作者:袁立志 段宇
当前中国数据保护体制总体呈现“网信部门牵头统一监管+行业主管部门分业监管”的二元局面。前者体现为《中华人民共和国网络安全法》(以下简称“《网安法》”)以及推荐性国家标准《信息安全技术-个人信息安全规范》(以下简称“《安全规范》”)等确立的通用规则;近期公布的《数据安全管理办法(征求意见稿)》《个人信息出境安全评估办法(征求意见稿)》《儿童个人信息网络保护规定(征求意见稿)》等也即将成为通用规则的重要内容。后者则体现为特定行业监管部门结合行业特点制定的行业数据保护的特殊规则。一般行业只需适用通用规则,而特定行业则需要二者兼顾,如银行、证券、保险、征信、健康医疗、人口、地图等。网约车行业也属于后一种情形。据统计,截至2018年12月,全国网约车APP的注册用户规模达1.9亿。如此庞大的用户群体,数据安全保护的重要性不言而喻。在网约车行业监管政策逐渐形成的过程中,监管部门出台了一系列监管规则,数据安全是其中的重要内容之一。这些规则既有与通用规则一致的地方,也有与网约车行业特点紧密结合的内容。本文在梳理网约车行业数据保护规则的基础上,将其与通用规则进行比较,以呈现网约车行业数据保护的特点。2016年7月26日,国务院办公厅发布了《关于深化改革推进出租汽车行业健康发展的指导意见》(以下简称“《指导意见》”)。《指导意见》从稳妥推进出租汽车行业改革、鼓励创新、促进转型等目的出发,围绕行业定位、巡游车改革、合乘、市场环境等问题,对网约车发展提出了指导性意见。在谈及规范网约车经营行为时,《指导意见》明确要加强网络和信息安全防护,建立健全数据安全管理制度,依法合规采集、使用和保护个人信息,不得泄露涉及国家安全的敏感信息,所采集的个人信息和生成的业务数据应当在中国内地存储和使用等。《指导意见》涵盖了数据保护的主要方面,确立了网约车行业数据保护的基本框架。
《指导意见》发布次日,交通运输部联合六部委发布《网络预约出租汽车经营服务管理暂行办法》(以下简称“《网约车办法》”),对网约车行业提出了全面细致的监管要求。鉴于网约车企业的数据安全问题已受到了广泛的关注,国家网信办也参与到《网约车办法》的制定中,因此文件中有诸多规范网约车行业数据保护的规则。在随后制定的配套文件中,数据保护问题也多有涉及,包括《关于网络预约出租汽车经营者申请线上服务能力认定工作流程的通知》(以下简称“《线上服务能力认定通知》”)《网络预约出租汽车监管信息交互平台运行管理办法》(以下简称“《交互平台管理办法》”)《关于进一步加强网络预约出租汽车和私人小客车合乘安全管理的紧急通知》(以下简称“《紧急通知》”)以及交通运输行业标准《网络预约出租汽车运营服务规范》(以下简称“《运营服务规范》”)等。《网约车办法》第26条规定,网约车企业应当通过其服务平台以显著方式将驾驶员、约车人和乘客等个人信息的采集和使用的目的、方式和范围进行告知;未经信息主体明示同意,网约车企业不得使用前述个人信息用于开展其他业务;网约车企业采集驾驶员、约车人和乘客的个人信息,不得超越提供网约车业务所必需的范围。这三点要求可以概括为:显著告知、明示同意及最少必要。
在移动互联网场景中,告知的主要方式为展示隐私政策或类似文件供用户阅读。《网约车办法》要求显著告知,是对告知形式提出了更高层面的要求。所谓显著,即明显、突出,网络运营者可以通过在交互界面显著位置设置隐私政策链接的方式达到监管要求,另外,链接字样的字体、大小、颜色等设置也可以体现出“显著”的特点。App专项治理工作组于2019年3月发布的《App违法违规收集使用个人信息自评估指南》(以下简称“《自评估指南》”)要求隐私政策单独成文,在显著位置设置链接,易于访问和阅读,也是对“显著”的要求。因此,网约车行业的要求与通用规则在这一点上是一致的。根据《安全规范》,明示同意是指用户通过书面主动声明或自主作出肯定性动作,对其个人信息进行特定处理作出明确授权的行为。肯定性动作包括主动作出声明、主动勾选、主动点击“同意”、“注册”等。明示同意是相对于“授权同意”而言,对“同意”的表达方式作出的更高要求。《安全规范》规定了多个适用明示同意的情形,如收集个人敏感信息、收集未成年人个人信息、变更个人信息使用目的等。其中,变更个人信息使用目的与《网约车办法》所规定的将用户个人信息用于开展其他业务类似。由此可见,在这一点上,通用规则在要求适用“明示同意”的场景上相对于《网约车办法》而言,更为广泛。