7月21日，国家网信办公布对滴滴公司行政处罚决定，对滴滴公司处人民币80.26亿元罚款。国家网信办有关负责人答记者问介绍了滴滴公司存在8个方面的违法事实。

滴滴公司8个方面的违法行为，对企业带来哪些合规警示？

事实一：违法收集用户手机相册中的截图信息1196.39万条

《个人信息保护法》第四条  个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。

《App违法违规收集使用个人信息行为认定方法》（国信办秘字〔2019〕191号）三、以下行为可被认定为“未经用户同意收集使用个人信息”3.实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围。

事实二：过度收集用户剪切板信息、应用列表信息83.23亿条

《常见类型移动互联网应用程序必要个人信息范围规定》（国信办秘字〔2021〕14号）

第三条  本规定所称必要个人信息，是指保障App基本功能服务正常运行所必需的个人信息，缺少该信息App即无法实现基本功能服务。具体是指消费侧用户个人信息，不包括服务供给侧用户个人信息。第五条  常见类型App的必要个人信息范围：（二）网络约车类，基本功能服务为“网络预约出租汽车服务、巡游出租汽车电召服务”，必要个人信息包括：1.注册用户移动电话号码；2.乘车人出发地、到达地、位置信息、行踪轨迹；3.支付时间、支付金额、支付渠道等支付信息（网络预约出租汽车服务）。

《App违法违规收集使用个人信息行为认定方法》（国信办秘字〔2019〕191号）四、以下行为可被认定为“违反必要原则，收集与其提供的服务无关的个人信息”1.收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关。

合规提示：

事实三：过度收集乘客人脸识别信息1.07亿条、年龄段信息5350.92万条、职业信息1633.56万条、亲情关系信息138.29万条、“家”和“公司”打车地址信息1.53亿条

《个人信息保护法》第四条  个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。

《信息安全技术 个人信息安全规范》（GB/T 35273—2020）的附录A表A.1“个人信息举例”中明确，“个人脸部识别特征”属于“个人生物识别信息”。

《个人信息保护法》第二十八条  敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。
只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。

《个人信息保护法》第二十九条  处理敏感个人信息应当取得个人的单独同意；法律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规定。

事实四：过度收集乘客评价代驾服务时、App后台运行时、手机连接桔视记录仪设备时的精准位置（经纬度）信息1.67亿条

《App违法违规收集使用个人信息行为认定方法》（国信办秘字〔2019〕191号）四、以下行为可被认定为“违反必要原则，收集与其提供的服务无关的个人信息”，4.收集个人信息的频度等超出业务功能实际需要。

合规提示：

事实五：过度收集司机学历信息14.29万条，以明文形式存储司机身份证号信息5780.26万条

《App违法违规收集使用个人信息行为认定方法》（国信办秘字〔2019〕191号）四、以下行为可被认定为“违反必要原则，收集与其提供的服务无关的个人信息”，1.收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关。

《个人信息保护法》第二十八条  敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。

《个人信息保护法》第二十九条  处理敏感个人信息应当取得个人的单独同意；法律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规定。

合规提示：

事实六：在未明确告知乘客情况下分析乘客出行意图信息539.76亿条、常驻城市信息15.38亿条、异地商务/异地旅游信息3.04亿条

《App违法违规收集使用个人信息行为认定方法》（国信办秘字〔2019〕191号）二、以下行为可被认定为“未明示收集使用个人信息的目的、方式和范围”2.收集使用个人信息的目的、方式、范围发生变化时，未以适当方式通知用户，适当方式包括更新隐私政策等收集使用规则并提醒用户阅读等。

四、以下行为可被认定为“违反必要原则，收集与其提供的服务无关的个人信息”，4.收集个人信息的频度等超出业务功能实际需要。

合规提示：

事实七：在乘客使用顺风车服务时频繁索取无关的“电话权限”

《常见类型移动互联网应用程序必要个人信息范围规定》（国信办秘字〔2021〕14号）

第五条  常见类型App的必要个人信息范围：（二）网络约车类，基本功能服务为“网络预约出租汽车服务、巡游出租汽车电召服务”，必要个人信息包括：1.注册用户移动电话号码；2.乘车人出发地、到达地、位置信息、行踪轨迹；3.支付时间、支付金额、支付渠道等支付信息（网络预约出租汽车服务）。

《App违法违规收集使用个人信息行为认定方法》（国信办秘字〔2019〕191号）四、以下行为可被认定为“违反必要原则，收集与其提供的服务无关的个人信息”，1.收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关；4.收集个人信息的频度等超出业务功能实际需要。

合规提示：

事实八：未准确、清晰说明用户设备信息等19项个人信息处理目的

《App违法违规收集使用个人信息行为认定方法》（国信办秘字〔2019〕191号）

二、以下行为可被认定为“未明示收集使用个人信息的目的、方式和范围”1.未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等；2.收集使用个人信息的目的、方式、范围发生变化时，未以适当方式通知用户，适当方式包括更新隐私政策等收集使用规则并提醒用户阅读等；3.在申请打开可收集个人信息的权限，或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时，未同步告知用户其目的，或者目的不明确、难以理解；4.有关收集使用规则的内容晦涩难懂、冗长繁琐，用户难以理解，如使用大量专业术语等。

合规提示：

近年来，国家不断加强对网络安全、数据安全、个人信息的保护力度，先后颁布了《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》《网络安全审查办法》《数据出境安全评估办法》等一系列法律法规及国家标准。滴滴事件再次警示，企业数据合规刻不容缓，不可掉以轻心。

最后也是最重要的，企业如果存在网络安全、数据安全、个人信息保护不合规的情况，在被监管部门责令改正的情况下，企业务必积极配合整改，不可阳奉阴违、恶意逃避监管，否则只能是搬起石头砸自己的脚。

附：主要合规依据

1.《网络安全法》

2.《数据安全法》

3.《个人信息保护法》

4.《关键信息基础设施安全保护条例》

5.《网络安全审查办法》

6.《数据出境安全评估办法》

7.《信息安全技术个人信息安全规范》（GB/T 35273-2020）

8.《App违法违规收集使用个人信息行为认定方法》

9.《App违法违规收集使用个人信息自评估指南》

10.App个人信息保护合规评估工具 https://zcpt.cesidsat.com/cms/index.

11.《网络安全标准实践指南—移动互联网应用程序（App）个人信息保护常见问题及处置指南》

12.《网络安全标准实践指南—移动互联网应用程序(App)使用软件开发工具包(SDK)安全指引》

13.《网络安全标准实践指南—移动互联网应用程序（App）收集使用个人信息自评估指南》

14.《网络安全标准实践指南—移动互联网应用程序(App)系统权限申请使用指南》

“星标”、“转发”、“在看”，给小编加鸡腿哦！

投稿请联系shipa@shipa.org

• 案析电影名称是否构成商标及常见问题

• 米老鼠版权即将到期，是否就可以随意使用？