滴滴数据合规8宗罪,互联网平台“同病相怜”
2022-08-08
引言:
2022年7月21日,对于滴滴全球股份有限公司(下称“滴滴公司”)的网络安全审查终于“靴子落地”,国家互联网信息办公室对滴滴公司处人民币80.26亿元罚款,对董事长兼CEO程维、总裁柳青各处人民币100万元罚款。
滴滴公司究竟是因为哪些数据违规行为被处于巨额罚款?对于同样需要处理大量数据的共享经济互联网平台(下称“互联网平台”)而言,滴滴案又有何警醒意义?我们梳理了滴滴公司数据违规8宗罪,发现其中全部数据违规行为互联网平台都可能涉及!若因违背个人信息保护义务被处以最高上一年度营业额5%的顶格罚款,对于互联网平台的发展将是巨大的打击。(详见本团队文章:《集团内各业务数据融合场景下,如何应对5%的顶格罚》)
一、8宗罪:滴滴公司数据违法行为有哪些
根据网信办公开信息[1]显示,滴滴公司共存在16项违法事实,归纳起来主要是8个方面:
二、沼泽地:互联网平台常见的数据违规行为
在互联网产业的快速发展下,超大规模数据平台逐步形成,互联网平台在依据其掌握的海量用户数据提供各类业务功能、实现数字资产沉淀的同时,往往忽视了对用户个人信息的保护,相关案例层出不穷,如携程因“大数据杀熟”、唯品会因侵犯消费者查阅、删除等个人信息权利被诉诸法院。
从滴滴案中可以看出,网信部门在不断加大网络安全、数据安全、个人信息保护等领域执法力度,互联网平台虽会处理大量的个人信息,但对数据安全方面并未予以足够的重视,存在许多数据安全问题,在上述滴滴数据违规8宗罪,每一条互联网平台都可能触犯。(更多互联网平台违规行为,详见本团队文章《APP个人信息采集侵权风险要点识别(上)(下)》)
1.违法收集:未取得用户明示同意而收集
未经明示同意收集个人信息[2]。《隐私政策》是平台与用户的重要交互界面,用户可以通过勾选《隐私政策》的方式表示同意平台处理其个人信息。目前,虽然大部分互联网平台公示了《隐私政策》文本,但往往是借鉴其他类似平台的内容,并未根据自身功能及数据收集使用规则进行个性化的调整,更有甚者会采取默认勾选或在用户同意《隐私政策》之前就收集个人信息,构成未取得用户同意而违法收集个人信息情形。此外,为提升个人信息搜集效率,大部分互联网平台采用爬虫技术爬取个人信息,若不当使用爬虫技术,将面临侵犯个人信息安全的法律风险。(详见本团队文章《一文读懂个人信息爬虫技术合规风险》)
未经单独同意收集敏感个人信息[3]。若互联网平台需要收集银行账号、身份证号、人脸信息等敏感个人信息,应当取得用户的单独同意,而大部分互联网平台尚未做到这一点。
对应滴滴数据违规行为:第1条 违法收集用户手机相册中的截图信息1196.39万条。
2.过度收集:超出最小必要范围而收集
超范围收集个人信息[4]。为从源头上遏制互联网平台超范围收集个人信息,降低信息泄露风险,《个信法》规定个人信息处理应遵循最小必要原则。然而实践中,大量互联网平台收集的个人信息与实现自身业务功能无明确关联,如收集无关的学历信息、职业信息等,甚至强制要求用户提供人脸等敏感个人信息,违背最小必要原则,构成过度收集行为。
要求打开与现有业务功能无关的权限[5]。许多互联网平台会要求用户打开与业务功能无关的权限,如电话、短信、相机权限等,构成过度收集行为。(更多相关内容,详见本团队文章《身份信息给不给?当“实名认证”遇到拦路虎:“最小必要原则”》)
对应滴滴数据违规行为:第2条 过度收集用户剪切板信息、应用列表信息83.23亿条;第3条 过度收集乘客人脸识别信息1.07亿条、年龄段信息5350.92万条、职业信息1633.56万条、亲情关系信息138.29万条、“家”和“公司”打车地址信息1.53亿条;第4条 过度收集乘客评价代驾服务时、App后台运行时、手机连接桔视记录仪设备时的精准位置(经纬度)信息1.67亿条;第5条第1点 过度收集司机学历信息14.29万条;第7条 在乘客使用顺风车服务时频繁索取无关的“电话权限”。
3.未明确告知用户个人信息处理目的
如同我们在“1.违法收集:未取得用户明示同意而收集”分析的,许多互联网平台的《隐私政策》内容与平台功能和数据收集使用规则并不匹配,可能存在收集某类个人信息,却未向用户告知这类个人信息的处理目的的情形[6]。
对应滴滴数据违规行为:第6条 在未明确告知乘客情况下分析乘客出行意图信息539.76亿条、常驻城市信息15.38亿条、异地商务/异地旅游信息3.04亿条;第8条 未准确、清晰说明用户设备信息等19项个人信息处理目的。
4.违规储存:未采取相应的安全技术措施
为便于后续的数据调用、便捷交易,互联网平台往往会储存大量个人信息,包括身份证号、银行卡号等敏感个人信息,但往往未实现分级储存,亦没有采取加密、去标识化等相应的安全技术措施[7]。
对应滴滴数据违规行为:第5条第2点 以明文形式存储司机身份证号信息5780.26万条。
具体我们总结如下表所示:
三、合规路:互联网平台如何打造数据安全体系
