查看原文
其他

前车之鉴,合规提示 | 滴滴公司被罚8026000000元

张立峰 知识产权那点事 2022-11-17

7月21日,国家网信办公布对滴滴公司行政处罚决定,对滴滴公司处人民币80.26亿元罚款。国家网信办有关负责人答记者问介绍了滴滴公司存在8个方面的违法事实。



滴滴公司8个方面的违法行为,对企业带来哪些合规警示?


事实一:违法收集用户手机相册中的截图信息1196.39万条

合规依据:
《个人信息保护法》第四条  个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。
《App违法违规收集使用个人信息行为认定方法》(国信办秘字〔2019〕191号)三以下行为可被认定为“未经用户同意收集使用个人信息”3.实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围。
合规提示:用户手机相册中的截图信息属于个人信息,建议企业APP要收集用户手机相册中的截图信息应当遵循合法、正当、必要和诚信原则,实际操作中应当在用户授权范围内收集信息,参照《App违法违规收集使用个人信息行为认定方法》《常见类型移动互联网应用程序必要个人信息范围规定》规定合法收集。如果企业存在收集超出用户授权范围信息的行为,属于未经用户同意收集使用个人信息,有可能被监管部门责令改正,给予警告,没收违法所得,责令暂停或者终止提供服务、罚款,以及违法行为记入信用档案等。

事实二:过度收集用户剪切板信息、应用列表信息83.23亿条

合规依据:

《常见类型移动互联网应用程序必要个人信息范围规定》(国信办秘字〔2021〕14号)

第三条  本规定所称必要个人信息,是指保障App基本功能服务正常运行所必需的个人信息,缺少该信息App即无法实现基本功能服务。具体是指消费侧用户个人信息,不包括服务供给侧用户个人信息。第五条  常见类型App的必要个人信息范围:(二)网络约车类,基本功能服务为“网络预约出租汽车服务、巡游出租汽车电召服务”,必要个人信息包括:1.注册用户移动电话号码;2.乘车人出发地、到达地、位置信息、行踪轨迹;3.支付时间、支付金额、支付渠道等支付信息(网络预约出租汽车服务)。
《App违法违规收集使用个人信息行为认定方法》(国信办秘字〔2019〕191号)四、以下行为可被认定为“违反必要原则,收集与其提供的服务无关的个人信息”1.收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关。

合规提示:

企业应当按照《常见类型移动互联网应用程序必要个人信息范围规定》,根据企业提供服务的类型,收集个人必要信息,对于服务类别单一的,不应当收集与其提供的服务无关的个人信息;对于提供多种服务类型的企业,对收集范围有疑问的,可以主动联系企业所在地网信办、通信管理局等监管部门及时请示,降低经营风险。

事实三:过度收集乘客人脸识别信息1.07亿条、年龄段信息5350.92万条、职业信息1633.56万条、亲情关系信息138.29万条、“家”和“公司”打车地址信息1.53亿条

合规依据:
《个人信息保护法》第四条  个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。
《信息安全技术 个人信息安全规范》(GB/T 35273—2020)的附录A表A.1“个人信息举例”中明确,“个人脸部识别特征”属于“个人生物识别信息”。
《个人信息保护法》第二十八条  敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。
《个人信息保护法》第二十九条  处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。
合规提示:
对于用户的人脸识别信息、身份信息、精准定位信息、社会关系信息等均属于个人敏感信息,建议企业收集、处理个人敏感信息应当格外谨慎,按照单独同意规则的要求,履行告知义务。如果未经用户同意,擅自收集大量的个人敏感信息,或者导致个人敏感信息泄露的,企业除了承担行政责任外,还有可能涉嫌构成侵犯公民个人信息犯罪。

事实四:过度收集乘客评价代驾服务时、App后台运行时、手机连接桔视记录仪设备时的精准位置(经纬度)信息1.67亿条

合规依据:
《App违法违规收集使用个人信息行为认定方法》(国信办秘字〔2019〕191号)四、以下行为可被认定为“违反必要原则,收集与其提供的服务无关的个人信息”,4.收集个人信息的频度等超出业务功能实际需要。

合规提示:

精准位置(经纬度)信息属于个人敏感信息,对用户、对整个社会安全均有重大影响。企业提供网络约车类服务,收集的位置信息、行踪轨迹应当符合提供服务的最小必要原则,对于非服务时间,应当设置用户选择禁止收集地理位置信息的功能。同时,建议企业收集的频度应符合业务功能,数据存储上,在车内存储设备、远程信息服务平台中保存时间均不得超过7天。

事实五:过度收集司机学历信息14.29万条,以明文形式存储司机身份证号信息5780.26万条

合规依据:
《App违法违规收集使用个人信息行为认定方法》(国信办秘字〔2019〕191号)四、以下行为可被认定为“违反必要原则,收集与其提供的服务无关的个人信息”,1.收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关。

《个人信息保护法》第二十八条  敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。

只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。
《个人信息保护法》第二十九条  处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。

合规提示:

学历信息属于一般个人信息,收集应当符合必要原则,即对于企业提供的服务应当有直接关联;身份证属于敏感个人信息,企业收集前,应当取得用户的单独同意,如果需要存储用户身份证信息,也应当明确、清晰地告知用户,并履行保障用户个人信息的法定义务,如果违法违规使用用户身份证信息,或者导致用户敏感个人信息泄露的,企业涉嫌刑事犯罪。建议企业,特别是提供服务涉及用户群体较多的企业,应当建立企业内部网络安全、数据安全的专门部门、专人负责,定期自查自检。