因此,网约车企业除了遵守《网约车办法》的要求外,在收集个人敏感信息或未成年人信息时,也应符合明示同意要求。根据《安全规范》,最少必要是指收集个人信息的类型应与实现产品或服务的业务功能有直接关联,即没有该等信息的参与,产品或服务的功能无法实现。在这一点上《网约车办法》与通用规则是一致的。但无论是通用规则,抑或是《网约车办法》,均未对必要的个人信息的范围进行说明。为解决上述问题,全国信息安全标准化技术委员会于2019年5月发布了《网络安全实践指南—移动互联网应用基本业务功能必要信息规范》,其中对于网络约车的基本业务功能对应的必要乘客信息作出了界定。虽然这一规范并无强制约束力,但对网约车企业具有一定指导意义,详见下表:业务功能 | 收集信息 | 使用要求 |
网 络 约 车 | 1.手机号码 | 仅用于满足注册用户实名认证要求及司机与乘客联系 |
2.账号信息 · 账号 · 口令
| 仅用于标识网络约车用户和保障信息安全 |
3.位置信息 · 精准定位信息 · 行踪轨迹
| 精准定位信息仅用于确定用户当前位置、推荐周围上车点、搜索显示附近车辆信息。 行踪轨迹仅用于保障形成安全及处理用户纠纷,满足网络预约出租汽车经营服务管理网约车办法的要求。 |
4.交易信息 · 订单出发点 · 订单到达点 · 订单金额 · 下单时间 · 行踪轨迹
| 仅用于处理用户纠纷、满足网络预约网络预约出租汽车经营服务管理网约车办法的要求。 |
5.第三方支付信息 · 支付方式 · 支付状态
| 仅用于用户使用第三方支付方式对叫车订单付款。 |
可见,就用户端而言,提供手机号码、账号、位置、交易、支付信息即能满足使用网约车产品或服务的需求。举例说明,如果平台需要收集用户紧急联系人的信息以提供安全保障,此时平台需要用户的另外授权;如果用户拒绝授权,平台不得以此为由拒绝提供网络约车服务,或降低对用户的其他安全保障,只是就紧急联系人这一保障功能,用户可能无法使用。
《运营服务规范》规定,网约车客户端程序应具备电话信息加密功能,能够实现对约车人或乘客个人电话号码等信息的保护。在发生一系列顺风车恶性事件后,《紧急通知》也要求屏蔽乘客信息,防止泄露个人隐私。
《安全规范》第7.2条规定,通过界面(如显示屏幕、纸面等)展示个人信息时,宜对个人信息采取去标识化措施,以降低泄露风险。《安全规范》是规制各领域、各业态个人信息展示行为的通用规则,适用于公开展示或在一定范围内展示个人信息的行为,典型场景如医院的就诊叫号显示屏。网约车相关规则在这一点的基本思路与《安全规范》一脉相承,但网约车相关规则对约车人或乘客个人信息的展示限制更主要的是为了防范网约车驾驶员,这是网约车行业对个人信息展示的特殊规定。《网约车办法》第26条规定,除配合国家机关依法行使监督检查权或者刑事侦查权外,网约车企业不得向任何第三方提供驾驶员、约车人和乘客的姓名、联系方式、家庭住址、银行账户或者支付账户、地理位置、出行线路等个人信息。《运营服务规范》第4.4.2条对个人信息的对外提供也作出了相应的限制,即所采集驾驶员、约车人和乘客等信息及生成的相关业务数据,不应出于商业目的出售、提供或转让给他人使用。
关于个人信息的对外提供,《网约车办法》的要求严于通用规则。根据《网络安全法》和《安全规范》,如果获取用户的有效授权,信息控制者可以在授权的范围内实施数据的共享、转让、披露等行为,并未“一刀切”地予以禁止。但是,在实践中,为向用户提供便利的出行服务,网约车平台不可避免的会与第三方进行信息共享,如用户通过第三方平台使用网约车服务或通过网约车平台使用第三方提供的服务等,这显然突破了《网约车办法》的规定。实际上,就我们的观察而言,网约车企业在对外提供个人信息方面,基本上采纳了通用规则,而有意或无意地忽略了《网约车办法》的严格限制。我们认为,为了实现出行服务、保护安全或处理争议等目的而不得不对外提供个人信息尚在合理范围内,而出于营销推广等目的对外提供个人信息则存在合规风险。当然,从另一个角度来看,也需要反思《网约车办法》第26条的严格限制是否有强有力的依据,如无强有力的依据,则应修改规则,向通用规则靠拢。关于存储内容,《网约车办法》第18条规定了网约车企业所必需存储的个人信息内容,包括驾驶员、约车人在其服务平台发布的信息内容、用户注册信息、身份认证信息、订单日志、上网日志、网上交易日志、行驶轨迹日志等数据,同时要求对该等数据进行备份。
