前车之鉴,合规提示 | 滴滴公司被罚8026000000元
7月21日,国家网信办公布对滴滴公司行政处罚决定,对滴滴公司处人民币80.26亿元罚款。国家网信办有关负责人答记者问介绍了滴滴公司存在8个方面的违法事实。
滴滴公司8个方面的违法行为,对企业带来哪些合规警示?
事实一:违法收集用户手机相册中的截图信息1196.39万条
合规依据:《个人信息保护法》第四条 个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。
合规提示:用户手机相册中的截图信息属于个人信息,建议企业APP要收集用户手机相册中的截图信息应当遵循合法、正当、必要和诚信原则,实际操作中应当在用户授权范围内收集信息,参照《App违法违规收集使用个人信息行为认定方法》《常见类型移动互联网应用程序必要个人信息范围规定》规定合法收集。如果企业存在收集超出用户授权范围信息的行为,属于未经用户同意收集使用个人信息,有可能被监管部门责令改正,给予警告,没收违法所得,责令暂停或者终止提供服务、罚款,以及违法行为记入信用档案等。《App违法违规收集使用个人信息行为认定方法》(国信办秘字〔2019〕191号)三、以下行为可被认定为“未经用户同意收集使用个人信息”3.实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围。
事实二:过度收集用户剪切板信息、应用列表信息83.23亿条
合规依据:《常见类型移动互联网应用程序必要个人信息范围规定》(国信办秘字〔2021〕14号)
第三条 本规定所称必要个人信息,是指保障App基本功能服务正常运行所必需的个人信息,缺少该信息App即无法实现基本功能服务。具体是指消费侧用户个人信息,不包括服务供给侧用户个人信息。第五条 常见类型App的必要个人信息范围:(二)网络约车类,基本功能服务为“网络预约出租汽车服务、巡游出租汽车电召服务”,必要个人信息包括:1.注册用户移动电话号码;2.乘车人出发地、到达地、位置信息、行踪轨迹;3.支付时间、支付金额、支付渠道等支付信息(网络预约出租汽车服务)。
《App违法违规收集使用个人信息行为认定方法》(国信办秘字〔2019〕191号)四、以下行为可被认定为“违反必要原则,收集与其提供的服务无关的个人信息”1.收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关。
合规提示:
事实三:过度收集乘客人脸识别信息1.07亿条、年龄段信息5350.92万条、职业信息1633.56万条、亲情关系信息138.29万条、“家”和“公司”打车地址信息1.53亿条
合规依据:《个人信息保护法》第四条 个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。
《信息安全技术 个人信息安全规范》(GB/T 35273—2020)的附录A表A.1“个人信息举例”中明确,“个人脸部识别特征”属于“个人生物识别信息”。
《个人信息保护法》第二十八条 敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。
《个人信息保护法》第二十九条 处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。
对于用户的人脸识别信息、身份信息、精准定位信息、社会关系信息等均属于个人敏感信息,建议企业收集、处理个人敏感信息应当格外谨慎,按照单独同意规则的要求,履行告知义务。如果未经用户同意,擅自收集大量的个人敏感信息,或者导致个人敏感信息泄露的,企业除了承担行政责任外,还有可能涉嫌构成侵犯公民个人信息犯罪。
事实四:过度收集乘客评价代驾服务时、App后台运行时、手机连接桔视记录仪设备时的精准位置(经纬度)信息1.67亿条
合规依据:《App违法违规收集使用个人信息行为认定方法》(国信办秘字〔2019〕191号)四、以下行为可被认定为“违反必要原则,收集与其提供的服务无关的个人信息”,4.收集个人信息的频度等超出业务功能实际需要。
合规提示:
事实五:过度收集司机学历信息14.29万条,以明文形式存储司机身份证号信息5780.26万条
合规依据:《App违法违规收集使用个人信息行为认定方法》(国信办秘字〔2019〕191号)四、以下行为可被认定为“违反必要原则,收集与其提供的服务无关的个人信息”,1.收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关。
《个人信息保护法》第二十八条 敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。
《个人信息保护法》第二十九条 处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。
合规提示:
