O/A


龙蟠汇(总所)办公室
地址:南京市秦淮区龙蟠中路419号 人保(南京)金融大厦 A座9、10楼
电话:8625-84715285
传真:8625-84703306

 


苏州分所
地址:苏州工业园区苏州大道西9号苏州国际财富广场西塔1001室 
电话:86512-67888330
传真:86512-67888331

 

版权所有 © 2019  江苏新高的律师事务所  苏ICP备12045833号-1  网站建设:中企动力 南京

可信组件


江北分所
地址:南京市江北新区浦滨路150号中科创新广场20号楼
1303室

电话:8625-58251235


淮安分所
地址:淮安市纯如路1号南昌北路与母爱路交汇处东北角

电话:0517-83197999

新高的研究院 | 从滴滴天价被罚看企业数据合规提前布局的重要性

浏览量

2022年7月21日,国家互联网信息办公室(以下简称 “国家网信办”)公布了对滴滴全球股份有限公司(以下简称“滴滴公司”)做出的网络安全审查相关行政处罚决定,认定滴滴公司违法违规行为事实清楚、证据确凿,因此对滴滴公司处以80.26亿元罚款,对其董事长兼CEO程维、总裁柳青处100万元罚款。

一、滴滴公司违法违规行为的认定依据

国家网信办公布了滴滴公司八个方面的违法事实,根据国家网信办2019年11月发布的《App违法违规收集使用个人信息行为认定方法》(以下简称“《认定方法》”)的相关规定,可将滴滴公司八个方面的违法事实归纳总结为以下三大类:

1、未经用户同意收集使用个人信息

违法行为之1:违法收集用户手机相册中的截图信息1196.39万条。

该违法行为属于《认定方法》第三条第3款规定的“实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围”的行为。根据滴滴App公布的《个人信息保护及隐私政策》(2021年7月8日现行版本),滴滴App在ios系统手机中可调用“照片”,在Android系统手机中可调用“多媒体访问权限”,调用权限目的告知用户仅为“上传头像照片”和“设置个人用户信息获取相册照片”,并未告知亦将收集手机中的“截图信息”,而“截图信息”中常常包含敏感个人信息。所谓敏感个人信息,是指“一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息”。敏感个人信息只有在具有特定目的和充分必要性,并采取严格保护措施的情形下,个人信息处理者才可处理敏感个人信息,且处理个人敏感信息应当取得个人的单独同意。

违法行为之7:在乘客使用顺风车服务时频繁索取无关的“电话权限”。

在用户明确拒绝了电话权限申请之后,用户在使用顺风车业务场景时虽然该服务不是必须使用电话权限,但滴滴APP仍频繁弹出弹窗向用户索取电话权限,变相迫使客户同意,但该行为也应当视为未同意。故该违法行为属于《认定方法》第三条第2款规定的“频繁征求用户同意、干扰用户正常使用”的行为。

2、违反必要原则,收集与其提供的服务无关的个人信息

 

违法行为之2:过度收集用户剪切板信息、应用列表信息83.23亿条。

违法行为之3:过度收集乘客人脸识别信息1.07亿条、年龄段信息5350.92万条、职业信息1633.56万条、亲情关系信息138.29万条、“家”和“公司”打车地址信息1.53亿条。

违法行为之4:收集乘客评价代驾服务时、App后台运行时、手机连接桔视记录仪设备时的精准位置(经纬度)信息1.67亿条。

违法行为之5:过度收集司机学历信息14.29万条,以明文形式存储司机身份证号信息5780.26万条。

《个人信息保护法》第6条第二款规定“收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。”即收集个人信息应当遵循最小化原则。国家网信办、公安部等四部委发布的《常见类型移动互联网应用程序必要个人信息范围规定》(下称“《必要信息范围规定》”第五条“常见类型App的必要个人信息范围”第(二)款规定:“网络约车类,基本功能服务为‘网络预约出租汽车服务、巡游出租汽车电召服务’,必要个人信息包括:1.注册用户移动电话号码;2.乘车人出发地、到达地、位置信息、行踪轨迹;3.支付时间、支付金额、支付渠道等支付信息(网络预约出租汽车服务)。对比上述《必要信息范围规定》列明的个人信息,滴滴公司信息收集行为,明显属于《认定方法》第四条第1款列明的“收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关”的违法行为。 

滴滴公司第5项违法行为中“以明文形式存储司机身份证号信息5780.26万条”的行为,还违反了《个人信息保护法》第五十一条第(三)款规定的个人信息处理者应“采取相应的加密、去标识化等安全技术措施”保护个人信息的义务。

3、未明示收集使用个人信息的目的、方式和范围

违法行为之6:在未明确告知乘客情况下分析乘客出行意图信息539.76亿条、常驻城市信息15.38亿条、异地商务/异地旅游信息3.04亿条。

该违法行为属于《认定方法》第二条第2款规定的“收集使用个人信息的目的、方式、范围发生变化时,未以适当方式通知用户,适当方式包括更新隐私政策等收集使用规则并提醒用户阅读等”的行为。滴滴公司在既有个人信息中推衍出新的信息内涵用于其他功能服务,上述信息超出了原搜集的使用目的。

