滴滴事件背后的六大法律问题
作者:国家网络空间安全人才培养基地
浏览:
发表时间:2023-07-03 09:29:31
滴滴80.26亿罚单背后你不得不知道的六大法律问题
根据网络安全审查结论及发现的问题和线索,国家互联网信息办公室依法对滴滴全球股份有限公司涉嫌违法行为进行立案调查。经查实,滴滴全球股份有限公司违反《网络安全法》《数据安全法》《个人信息保护法》的违法违规行为事实清楚、证据确凿、情节严重、性质恶劣。
7月21日,国家互联网信息办公室依据《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等法律法规,对滴滴全球股份有限公司处人民币80.26亿元罚款,对滴滴全球股份有限公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款。
消息出来后,一时间引起社会各界的高度关注和激烈探讨。历时一年多的“滴滴大案”虽然已经“靴子落地”,大家心中仍然有诸多困惑,例如“为什么罚单是80.26亿?”、“网络安全审查流程是什么样的?为什么说滴滴对抗调查,阳奉阴违?”……
为解答大家的疑惑,我们总结了六大法律问题,并一一进行经验范围内的解答和科普。
01 为什么网络安全审查办公室进场审查后,由国家互联网信息办公室作出处罚?
根据《网络安全审查办法》(2022版)第4条规定:“在中央网络安全和信息化委员会领导下,国家互联网信息办公室会同中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局建立国家网络安全审查工作机制。
网络安全审查办公室设在国家互联网信息办公室,负责制定网络安全审查相关制度规范,组织网络安全审查。”
因此,根据《网络安全审查办法》规定,网络安全审查办公室是由网信委牵头领导,发改委、工信部、公安部等13个部门组成的执行网络安全审查的办事机构。但由于网络安全涉及网络技术问题,因此,具体的审查工作实际上“委托中国网络安全审查技术与认证中心承担。中国网络安全审查技术与认证中心在网络安全审查办公室的指导下,承担接收申报材料、对申报材料进行形式审查等任务。”
而根据《网络安全审查办法》第20条规定:“当事人违反本办法规定的,依照《中华人民共和国网络安全法》、《中华人民共和国数据安全法》的规定处理。”而查阅《中华人民共和国网络安全法》、《中华人民共和国数据安全法》会发现,前述两部法对于执法主体均用模糊的“有关主管部门”一笔带过,并未明确表示执法部门为国家互联网信息办公室。但根据本事件的处罚金额,笔者认为处罚依据应为《中华人民共和国个人信息保护法》第66条,即“有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。”
而所谓的“省级以上履行个人信息保护职责的部门”的具体规定则出现在《中华人民共和国个人信息保护法》第60条 “国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作。县级以上地方人民政府有关部门的个人信息保护和监督管理职责,按照国家有关规定确定。前两款规定的部门统称为履行个人信息保护职责的部门。”
因此,最终处罚作出主体为国家互联网信息办公室。
02 公司处罚金额为什么是“80.26亿”?个人处罚金额为什么是“100万元”?
根据官方报道,国家互联网信息办公室是依据《个人信息保护法》等法律法规,对滴滴全球股份有限公司处人民币80.26亿元罚款,对滴滴全球股份有限公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款。其中《中华人民共和国个人信息保护法》第66条规定“有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。”
根据国家互联网信息办公室有关负责人答记者问中所用表述“滴滴公司违反《网络安全法》《数据安全法》《个人信息保护法》的违法违规行为事实清楚、证据确凿、情节严重、性质恶劣,应当从严从重予以处罚”、“滴滴公司董事长兼CEO程维、总裁柳青,对违法行为负主管责任”、“滴滴公司违法违规行为情节严重,结合网络安全审查情况,应当予以从严从重处罚”可见其处罚力度较高,甚至有可能为顶格处罚。
从公开渠道检索发现,滴滴2021年全年实现营收1738.27亿元,按照营业额百分之五计算为86.9135亿,而滴滴事件处罚金额为80.26亿,符合《中华人民共和国个人信息保护法》第66条所述“上一年度营业额百分之五以下罚款”,其未按照顶格处罚不排除是滴滴公司游说的效果;董事长兼CEO程维、总裁柳青各处人民币100万元罚款,符合《中华人民共和国个人信息保护法》第66条所述“对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款”的顶格处罚。
03 滴滴被审查的可能原因是什么?