事实六:在未明确告知乘客情况下分析乘客出行意图信息539.76亿条、常驻城市信息15.38亿条、异地商务/异地旅游信息3.04亿条
合规依据:《App违法违规收集使用个人信息行为认定方法》(国信办秘字〔2019〕191号)二、以下行为可被认定为“未明示收集使用个人信息的目的、方式和范围”2.收集使用个人信息的目的、方式、范围发生变化时,未以适当方式通知用户,适当方式包括更新隐私政策等收集使用规则并提醒用户阅读等。
四、以下行为可被认定为“违反必要原则,收集与其提供的服务无关的个人信息”,4.收集个人信息的频度等超出业务功能实际需要。
合规提示:
事实七:在乘客使用顺风车服务时频繁索取无关的“电话权限”
合规依据:《常见类型移动互联网应用程序必要个人信息范围规定》(国信办秘字〔2021〕14号)
第五条 常见类型App的必要个人信息范围:(二)网络约车类,基本功能服务为“网络预约出租汽车服务、巡游出租汽车电召服务”,必要个人信息包括:1.注册用户移动电话号码;2.乘车人出发地、到达地、位置信息、行踪轨迹;3.支付时间、支付金额、支付渠道等支付信息(网络预约出租汽车服务)。
《App违法违规收集使用个人信息行为认定方法》(国信办秘字〔2019〕191号)四、以下行为可被认定为“违反必要原则,收集与其提供的服务无关的个人信息”,1.收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关;4.收集个人信息的频度等超出业务功能实际需要。
合规提示:
事实八:未准确、清晰说明用户设备信息等19项个人信息处理目的
合规依据:《App违法违规收集使用个人信息行为认定方法》(国信办秘字〔2019〕191号)
二、以下行为可被认定为“未明示收集使用个人信息的目的、方式和范围”1.未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等;2.收集使用个人信息的目的、方式、范围发生变化时,未以适当方式通知用户,适当方式包括更新隐私政策等收集使用规则并提醒用户阅读等;3.在申请打开可收集个人信息的权限,或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时,未同步告知用户其目的,或者目的不明确、难以理解;4.有关收集使用规则的内容晦涩难懂、冗长繁琐,用户难以理解,如使用大量专业术语等。
合规提示:
近年来,国家不断加强对网络安全、数据安全、个人信息的保护力度,先后颁布了《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》《网络安全审查办法》《数据出境安全评估办法》等一系列法律法规及国家标准。滴滴事件再次警示,企业数据合规刻不容缓,不可掉以轻心。
最后也是最重要的,企业如果存在网络安全、数据安全、个人信息保护不合规的情况,在被监管部门责令改正的情况下,企业务必积极配合整改,不可阳奉阴违、恶意逃避监管,否则只能是搬起石头砸自己的脚。
附:主要合规依据
1.《网络安全法》
2.《数据安全法》
3.《个人信息保护法》
4.《关键信息基础设施安全保护条例》
5.《网络安全审查办法》
6.《数据出境安全评估办法》
7.《信息安全技术个人信息安全规范》(GB/T 35273-2020)
8.《App违法违规收集使用个人信息行为认定方法》
9.《App违法违规收集使用个人信息自评估指南》
10.App个人信息保护合规评估工具 https://zcpt.cesidsat.com/cms/index.
11.《网络安全标准实践指南—移动互联网应用程序(App)个人信息保护常见问题及处置指南》
12.《网络安全标准实践指南—移动互联网应用程序(App)使用软件开发工具包(SDK)安全指引》
13.《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南》
14.《网络安全标准实践指南—移动互联网应用程序(App)系统权限申请使用指南》
(本文为授权发布,仅代表作者观点,未经许可不得转载)
“星标”、“转发”、“在看”,给小编加鸡腿哦!
投稿请联系shipa@shipa.org
论信息存储平台适用避风港之“必要措施”(下) 3500亿上海“元宇宙方案”|商业与法律服务的新赛道 高婧:知识产权全球治理下新冠疫苗普及的制度困境及其突破
如何多维度理解这种“特殊”权利要求的支持性?
仲春 王政宇 | 信息搜索领域数据互联互通的利益衡量及法律适用
论信息存储平台适用避风港之“必要措施”(上)
祝建军 | 数据的知识产权司法保护
不正当竞争纠纷案件中如何对竞争关系进行准确把握
黄老板的歌是不是抄袭?快来听听看!
新歌首发的30天“窗口期”,为什么对腾讯音乐和网易云很重要?
遭反垄断调查,为什么偏偏是诺基亚?
丛立先 谢轶:剧本杀作品的著作权侵权责任认定
申军:透视中国NFT数字作品侵权第一案
经审查异议不成立的商标专用权期限起算点设定 ——兼评《商标法》第三十六条第二款之完善