日前,昆明市互联网信息办公室、市场监督管理局、公安局网安支队联合发布了2025年第三批网络违法违规典型案例。其中,三家企业因涉嫌侵犯公民个人信息犯罪被立案追究刑事责任,再次为某些市场经营者敲响了数据安全与合规经营的警钟!
本文结合这三个案例,剖析其中的法律风险,为企业提供数据业务合规建议。
一、案情回顾:三种典型的违法模式
案例一:主动“引流”型非法获取——昆明众某信息技术有限公司案
昆明众某信息技术有限公司通过线下推广引流方式获取用户手机号,并非法获取用户验证码发给上游人员用于注册小红书等实名账户,涉嫌侵犯公民个人信息,公安机关对该公司负责人程某某、艾某某、张某某3人采取刑事强制措施,对6名公司业务员给予治安处罚。
案例二:购买使用型非法获取——云南某信息咨询有限公司案
云南某信息咨询有限公司实际控制人李某为提升公司业绩,从朋友李某某处以几百元到一千五百元不等的价格多次购买各类公民个人信息共计50余万条,并将购买的公民个人信息推送给公司业务员以电话方式拓展贷款业务,涉嫌侵犯公民个人信息,公安机关依法对公司负责人李某被依法刑事拘留。
案例三:管理失职型泄露——云南某科技有限公司案
2025年4月,公安机关集中开展侵犯公民个人信息打击整治工作,打掉一批侵犯公民信息的犯罪团伙,查明部分公民个人信息数据泄露源头为云南某科技有限公司开发的“通讯录”APP。经查,该公司因内部管理混乱,缺乏用户身份信息核对机制,对公民信息数据未尽到保护责任,保护措施不力,导致大量公民个人信息泄露,被犯罪嫌疑人非法获取并贩卖。公安机关已依法对该公司和实际负责人予以行政处罚并责令限期改正。犯罪嫌疑人已依法另案处理。
二、法律剖析:上述企业为何触碰法律红线
上述三个案例,清晰地勾勒出企业侵犯公民个人信息犯罪的三种常见路径,其背后的法律风险点值得深入探讨。
1.行为模式多样,核心在于“非法性”
无论是案例一中的“主动窃取”,案例二中的“购买使用”,还是案例三中的“管理失职导致泄露”,其核心都违反了国家关于公民个人信息保护的强制性规定。根据《刑法》第二百五十三条之一,违反国家有关规定,向他人提供或者通过窃取、购买等方式非法获取公民个人信息,情节严重的,均构成犯罪。“情节严重”通常包括信息数量、违法所得、信息类型敏感度以及对个人和社会造成的危害后果等多个维度。
2.责任主体广泛,从决策者到执行者均可能被追责
法律不仅追究直接负责的主管人员(如公司负责人、实际控制人)的刑事责任,也对直接责任人员(如业务员)进行处罚。案例一中,从负责人到业务员均受到不同层级的法律制裁,体现了“全链条打击”的司法态度。
3.不作为亦可构成违法,合规义务不容回避
案例三具有极强的警示意义。企业,特别是掌握大量用户数据的网络运营者,负有法定的个人信息安全保护义务。如果因内部管理混乱、安全技术措施缺失、缺乏身份核对机制等不作为行为导致信息泄露,即使没有主动出售或滥用信息,也需要承担相应的法律责任。《网络安全法》《数据安全法》《个人信息保护法》均对企业建立健全数据安全管理制度提出了明确要求。
三、合规建议:企业如何构筑数据安全防线
为避免陷入法律风险,企业应将数据合规提升至战略高度,立即着手开展以下工作:
1.树立合规意识,建立全流程管理制度
企业负责人及全体员工必须充分认识到保护公民个人信息的重要性与法律责任。应制定覆盖信息收集、存储、使用、加工、传输、提供、公开、删除等全生命周期的内部管理制度和操作规程。
2.明确授权原则,最小必要收集
收集个人信息必须遵循合法、正当、必要原则,并确保获得用户的明确授权。不收集与提供服务无直接关系的个人信息,杜绝“过度索权”。
3.加强技术防护,严防数据泄露
采取有效的技术措施,如加密、去标识化、访问控制、安全审计等,确保个人信息的安全,防止信息泄露、毁损、丢失。
4.规范内部使用,严控数据流向
严格限制内部人员接触个人信息的权限,建立审批与监控机制。严禁员工私自下载、复制、出售或非法提供个人信息。对于业务外包或与第三方合作,必须进行严格的合规审查。
5.定期开展审计与培训
定期进行数据安全合规审计,及时发现并修复漏洞。同时,对全体员工进行持续的普法教育与合规培训,确保合规制度落到实处。
结 语
昆明这三家企业的教训表明,在数据成为关键生产要素的时代,任何漠视公民个人信息保护的行为都将付出沉重的法律代价。企业唯有主动构建坚实的合规体系,将数据安全内化为企业文化,方能行稳致远,在激烈的市场竞争中赢得信任与未来。
