从滴滴被罚看企业如何应对网络数据安全及个人信息保护严监管时代的到来
吴月琴团队陈嘉龙
2022年7月21日,国家网信办发文称,根据网络安全审查结论及发现的问题和线索,国家网信办依法对滴滴全球股份有限公司(以下简称“滴滴”)涉嫌违法行为进行立案调查。经查实,滴滴违反《网络安全法》《数据安全法》《个人信息保护法》的违法违规行为事实清楚、证据确凿、情节严重、性质恶劣。依据《网络安全法》《数据安全法》《个人信息保护法》等法律法规,对滴滴处人民币80.26亿元罚款,对滴滴董事长兼CEO程维、总裁柳青各处人民币100万元罚款。消息一出,舆论哗然。事实上,自2017年《网络安全法》生效以来,尤其自2021年《数据安全法》、《个人信息保护法》相继生效以来,我国对于网络数据安全及个人信息保护的监管、执法力度日益加大。从本次滴滴处罚事件,可看出我国的网络数据安全及个人信息保护严监管时代已经到来。
一、滴滴的违法行为是监管执法的重点
根据国家网信办发布的信息,本次滴滴违法事实共有16项,涉及8方面。具体来看,包括如下:
序号 | 违法违规行为 | 涉及的信息数量 | 行为类别 |
1 | 违法收集用户手机相册中的截图信息 | 1196.39万条 | 违法收集个人信息 |
2 | 过度收集用户剪切板信息、应用列表信息 | 83.23亿条 | 过度收集个人信息 |
3 | 过度收集乘客人脸识别信息、年龄段信息、职业信息、亲情关系信息、“家”和“公司”打车地址信息 | 人脸识别信息:1.07亿条; 年龄段信息:5350.92万条; 职业信息:1633.56万条; 亲情关系信息:138.29万条; “家”和“公司”打车地址信息:1.53亿条 | 过度收集个人信息(尤其是敏感个人信息) |
4 | 过度收集乘客评价代驾服务时、App后台运行时、手机连接桔视记录仪设备时的精准位置(经纬度)信息 | 1.67亿条 | 过度收集敏感个人信息 |
5 | 过度收集司机学历信息,以明文形式存储司机身份证号信息 | 司机学历信息:14.29万条; 司机身份证号信息:5780.26万条 | 过度收集个人信息、未对个人敏感信息的存储提供严格保护措施 |
6 | 在未明确告知乘客情况下分析乘客出行意图信息、常驻城市信息、异地商务/异地旅游信息 | 出行意图信息:539.76亿条; 常驻城市信息:15.38亿条; 商务、旅游信息:3.04亿条 | 未经用户同意处理个人信息 |
7 | 在乘客使用顺风车服务时频繁索取无关的“电话权限” | / | 过度索取设备权限 |
8 | 未准确、清晰说明用户设备信息等19项个人信息处理目的 | / | 个人信息收集、处理目的不明确 |
综合来看,国家网信办公布的滴滴8方面违法违规事项主要和个人信息保护相关。其中,例如“过度收集个人信息(尤其是敏感个人信息)”、“未经同意收集、处理个人信息”、“过度索取设备权限”等行为,也是去年以来监管机关的查处重点。对于其他涉及个人信息处理活动的企业而言,需要格外关注这些监管执法的聚焦点。
二、巨额罚款的原因与CIIO和重要数据密切相关
国家网信办认定滴滴存在严重影响国家安全的数据处理活动,以及其违法违规运营给国家关键信息基础设施(CII)安全和数据安全带来严重安全风险隐患,直接对滴滴的主体和所处理的数据作了定性。根据国务院《关键信息基础设施安全保护条例》,关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。另根据国家网信办发布的《网络数据安全管理条例(征求意见稿)》,重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。其中包括,交通运行数据、关键信息基础设施建设运行及其安全数据、重要敏感区域(国防设施、军事管理区、国防科研生产单位等)的地理位置、达到国家有关部门规定的规模或者精度的地理基础数据等。按照《个人信息保护法》和最近颁布的《数据出境安全评估办法》,CIIO跨境传输数据、或非CIIO跨境传输重要数据,都需要通过网信部门的安全评估。滴滴之所以此次受到如此大额处罚,关键原因还是在于其本身业务规模庞大,与国家关键信息基础设施安全息息相关,并且所收集、处理的数据(包括交通流量图、热力图等)有相当一部分涉及重要数据范畴,一旦泄露、公开,很可能对国家重要工业甚至军事设施造成威胁。
