方提供个人信息。在信息的存储中，某些APP不设置合理的存储期限，甚至无期限地存储用户个人信息，显然与数据最小化原则不符。

站在分叉口的互联网企业

打开一款新下载的手机APP时，你能读完冗长的用户注册条款或隐私保护指引吗？

华东师范大学法学院副教授、中国犯罪学会理事张伟认为，用户与互联网企业之间存在信息、技术等方面明显不对称，公民对其个人信息保护的意识不足，保护能力也低。此外，他认为，互联网行业发展迅猛，而国家的法律法规跟进相对滞后。“最重要的是，互联网企业在收集公民个人信息时存在非法采集、过度采集、欺诈性采集等现象。对其合法采集的信息后续保管不够严格规范，存在被非法使用、泄漏、出售的情况。”

此次个人信息保护法草案对个人信息的保护程度再上台阶，加大处罚力度。面临这场“大考”，互联网企业也存在着困惑。

一家网络广告公司需要获取大量消费者浏览网页的习惯，以此为基础描绘消费者的年龄、性别、兴趣等，精准投放产品，然而在这项工作中，很难去识别是否获取个人隐私信息。好巧不巧，这家公司就“踩雷”收集了一项含有公民身份证、联系方式等内容的数据包。

实际上，类似情况并不在少数，上海律师协会刑事合规委副主任虞思明表示：“目前，互联网企业被动犯罪比较普遍，刑事风险识别难度高。”除了以上合规难点，虞思明认为，互联网企业所属的领域多为新型行业，法律更新更加滞后。更加现实的问题是，创业者多为理工科，关注点多在企业发展，风险意识比较薄弱。

波克科技股份有限公司法务总监赵国策同样认为：“法律存在滞后性是企业合规的困惑之一。例如在个人信息的类别上，实操中企业将面临繁多、新型的细小类别，而这些是不会出现在法律的明文规定中的。”能不能使用？使用到什么程度？赵国策表示，对于新型的信息类别，企业往往很难拿捏。上海淇毓信息科技有限公司法务合规部总监郭世君则表示：“谈到数据的经济价值和个人信息保护的平衡，这不仅是一个法律问题，同时也是一个技术问题。”目前，上海淇毓信息科技有限公司也相当重视密码技术、抑制技术、区块链技术等加密技术的研发。

检察机关为互联网企业戴上“紧箍咒”

怎样才能令个人信息不“裸奔”？韩旭至表示：“问题的解决有赖于整个个人信息保护体制的建设，涉及到《个人信息保护法》的定位、基本范畴、原则与规制、权利与义务等多个方面。其中，知情同意机制、数据流通准则、个人信息保护设计等方面尤其重要。”韩旭至还建议，从监管机构的设置来看，应该考虑设置个人信息保护委员会，同时强调企业自主规制与行业自律的重要性，在企业内部建设数据保护官制度。

张伟表示：“围绕互联网企业在公民个人信息方面的合规管理，不仅需要国家法律法规层面的规范与激励，而且互联网企业也应当积极履行法律与社会责任，积极践行合规计划，发挥互联网企业在维护公民个人信息领域的主体责任。”

由于企业刑事风险具有严重性和延伸性，在刑事诉讼程序中，涉案人员可能会被采取拘留、逮捕等强制措施，影响其正常生产经营活动，因此预防和警示企业远离犯罪“雷区”显得格外重要，检察机关无疑扮演着重要角色。

市检院党组成员、副检察长龚培华建议：“要找准检察机关在企业刑事合规中的定位，通过精准制发合规检察建议、依法公正用好检察裁量权、积极参与企业合规管理活动来发挥检察机关在企业刑事合规中的重要作用。”

早在2019年6月上旬，市检院便组织开展了APP违法收集个人信息问题的专项调查，对存在存在违法收集个人信息行为的手机APP，制发检察建议11件，向被监督企业指出问题，要求整改。

除此以外，上海检察机关还积极参与企业合规管理活动。今年上半年，普陀检察院便走访一嗨租车、波克科技等互联网企业，了解企业需求，就提供法律保障、明确案件侦查方向及廉政建设指导等方面达成共识。今年10月12日，普陀检察院与30家知名互联网企业、高校科研院所等共同签署合规共识框架。

此外，检察机关还用好裁量权，给予企业多元化的法律救济机制，以企业践行好合规计划为抓手，在法律框架内，对犯罪情节轻微的企业相对不起诉。

SourcePh" style="display:none">