图片源于网络
2022年7月21日,网信办对滴滴做出了网络安全审查相关的行政处罚决定。
滴滴赴美上市以出人意料的姿态,从喜事到下架,再到七部门联合进驻进行网络安全审查,一年之后滴滴最终迎来了处罚结果。
滴滴公司因6项违法收集、2项违法告知,共8项违法行为,被处以80亿余元的罚款,其董事长兼CEO及总裁也被处以100万元的罚款:3、过度收集乘客人脸识别、年龄、职业、亲情关系信息;4、过度收集司机学历信息,明文形式存储司机身份证号;7、在未明确告知乘客的情况下分析出行意图、常驻城市、异地商务/旅游信息;这再次表明了网信办对网络安全、数据安全和个人信息保护的重视。我们从这起“网络安全审查首罚”中,解读出三个需要企业尤为重视的网络安全合规建议:
01
个人信息保护:
从用户处获得的,都算是个人信息
企业只有明确了什么算个人信息,才能合规地收集、处理。网信办认定滴滴在第1、2、3项违法行为中,收集的用户剪切板、相册中的截图和亲情关系信息等都是个人信息,可见实务是如何划定个人信息的范围。我们可以简单理解为:从用户处获得的信息就是用户个人信息。其一,用户提交的个人信息。比如年龄、人脸、指纹、身份证号、家庭关系、学历、收入水平等等。对这类信息,企业通常都具有敏感性,知道要小心处理。
其二,通过用户使用App的活动获得的信息,包括用户使用该App或手机内其他App所生成的信息。比如剪切板、相册、App使用记录(出行记录、购买记录等)、用户评价、出行轨迹及位置、支付数据等等。企业需要意识到,用户使用App的记录也是用户重要的个人信息,并不理所当然可以由企业任意支配,企业要收集、存储、使用这些信息,必须先充分告知用户,取得用户同意。
02
个人信息保护:
用后要处理
从滴滴第3、4、5项违法行为中,我们其实可以想象滴滴为什么需要这些信息。比如过度收集的乘客人脸、亲情关系,指向行程中的“紧急联络人”;过度收集司机学历、身份证号,指向对司机的入职安全审核;在顺风车业务上频繁索取“电话权限”,也可能是为了保障乘客安全。企业收集个人信息或许有因,甚至是为了用户的安全着想才收集上述信息,但关键是个人信息合规,要有始有终,用了之后需要及时处理这些个人信息。第一种处理方式是删除。乘客的人脸、亲情关系、电话权限等个人信息,是为了行程服务,行程结束,可以及时删除信息、解除权限;司机的学历是入职要求,一经录用,及时删除,不用存储在服务器中。第二种处理方式是匿名化。比如滴滴以“明文”形式存储的司机身份证号,完全可以通过技术手段匿名化、去标识化,既能保护用户个人信息、人身财产安全,又能帮助企业规避个人信息保护的法律风险。此外,即使企业是为了用户才需要收集这些个人信息,在收集之前也一定要充分告知用户:收集的目的、用途,在用户不愿意提供的时候,尊重用户的选择。
03
数据安全、网络安全:
国家安全,重中之重
滴滴的第6项违法行为,则警示企业:网信办监管数据和网络安全的目的,最优先的一定是国家安全。第一,最好不要收集关乎国家安全的数据。比如滴滴在后台收集的具体到经纬度的精准位置信息。地理信息,特别是如此精确的地理信息,是关乎国家安全的重要数据。企业可能收集到的类似的敏感信息还有:交通数据(车流量、人流量)、金融数据(账户流水、收支记录)、监控数据(通过音、视频形式记录)等等。第二,数据与境外关联,都需要进行网络安全审查评估。第一,直接出境。有两种方式直接出境:其一,存储于国内,提供给境外;其二,存储于境外。数据出境之前,需要相关的国家部门进行网络安全评估审查。第二,间接与境外关联。同样有两种形式:一,数据使用境外提供的硬件或服务,比如外企生产的存储器、外企提供的传输技术;二,掌握大量(超过100万)用户的个人信息数据的企业出国上市。这两种情况下,企业不仅需要自己评估、监测安全风险,也同样需要相关部门进行网络安全评估审查。
- 往期推荐 -
和昶热评丨疫情防控中,个人信息应如何被收集和保护?