近几年,滴滴公司一直因数据合规及网络安全麻烦不断。2021年7月,国家网信办会同公安部、国家安全部、自然资源部、交通运输部、税务总局、市场监管总局等部门联合进驻滴滴出行科技有限公司,开展网络安全审查。2021年底,仅在纽交所上市五个月后,滴滴又官宣退市。今天,网信办通报滴滴因违反数据合规要求受到80亿巨额罚款。本文仅结合相关法规,对此次事件进行简单解读和梳理,供读者参考。
此次进行调查和处罚的行政执法机关是国家互联网信息办公室,也就是标题所称的“网信办”。为何是网信办?结合《个人信息保护法》第六十条的规定来看,“国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作。县级以上地方人民政府有关部门的个人信息保护和监督管理职责,按照国家有关规定确定。前两款规定的部门统称为履行个人信息保护职责的部门。”所以,仅从此次事件的发文机关就可以基本判断滴滴公司的违法行为是归摄于数据合规及网络安全领域。《个人信息保护法》第六十一条也明确罗列了包括网信办在内的“履行个人信息保护职责的部门”的职责:(一)开展个人信息保护宣传教育,指导、监督个人信息处理者开展个人信息保护工作;(二)接受、处理与个人信息保护有关的投诉、举报;(三)组织对应用程序等个人信息保护情况进行测评,并公布测评结果;(四)调查、处理违法个人信息处理活动;(五)法律、行政法规规定的其他职责。本条第(四)项即是网信办开展调查并做出处罚的职权依据。首先来回顾一下滴滴公司的违法情形。官方给出的答记者问将滴滴公司的16种违法情形归纳为如下八种:1. 违法收集用户手机相册中的截图信息1196.39万条;
2. 过度收集用户剪切板信息、应用列表信息83.23亿条;
3. 过度收集乘客人脸识别信息1.07亿条、年龄段信息5350.92万条、职业信息1633.56万条、亲情关系信息138.29万条、“家”和“公司”打车地址信息1.53亿条;
4.过度收集乘客评价代驾服务时、App后台运行时、手机连接桔视记录仪设备时的精准位置(经纬度)信息1.67亿条;
5.过度收集司机学历信息14.29万条,以明文形式存储司机身份证号信息5780.26万条;
6.在未明确告知乘客情况下分析乘客出行意图信息539.76亿条、常驻城市信息15.38亿条、异地商务/异地旅游信息3.04亿条;
7. 在乘客使用顺风车服务时频繁索取无关的“电话权限”;
8.未准确、清晰说明用户设备信息等19项个人信息处理目的。
结合前述违法情形,我们简单检索了法律层面的相关规定,具体如下:第四十一条 网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。第六条 处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。
注:违法情形第2、3、4、5、7均涉及过度收集的情况,明显违反本条规定的最小必要原则。
第七条 处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。
注:违法情形8违反本条规定的公开透明原则。
第十条 任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动。
注:违法情形1、6违反本条不得违法收集、使用(即分析数据)个人信息的规定。
第十四条 基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。
注:违法情形6提到“未明确告知乘客情况”,可见分析乘客出行意图信息条、常驻城市信息、异地商务/异地旅游信息均是在个人不知情的情况下对数据进行了处理。
另外,尽管答记者问中并未披露滴滴公司分析乘客出行意图等信息后是否还有其他后续操作,但结合一般经验,滴滴公司可能会在前述分析结果的基础上进行广告推送、形成其他数据产品并牟利等活动。因此,违法情形6很可能还会涉及“自动化决策”的相关规定。而自动化决策往往需要满足更高的合规要求。第七十三条 本法下列用语的含义:(一)个人信息处理者,是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。(二)自动化决策,是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动。第五十五条 有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录:(一)处理敏感个人信息;(二)利用个人信息进行自动化决策;(三)委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;(四)向境外提供个人信息;(五)其他对个人权益有重大影响的个人信息处理活动。第十七条 个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:(一)个人信息处理者的名称或者姓名和联系方式;(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;(三)个人行使本法规定权利的方式和程序;(四)法律、行政法规规定应当告知的其他事项。前款规定事项发生变更的,应当将变更部分告知个人。个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的,处理规则应当公开,并且便于查阅和保存。
注:违法情形8,滴滴公司并未达到本条规定的合规要求。
第二十八条 敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。第二十九条 处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。
注:结合前述两条,生物识别(包括人脸信息)、行踪轨迹均属于敏感个人信息,敏感个人信息的合规要求较其他个人信息更高,包括获得个人单独同意、事前进行个人信息保护影响评估,并对处理情况进行记录等。更何况该等信息的收集并非滴滴APP运行所必需。因此,违法情形3同时涉及这两方面的内容。
事实上,早在《个人信息保护法》《数据安全法》实施之前,执法机关就已经将APP数据收集合规事宜提上日程,移动互联网APP也是数据合规领域第一批重点整治对象。2019年,APP专项治理工作组就曾发布《APP违法违规收集使用个人信息自评估指南》。2019年11月28日,国家互联网信息办公室、工业和信息化部、公安部、市场监管总局联合制定了《App违法违规收集使用个人信息行为认定方法》。2020年以来,工信部先后发布了《关于开展纵深推进APP侵害用户权益专项整治行动的通知》《常见类型移动互联网应用程序必要个人信息范围规定》《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》等,并牵头制定了《APP用户权益保护测评规范》、《APP收集使用个人信息最小必要评估规范》等标准文件,对APP信息处理行为进行明确要求。而前述规定,事实上已经将《网络安全法》《个人信息保护法》《数据安全法》的具体要求融合在其中,并给出了非常具体化的指引。这也是为何答记者问中,网信办认为滴滴公司违法时间长、阴奉阳违、屡教不改的原因。综合比对《网络安全法》《个人信息保护法》《数据安全法》的具体规定,笔者认为此次网信办应该是在所有可援引的法律规定中选了处罚力度最大的,即《个人信息保护法》第六十六条的规定。“违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。……有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。”结合我们公开检索的信息,2021年全年,滴滴公司实现营业收入达1738.27亿元人民币,按照前款规定,5%的营收大约是86.91亿。所以此次处罚金额应该就是按照营收比例确定的。虽然罚款可能是引起公众反响最强烈的处罚手段,但事实上,对于违反个人信息保护法规定的违法情形,还有其他更为严厉的手段备选,例如:○ 对违法处理个人信息的应用程序,责令暂停或者终止提供服务;(个保法第六十六条)
○ 暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;(个保法第六十六条、网安法第六十四条)
○ 对直接负责的主管人员和其他直接责任人员可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人;(个保法第六十六条)
○ 记入信用档案,并予以公示;(个保法第六十七条)
考虑到滴滴APP的应用甚广,且公司体量巨大,所以责令暂停服务或停业整顿的处罚并不现实。从这个角度来看,笔者认为,网信办应该是在权衡之后,给予了法定限度内最重的处罚。结合答记者问和前面的解读,滴滴公司所涉“行踪轨迹”、“人脸识别信息”基本都是雷区,过度收集敏感信息也是屡教不改,加之所涉个人信息数量巨大、违法行为持续时间特别长等情节,最终的重罚也是意料之中。当然,滴滴被罚80亿事件本身也包含了执法机关震慑行业的意图。数据合规从2012年《全国人民代表大会常务委员会关于加强网络信息保护的决定》以来,法律体系不断完善,合规要求也不断具体,执法力度也逐渐趋严。2022年,数据合规执法的重点已经延伸到金融等各个领域。因此,各行各业均应积极开展自查自纠,完善企业自身的合规体系,规避可能产生的网络安全及数据风险。