2021年7月2日晚间,网络安全审查办公室发布《网络安全审查办公室关于对“滴滴出行”启动网络安全审查的公告》,宣布对“滴滴出行”实施网络安全审查。虽然国家互联网信息办公室随即在2021年7月10日发布《网络安全审查办法(修订草案征求意见稿)》,但应确认网络安全审查办公室当时适用的是《网络安全审查办法》(2020年版)。
根据《网络安全审查办法》(2020年版)第2条规定:“关键信息基础设施运营者采购网络产品和服务,影响或可能影响国家安全的,应当按照本办法进行网络安全审查。”可以看出,网络安全审查办公室应该是将滴滴视为“关键信息基础设施运营者”,并认为滴滴“采购网络产品和服务,影响或可能影响国家安全”,进而主动发起网络安全审查。
那么延伸思考的问题有二:
01 滴滴为什么属于“关键信息基础设施运营者”?
根据《关键信息基础设施安全保护条例》第2条规定:“本条例所称关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。” 《网络安全审查办法》(2020年版)第20条进一步规定:“本办法中关键信息基础设施运营者是指经关键信息基础设施保护工作部门认定的运营者。”因此,结合滴滴的行业属性,笔者认为网络安全审查办公室应该是将滴滴认定为交通领域的关键信息基础设施的运营者。
02 滴滴采购的网络产品和服务,怎么就“影响或可能影响国家安全”?
根据《网络安全审查办法》(2020年版)第9条规定:“网络安全审查重点评估采购网络产品和服务可能带来的国家安全风险,主要考虑以下因素:
(一)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险;……(五)其他可能危害关键信息基础设施安全和国家安全的因素。”笔者认为,网络安全审查办公室大概率是以滴滴采购网络产品和服务可能导致“重要数据被窃取、泄露、毁损”为由,对其启动的网络安全审查。具体理由为:2020年11月23日美国证券交易委员会公司财务部(Corporation Finance Securities and Exchange Commission)在美国证券交易委员会(下称“SEC”)官网发布《中国发行人的信息披露考虑因素》一文,对中国公司赴美上市的整体披露事项,特别是网络安全事项做了较为详细的规定。2021年6月30日滴滴正式在美国纽交所低调上市,因上市需要,滴滴必然需要向美国SEC披露相关的网络安全数据,这将可能导致滴滴向外国政府部门披露大量中国交通领域的大量数据,“影响或可能影响国家安全”。于是在滴滴上市的第二天,也就是2021年7月2日,网络安全审查办公室立刻启动对滴滴的网络安全审查。
04 滴滴的调查结果与发起审查的动因是否一致?
根据官方报道披露,滴滴被处罚的原因在于其存在违法违规收集个人信息的问题,具体包括:
· 违法收集用户手机相册中的截图信息1196.39万条;
· 过度收集用户剪切板信息、应用列表信息83.23亿条;
· 过度收集乘客人脸识别信息1.07亿条、年龄段信息5350.92万条、职业信息1633.56万条、亲情关系信息138.29万条、“家”和“公司”打车地址信息1.53亿条;
· 过度收集乘客评价代驾服务时、App后台运行时、手机连接桔视记录仪设备时的精准位置(经纬度)信息1.67亿条;
· 过度收集司机学历信息14.29万条,以明文形式存储司机身份证号信息5780.26万条;
· 在未明确告知乘客情况下分析乘客出行意图信息539.76亿条、常驻城市信息15.38亿条、异地商务/异地旅游信息3.04亿条;
· 在乘客使用顺风车服务时频繁索取无关的“电话权限”;
· 未准确、清晰说明用户设备信息等19项个人信息处理目的。
可以看出,滴滴的调查结果和发起审查的动因是不一致的。结合本文第三问可以看出,根据《网络安全审查办法》(2020年版)的规定,网络安全审查办公室当时应该是将滴滴视为“关键信息基础设施运营者”,认为滴滴“采购网络产品和服务,影响或可能影响国家安全”,进而主动发起网络安全审查。而最终的调查结果是滴滴本身存在违规收集个人信息的问题,而非因“采购网络产品和服务”而导致“存在重要数据被窃取、泄露、毁损的风险”。
实际上,笔者认为网络安全审查办公室应该一开始就奔着滴滴可能违规收集个人信息的查处动因启动的网络安全审查,但苦于《网络安全审查办法》(2020年版)并未赋予其查处依据,只能转而先将滴滴视为“关键信息基础设施运营者”,以滴滴“采购网络产品和服务,影响或可能影响国家安全”为由发起网络安全审查。笔者的该点推论来自于网络安全审查办公室在2021年7月2日启动对滴滴的网络安全审查时,紧接着在一周后,国家互联网信息办公室迅速发布《网络安全审查办法(修订草案征求意见稿)》,增加了“数据处理者开展数据处理活动,影响或者可能影响国家安全的,应当按照本办法进行网络安全审查”,最终生效的《网络安全审查办法》修改为“网络平台运营者开展数据处理活动,影响或者可能影响国家安全的,应当按照本办法进行网络安全审查”,最终赋予了网络安全审查办公室对于“网络平台运营者开展数据处理活动”的审查权,随后生效的还包括《网络安全法》《个人信息保护法》等。
05 滴滴经历了哪些网络安全审查流程,为什么说其“阳奉阴违”?
