7月21日,国家互联网信息办公室依据《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等法律法规,对滴滴全球股份有限公司处人民币80.26亿元罚款,对滴滴全球股份有限公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款。
滴滴天价被罚案是国家互联网信息办公室对滴滴全球股份有限公司16项违法事实,即8个方面违反《网络安全法》《数据安全法》《个人信息保护法》的违法违规行为作出的行政处罚。其处罚数额之高、处罚力度之大史无前例。通过滴滴天价处罚案,可以看出随着近年多项网络安全、数据保护相关法律法规出台,国家加大对危害网络安全、数据安全、个人信息保护的力度,银行金融机构作为收集处理大量用户个人信息的数据密集型机构,应在充分认识滴滴公司违法行为基础上“以案为鉴”,吸取经验,把握行业数据合规管理新趋势。
一、“滴滴天价被罚案”法律分析
根据国家互联网信息办公室公布的信息,滴滴公司存在的违法事实主要包括:
通过一览表可以看出,滴滴公司在收集、处理、运用数据信息过程中已严重违反《网络安全法》《数据安全法》《个人信息保护法》等法律法规。
(一)违法、过度收集用户个人信息,严重损害用户个人信息保护权益
《个人信息保护法》第六条明确规定“处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。”滴滴公司作为个人信息处理者,收集用户个人信息应当仅限处理目的的最小范围,即在实现其个人信息处理目的前提下选择对个人权益影响最小的方式,且收集的个人信息保存期限应当为实现个人信息处理目的的最短时间,不得过度收集用户个人信息。从滴滴公司的违法事实来看,作为拥有网约车、顺风车、两轮车、造车等多条境内业务线和包括滴滴出行、滴滴车主、滴滴顺风车等41款APP的企业,收集用户个人信息时违法收集用户相册截图信息,过度收集用户剪切板信息、应用列表信息、人脸识别信息,用户年龄段、职业、亲情关系、“家”和“公司”打车地址信息,乘客评价代价服务时、APP后台运营时、手机连接桔视记录仪设备时的精确位置信息,以及滴滴车主的学历信息、身份证号,严重违反《个人信息保护法》第六条规定的收集个人信息必要性原则。同时,滴滴公司无法准确、清晰说明用户设备信息等19项个人信息处理的目的,也违反了《个人信息保护法》第六条中处理个人信息目的应当明确、合理的规定。
(二)处理用户敏感个人信息违反个人信息保护核心规则:“告知+同意”规则
根据国家互联网信息办公室公布的信息显示,滴滴公司的违法事实包括“过度收集乘客人脸识别信息1.07亿条,‘家’和‘公司’打车地址信息,过度收集乘客评价代价服务时、APP后台运营时、手机连接桔视记录仪设备时的精确位置信息1.67亿条”。《个人信息保护法》第二十八条、第二十九条明确规定了对于生物识别、行踪轨迹等敏感个人信息的处理,应当取得个人的单独同意,即个人信息处理者收集敏感个人信息时需明确、清晰告知用户,并取得用户的单独同意后才能处理。而滴滴公司未向用户履行“告知+同意”义务,违法处理用户人脸识别信息、轨迹等敏感信息,严重违反了《个人信息保护法》的规定。同时,对于滴滴公司合法收集、处理的敏感个人信息,应当在处理目的实现或不能实现的前提下对敏感个人信息及时“脱敏”,通过对信息进行去标识化和匿名化处理方式“脱敏”,最大程度保护用户个人信息权益及自我权益。
(三)违反法律规定利用大数据自动化决策向用户提供差别化待遇
《个人信息保护法》第二十四条明确规定个人信息处理者通过自动化决策向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。而滴滴公司利用其收集的用户出行信息,在未明确告知乘客情况下分析乘客出行意图信息、常驻城市信息、异地商务/异地旅游信息高达558.08亿条,向用户推送出行意图信息、常驻城市信息、异地商务/异地旅游信息等,已构成利用其收集的用户个性化信息向用户提供具有个人特征的选项和方式,违反了法律的明确规定。
(四)非法获取无关数据严重损害国家及个人正当利益
根据国家互联网信息办公室公布的信息显示,滴滴公司存在“在乘客使用顺风车服务时频繁索取无关的‘电话权限’,过度收集乘客评价代价服务时、APP后台运营时、手机连接桔视记录仪设备时的精确位置信息1.67亿条”等违法事实,《网络安全法》《数据安全法》相关规定了“任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据”,滴滴公司还存在严重影响国家安全的数据处理活动,给国家关键信息基础设施安全和数据安全带来严重安全风险隐患。
总之,“滴滴天价被罚案”反映出滴滴公司在用户个人信息收集与处理、数据安全与存储、数据自动化决策等方面存在的缺陷和短板,究其根源,企业数据合规管理的严重缺位是导致其产生违法行为、受到行政处罚的关键。体现在企业虽设立了信息与数据安全委员会、个人信息保护委员会及数据安全委员会对具体业务进行决策指导、监督管理,但是各委员会仅依据企业内部制定的规范制度,并未依据相关法律法规的具体规定进行数据合规管理,导致企业数据合规管理与相关法律法规严重脱节。
二、企业数据合规管理
企业数据合规管理是指企业为实现数据安全、网络安全、个人信息及隐私保护进行的一系列管理活动。其内涵为企业数据的收集、使用、共享、传输、披露、存储、删除等活动,应当符合相关法律法规、部门规章、行业标准等规范。强化企业数据合规管理,对于规避企业经营风险、提升数据安全等具有重大意义。企业数据合规管理主要包括数据分级分类保护制度、数据全流程安全管理制度、数据内部操作规程的建立、数据风险监测、应急预案的设置以及员工培训等内容。通过”滴滴天价处罚案”等案件的惩处,反映出企业数据合规管理的严重缺位,应当引起足够重视。