违法行为之8:未准确、清晰说明用户设备信息等19项个人信息处理目的。

根据滴滴App公布的《个人信息保护及隐私政策》(2021年7月8日现行版本),滴滴App将会搜集包括“设备型号,操作系统版本,设备设置,MAC地址,IMEI、Android ID 、IDFA、IDFV、OAID及其他设备标识符,SIM卡IMSI信息,SIM卡归属地,设备环境,软件安装列表,以及其他软硬件特征信息及日志信息(包括浏览记录、检索内容、点击查看记录、交易记录以及IP地址、浏览器类型、电信运营商、使用语言、访问日期和时间)”,但在解释收集上述信息目的时仅使描述为“为了防控运营风险,保障您的账号安全,满足法律法规要求,开展数据分析、更好改善滴滴平台服务”,未能逐一列出所收集设备信息对应的目的。故该违法行为属于《认定方法》第二条第1款规定的“未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等”的行为。

 

二、滴滴公司可能存在的严重影响国家安全的数据处理行为

国家网信办有关负责人答复滴滴公司相关问题时提到,“滴滴公司违法违规运营给国家关键信息基础设施安全和数据安全带来严重安全风险隐患。因涉及国家安全,依法不公开。”

国务院2021年7月30日发布的《关键信息基础设施安全保护条例》第二条规定:“本条例所称关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等”,那么,滴滴公司信息和处理信息时,有可能掌握了哪些涉及国家安全的数据呢?

1、庞大数量的个人信息

根据滴滴公司申请上市的《招股说明书》描述,自2020年3月31日至2021年3月31日,滴滴公司在中国拥有3.77亿年活跃用户和1300万年活跃司机。这些个人用户信息结合地理信息数据,可以推演分析和区分出用户群体,再通过滴滴录音、录像等功能,相关保密工作人员可能存在被监听泄密的风险。

2、涉及国家安全的地理信息

 

2020年10月,滴滴地图事业部总经理柴华,在中国测绘学会年会上公布了一组数据:滴滴地图基础数据准确率已经超过 95%,而且每天新增轨迹数据超过 108TB。根据《招股说明书》中披露的信息,滴滴公司在地图导航系统中使用了高清晰测绘技术。由此可见,滴滴公司通过网约车业务,已经拥有了足够详细的地理信息数据且该信息数据在不断增加和持续更新。

地理信息是国家重要的基础性、战略性资源,直接关系到国家主权、安全和利益,承载着资源、环境、人口等经济建设和社会发展。地理信息也是现代军事斗争的重要组成部分,保障着军事活动和国防安全,在信息化战争中,军队的机动、展开和武器装备的使用,都离不开高质量的地理信息服务保障。

2017年11月,滴滴公司的关联公司滴图(北京)科技有限公司(以下简称“滴图科技公司”)获得了导航电子地图制作的甲级测绘资质。2021年7月,自然资源部开始启动测绘资质复审换证工作。此后,自然资源部分别于2022年2月21日和3月25日下发了两轮审核结果。截至目前,滴图科技公司并未出现在通过复审名单中。根据自然资源部发布的《自然资源部办公厅关于印发测绘资质管理办法和测绘资质分类分级标准的通知》第五条第(四)款规定,申请测绘资质的单位应当有健全的技术和质量保证体系、安全保障措施、信息安全保密管理制度以及测绘成果和资料档案管理制度。滴图科技公司两次未能现身通过复审名单的原因,可能与本次网络安全审查发现的违法违规行为有关。

 

 

 

三、反思及启示

近年来,我国数字经济迅猛发展,人们在享受数字经济带来的便捷的同时,也饱受个人信息被泄露的滋扰,甚至人身和财产安全受到不同程度的威胁和侵害,个人信息保护的重要性日益凸显,国家数据安全的形势也日趋严峻。国家已相继出台多部法律法规和规范性文件,力图规范网络经营者的数据收集行为。宏观层面,我国《民法典》、《刑法》均对公民个人信息保护做出了相应规定;细分领域中,《消费者权益保护法》、《网络安全法》、《电子商务法》、《数据安全法》、《个人信息保护法》均对个人信息保护作出了详尽的规定。互联网企业作为网络运营者,同时也是个人信息的处理者,应规范个人信息收集、强调全生命周期的数据安全管理,关注网络空间安全和数据保护,以规避数据违规带来的法律风险。

2022年6月22日召开的中央全面深化改革委员会第26次会议,审议通过了《关于构建数据基础制度更好发挥数据要素作用的意见》,对数据确权、流通、交易、安全等方面做出部署,数据这一新兴的生产要素越来越受到重视。数据本身的开放性、流动性、无形性为数据的搜集者、处理者带来了很大挑战,精准把握数据交易和运用过程中的数据合规行为,成为每个网络科技型企业必须学习和掌握的技能。相应地,随着数据要素市场的迅猛发展,法律从业者也应当紧跟法律服务需求并适用法律服务需求的新变化,在原有传统合规法律服务工作的基础上,不断挑战和充实合规法律服务内容,为市场参与者提供前瞻式、动态式的战略性法律服务。

 

 

 

团队介绍

本所一级合伙人尹悦红团队律师长期深耕国企合规、投资并购、破产重整、公司治理以及数据安全、安全生产、生态环境、反垄断等领域的法律服务,尤其擅长为大中型、集团型国有企业、民营企业和外商投资企业合规、合同管理等提供专业化法律服务。本团队律师长期服务于省市国企和上市公司;熟悉国企相关法律服务,擅长设计、评估、制定企业的合规组织架构、制度体系。同时在知识产权与数据信息专项合规建设、安全生产专项合规建设、生态环境专项合规建设、劳动人事专项合规建设等具有丰富经验,不断为客户提供更为系统的全方位合规法律服务,帮助客户构建完整的合规体系。