三、处罚对象不限于境内主体
我们注意到,本次受处罚主体是滴滴全球股份有限公司。根据公开信息显示,该公司于2013年1月11日在开曼群岛注册成立,并通过VIE架构,实际控制了中国境内的一系列运营主体。国家网信办也明确提到,该公司对境内各业务线(滴滴出行App、滴滴车主App、滴滴顺风车App、滴滴企业版App等41款App)重大事项具有最高决策权,制定的企业内部制度规范对境内各业务线全部适用,且对落实情况负监督管理责任。各业务线违法行为是在该公司统一决策和部署下的具体落实。因此,认定滴滴全球股份有限公司为本案违法行为主体。从这一点上看,中国网信部门实际上采用了域外执法方式。此次滴滴受处罚事件,将会对采用VIE架构赴境外上市的企业产生深远影响。中国企业通过VIE架构规避中国境内的网络数据安全、个人信息保护监管,也愈发困难。
四、监管认定“情节严重”的考虑因素
对于违法违规处理个人信息和跨境提供重要数据的行为,《个人信息保护法》和《数据安全法》对法律责任已有明确规定。具体如下:
法律 | 违法行为 | 法律责任 |
《数据安全法》第四十六条 | 违反本法第三十一条规定,向境外提供重要数据。
(注:第三十一条规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。) | 1、由有关主管部门责令改正,给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款; 2、情节严重的,处一百万元以上一千万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。 |
《个人信息保护法》第六十六条 | 违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务。 | 1、由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。 2、情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。 |
本次国家网信办对滴滴处以人民币80.26亿元罚款,对滴滴董事长兼CEO程维、总裁柳青各处人民币100万元罚款。采用了双罚制和从严从重处罚。国家网信办在认定“违法违规行为情节严重”时,考虑了如下因素:(1)违法行为性质的恶劣程度。例如,当事方是否按照法律法规要求履行网络安全、数据安全、个人信息保护义务,在监管部门已经责令改正的情况下,是否及时进行全面深入整改;(2)违法行为的持续时间。例如,当事方的违法行为是否贯穿《网络安全法》、《数据安全法》、《个人信息保护法》颁布及生效前后;(3)违法行为的危害程度。例如,违法收集个人信息的方式是否非常隐秘(包括收集用户剪切板信息、相册截图等);(4)违法处理的个人信息数量。即数量是否特别巨大、是否涉及敏感个人信息等;(5)违法处理个人信息的情形。例如,是否通过多个App、小程序等多渠道收集个人信息,是否包含频繁、过度调用设备敏感权限等方式。
五、本次处罚金额与GDPR执法案例相比如何
根据公开信息显示,滴滴2021年全年总营收为1738.3亿元。本次滴滴的罚款金额多达80.26亿元,占其上一年度(2021年)营业额的4.617%,接近《个人信息保护法》违法行为的顶格处罚,可见影响之大。横向对比来看,GDPR对于违反数据安全和个人数据保护的行为也设置了两档罚金,分别是:(1)最高1000万欧元或相当于其上一年全球总营业额2%的金额罚款(两者取其高者);(2)最高2000万欧元或相当于其上一年全球总营业额4%的金额罚款(两者取其高者)。其中第二档处罚适用于违反“告知-同意”等个人数据处理基本规则、违反数据主体权利、违规跨境传输个人数据等行为。自GDPR生效至今,也出现了许多大额罚款案例,包括如下:
被罚款主体 | 处罚时间 | 违法行为 | 处罚结果 |
