滴滴数据合规8宗罪,灵工平台占8成

来源:日期:2022/08/05 浏览:180

2022年7月21日,对于滴滴公司的网络安全审查终于“靴子落地”,国家互联网信息办公室对滴滴公司处80.26亿元罚款,对董事长兼CEO程维、总裁柳青各处100万元罚款。

滴滴公司究竟是因为哪些数据违规行为被处于巨额罚款?对于同样需要处理大量数据的灵工平台而言,滴滴案又有何警醒意义?我们梳理了滴滴公司数据违规8宗罪,发现灵工平台可能会涉及到其中8成的数据违规行为,如因违反数据安全及个人信息保护义务被处以高额罚款,对于灵工平台将是巨大打击。

一、8宗罪:滴滴公司数据违法行为有哪些

根据网信办公开信息显示,滴滴公司共存在16项违法事实,归纳起来主要是8个方面:

序号

内容

1

违法收集用户手机相册中的截图信息1196.39万条

2

过度收集用户剪切板信息、应用列表信息83.23亿条

3

过度收集乘客人脸识别信息1.07亿条、年龄段信息5350.92万条、职业信息1633.56万条、亲情关系信息138.29万条、“家”和“公司”打车地址信息1.53亿条

4

过度收集乘客评价代驾服务时、App后台运行时、手机连接桔视记录仪设备时的精准位置(经纬度)信息1.67亿条

5

过度收集司机学历信息14.29万条,以明文形式存储司机身份证号信息5780.26万条

6

在未明确告知乘客情况下分析乘客出行意图信息539.76亿条、常驻城市信息15.38亿条、异地商务/异地旅游信息3.04亿条

7

在乘客使用顺风车服务时频繁索取无关的“电话权限”

8

未准确、清晰说明用户设备信息等19项个人信息处理目的

可见,滴滴公司的数据违规行为主要集中在数据收集阶段违背告知同意、最小必要等原则,违法收集、过度收集个人信息或索取权限;以及在数据存储阶段未采取加密、去标识化等安全技术措施,以明文形式储存敏感个人信息(身份证号)。

二、警钟响:灵工平台常见的数据违规行为

从滴滴案中可以看出,网信部门在不断加大网络安全、数据安全、个人信息保护等领域执法力度,灵工平台虽会处理大量的个人信息,但对数据安全方面并未予以足够的重视,存在许多数据安全问题,。(其他灵工平台常见的数据违规行为及解决方案,详见本团队文章如上述滴滴数据违规8宗罪,其中第1(违法收集个人信息)、2(过度收集个人信息)、3(过度收集人脸等敏感个人信息)、5(过度收集+违规储存)、7(索取无关权限、过度收集个人信息)、8(未明确告知个人信息处理目的)条灵工平台都可能触犯,总体占比约为8成《灵工平台面临的主要数据合规问题》《灵工平台的数据合规解决方案》)

1.违法收集:未取得用户明示同意而收集

未经明示同意收集个人信息。《隐私政策》是平台与用户的重要交互界面,用户可以通过勾选《隐私政策》的方式表示同意平台处理其个人信息。目前,虽然大部分灵工平台公示了相关的隐私政策,但往往是借鉴其他平台的《隐私政策》内容,并未根据自身平台功能及数据收集使用规则进行个性化的调整,更有甚者会采取默认勾选或在用户同意《隐私政策》之前就收集个人信息,构成未取得用户同意而违法收集个人信息情形。

未经单独同意收集敏感个人信息。若灵工平台需要收集银行账号、身份证号、人脸信息等敏感个人信息,应当取得用户的单独同意,而大部分灵工平台尚未做到这一点。

对应滴滴数据违规行为:第1条违法收集用户手机相册中的截图信息1196.39万条。

2.过度收集:超出最小必要范围而收集

超范围收集个人信息。为从源头上遏制互联网平台超范围收集个人信息,降低信息泄露风险,《个信法》规定个人信息处理应遵循最小必要原则。然而实践中,大量灵工平台收集的个人信息与实现自身业务功能无明确关联,如收集无关的学历信息、年龄段信息职业信息等,甚至强制要求用户提供人脸信息,违背最小必要原则,构成过度收集行为。

