梆梆资讯
违反数据合规法律,天价罚款背后,互联网企业应如何防范和预案
2022-07-29
事件回看:
滴滴公司成立于2013年1月,相关境内业务线主要包括网约车、顺风车等,相关产品包括滴滴出行App、滴滴车主App等41款App。
2021年6月30日,滴滴正式在纽交所挂牌上市。2021年7月2日,网络安全审查办公室发布公告宣布对“滴滴出行”实施网络安全审查。
2022年7月21日,国家互联网信息办公室依据《网络安全法》 《数据安全法》 《个人信息保护法》 《行政处罚法》等法律法规,对滴滴全球股份有限公司处人民币80.26亿元罚款,对滴滴全球股份有限公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款。
对此,滴滴出行通过官方微博回应称:“诚恳接受,坚决服从,严格按照处罚决定和相关法律法规要求,全面深入自查,积极配合监管,认真完成整改。切实履行社会责任,服务好每一位乘客、司机师傅和合作伙伴,实现企业安全健康可持续发展。”
经查明,此次处罚主要针对16项违法事实,主要涉及8个方面:
1. 违法收集用户手机相册中的截图信息;
2. 过度收集用户剪切板信息、应用列表信息;
3. 过度收集乘客人脸识别信息、年龄段信息、职业信息、亲情关系信息、“家”和“公司”打车地址信息;
4. 过度收集乘客评价代驾服务时、App后台运行时、手机连接桔视记录仪设备时的精准位置(经纬度)信息;
5. 过度收集司机学历信息,以明文形式存储司机身份证号信息;
6. 在未明确告知乘客情况下分析乘客出行意图信息、常驻城市信息、异地商务/异地旅游信息;
7. 在乘客使用顺风车服务时频繁索取无关的“电话权限”;
8. 未准确、清晰说明用户设备信息等19项个人信息处理目的。
此次网络安全审查相关行政处罚,较一般的行政处罚有较强的特殊性。从违法行为的危害看,使用违法手段收集用户剪切板信息、相册中的截图信息、亲情关系信息等个人信息,已涉及侵犯用户隐私、侵害用户个人信息权益。从违法处理个人信息的数量看,违法处理个人信息达647.09亿条,数量巨大,其中包括人脸识别信息、精准位置信息、身份证号等多类敏感个人信息。从违法处理个人信息的情形看,违法行为涉及多个App,涵盖过度收集个人信息、强制收集敏感个人信息、App频繁索权、未尽个人信息处理告知义务、未尽网络安全数据安全保护义务等多种情形。
综合考虑违法行为的性质、持续时间、危害及情形,相关行政处罚的决定主要是依据《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等有关规定。
数据安全已上升至国家安全
一直以来,习总书记高度重视我国数据安全工作,强调“要切实保障国家数据安全。要加强关键信息基础设施安全保护,强化国家关键数据资源保护能力,增强数据安全预警和溯源能力。” 近年来,国家不断加强对网络安全、数据安全、个人信息的保护力度,《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》《网络安全审查办法》《数据出境安全评估办法》等法律法规的先后颁布,无一不彰显出国家对数据安全监管政策落地的力度与决心。
依法治网,高悬“正义剑”。此后,针对企业网络安全审查问题,网信部门将依法加大网络安全、数据安全、个人信息保护等领域执法力度,通过执法约谈、责令改正、警告、通报批评、罚款、责令暂停相关业务、停业整顿、关闭网站、下架、处理责任人等处置处罚措施,依法打击危害国家网络安全、数据安全、侵害公民个人信息等违法行为,切实维护国家网络安全、数据安全和社会公共利益,有力保障广大人民群众合法权益。同时,教育引导互联网企业依法合规运营,制定有效的响应预案机制,促进企业健康规范有序发展。
互联网企业如何制定有效的合规响应预案
国家监管层面近两周监管问题分布:
问题分类 |
App数量 |
违规收集个人信息 |
42 |
违规使用个人信息 |
17 |
强制用户使用定向推送功能 |
12 |
APP强制、频繁、过度索取权限 |
8 |
超范围收集个人信息 |
7 |
欺骗误导用户下载APP |
3 |
应用分发平台上的APP信息明示不到位 |
1 |
总计 |
90 |
针对上述违规问题分析,梆梆安全建议互联网企业、App开发者、运营商重点应聚焦如下方面,重点保障下述维度合法合规:
做好个人信息收集处理活动,要依据场景合理及必要性,不过度索取权限或采集个人信息;
做好个人信息合法使用处理活动,遵循最小必要原则及对个人权益影响最小原则;
保障个人信息收集、使用最小必要权限,及满足同步告知要求;
处理敏感个人信息时,要充分告知及明示,并征得用户同意;
如涉及数据共享,则需要征求用户同意,并在涉及到数据出境,应满足对应要求(个保法数据出境要求、数据出境评估办法等);
需要满足个人信息主体六大权利保障和落地:知情权、决定权(限制权、拒绝权)、可携带权、更正权、删除权、解释权。
梆梆安全助力企业合规
针对当前移动应用合规问题日益突出且不断变化的情况,安全服务是当前行业内开展APP隐私合规工作的主要方式,纯自动化产品的准确率还无法达到商业化的水平,仍然存在需要突破的技术瓶颈和现实问题。当前梆梆安全的APP隐私合规解决方案主要以“服务+产品”的形式交付,依托服务输出为主,根据用户行业安全监管要求,帮助企业在监管部门检查前自查自纠,提前发现问题,确保其符合行业安全合规、个人信息合规要求。
梆梆安全从业数据安全服务已有10余年,针对数据安全可以提供以下服务:
个人信息合规评估与咨询服务
个人信息保护体系建设咨询服务
个人信息及数据安全合规赋能培训服务
数据出境安全评估及咨询服务
数据安全合规审计服务
GDPR合规咨询服务
数据安全合规讲座
数字化改革的深入推进,大大加速了数据价值的释放与凸显,数据安全直接关乎国家安全,已逐渐成为企业经营发展过程中关注的重点。企业数据的安全合规管控,是数字化时代企业创新发展的必然选择。基于APP全生命周期安全管控的基础上,梆梆安全的产品与服务已经横向覆盖了APP合规检测、APP威胁检测、应急处置、安全开发、API安全检测、风险评估、数据合规治理等领域,能够有效解决用户从APP开发到运营的全生命周期安全需求。
“合规即发展”。依法依规企业运营既是数字时代的发展要求,也是梆梆安全科技工作者秉持的坚定信条。未来,梆梆安全将联动移动安全和物联网安全的“一体两翼”业务体系,以“时代之企业”标准严格自律,全力服务广大客户,坚持在数据领域合规及个人信息保护领域持续发力。
Copyright ©2022. All Rights Reserved 京ICP证160618号 京ICP备11006574号-1