奥地利邮政 | 2018年 | 奥地利邮政创建了超过300万奥地利人的个人资料,其中包括有关家庭住址,个人喜好,习惯和可能的政治偏好,这些信息随后被转售给了政党和公司等,此外奥地利邮政还以直接营销为目的进一步处理包裹频率数据和搬迁率数据。 | 1800万欧元 |
英国航空公司 | 2019年 | 由于英国航空公司的官方网站被攻击,导致用户在访问英航页面时被自动跳转到第三方网页,黑客通过该网页截取用户信息。约50万用户信息被截获、泄露。经监管机构调查发现,英航公司内部信息安全管理存在诸多隐患,该公司没有尽到保护其用户个人数据安全的义务。 | 约1.83亿欧元 |
万豪酒店集团 | 2019年 | 万豪酒店集团在收购喜达屋时在数据安全层面未做到充分尽职调查,收购之后未能及时改进,导致其住客的个人数据和住宿记录被持续泄露达数年,涉及数亿人次。 | 约1.1亿欧元 |
某跨国科技企业 | 2019年 | 在安卓手机上,该企业关于其如何存储和处理个人数据的数据保护政策被隐藏在“其他设置”的子菜单下,安卓用户只有经过多个步骤的操作之后才能看到。监管机构认为该行为侵犯了数据主体的知情权,认为该企业违反了向其用户公开数据保护政策的义务。 | 5000万欧元 |
保加利亚公共事业公司 | 2020年 | 保加利亚公用事业公司错误地将数据主体的PIN码提供给私人执法代理,随后被用于提起针对数据主体的强制执行诉讼以指控其未履行付款义务。 | 5110元欧元 |
意大利电信 | 2020年 | 意大利电信在未获事先同意的前提下委托呼叫中心向大量潜在用户拨打广告电话百万次。 | 约2780万欧元 |
某跨国科技企业 | 2020年 | 该企业未能在其搜索结果列表中全面删除所有需删除的搜索结果。另外,监管机构调查发现,该企业的搜索结果删除流程被某个软件程序利用,用来通知被删除用户是谁背后指使了该删除操作,删除发起人的个人信息由此被泄露。 | 约700万欧元 |
从横向比较而言,本次滴滴处罚结果,不管是金额还是占营收的比重,在全球范围内的网络数据安全、个人信息保护执法案例中,都相当高。还有一点需要提及的是,根据GDPR第83条规定,2%或4%为上限的罚款适用于“经济实体”(undertaking)。按照欧盟竞争法的通常理解,“经济实体”指“所有从事同一经济活动的主体,无论其法律地位或资金来源”,当一个企业对另一个施加决定性影响,它们便形成同一个经济实体,即使子公司具有独立的法人地位,但当子公司不能独立决定自己的市场行为,而实际上依照母公司发出的指令行事,其行为可归责于母公司。因此,当以“上一年度营业额”的2%或4%为上限进行罚款时,其计算基础并不一定局限于子公司的营收金额,而是将全部关联公司的营收都计算在内。此次,国家网信办将滴滴全球股份有限公司认定为违法主体,并以该主体的上一年度营收作为计算基础,与GDPR有异曲同工之处。这也同时意味着,许多集团公司通过设立子公司开展数据处理业务,并希望以此隔离风险的难度会越来越大。
六、网络数据安全及个人信息保护执法案例数量可能快速攀升
需要引起企业注意的是,在数据安全、个人信息保护相关立法颁布后2至3年内,监管执法案件数量将大概率呈现快速上升趋势。根据公开信息显示,自从2018年GDPR生效以来,欧盟及欧洲经济区DPA依据GDPR行使了诸如行政罚款、警告和谴责、命令等执法手段。其中在2018年5月25日至2019年11月30日期间,22个欧盟或欧洲经济区的DPA共开出超过700张罚单。其中大多数罚单都与违反GDPR的合法性原则、有效同意、敏感数据保护和数据泄露有关。另据统计,2018年7月至2020年6月期间,可以公开查到的GDPR罚款共有超过250笔,罚款的数量和规模呈指数型增长。我国《数据安全法》、《个人信息保护法》在去年相继生效,截至目前,有一批相配套的法律规范也陆续出台(例如《数据出境安全评估办法》)。结合当前仍然存在的各种网络数据安全、个人信息处理乱象,可以预计在未来几年内,中国境内相关执法活动也会趋于频繁。
七、企业合规启示
本次滴滴受处罚案件社会影响巨大,对于企业开展网络数据安全、个人信息保护合规工作有着重要意义。