三、银行金融机构数据合规管理新趋势
近年来,《数据安全法》《个人信息保护法》相继出台,国家持续加大对个人信息权益、数据安全保护力度,个人信息、数据安全保护原则的制定、标准的确定,惩处后果的明确,更是对信息数据处理者依法合规保护个人信息及数据安全提出了更高的要求。银行金融机构银行金融机构作为处理客户信息的数据密集型机构,更应将用户个人信息安全保护及数据安全作为自身发展的内在要求以及数据合规管理的重中之重。
(一)重视用户个人信息收集阶段,“最小必要”是关键
从“滴滴天价被罚案”违法事实来看,其中一半为过度收集了用户个人信息,违反了《个人信息保护法》第六条规定的“最小必要原则”,即“处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。”建议银行金融机构重视用户个人信息收集阶段,采取对个人权益影响最小的方式收集与处理目的直接相关、限于实现处理目的最小的范围的用户个人信息,同时,收集的个人信息保存期限应当为实现个人信息处理目的的最短时间,以确保用户信息收集合法合规。
(二)严格遵循“告知+同意”原则处理敏感个人信息
《个人信息保护法》明确规定,敏感个人信息是一旦泄露或者非法使用容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。处理以上敏感个人信息应当遵循“告知特定目的和充分必要性+单独同意”原则,即敏感个人信息的处理应当取得个人的单独同意,并且只有在具有特定目的和充分必要性,并采取严格保护措施的情形下,个人信息处理者才可处理敏感个人信息。
银行金融机构在处理包括金融账户(应当包括银行账户、期货账户及与其相关的信息等)、生物识别、特定身份、行踪轨迹等敏感个人信息时,应在充分理解“告知特定目的和充分必要性+单独同意”原则的基础上,针对需要用户授权的敏感个人信息数据处理活动,制定专门的授权同意文本,在用户实际触发相关业务时能够采取单独同意的机制,例如,可通过纸质文件、邮箱推送、跳转链接、界面弹窗等方式充分告知用户,并设置强制阅读停留、用户主动点击确认、文件签署上传等同意模式,确保敏感个人信息处理活动获得用户自主、明确的同意决定。银行金融机构应强化对包括C3类别敏感度最高的用户信息在内各类信息的保护措施,强化管理策略,防止敏感个人信息泄露或被非法使用。
(三)强化数据安全与存储,及时“脱敏”处理
银行金融机构作为数据收集处理及存储的密集型机构,确保数据安全与存储十分重要。对于用户个人信息及存储的数据信息,在保证收集、处理阶段合法合规的基础上,应当关注信息及数据存储阶段的合法合规。
银行金融机构对用户个人信息及数据进行存储时,应当对收集和处理的敏感个人信息进行“脱敏”处理,主要包括“去标识化”和“匿名化”两种方式。根据《个人信息安全规范》和《信息安全技术个人信息去标识化指南》规定,去标识化技术主要包括统计技术、密码技术、抑制技术、假名化技术、泛化技术、随机化技术和数据合成技术等,通过对敏感个人信息及数据采取去标识化处理,达到个人信息“脱敏”的效果。此外,对于用户个人信息及数据的存储,还可通过制定内部管理制度和操作规程、对个人信息实行分类管理、合理确定个人信息处理的操作权限、定期对从业人员进行安全教育和培训等多种方式实现。
(四)强化法律意识,依法合规践行
通过对“滴滴天价处罚案”中违法事实、适用法律及法律后果的深入分析,滴滴公司在用户个人信息保护领域法律意识淡薄,并未形成成熟且具有可操作性的用户个人信息保护机制。其次,《个人信息保护法》第六十六条明确规定“有前款违法行为情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万以下或者上一年度营业额百分之五以下罚款...对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款...”可以看出国家相关部门对违反个人信息收集、处理相关规定惩处力度空前,作为数据收集与处理的机构,银行金融机构应“以案为鉴”,全面提升用户个人信息保护法律意识、规则意识,确保数据存储及个人信息保护领域的依法合规运行。
(五)细化数据分级分类保护制度及操作规程建设
数据分级分类保护制度及操作规程是银行在不违反反洗钱义务的前提下,将用户个人信息设置分级分类调取的权限与使用范围,制定专门的授权审批流程,设立明确、合规的客户个人信息保护操作规程。通过对已建立的数据分级分类保护制度及操作规程进行细化,明确数据的重要性及优先性,对用户个人信息的收集、传输、存储、使用、删除等环节提出具体的保护要求,细化涉及用户个人信息保护相关业务的业务范围、业务操作规范、操作程序等,保证用户个人信息保护的标准、统一、合规。
四、总结
“滴滴天价处罚案”中体现的相关法律问题,反映出滴滴公司在数据合规管理领域的严重缺位,作为用户个人信息收集处理及数据存储安全密集型机构,银行金融机构应“以案为鉴”,重视数据合规管理的新趋势,即重视用户个人信息收集阶段,坚持“最小必要原则”;处理敏感个人信息时,建议严格遵循“告知+同意”原则处理敏感个人信息;存储用户个人信息及数据时,及时对敏感数据进行“脱敏”处理;建议强化行内用户个人数据信息收集、处理、存储法律意识,坚持依法依规建行;细化数据分级分类保护制度及操作规程建设。相信通过及时、深入了解银行金融机构数据合规管理的新趋势,银行金融机构能够抓住个人信息保护及数据安全管理的关键,强化认识,将依法合规建行推进到更高水平!