《网络安全法》第35条规定:“关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。”该条款确立了网络产品和服务的安全审查制度。为细化网络产品和服务的安全审查制度,国家互联网信息办公室于2017年发布《网络产品和服务安全审查办法(试行)》,并于2020年和2022年分别修订发布了《网络安全审查办法》(2020版)和《网络安全审查办法》(2022版)(详见附件《<网络安全审查办法>重要修订的各版本比对表》)
无论是《网络安全审查办法》(2020版),还是《网络安全审查办法》(2022版),都对网络安全审查流程做了详细规定。结合滴滴事件,让我们一起看下滴滴到底经历了哪些网络安全审查流程:
一方面,《网络安全审查办法》(2020版)第5条规定:“运营者采购网络产品和服务的,应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查。” 《网络安全审查办法》(2022版)第7条规定:“掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。”
因此,笔者推断滴滴出现“阳奉阴违”、“恶意逃避监管”的首要问题点在于滴滴赴美上市未主动申报网络安全审查。不仅未主动申报网络安全审查,而且是低调筹备上市事宜。
另一方面,《网络安全审查办法》规定网络安全审查办公室可以主动发起审查通知,在向当事人发出书面通知之日起30个工作日内完成初步审查,包括形成审查结论建议和将审查结论建议发送网络安全审查工作机制成员单位、相关部门征求意见;情况复杂的,可以延长15个工作日(30日+15日)。网络安全审查工作机制成员单位和相关部门应当自收到审查结论建议之日起15个工作日内书面回复意见,意见不一致的,按照特别审查程序处理,并通知当事人。特别审查程序一般应当在90个工作日内完成,情况复杂的可以延长。
按照前述规定,初步审查时间(以情况复杂情况计)为45个工作日,回复意见时间为15个工作日,再加上按照特别审查程序处理的90个工作日,网络安全审查的最长期间应为150个工作日。滴滴事件中,网络安全审查办公室于2021年7月2日正式发布启动调查程序,于2022年7月21日对外发布调查结果,整个调查时间一年有余,显然超过正常的调查时间。可以看出,网络安全审查办公室在调查过程中应当是遇到了较多的阻碍,滴滴公司并未积极配合开展调查工作,以致于网络安全审查办公室不得不延长调查时间,这也正是国家互联网信息办公室有关负责人答记者问所述“……拒不履行监管部门的明确要求,阳奉阴违、恶意逃避监管等其他违法违规问题。滴滴公司违法违规运营给国家关键信息基础设施安全和数据安全带来严重安全风险隐患。”
06 为什么认定“滴滴全球股份有限公司”为违法主体?
根据本文第三问所述,网络安全审查办公室有可能援引《网络安全审查办法》(2020年版)第2条规定,将滴滴视为“关键信息基础设施运营者”。那么,为什么此处“关键信息基础设施运营者”指的是“滴滴全球股份有限公司”,而不是其境内的运营主体呢?