关于存储期限,《网约车办法》第27条明确要求网约车企业所采集的个人信息和生成的业务数据的保存期限不少于2年。关于存储位置,《网约车办法》第27条规定网约车企业所采集的个人信息和生成的业务数据,应当在中国内地存储和使用,除法律法规另有规定外,上述信息和数据不得外流。此外,《线上服务能力认定通知》也要求,申请从事网约车经营的公司应对其服务器设置在中国内地的情况进行说明。在实践中,出于兼营其他业务的需要或商业模式等考量,一些网约车企业采用VIE架构。在VIE架构之下,境内的经营实体(以下简称“经营实体”)是相关个人信息和业务数据的控制者;根据经营实体与VIE架构下的外商独资企业(以下简称“WFOE”)之间签署的《独家业务合作协议》《独家技术支持和技术服务协议》等一系列协议(以下简称“VIE协议”),前者需要向后者提供个人信息和业务数据(委托处理或共享)。无论该等个人信息和业务数据是否实际发生转移,都应在中国境内存储,不传输至境外。《网安法》和《安全规范》等通用规则对存储内容没有特殊的要求,对于存储期限则提出最小化要求,即个人信息的保存期限应为实现个人信息主体授权使用的目的所必需的最短时间,但法律法规另有规定或者个人信息主体另行授权同意的除外。《网约车办法》出于行业监管和安全的需要,限定最短存储期限,可以作为网约车企业对抗用户删除权的理由。此外,通用规则并没有禁止数据出境的强制要求,原则上数据可以出境,但是需要进行安全评估并获得用户的授权。网约车企业应遵守《网约车办法》的特殊规定。除个人信息外,网约车行业还需要遵守对涉及国家安全的敏感信息的保护。《网约车办法》第26条规定,除配合国家机关依法行使监督检查权或者刑事侦查权外,网约车企业不得向任何第三方提供个人信息,也不得泄露地理坐标、地理标志物等涉及国家安全的敏感信息。中国出租汽车产业联盟曾指出,滴滴在其《中国城市出行报告》中披露的部分数据反映了主要城市的交通状况和敏感区域、人群的出行规律,涉及国家信息安全,如果该等大数据发生泄露或被滥用,可能危及国家层面的信息安全。从《网约车办法》的规定上来看,该等国家安全敏感信息的对外提供、共享或是出境基本上是禁止的。
我们理解,上述规定与重要数据的保护有关。《网安法》第37条规定了重要数据出境的问题,关键信息基础设施的运营者在境内收集和产生的重要数据应当在境内存储,确需出境的,应进行安全评估。《数据安全管理办法(征求意见稿)》将重要数据数据定义为“一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据”,如未公开的政府信息,大面积人口、基因健康、地理、矿产资源等,因此,网约车业务中涉及的地理信息落入重要数据的范畴。根据《数据安全管理办法(征求意见稿)》第15条,网络运营者以经营为目的收集重要数据或个人敏感信息的,应向所在地网信部门备案;第28条规定网络运营者发布、共享、交易或向境外提供重要数据前,应当进行安全评估,并报主管部门同意。我们预计,《数据安全管理办法》正式出台以后,网约车行业涉及国家安全的敏感信息将被纳入重要数据予以保护。《网约车办法》第29条要求出租汽车行政主管部门建设和完善政府监管平台,实现与网约车平台信息共享。为了落实信息共享机制,加强对网约车企业的监管,交通部出台了《交互平台管理办法》,以规范网约车企业向监管部门的数据传输行为。
《交互平台管理办法》第6条要求,网约车企业在取得相应《网络预约出租汽车经营许可证》后,应自次日零时起向部级平台传输相关基础静态信息以及订单信息、经营信息、定位信息、服务质量信息等运营数据。具体有以下几点要求:· 数据传输的载体:网约车企业传输的网约车运营服务相关数据,应直接接入网约车监管信息交互平台,不得通过第三方平台或系统直接传输;· 数据传输的质量:保证传输数据的完整性、规范性、及时性、真实性;· 数据传输的管理:健全数据传输工作机制,指定专人负责数据传输工作;· 暂停传输的告知:因系统改造、服务器迁移等可预见原因,需要暂停网约车平台运行的,应提前72小时告知网约车监管信息交互平台运行维护单位等。通用规则如《网安法》第28条规定,网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助;《数据安全管理办法(征求意见稿)》第36条也规定,国务院有关主管部门为履行维护国家安全、社会管理、经济调控等职责需要,有权依法要求网络运营者提供掌握的相关数据,网络运营者应当予以提供。