要求打开与现有业务功能无关的权限。许多灵工平台会要求用户打开与业务功能无关的权限,如电话、短信、相机权限等,构成过度收集行为。

对应滴滴数据违规行为:第2条过度收集用户剪切板信息、应用列表信息83.23亿条;第3条过度收集乘客人脸识别信息1.07亿条、年龄段信息5350.92万条、职业信息1633.56万条、亲情关系信息138.29万条、“家”和“公司”打车地址信息1.53亿条;第5条第1点过度收集司机学历信息14.29万条;第7条在乘客使用顺风车服务时频繁索取无关的“电话权限”。

3.未明确告知用户个人信息处理目的

如同我们在“1.违法收集:未取得用户明示同意而收集”分析的,许多灵工平台的《隐私政策》内容与平台功能和数据收集使用规则并不匹配,可能存在收集某类个人信息,却未向用户告知这类个人信息的处理目的的情形。

对应滴滴数据违规行为:第8条未准确、清晰说明用户设备信息等19项个人信息处理目的。

4.违规储存:未采取相应的安全技术措施

为便于后续的数据调用、便捷交易,灵工平台往往会储存大量个人信息,包括身份证号、银行卡号等敏感个人信息,但往往未实现分级储存,亦没有采取加密、去标识化等相应的安全技术措施。

对应滴滴数据违规行为:第5条第2点以明文形式存储司机身份证号信息5780.26万条。

具体我们总结如下表所示:

序号

要点

灵工平台常见数据违规行为

滴滴公司数据违规行为

1

违法收集:未取得用户明示同意而收集

1)未经明示同意收集个人信息:如未按照系统功能调整隐私政策,或默认勾选同意隐私政策

2)未经单独同意收集敏感个人信息:收集银行账号、身份证号、人脸信息等敏感个人信息未取得单独同意

第1条违法收集用户手机相册中的截图信息1196.39万条

2

过度收集:超出最小必要范围而收集

1)收集与实现自身业务功能无明确关联的个人信息,如收集无关的学历信息、职业信息等,甚至强制要求用户提供人脸信息

2)要求打开与现有业务功能无关的权限

第2条过度收集用户剪切板信息、应用列表信息83.23亿条

第3条过度收集乘客人脸识别信息1.07亿条、年龄段信息5350.92万条、职业信息1633.56万条、亲情关系信息138.29万条、“家”和“公司”打车地址信息1.53亿条

第5条第1点过度收集司机学历信息14.29万条

第7条在乘客使用顺风车服务时频繁索取无关的“电话权限”

3

未明确告知用户个人信息处理目的

收集某类个人信息,却未向用户告知这类个人信息的处理目的

第8条未准确、清晰说明用户设备信息等19项个人信息处理目的

4

违规储存:未采取相应的安全技术措施

储存个人信息(包括敏感个人信息)未实现分级储存,未采取加密、去标识化等相应的安全技术措施

第5条第2点以明文形式存储司机身份证号信息5780.26万条。

三、合规路:灵工平台如何打造数据安全体系

滴滴案的巨额罚款给灵工平台敲响了数据合规的警钟,我们建议,灵工平台应建立“个人信息保护合规环”,由内而外地贯彻个人信息保护措施,以实现“自证清白”(详见本团队文章《个人数据“丢失”,平台如何“自证清白”》):

(1)内核层:建立内部数据合规/个人信息保护管理制度+设置数据安全及/或个人信息保护负责人+具备对应认证资质

灵工平台可考虑请获得数据安全合规管理相应认证资质(如ISO27001信息安全管理体系认证、网络安全等级保护等资质),以此来证明其已建立起一整套个人信息安全合规管理体系。