根据《关键信息基础设施安全保护条例》第2条规定“本条例所称关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。”第8条规定:“本条例第2条涉及的重要行业和领域的主管部门、监督管理部门是负责关键信息基础设施安全保护工作的部门。”由此可以看出关键信息基础设施保护工作部门主要包括公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的主管、监管部门,换言之,工信部、发改委、中国人民银行、银保监会、证监会等关键信息基础设施的保护部门,前述部门有权认定关键信息基础设施运营者的名单。
而正如《网络安全审查办法》(2020年版)第4条所述,国家网络安全审查工作机制正是由“国家互联网信息办公室会同中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局”组建而成,自然地,网络安全审查办公室作为前述部门的办事机构,应有权根据实际审查情况认定“滴滴全球股份有限公司”的违法主体身份。
退一步讲,如果网络安全审查办公室援引的是《网络安全审查办法》(2022年版)第2条规定,将滴滴视为“网络平台运营者”。那么,处罚主体是否还是 “滴滴全球股份有限公司”?《网络安全法》第76条第3款规定:“网络运营者,是指网络的所有者、管理者和网络服务提供者。”该条款虽然针对的仅是网络运营者,而非网络平台运营者,但结合《互联网平台分类分级指南(征求意见稿)》的相关定义和分类,大体可以知道网络平台运营者是指网络平台的所有者、管理者和网络服务提供者。而根据国家互联网信息办公室有关负责人答记者问所述“滴滴公司对境内各业务线重大事项具有最高决策权,制定的企业内部制度规范对境内各业务线全部适用,且对落实情况负监督管理责任。该公司通过滴滴信息与数据安全委员会及其下设的个人信息保护委员会、数据安全委员会,参与网约车、顺风车等业务线相关行为的决策指导、监督管理,各业务线违法行为是在该公司统一决策和部署下的具体落实”,因此综合认定为“滴滴全球股份有限公司”为本次处罚的违法主体。
从对滴滴出行审查和下架看个人信息保护跨境合规
来源:数字治理研究院
作者:张烽
2021年7月2日,网络安全审查办公室发布公告,为防范国家数据安全风险,维护国家安全,保障公共利益,依据我国《国家安全法》《网络安全法》,按照《网络安全审查办法》,对滴滴出行实施网络安全审查,公告没有说明审查的持续时间以及其他具体细节。2021年7月4日,国家互联网信息办公室发布通报,经检测核实,“滴滴出行”存在严重违法违规收集个人信息问题,根据《网络安全法》相关规定通知应用商店下架“滴滴出行”App。
滴滴出行在中国及15个国际市场提供服务,收集大量实时个人信息和移动数据,并将部分个人信息和数据用于自动驾驶技术和交通分析。 就在审查启动前两天的2021年6月30日,滴滴出行在纽约证券交易所上市首日,市值为684.9亿美元。
2021年6月就有报道称,滴滴出行正在接受国家市场监管机构的调查。滴滴出行于网络安全审查办公室发布公告的当天即7月2日表示,计划对网络安全风险进行全面检查,并将全力配合相关政府部门。据媒体消息,新加坡Aequita Research的苏米特·辛格(Sumeet Singh)7月3日称,“我不确定最终影响会是什么,但监管机构的打击一直是持续担忧,甚至在上市之前,滴滴就已经被监管机构问询了两次。”“这次阻止公司吸收新用户只要不持续太长时间,就不会对公司造成太大伤害,因为公司已经拥有超过80%的市场份额。”
7月3日,滴滴出行营销副总裁李敏在微博上发帖称,“和众多在海外上市的中国企业一样,滴滴国内用户的数据都存放在国内服务器,绝无可能把数据交给美国。另外,相关恶意造谣者虽然已经主动删帖,但我们坚决起诉维权”。除了用户数据, 网友还质疑道路数据是否已递交。李敏在最新回应中表示,他所称的数据“也包括道路数据”,并呼吁网友“不要恶意揣测”。
网络安全审查办公室和国家网信办对滴滴出行进行数据安全风险和个人信息收集等问题进行审查调查和将其App从应用商店下架这一事件,说明跨境数据安全、跨境个人信息保护合规已经成为越来越重要的问题。我们来简要分析企业应如何应对个人信息保护跨境合规问题,具体从分析个人信息安全保护措施入手,对出境合规操作要求进行分析,并对RCEP框架下的个人信息保护相关规定进行梳理。在个人信息保护合规中的一些特殊场景如对未成年人的保护、对金融活动中个人信息的保护等,我们将另行展开讨论。
一、个人信息保护跨境合规相关法律法规
我国《民法典》明确了个人信息受法律保护,并明确了个人的人格权、隐私权对保护,对信息处理的基本规则、网络平台和国家机关的个人信息保护义务进行了规定,确立了我国个人信息的民事保护基本框架。
《网络安全法》从网络安全角度,根据网络运行安全和信息安全的要求,对关键基础设施运营者和其他网络运营者的权利义务、法律责任进行了规定。推荐性国家标准《信息安全技术 个人信息安全规范》(2020年10月1日起实施)、《信息安全技术 个人信息安全影响评估指南》(2021年6月1日起生效)则提供了一系列个人信息保护的基本操作模式。