滴滴案的巨额罚款给互联网平台敲响了数据合规的警钟,我们建议,平台应建立“个人信息保护合规环”,由内而外地贯彻个人信息保护措施,以实现“自证清白”(详见本团队文章《个人数据“丢失”,平台如何“自证清白”》):
(1)内核层:建立内部数据合规/个人信息保护管理制度+设置数据安全及/或个人信息保护负责人+具备对应认证资质
互联网平台可考虑获得数据安全合规管理相应认证资质(如ISO27001信息安全管理体系认证、网络安全等级保护等资质),以此来证明其已建立起一整套个人信息安全合规管理体系。
除数据合规相关资质外,互联网平台也可以考虑获得ISO37301合规管理体系认证,通过建设整体的合规管理体系,对外彰显自身具备的完善管理能力。
(2)中间层:与中立专业第三方机构建立集合规合作、安全评估及合规审计于一体的全方位合作
根据《个信法》的规定,当发生处理敏感个人信息等情形时,平台应当事先进行个人信息保护影响评估。个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。
若互联网平台涉及处理大量敏感个人信息,可以委托专业第三方机构开展个人信息保护影响评估、进行合规审计,以此表明其个人信息处理的合法、正当、必要性。
(3)外部层:制定完备的隐私政策+嵌入系统功能设置+制定并组织实施应急预案
隐私政策是互联网平台对外展示自身数据安全及合规路径的重要抓手。从实用角度而言,不合格的隐私政策将导致互联网平台面临被下架的风险。若想写好一份隐私政策,互联网平台应当把握以下要点:第一,列明不同业务功能下个人信息收集使用规则。第二,明确数据共享等处理规则。第三,明确平台数据安全保护措施。第四,明确互联网人员就其个人数据享有的权利。
当然,仅仅提供一份“完美的隐私政策文本”并不足够,更重要的是隐私政策的内容能够真正匹配对应到互联网平台系统设置,从个人信息的收集、共享、传输、转让、存储、删除等环节,将个人信息保护规则一一落到实处,切忌将隐私政策落成一纸空文。
(更多互联网平台数据合规解决方案,详见本团队文章《互联网平台如何打造数据安全合规体系(上)—— 自身定位的责任厘清》《互联网平台如何打造数据安全合规体系——风险评估与数据安全管理制度》《互联网平台如何打造数据安全合规体系之 ——数据安全应当责任到人》)
四、结语
2021年全年,滴滴公司实现营业收入达1738.27亿元人民币,罚款80.26亿,占营业额的大约为4.6%,差不多是违反个人信息保护义务的“顶格罚”。以滴滴公司为鉴,一旦互联网平台发生违法处理个人信息的行为,将有可能触发高昂罚金。
前车覆,后车鉴,我们建议互联网平台主动建立“个人信息安全合规环”,完善平台内部个人信息安全及数据合规体系,合规经营,方能长久。
参考文献:
[1]《国家互联网信息办公室有关负责人就对滴滴全球股份有限公司依法作出网络安全审查相关行政处罚的决定答记者问》http://www.cac.gov.cn/2022-07/21/c_1660021534364976.htm
[2]《个人信息保护法》第十三条 符合下列情形之一的,个人信息处理者方可处理个人信息:(一)取得个人的同意……。
[3]《个人信息保护法》第二十九条 处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。
[4]《个人信息保护法》第六条 处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。
[5]《App违法违规收集使用个人信息行为认定方法》四、以下行为可被认定为“违反必要原则,收集与其提供的服务无关的个人信息”1.收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关;……
[6]《个人信息保护法》第十七条 个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:(一)个人信息处理者的名称或者姓名和联系方式;(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;……
[7]《个人信息保护法》第五十一条个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失:(一)制定内部管理制度和操作规程;(二)对个人信息实行分类管理;(三)采取相应的加密、去标识化等安全技术措施;(四)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;(五)制定并组织实施个人信息安全事件应急预案;(六)法律、行政法规规定的其他措施。
本文作者:
声明:
本文由德恒律师事务所律师原创,仅代表作者本人观点,不得视为德恒律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容,请注明出处。
