作者|唐树源
领悟时代数字研究院首席研究员 、看懂app专家
以下为7月22日唐树源老师在看懂小程序
一小时会议中分享的内容:
一、为什么要对滴滴进行网络安全审查?
历时一年多的滴滴网络安全审查案终于尘埃落定,自从2021年7月2日,网络安全审查办公室发布对“滴滴出行”启动网络安全审查的公告,再到2022年7月21日,国家互联网信息办公室公布对滴滴全球股份有限公司依法作出网络安全审查相关行政处罚的决定。
滴滴网络安全审查案毫无疑问是具有里程碑式的重大案件,从本案中剖析实践中网络安全审查的重点,规避网络安全、数据合规以及个人信息保护相关的法律风险是各大企业,尤其是互联网企业的当务之急。
首先,2021年6月30日,滴滴在美国悄然上市,随后的7月2日,网络安全审查办公室开始对“滴滴出行”启动网络安全审查,这是我国首次对企业启动网络安全审查。当时,国家网信办是以“网络安全审查办公室”名义发布的,公告中首先写的被审查的原因是“防范国家数据安全,维护国家安全,保障公共利益”,足以可见此次审查非同小可,已经上升到了国家安全层面了,那必然会第一时间开展审查工作。
此外,通常情况下,网络安全审查在45个工作日内完成,情况复杂的会延长15个工作日。进入特别审查程序的审查项目,可能还需要45个工作日或者更长。但在滴滴网络安全审查案的全过程来看,迟迟没有审查结束没有结果,可见其案件的复杂性,涉及面广,问题的严重性,这在此次通报决定中已经有了详细说明,其实当时就可以看出该案的问题复杂性。
除了网络安全方面的问题,还有什么重大问题呢?
除了对滴滴进行网络安全审查,滴滴作为个人信息处理者,严重违法违规收集使用乘客个人信息等问题。这在开始审查的两天后,也就是2021年7月4日,国家网信办通知全国应用商店下架“滴滴出行”app,5天后,滴滴旗下25款App因存在严重违法违规收集使用个人信息问题被全面下架。
滴滴被网络安全审查的基础是其作为关键信息基础设施运营者,根据《网络安全审查办法》规定,其在采购网络产品和服务,影响或可能影响国家安全的,应当进行网络安全审查。滴滴违法违规运营给国家关键信息基础设施安全和数据安全带来严重安全风险隐患。
这里我补充下相关概念的内容,以便大家更好理解。
【关键信息基础设施】是指面向公众提供网络信息服务或支撑能源、通信、金融、交通、公共事业等重要行业运行的信息系统或工业控制系统;这些系统、服务、网络和基础设施要么提供基本商品和服务,要么构成其他关键基础设施的基础平台。它们被视为重要的信息基础设施,因为它们的中断或破坏将对重要的社会功能产生严重影响。这些系统一旦发生网络安全事故,会影响重要行业正常运行,对国家政治、经济、科技、社会、文化、国防、环境以及人民生命财产造成严重损失。
特别提醒关注的是,2022年2月15日开始施行的《网络安全审查办法》第七条规定,掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。可以说此条直接跟滴滴被查有关。同时,滴滴平台掌握了大量公众出行交通信息,一旦此类重要信息泄漏或被不法利用,将会给国家安全、社会稳定及人民的生命财产造成严重损失,显然滴滴属于关键信息基础设施运营者。
二、为何滴滴被处80.26亿元巨额罚款,相关责任人被罚100万元?
根据国家网信办的公告和有关负责人的答记者问介绍,滴滴公司违法处理个人信息、处理个人信息未履行法定义务的情节严重。对于此类极其严重的情形,适用的是《个人信息保护法》第六十六条第二款规定,即对情节严重的个人信息违法行为,可以处违法行为主体五千万元以下或者上一年度营业额百分之五以下罚款。如果营业额百分之五的额度高于五千万元,可以适用营业额的相应标准。
我们国家的《个人信息保护法》规定了巨额惩罚机制,可以说是全球最高额的处罚,可见国家在个人信息保护方面的决心和力度。怎么计算的呢?根据滴滴的财报数据显示,滴滴在2021年总营收为1738.3亿元。其中,中国出行业务营收为1605.2亿元,国际业务营收为36.2亿元,因此按照顶格罚款的机制,2021年总营收1605.2×5%=80.26亿元。
双罚制度是什么呢?为什么责任人罚100万?