另外,即将实施的《数据安全法》、正在审议的《中华人民共和国个人信息保护法(草案二次审议稿)》(2021年)以及《个人信息和重要数据出具安全评估办法(征求意见稿)》(2017年)和《个人信息出境安全评估办法(征求意见稿)》(2019年)对个人信息和数据的出境进行了相应规定,也是我们进行分析和具体操作的重要参考依据。
总体而言,在从事数据出境相关业务时,我们需要在做好个人信息安全保护措施和制度的同时,注意进行个人信息安全风险评估和个人信息保护认证以及与境外接收方订立合同等合规操作方式,以符合相关的数据出境和个人信息保护要求。
二、个人信息安全保护基本措施和制度
个人信息安全保护基本措施和制度,既包括企业在日常运营中应该建立的措施和制度,也简要分析了在提供用户注册和智能推送中应遵循相关规则。
(一)具体措施
根据《中华人民共和国个人信息保护法(草案二次审议稿)》第五十一条规定:“个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人的影响、可能存在的安全风险等,采取必要措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露或者被窃取、篡改、删除:
1、制定内部管理制度和操作规程;
2、对个人信息实行分级分类管理;
3、采取相应的加密、去标识化等安全技术措施;
4、合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;
5、制定并组织实施个人信息安全事件应急预案;
6、法律、行政法规规定的其他措施。”
(二)人员管理与培训
根据《信息安全技术 个人信息安全规范》的规定,人员管理与培训包括以下部分。
1、应与从事个人信息处理岗位上的相关人员签署保密协议,对大量解除个人敏感信息的人员进行背景审查,以了解其犯罪记录、诚信状况等;
2、应明确内部涉及个人信息处理不同岗位的安全职责,建立发展安全事件的处罚机
3、应要求个人信息处理岗位上的相关人员在调离岗位或终止劳动合同时,继续履行保密义务;
4、应明确可能访问个人信息的外部服务人员应遵守的个人信息安全要求,与其签署保密协议,并进行监督;
5、应建立相应的内部制度和政策对员工提出个人信息保护的指引和要求;
6、应定期(至少每年一次)或在个人信息保护政策发生重大变化时,对个人信息处理岗位上的相关人员开展个人信息安全专业化培训和考核,确保相关人员熟练掌握个人信息保护政策和相关规程。
(三)安全审计
个人信息处理者应当定期对其个人信息处理活动、采取的保护措施等是否符合法律、行政法规的规定进行审计。履行个人信息保护职责的部门有权要求个人信息处理者委托专业机构进行审计。
根据《信息安全技术 个人信息安全规范》的模式,在进行安全审计时,对信息处理者的要求包括:a、应对个人信息保护政策、相关规程和安全措施的有效性进行审计;b、应建立自动化审计系统,监测记录个人信息处理活动;c、审计过程形成的记录应能对安全事件的处置、应急响应和事后调查提供支撑;d、应防止非授权访问、篡改或删除审计记录;e、应及时处理审计过程中发现的个人信息违规使用、滥用等情况;f、审计记录和保留时间应符合法律法规的要求。
(四)明确责任部门与人员
根据《信息安全技术 个人信息安全规范》的模式,具体规定有:
1、应明确其法定代表人或主要负责人对个人信息安全负全面领导责任,包括为个人信息安全工作提供人力、财力、物力保障等。
2、应任命个人信息保护负责人和个人信息保护工作机构,个人信息保护负责人应由具有相关管理工作经历和个人信息保护专业知识的人员担任,参与有关个人信息处理活动的重要决策直接向组织主要负责人报告工作。
3、满足以下条件之一的组织,应设立专职的个人信息保护负责人和个人信息保护工作机构,负责个人信息安全工作:
(1)主要业务涉及个人信息处理,且从业人员规模大于200人;
(2)处理超过100万人的个人信息,或预计在12个月内处理超过100万人的个人信息;
处理超过10万人的个人敏感信息的。
(五)个人信息保护负责人和个人信息保护工作机构的职责应包括但不限于
根据《信息安全技术 个人信息安全规范》的模式,具体规定有:
1、全面统筹实施组织内部的个人信息安全工作,对个人信息安全负直接责任;
2、组织制定个人信息保护工作计划并督促落实;
3、制定、签发、实施、定期更新个人信息保护政策和相关规程;
4、建立、维护和更新组织所持有的个人信息清单(包括个人信息的类型、数量、来源、接收方等)和授权访问策略;
5、开展个人信息安全影响评估,提出个人信息保护的对策建议,督促整改安全隐患;
6、组织开展个人信息安全培训;
7、在产品或服务上线发布前进行检测,避免未知的个人信息收集、使用、共享等处理行为;
8、公布投诉、举报方式等信息并及时受理投诉举报;
