滴滴被罚80.26亿!企业该如何确保“合规不踩线”?
7月21日,据“网信中国”消息,国家互联网信息办公室依据《网络安全法》、《数据安全法》、《个人信息保护法》、《行政处罚法》等法律法规,对滴滴全球股份有限公司处人民币80.26亿元罚款,对滴滴全球股份有限公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款。
滴滴出行第一时间通过官方微博进行了回应,表示“全面深入自查,积极配合监管,认真完成整改”,并承诺“将引以为戒,坚持安全与发展并重,进一步加强网络安全、数据安全建设,加强个人信息保护,切实履行社会责任,服务好每一位乘客、司机师傅和合作伙伴,实现企业安全健康可持续发展。”
奇安信集团旗下奇安盘古隐私安全负责人赵帅对此表示,滴滴被罚80.26亿元,堪称国内个人信息保护的首单顶格处罚案例,也体现了“合规不踩线”是企业经营的基石之一。
此前,对个人信息问题比较普遍的惩罚措施是通报和下架,根据工业和信息化部的数据,我国累计通报、下架违法违规APP近3000款,有力遏制了APP侵害用户权益的违规行为。而此次高达80.26亿元的罚款,体现了国家对个人信息保护突出问题整治力度的升级,也标志着我国的网络安全治理在依法有序进行。
赵帅认为,根据国家互联网信息办公室公布的信息来看,滴滴这起案例,具有几方面的典型特征。
首先是本次案件涉及到的数据量非常巨大,类型多样。
据悉,滴滴案例中关于违法收集用户手机相册中的截图信息1196.39万条;过度收集用户剪切板信息、应用列表信息83.23亿条;过度收集乘客人脸识别信息1.07亿条、年龄段信息5350.92万条、职业信息1633.56万条、亲情关系信息138.29万条、“家”和“公司”打车地址信息1.53亿条,以明文形式存储司机身份证号信息5780.26万条,在未明确告知乘客情况下分析乘客出行意图信息539.76亿条、常驻城市信息15.38亿条、异地商务/异地旅游信息3.04亿条……涉及到数据量最高达几百亿,涉及类型覆盖身份信息、年龄、职业、亲情关系等多个维度,对个人隐私安全造成的威胁及严重后果难以估量。
其次是滴滴违法违规行为与个人隐私安全,乃至国家安全紧密相关。
据悉,滴滴公司存在的16项、8个方面违法事实中,涉及到了违法、过度收集的个人隐私信息,涉及人脸数据、年龄、职业、亲情关系、家庭住址、定位、学历等多个维度,这些过度收集的个人信息可对用户进行精准画像,一旦被滥用、泄漏,可严重威胁个人财产安全。另一方面,网络安全审查还发现,滴滴公司存在严重影响国家安全的数据处理活动,这些违法违规运营给国家关键信息基础设施安全和数据安全带来严重安全风险隐患。
第三,滴滴在数据收集使用环节存在大量违法违规事实。
在权限收集方面,滴滴存在过度索权的行为,在乘客使用顺风车服务时频繁索取无关的“电话权限”;在数据收集方面,存在大量违法违规收集个人隐私数据行为,包括过度收集乘客评价代驾服务时、App后台运行时、手机连接桔视记录仪设备时的精准位置(经纬度)信息等;在数据处理方面,部分数据未准确、清晰说明处理目的,包括用户设备信息等19项个人信息;在数据使用方面,在未明确告知乘客情况下,分析乘客出行意图常驻城市信息、异地商务/异地旅游信息等。
值得关注的是,滴滴的主要违法行为涉及多个App,涵盖过度收集个人信息、强制收集敏感个人信息、App频繁索权、未尽个人信息处理告知义务、未尽网络安全数据安全保护义务等多种情形,充分反映了滴滴旗下多款App违法违规收集个人信息的事实。
因此,奇安盘古建议,数字经济时代,数据作为核心生产要素,涉及个人、企业甚至国家秘密,一旦泄露将造成难以承受的后果,数据的合规治理十分重要。
◆企业首先要满足政府监管;
◆第二要自查自测发现问题;
◆第三对各个方面发现的问题及时的整改;
◆第四,在遵守国家数据保护、隐私保护法律的前提下促进企业的发展。
目前,奇安盘古先后推出了隐私卫士、移动应用监测平台等并配以相应的服务支撑能力,具备了对安卓App、iOS App、小程序、IoT设备等进行隐私合规检测与分析能力,并形成了完善的APP隐私保护机制,可以为各类合规需求方提供共同协作的平台。
近3年来,奇安盘古隐私卫士团队为相关部门、研究机构、企业在个人信息保护及App综合治理方面提供了全方位高质量的技术支撑,帮助各方发现合规隐患并制定整改方案,对推动个人信息保护及App综合治理工作起到了重要作用。