长达一年之久的滴滴网络审查终于在今日落下帷幕,一张高达80.26亿的天价罚单,再度引发网络热议。至此,滴滴成为继阿里、美团之后,第三家被国家监管部门开出天价罚单的企业。在互联网迅猛发展的形势下,网络信息安全不仅是关乎国家安全的关键一环,更是企业合规经营的重要前提。本文将通过分析滴滴遭受行政处罚事件,对企业如何做好数据合规提供建议。
一、滴滴事件速览
滴滴公司成立于2013年1月,相关境内业务主要包括网约车、顺风车等,相关产品包括滴滴出行App、滴滴车主App、滴滴顺风车App、滴滴企业版App等41款App。
- 2021年7月2日,为防范国家数据安全风险,维护国家安全,网络安全审查办公室按照《网络安全审查办法》,对“滴滴出行”实施网络安全审查;
- 2021年7月4日,因“滴滴出行”App存在严重违法违规收集使用个人信息问题。国家互联网信息办公室依据《中华人民共和国网络安全法》规定,通知应用商店下架“滴滴出行”App;
- 2021年7月9日,因“滴滴企业版”等25款App存在严重违法违规收集使用个人信息问题,国家互联网信息办公室依据《中华人民共和国网络安全法》规定,通知应用商店下架上述25款App;
- 2021年7月16日,国家网信办会同公安部、国家安全部等部门联合进驻滴滴出行科技有限公司,开展网络安全审查;
- 2021年12月3日,滴滴启动在纽交所退市工作,并于2022年6月2日向美国证交会正式提交退市申请表。在提交申请文件10天后,滴滴的退市决定正式生效。
- 2022年7月21日,国家互联网信息办公室依据《网络安全法》《数据安全法》《个人信息保护法》等法律法规,对滴滴全球股份有限公司处人民币80.26亿元罚款,对滴滴全球股份有限公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款。
图:国家网信办官网
二、滴滴为什么遭受处罚?
1.存在哪些违法事实?
经国家互联网信息办公室查明,滴滴公司共存在16项违法事实,可归纳为8个方面:
- 违法收集用户手机相册中的截图信息1196.39万条;
- 过度收集用户剪切板信息、应用列表信息83.23亿条;
- 过度收集乘客人脸识别信息1.07亿条、年龄段信息5350.92万条、职业信息1633.56万条、亲情关系信息138.29万条、“家”和“公司”打车地址信息1.53亿条;
- 过度收集乘客评价代驾服务时、App后台运行时、手机连接桔视记录仪设备时的精准位置(经纬度)信息1.67亿条;
- 过度收集司机学历信息14.29万条,以明文形式存储司机身份证号信息5780.26万条
- 在未明确告知乘客情况下分析乘客出行意图信息539.76亿条、常驻城市信息15.38亿条、异地商务/异地旅游信息3.04亿条;
- 在乘客使用顺风车服务时频繁索取无关的“电话权限”;
- 未准确、清晰说明用户设备信息等19项个人信息处理目的。
此外,滴滴公司存在严重影响国家安全的数据处理活动,以及拒不履行监管部门的明确要求,阳奉阴违、恶意逃避监管等其他违法违规问题。以上违法行为给国家关键信息基础设施安全和数据安全造成严重的安全风险隐患。
2.相关法律依据是什么?
滴滴公司的违法行为从2015年6月持续至今,违反了2017年6月实施的《网络安全法》、2021年9月实施的《数据安全法》和2021年11月实施的《个人信息保护法》等法律。
首先,对滴滴启动网络安全审查的法律依据是《网络安全审查办法》第16条:
“网络安全审查工作机制成员单位认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,依照本办法的规定进行审查。”
在此次事件中,监管部门认为滴滴可能影响国家数据安全,因此依职权启动了网络安全审查程序。
图:网络安全审查的主要审查程序
其次,根据违法事实可知,滴滴公司的行为涉及严重侵害用户个人信息权益,具体而言主要涉及《个人信息保护法》、《App违法违规收集使用个人信息行为认定方法》、《常见类型移动互联网应用程序必要个人信息范围规定》等法律规范:
第28条 敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。
第29条 处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。
以下行为可被认定为“未明示收集使用个人信息的目的、方式和范围”
1. 未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等;
2. 收集使用个人信息的目的、方式、范围发生变化时,未以适当方式通知用户,适当方式包括更新隐私政策等收集使用规则并提醒用户阅读等;
3. 在申请打开可收集个人信息的权限,或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时,未同步告知用户其目的,或者目的不明确、难以理解;
4. 有关收集使用规则的内容晦涩难懂、冗长繁琐,用户难以理解,如使用大量专业术语等。
以下行为可被认定为“未经用户同意收集使用个人信息”
1. 征得用户同意前就开始收集个人信息或打开可收集个人信息的权限;
2. 用户明确表示不同意后,仍收集个人信息或打开可收集个人信息的权限,或频繁征求用户同意、干扰用户正常使用;
3. 实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围...