与通用规则相比,网约车行业的数据报送要求更高,一方面要求网约车平台及时报送,如订单信息、经营信息、服务质量信息等应实时传输,延迟不得超过300秒,且应保证数据质量;另一方面要求网约车平台主动进行报送,不需要主管部门进行调取。《网约车办法》第24条要求,网约车企业应当加强安全管理,落实运营、网络等安全防范措施,严格数据安全保护和管理,提高安全防范和抗风险能力,支持配合有关部门开展相关工作。另外,《线上服务能力认定通知》中对上述安全措施进行了更为细化的规定,对网约车平台提高数据安全能力起到一定的指导作用。
《网约车办法》第26条对安全事件的应对作出了规定,要求网约车企业发生信息泄露后,应当及时向相关主管部门报告,并采取及时有效的补救措施。上述安全措施及安全事件的应对与通用规则要求相同,但通用规则的规定更为详尽,因此,网约车企业在提高数据安全能力、应对数据安全事件时可参考《网安法》及配套措施。网约车经营服务已经进入强监管、严监管阶段,网约车企业的违法违规行为有可能受到联合监管与处罚。
2018年,交通部、网信办、工信部、公安部、人民银行、国家税务总局、市场监督管理局六部委联合出台的《关于加强网络预约出租汽车行业事中事后联合监管有关工作的通知》规定,网约车企业出现违法违规行为的,由交通运输、网信、通信、公安、人民银行、税务、工商和市场监管等部门在各自职责范围内依法处理;违法违规行为涉及多部门的,相关部门可开展联合约谈;对于拒不改正的网约车企业,还有可能受到暂停发布、下架互联网应用程序(App)等载体、停止互联网服务、停止联网以及停机整顿等处罚。通用规则中也针对不同的违法违规行为规定了相应的法律责任,如果网约车平台违反《网安法》等相关规定的,将受到相应的处罚。如网约车平台违反《网安法》第44条规定,窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的,由公安机关没收违法所得,并处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款。在网约车商业模式下,网约车企业掌握有大量的用户出行数据,无论从数据本身的价值考虑,还是从数据对个人权益及国家安全的重要意义角度出发,网约车平台都应该将数据安全放在重要战略位置,合法收集和使用个人信息,保护涉及国家安全的敏感信息,配合监管,不断提高自身数据安全能力。如此,方能真正实现“安全出行”。
作者介绍
袁立志 合伙人
021-2613 6222
yuan.lizhi@jingtian.com
袁立志律师先后从上海对外经贸大学和新加坡国立大学取得国际法硕士和国际商法硕士学位。袁律师于2016年作为合伙人加入竞天公诚律师事务所。
袁律师持有IAPP(国际隐私专家协会)颁发的CIPP/E证书。
袁律师的执业领域为网络安全与数据保护、企业融资、并购及公司法律事务。袁律师最早从2009年开始即为客户提供商用密码等方面的法律服务,2016年曾主办大数据企业上海思贤信息技术股份有限公司(836095)新三板挂牌项目。
近年来,袁律师曾为多家知名企业提供数据法律服务,包括大型金融集团、汽车制造商、头部互联网企业、数据企业、医疗机构等。
段宇 律师助理
021-2613 6391
duan.yu@jingtian.com
段宇律师毕业于华东政法大学,获法学硕士学位。
段宇的执业领域为网络与数据保护、TMT、公司法律事务。
段宇曾为头部互联网企业、大型金融集团、汽车制造商、TMT企业等提供法律服务。
声明 DISCLAIMER
本文观点仅供参考,不可视为竞天公诚律师事务所及其律师对有关问题出具的正式法律意见。如您有任何法律问题或需要法律意见,请与本所联系。
This article is for your reference only and not to be deemed as formal legal advice given by Jingtian & Gongcheng or its lawyers. Please contact us directly for formal legal advice or further discussion about the relevant issues.