滴滴被罚80.26亿!企业该如何确保“合规不踩线”?

VSole2022-07-21 17:51:43

7月21日,据“网信中国”消息,国家互联网信息办公室依据《网络安全法》、《数据安全法》、《个人信息保护法》、《行政处罚法》等法律法规,对滴滴全球股份有限公司处人民币80.26亿元罚款,对滴滴全球股份有限公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款。

滴滴出行第一时间通过官方微博进行了回应,表示“全面深入自查,积极配合监管,认真完成整改”,并承诺“将引以为戒,坚持安全与发展并重,进一步加强网络安全、数据安全建设,加强个人信息保护,切实履行社会责任,服务好每一位乘客、司机师傅和合作伙伴,实现企业安全健康可持续发展。”

奇安信集团旗下奇安盘古隐私安全负责人赵帅对此表示,滴滴被罚80.26亿元,堪称国内个人信息保护的首单顶格处罚案例,也体现了“合规不踩线”是企业经营的基石之一。

此前,对个人信息问题比较普遍的惩罚措施是通报和下架,根据工业和信息化部的数据,我国累计通报、下架违法违规APP近3000款,有力遏制了APP侵害用户权益的违规行为。而此次高达80.26亿元的罚款,体现了国家对个人信息保护突出问题整治力度的升级,也标志着我国的网络安全治理在依法有序进行。

赵帅认为,根据国家互联网信息办公室公布的信息来看,滴滴这起案例,具有几方面的典型特征。

首先是本次案件涉及到的数据量非常巨大,类型多样。

据悉,滴滴案例中关于违法收集用户手机相册中的截图信息1196.39万条;过度收集用户剪切板信息、应用列表信息83.23亿条;过度收集乘客人脸识别信息1.07亿条、年龄段信息5350.92万条、职业信息1633.56万条、亲情关系信息138.29万条、“家”和“公司”打车地址信息1.53亿条,以明文形式存储司机身份证号信息5780.26万条,在未明确告知乘客情况下分析乘客出行意图信息539.76亿条、常驻城市信息15.38亿条、异地商务/异地旅游信息3.04亿条……涉及到数据量最高达几百亿,涉及类型覆盖身份信息、年龄、职业、亲情关系等多个维度,对个人隐私安全造成的威胁及严重后果难以估量。

其次是滴滴违法违规行为与个人隐私安全,乃至国家安全紧密相关。

据悉,滴滴公司存在的16项、8个方面违法事实中,涉及到了违法、过度收集的个人隐私信息,涉及人脸数据、年龄、职业、亲情关系、家庭住址、定位、学历等多个维度,这些过度收集的个人信息可对用户进行精准画像,一旦被滥用、泄漏,可严重威胁个人财产安全。另一方面,网络安全审查还发现,滴滴公司存在严重影响国家安全的数据处理活动,这些违法违规运营给国家关键信息基础设施安全和数据安全带来严重安全风险隐患。 

第三,滴滴在数据收集使用环节存在大量违法违规事实。

在权限收集方面,滴滴存在过度索权的行为,在乘客使用顺风车服务时频繁索取无关的“电话权限”;在数据收集方面,存在大量违法违规收集个人隐私数据行为,包括过度收集乘客评价代驾服务时、App后台运行时、手机连接桔视记录仪设备时的精准位置(经纬度)信息等;在数据处理方面,部分数据未准确、清晰说明处理目的,包括用户设备信息等19项个人信息;在数据使用方面,在未明确告知乘客情况下,分析乘客出行意图常驻城市信息、异地商务/异地旅游信息等。

值得关注的是,滴滴的主要违法行为涉及多个App,涵盖过度收集个人信息、强制收集敏感个人信息、App频繁索权、未尽个人信息处理告知义务、未尽网络安全数据安全保护义务等多种情形,充分反映了滴滴旗下多款App违法违规收集个人信息的事实。

因此,奇安盘古建议,数字经济时代,数据作为核心生产要素,涉及个人、企业甚至国家秘密,一旦泄露将造成难以承受的后果,数据的合规治理十分重要。

◆企业首先要满足政府监管;

第二要自查自测发现问题;

第三对各个方面发现的问题及时的整改;

第四,在遵守国家数据保护、隐私保护法律的前提下促进企业的发展。

目前,奇安盘古先后推出了隐私卫士、移动应用监测平台等并配以相应的服务支撑能力,具备了对安卓App、iOS App、小程序、IoT设备等进行隐私合规检测与分析能力,并形成了完善的APP隐私保护机制,可以为各类合规需求方提供共同协作的平台。

近3年来,奇安盘古隐私卫士团队为相关部门、研究机构、企业在个人信息保护及App综合治理方面提供了全方位高质量的技术支撑,帮助各方发现合规隐患并制定整改方案,对推动个人信息保护及App综合治理工作起到了重要作用。

网络安全移动互联网
本作品采用《CC 协议》,转载必须注明作者和本文链接
与个人消费者移动应用相比,企业移动应用的显著特点是业务本身的敏感性,特别是企业敏感程度较高的办公类、生产类、销售类应用,其业务更需要严格保护。由于企业移动业务的重要性和特殊性,其面临的安全风险将比公众移动网络更加突出和严峻,一旦遭受攻击其影响和后果将非常严重。
1月10日,由公安部网络安全保卫局指导、人民网和中国信息通信研究院联合主办、巨掌互动科技协办的首届移动互联网应用安全发展峰会在人民日报社新媒体大厦举行。本届峰会以“5G互联 安全先行”为主题。中国工程院院士倪光南在题为《关于互联网安全的探讨》的主旨演讲中表示,我国移动通信发展5G,基本上做到了核心技术和资源不受制于人,网络风险基本可控。但互联网技术体制方面有待创新,网络安全需求也有待于整体进行全面
中国互联网络信息中心《第49次中国互联网络发展状况统计报告》显示,截至2021年12月,有22.1%的网民遭遇个人信息泄露。
关于发布《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南》的通知 信安秘字[2020] 40号 各有关单位: 为落实《网络安全法》相关要求,围绕中央网信办、工信部、公安部、市场监管总局联...
为深入贯彻落实《网络产品安全漏洞管理规定》,支撑国家移动互联网APP产品安全漏洞管理工作,挖掘深层次的网络产品安全漏洞管理重难点问题,引导各单位建设规范有序的漏洞发现、收集、验证、修补等漏洞管理机制,切实帮助各单位完善和优化漏洞管理工作,防范网络产品安全风险。
最新研究表明,移动网络运营商(MNOs)使用的现代通信协议中的高影响力漏洞可以被用来拦截用户数据并进行假冒欺诈和拒绝服务(DoS)攻击。 这项发现是伦敦网络安全公司Positive Technologies上周发布的《2020年LTE和...
为了进一步规范移动互联网应用程序信息服务管理,促进行业健康有序发展,保障公民、法人和其他组织的合法权益,营造清朗网络空间,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《互联网信息服务管理办法》《网络信息内容生态治理规定》等法律规定,国家互联网信息办公室对2016年8月1日正式施行的《移动互联网应用程序信息服务管理规定》进行了修订,现向社会公开征求意见
App超范围收集用户个人信息问题十分突出。为聚焦解决App超范围收集个人信息问题,规范收集个人信息活动,国家互联网信息办公室会同工业和信息化部、公安部、国家市场监督管理总局联合制定实施该《规定》。
VSole
网络安全专家