四、以下行为可被认定为“违反必要原则,收集与其提供的服务无关的个人信息”
1. 收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关;
2. 因用户不同意收集非必要个人信息或打开非必要权限,拒绝提供业务功能;
3. App新增业务功能申请收集的个人信息超出用户原有同意范围,若用户不同意,则拒绝提供原有业务功能,新增业务功能取代原有业务功能的除外;
4. 收集个人信息的频度等超出业务功能实际需要...
- 《常见类型移动互联网应用程序必要个人信息范围规定》
第3条 本规定所称必要个人信息,是指保障App基本功能服务正常运行所必需的个人信息,缺少该信息App即无法实现基本功能服务。具体是指消费侧用户个人信息,不包括服务供给侧用户个人信息。
第5条 常见类型App的必要个人信息范围:(二)网络约车类,基本功能服务为“网络预约出租汽车服务、巡游出租汽车电召服务”,必要个人信息包括:1.注册用户移动电话号码;2.乘车人出发地、到达地、位置信息、行踪轨迹;3.支付时间、支付金额、支付渠道等支付信息(网络预约出租汽车服务)。
最后,在处罚数额上,《网络安全法》、《数据安全法》和《个人信息保护法》制定了相应行政处罚标准。在此次事件中,国家互联网信息办公室依据上述三部法律及《行政处罚法》规定,对滴滴处人民币80.26亿元罚款。
第64条 网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定,侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。
违反本法第四十四条规定,窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的,由公安机关没收违法所得,并处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款。
第45条第2款 违反国家核心数据管理制度,危害国家主权、安全和发展利益的,由有关主管部门处二百万元以上一千万元以下罚款,并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依法追究刑事责任。
第51条 窃取或者以其他非法方式获取数据,开展数据处理活动排除、限制竞争,或者损害个人、组织合法权益的,依照有关法律、行政法规的规定处罚。
第66条 违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
三、滴滴的前车之鉴,企业该如何避免?
在网络安全与个人信息监管日趋严格的形势下,企业应主动提高合规意识,一方面及时关注相关政策变化,预防违法违规风险,另一方面建立内部的监管机制,做好自查工作。总体而言,企业需要注意以下两点:
企业应熟悉《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》《网络安全审查办法》《数据出境安全评估办法》等法律法规,密切关注核心数据和重要数据的认定标准和指南,以及监管机构在个人信息保护方面的动态;加强国家安全意识,学会预判数据处理活动可能带来的国家安全风险,影响或者可能影响国家安全的,要及时向网络安全审查办公室报告,或者申报网络安全审查。同时,企业应当在审查期间按照网络安全审查要求采取预防和消减风险的措施。
企业应结合自身业务进行数据识别、梳理和盘点工作,对于数据资产的情况进行充分了解,对于可能涉及重要数据、国家核心数据、处理用户数量到达百万级别以上的产品和业务线进行重点关注,及时开展合规自查和整改工作。同时,建立内部的数据分类分级制度,实行对应的保护措施,在运营过程中保持数据处理的合规性,完善企业内部的个人信息保护制度及数据安全制度,建立数据安全影响评估制度,根据法律要求和行业良好实践及时审视自身的合规状况,落实合规义务。
在我国,网络数据安全已成为保障网络强国建设、促进数字经济发展的安全基石。在网络监管日趋严格的背景下,企业应不断加强国家安全意识,全面评估数据风险和监管风险,避免因一时的疏忽大意而泄露用户个人信息,以致危害公民安全和国家安全。
跨境企业合规小组:info@compliance-in-china.com
公众号:跨境企业合规 |