同时,我国《个人信息保护法》也规定了对违法机构和相关责任人的双重巨额处罚机制。也就是除了对违法机构按照上述惩罚性罚款外,还可以对直接负责的主管人员和其他直接责任人员最高可以处100万元罚款。因此,此次《决定》对滴滴全球股份有限公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款。
三、从此次事件可以看出国家在网络安全和数据信息治理方面的趋势是什么?
这一点也很关键,各大企业要充分了解国家相关治理动向和政策走向,及时调整,认清本质要求,防范化解各类新的风险。
近年来,国家不断加强对网络安全、数据安全、个人信息的保护力度,先后颁布了《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》《网络安全审查办法》《数据出境安全评估办法》等法律法规。
接下来,网信部门将依法加大网络安全、数据安全、个人信息保护等领域执法力度,同时也会加大典型案例曝光力度,教育引导互联网企业依法合规运营,促进企业健康规范有序发展。
通过此次事件,可以看出国家在治理相关问题的时候采取了“宽严相济”的策略,虽然罚款数额是巨额的,是前所未有的,但罚款数额也是建立在滴滴庞大营收的基数上计算的。此外,国家对滴滴平台并没有采取更为严厉的行政处罚措施,如停业整顿、关闭网站、下架、吊销营业执照、记入信用档案、禁止从业等。还是兼顾到了滴滴平台在方便公民出行便利、科技创新等方面的积极价值。
为什么是这种治理逻辑和理念呢?这需要上升到整体国家层面来看的。
2021年底召开的中央经济工作会议指出:“要为资本设置‘红绿灯’,依法加强对资本的有效监管,防止资本野蛮生长。” 2022年4月29日,中央政治局召开会议分析研究当前经济形势和经济工作时指出,要促进平台经济健康发展,完成平台经济专项整改,实施常态化监管,出台支持平台经济规范健康发展的具体措施。
因此,防止资本的无序扩张和支持平台经济的规范健康发展是不冲突的,这种理念也体现在此次滴滴安全审查案件中。随着新兴技术的发展,资本垄断逻辑和数据安全杂糅并生,这其中,国家对于网络和数据的治理就非常关键。
四、滴滴安全审查事件对企业合规建设有什么启示?
首先,官方审查结果显示,滴滴公司的违法违规行为主要是16项、八大方面,具体是:
1. 违法收集用户手机相册中的截图信息1196.39万条;2. 过度收集用户剪切板信息、应用列表信息83.23亿条;3. 过度收集乘客人脸识别信息1.07亿条、年龄段信息5350.92万条、职业信息1633.56万条、亲情关系信息138.29万条、“家”和“公司”打车地址信息1.53亿条;4.过度收集乘客评价代驾服务时、App后台运行时、手机连接桔视记录仪设备时的精准位置(经纬度)信息1.67亿条;5.过度收集司机学历信息14.29万条,以明文形式存储司机身份证号信息5780.26万条;6.在未明确告知乘客情况下分析乘客出行意图信息539.76亿条、常驻城市信息15.38亿条、异地商务/异地旅游信息3.04亿条;7.在乘客使用顺风车服务时频繁索取无关的“电话权限”;8.未准确、清晰说明用户设备信息等19项个人信息处理目的。
从通报的调查结果中,我们来看看这当中的法律问题,对于其他企业来说也是很好的警示教育案例。
主要涉及的法律依据是:《网络安全法》《个人信息保护法》《数据安全法》等相关内容,涉及最多也是适用最多的是《个人信息保护法》的相关规定,如《个人信息保护法》中个人信息处理原则、不得违法收集使用个人信息、告知同意原则、敏感个人信息处理规则、自动化决策等规定。涉及到的《网络安全法》主要是第四十一条规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围。
对于企业网络安全和数据信息合规的启示如下:
1、重新审视“关键信息基础设施运营者”的义务和职责