事实六:在未明确告知乘客情况下分析乘客出行意图信息539.76亿条、常驻城市信息15.38亿条、异地商务/异地旅游信息3.04亿条

合规依据:

《App违法违规收集使用个人信息行为认定方法》(国信办秘字〔2019〕191号)二、以下行为可被认定为“未明示收集使用个人信息的目的、方式和范围”2.收集使用个人信息的目的、方式、范围发生变化时,未以适当方式通知用户,适当方式包括更新隐私政策等收集使用规则并提醒用户阅读等。

四、以下行为可被认定为“违反必要原则,收集与其提供的服务无关的个人信息”,4.收集个人信息的频度等超出业务功能实际需要。

合规提示:

企业告知用户收集信息的目的、方式、范围,应当与企业实际使用收集的用户信息方式是一致的,如果企业利用收集的数据分析用户出行意图,应当在收集数据前征得用户的明示同意,并且设置同意与否的选项,针对知情同意的用户企业可以利用数据算法等技术提供更高效率、更精准的服务,但是对于不同意的用户不得擅自分析用户出行数据。

事实七:在乘客使用顺风车服务时频繁索取无关的“电话权限”

合规依据:

《常见类型移动互联网应用程序必要个人信息范围规定》(国信办秘字〔2021〕14号)

第五条  常见类型App的必要个人信息范围:(二)网络约车类,基本功能服务为“网络预约出租汽车服务、巡游出租汽车电召服务”,必要个人信息包括:1.注册用户移动电话号码;2.乘车人出发地、到达地、位置信息、行踪轨迹;3.支付时间、支付金额、支付渠道等支付信息(网络预约出租汽车服务)。

《App违法违规收集使用个人信息行为认定方法》(国信办秘字〔2019〕191号)四、以下行为可被认定为“违反必要原则,收集与其提供的服务无关的个人信息”,1.收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关;4.收集个人信息的频度等超出业务功能实际需要。

合规提示:

针对网络约车类服务,企业收集注册用户移动电话号码是必要个人信息之一,并非有权收集用户的电话权限,包括收集用户的通话录音、通讯录等均不在合法收集范围内。同时,企业擅自索取用户电话权限,窃听用户通话内容也涉嫌侵害用户的隐私权。建议企业按照《常见类型移动互联网应用程序必要个人信息范围规定》(国信办秘字〔2021〕14号)的规定,结合提供的服务最小必要、手段正当的收集用户信息。

事实八:未准确、清晰说明用户设备信息等19项个人信息处理目的

合规依据:

《App违法违规收集使用个人信息行为认定方法》(国信办秘字〔2019〕191号)

二、以下行为可被认定为“未明示收集使用个人信息的目的、方式和范围”1.未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等;2.收集使用个人信息的目的、方式、范围发生变化时,未以适当方式通知用户,适当方式包括更新隐私政策等收集使用规则并提醒用户阅读等;3.在申请打开可收集个人信息的权限,或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时,未同步告知用户其目的,或者目的不明确、难以理解;4.有关收集使用规则的内容晦涩难懂、冗长繁琐,用户难以理解,如使用大量专业术语等。

合规提示:

建议企业在制定个人隐私政策、用户协议时,应当充分考虑收集用户信息的告知义务,采取简易、明了、便捷的方式予以说明,并且按照最新监管要求,及时定期更新。如果后续因为业务的更新需要扩大收集用户信息范围的,或者涉及收集用户敏感个人信息的,可以采用建议弹窗或者短信的方式将收集使用规则特别提示用户。


近年来,国家不断加强对网络安全、数据安全、个人信息的保护力度,先后颁布了《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》《网络安全审查办法》《数据出境安全评估办法》等一系列法律法规及国家标准。滴滴事件再次警示,企业数据合规刻不容缓,不可掉以轻心。


最后也是最重要的,企业如果存在网络安全、数据安全、个人信息保护不合规的情况,在被监管部门责令改正的情况下,企业务必积极配合整改,不可阳奉阴违、恶意逃避监管,否则只能是搬起石头砸自己的脚。



附:主要合规依据

1.《网络安全法》

2.《数据安全法》

3.《个人信息保护法》

4.《关键信息基础设施安全保护条例》

5.《网络安全审查办法》

6.《数据出境安全评估办法》

7.《信息安全技术个人信息安全规范》(GB/T 35273-2020)

8.《App违法违规收集使用个人信息行为认定方法》

9.《App违法违规收集使用个人信息自评估指南》

10.App个人信息保护合规评估工具 https://zcpt.cesidsat.com/cms/index.

11.《网络安全标准实践指南—移动互联网应用程序(App)个人信息保护常见问题及处置指南》

12.《网络安全标准实践指南—移动互联网应用程序(App)使用软件开发工具包(SDK)安全指引》

13.《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南》

14.《网络安全标准实践指南—移动互联网应用程序(App)系统权限申请使用指南》


(本文为授权发布,仅代表作者观点,未经许可不得转载)


“星标”、“转发”、“在看”,给小编加鸡腿哦!

投稿请联系shipa@shipa.org



近期热文

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存