除数据合规相关资质外,灵工平台也可以考虑获得ISO37301合规管理体系认证,通过建设整体的合规管理体系,对外彰显自身具备的完善管理能力。

(2)中间层:与中立专业第三方机构建立集合规合作、安全评估及合规审计于一体的全方位合作

根据《个信法》的规定,当发生处理敏感个人信息等情形时,平台应当事先进行个人信息保护影响评估。个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。

考虑到灵工平台处理大量敏感个人信息,可以委托专业第三方机构开展个人信息保护影响评估、进行合规审计,以此表明其个人信息处理的合法、正当、必要性。

(3)外部层:制定完备的隐私政策+嵌入系统功能设置+制定并组织实施应急预案

隐私政策是灵活用工平台对外展示自身数据安全及合规路径的重要抓手。从实用角度而言,不合格的隐私政策将导致灵活用工平台面临被下架的风险。若想写好一份隐私政策,灵活用工平台应当把握以下要点:第一,列明不同业务功能下个人信息收集使用规则。第二,明确数据共享等处理规则。第三,明确平台数据安全保护措施。第四,明确灵工人员就其个人数据享有的权利。

当然,仅仅提供一份“完美的隐私政策文本”并不足够,更重要的是隐私政策的内容能够真正匹配对应到灵工平台系统设置,从个人信息的收集、共享、传输、转让、存储、删除等环节,将个人信息保护规则一一落到实处,切忌将隐私政策落成一纸空文。

(更多灵工平台如何打造数据合规体系方案,详见本团队文章《灵活用工平台如何打造数据安全合规体系(上)——自身定位的责任厘清》《灵活用工平台如何打造数据安全合规体系(中)——风险评估与数据安全管理制度》《灵活用工平台如何打造数据安全合规体系(下)——数据安全应当责任到人》)

四、结语

2021年全年,滴滴公司实现营业收入达1738.27亿元人民币,罚款80.26亿,占营业额的大约为4.6%,差不多是违反个人信息保护义务的“顶格罚”。在总包模式下的灵工平台,巨额“流水”与营业额之间是画等号的,一旦灵工平台发生违法处理个人信息的行为,将有可能触发高昂罚金(详见本团队文章《平台“流水”=营业额?5%的罚款在“窥视”》)。

前车覆,后车鉴,我们建议灵工平台主动建立“个人信息安全合规环”,完善平台内部个人信息安全及数据合规体系,合规经营,方能长久。

注释:

《国家互联网信息办公室有关负责人就对滴滴全球股份有限公司依法作出网络安全审查相关行政处罚的决定答记者问》

http://www.cac.gov.cn/2022-07/21/c_1660021534364976.htm

《个人信息保护法》第十三条符合下列情形之一的,个人信息处理者方可处理个人信息:(一)取得个人的同意……。

《个人信息保护法》第二十九条处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。

《个人信息保护法》第六条处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。

《App违法违规收集使用个人信息行为认定方法》四、以下行为可被认定为“违反必要原则,收集与其提供的服务无关的个人信息”1.收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关;……

《个人信息保护法》第十七条个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:(一)个人信息处理者的名称或者姓名和联系方式;(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;……

《个人信息保护法》第五十一条个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失:(一)制定内部管理制度和操作规程;(二)对个人信息实行分类管理;(三)采取相应的加密、去标识化等安全技术措施;(四)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;(五)制定并组织实施个人信息安全事件应急预案;(六)法律、行政法规规定的其他措施。

作者|德恒上海律师事务所

高亚平律师团队

0
安徽11选5平台,安徽11选5官网,安徽11选5网址,安徽11选5下载,安徽11选5app,安徽11选5开户,安徽11选5投注,安徽11选5购彩,安徽11选5注册,安徽11选5登录,安徽11选5邀请码,安徽11选5技巧,安徽11选5手机版,安徽11选5靠谱吗,安徽11选5走势图,安徽11选5开奖结果