被认定为关键信息基础设施运营者的主体势必迎来了更多的数据信息合规义务,此时关键信息基础设施的安全保护措施应当贯穿整个设施建设的全过程,同时建立健全网络安全保护制度和责任制、设置专门安全管理机构、定期安全检测和风险评估、当发生重大网络安全事件或者发现重大网络安全威胁时的报告义务等。
2、关注数据出境的法律风险
目前数字经济的高速发展和跨境电商等繁荣发展,数据跨境是较为常见的需求。此时,需要重点关注将于2022年9月1日起施行的《数据出境安全评估办法》。
数据出境安全评估重点评估数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险,主要包括以下7个事项:
①数据出境的目的、范围、方式等的合法性、正当性、必要性;②境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响;境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规的规定和强制性国家标准的要求;③出境数据的规模、范围、种类、敏感程度,出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险;④ 数据安全和个人信息权益是否能够得到充分有效保障;⑤数据处理者与境外接收方拟订立的法律文件中是否充分约定了数据安全保护责任义务;⑥遵守中国法律、行政法规、部门规章情况;⑦国家网信部门认为需要评估的其他事项。
3、遵循个人信息处理原则和基本的规则要求
我国《个人信息保护法》已经发布近一年,很多企业目前在个人信息保护方面的进展和成效并不是很突出,甚至存在认为不会被严格处罚的侥幸心理。基于滴滴的案件可以看出,国家在个人信息治理方面的力度是史无前例,并且是坚决惩罚性处罚的,因此这就给企业的数据和信息处理活动敲响了警钟,必须要尽快自查并符合个人信息处理的基本原则和规则。
个人信息处理的五项重要原则如下:
1) 遵循合法、正当、必要和诚信原则;2) 采取对个人权益影响最小的方式,限于实现处理目的的最小范围原则;3) 处理个人信息应当遵循公开、透明原则;4) 处理个人信息应当保证个人信息质量原则;5) 采取必要措施确保个人信息安全原则等。
个人信息处理的核心规则就是“告知-知情-同意”,因此对于企业来讲,这个核心规则的任何一项欠缺都会带来较大的法律风险。特别是企业在收集个人信息的时候经常存在违法收集的情形,没有得到用户的知情和同意,无论是网络、App等渠道,还是线下方式,都需要完全满足此项个人信息处理规则。
对企业掌握的数据信息进行分类分级管理,针对不同的信息处理活动的规则是不同的。特别是针对敏感个人信息需要单独同意,设立“撤回同意”的机制,合法合规地做好自动化决策,明确不需要用户同意的个人信息处理情形等。
4、全员参与企业合规建设,提升网络安全和数据信息的基本数字素养
网络安全和数据信息的保护并不是企业某个别部门或群体需要重视的,而是需要企业全员的共同参与,才能够在企业经营的各个领域和细节中落实下去,满足基本的合规要求。
企业全员需要清晰地认识到网络安全和数据信息的合规是利于企业的长久经营和健康发展的,带有排斥或是侥幸心理是没法落实合规要求,更没法建设合规体系的。
企业员工在数字素养提升方面也不是一朝一夕可以形成的,此前国家网信办、教育部、工信部和人力资源和社会保障部联合印发《2022年提升全民数字素养与技能工作要点》中也明确了相关工作要点和步骤。企业应当通过更为丰富、有效的方式开展数字素养提升工作,强化网络安全和数据信息保护底线,洞悉国家监管政策最新要求和走向,让企业各业务、各部门、各流程等都能够树牢安全防线,打造数字安全建设标杆企业。
以上是我对滴滴网络安全审查被罚事件的解读和观点,也对当前监管新动向和企业合规建议方面提出了看法。
精彩评论