首先,企业需要真正开始重视并切实履行网络数据安全及个人信息保护义务。从本次滴滴受巨额处罚事件,可直接看出监管机构日益严格的执法、查处力度,也可看出国家对于违反网络数据安全、个人信息保护的行为采取零容忍态度,尤其是处理重要数据及大量个人信息的企业。从某种意义上讲,本次滴滴事件意味着网络数据安全、个人信息保护严监管时代已经到来。不管是通过设立子公司、外包隔离风险,还是采用VIE架构等方式,都将很难规避监管。从企业角度出发,需要立即重视起来并认真履行网络数据安全、个人信息保护义务。
其次,企业需要搭建真实有效的网络数据安全和个人信息保护架构。不管是《网络安全法》、《数据安全法》还是《个人信息保护法》,都采用了法律责任双罚制。被处罚主体除了企业以外,还可能包括直接负责的主管人员和其他直接责任人员。本次滴滴事件中,因存在违规跨境传输重要数据、违规处理大量个人信息等行为,国家网信办直接对滴滴董事长兼CEO、总裁各处人民币100万元罚款。由此我们可以预判,对其他涉及违法处理重要数据或大量个人信息的类似事件,网信部门将很可能采用双罚制,直接对涉事企业违法法规行为的主要决策人员追究责任。部分企业通过在形式上设立个人信息保护负责人或个人信息保护部门等方式,将无法免除企业核心决策人员被追责的风险。不管从企业风险角度,还是决策层个人风险角度,都十分有必要落实网络数据安全和个人信息保护义务,寻求专业机构为企业搭建有效的网络数据安全和个人信息保护架构,来降低违法风险。
第三,企业需要建立健全数据安全管理制度和用户个人信息保护制度。企业应定期组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施。发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。如处理重要数据的,应定期开展风险评估,并向有关主管部门报送风险评估报告。处理大量用户个人信息的企业,还应当对用户个人信息严格保密,并建立健全用户信息保护制度,采取切实有效的技术措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。
第四,企业应落实网络等级保护的要求,对于构成关键信息基础设施运营者或网络平台运营者的企业,同时需符合网络安全审查要求。并非只有赴国外上市才可能触发网络安全审查要求,根据《网络安全法》规定,关键信息基础设施运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。《网络安全审查办法》也要求关键信息基础设施运营者采购网络产品和服务,以及网络平台运营者开展数据处理活动,影响或者可能影响国家安全的,应当进行网络安全审查。对于可能构成关键信息基础设施运营者的企业,在采购网络产品和服务时,应当通过一系列严格的评估标准、流程来选取符合标准的供应商、产品及服务,并应充分预判相关产品和服务投入使用后可能带来的国家安全风险。
此外,企业应构建完善的个人信息处理活动影响评估机制。凡事预则立,不预则废。企业个人信息处理活动的合规工作应主要落实在平时业务开展过程中,而并非将注意力放在应对监管调查所临时采取的措施。本次滴滴事件,也为广大企业(尤其是涉及大量个人信息处理活动、以及存在数据跨境活动的企业)敲响了警钟,随着《个人信息保护法》等相关配套文本的不断完善,监管执法力度也将越来越频繁、严格、细化。采用临时公关等方式将越来越难以奏效。按照《个人信息保护法》的要求,企业在平时的个人信息处理活动中,应建立有效、稳定的影响评估机制,包括对处理敏感个人信息、利用个人信息进行自动化决策、向第三方共享个人信息、跨境提供个人信息等活动,及时完成影响评估,并在此基础上做出商业决策,尽可能避免违规行为。
本网站之内容旨在提供有关华诚的一般信息。本网站之内容不得被视为与访问者建立律师-客户关系,也不视为是为任何具体事宜提供法律意见。网站访问者应向律师咨询以获得专业法律意见。 对于任何争议的特定事实和情况,在没有获得恰当的法律或其他专业意见之前,本所客户和其他网站访问者不能将华诚网站上的任何信息作为采取行动与否的依据。