9、进行安全审计;
10、与监督、管理部门保持沟通,通报或报告个人信息保护和事件处置等情况;
11、应为个人信息保护负责人和个人信息保护工作机构提供必要的资源,保障其独立履行职责。
(六)信息处理者的要求
根据《信息安全技术 个人信息安全规范》的模式,具体规定有:
1、应建立个人信息安全影响评估,评估并处置个人信息处理活动存在的安全风险;
2、个人信息安全影响评估应主要评估处理活动遵循个人信息安全基本原则的情况,以及个人信息处理活动对个人信息主体合法权益的影响;
3、在产品或服务发布前,或业务功能发生重大变化时,应进行个人信息安全影响评估;
4、在法律法规有新的要求时,或在业务模式、信息系统、运行环境发生重大变更时,或发生重大个人信息安全事件时,应进行个人信息安全影响评估;
5、形成个人信息安全影响评估报告,并以此采取保护个人信息主体的措施,使风险降低到可接受的水平;
6、妥善留存个人信息安全影响评估报告,确保可供相关方查阅,并以适宜的形式对外公开。
(七)提供注册服务的合规要求
1. 建立合理的用户信息收集、保护制度
《网络安全法》第四十条规定,网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。《网络安全法》第四十一条规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。
此外,2019年12月,国家互联网信息办公室秘书局联合工业和信息化部办公厅、公安部办公厅、国家市场监督管理总局办公厅印发了《App违法违规收集使用个人信息行为认定方法》的通知,该通知对于如何认定违法违规收集用户个人信息提供了具体细则,操作性强,可供企业在收集用户个人信息时作为参考。
总的来说,境外企业在向中国用户提供注册服务而收集用户信息时,需要根据上述规定合法、合理地收集用户个人信息,并建立健全用户信息保护制度。
2. 用户敏感信息的收集处理
境外企业在面向中国用户提供注册服务时,需要收集注册用户的相关信息。而境外企业需要收集的一些用户信息,可能属于个人敏感信息的范围。
根据《个人信息保护法(草案二次审议稿)》第二十九条,敏感个人信息是指一旦泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息,包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。《个人信息保护法(草案二次审议稿)》第三十条规定,基于个人同意处理敏感个人信息的,个人信息处理者应当取得个人的单独同意。法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。《个人信息保护法(草案)》第三十一条规定,个人信息处理者处理敏感个人信息的,除本法第十八条第一款规定的事项外,还应当向个人告知处理敏感个人信息的必要性以及对个人的影响。
《信息安全技术 个人信息安全规范》6.3节对个人敏感信息的控制者提出了具体要求,包括: (1)传输和存储个人敏感信息时,应采用加密等安全措施;(2)个人生物识别信息应与个人身份信息分开存储;(3)原则上不应存储原始个人生物识别信息(如样本、图像等),等等。
由上述规定可以知晓,境外企业在面向中国用户收集个人信息时,若涉及到个人敏感信息,则需要取得个人的单独同意,还应当向个人告知处理敏感个人信息的必要性以及对个人的影响。此外,也要采用特殊的加密措施传输和存储所收集到的用户敏感信息。
3. 采取必要措施保护用户个人信息安全
《网络安全法》第四十二条规定,网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
(八)根据用户信息及使用偏好进行智能推送的合规要求
1. 个性化展示与用户画像的使用要求
根据《个人信息保护法(草案二次审议稿)》第七十二条明确自动化决策,是指利用个人信息对个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,通过计算机程序自动分析、评估并进行决策的活动。而《个人信息保护法(草案二次审议稿)》第二十五条规定,利用个人信息进行自动化决策,应当保证决策的透明度和处理结果的公平合理。个人认为自动化决策对其权益造成重大影响的,有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。通过自动化决策方式进行商业营销、信息推送,应当同时提供不针对其个人特征的选项。
根据《数据安全管理办法(征求意见稿)》第二十三条的规定,网络运营者利用用户数据和算法推送新闻信息、商业广告等(以下简称“定向推送”),应当以明显方式标明“定推”字样,为用户提供停止接收定向推送信息的功能;用户选择停止接收定向推送信息时,应当停止推送,并删除已经收集的设备识别码等用户数据和个人信息。
具体来说,根据《信息安全技术 个人信息安全规范》7.5节的规定,境外企业在向个人信息主体提供业务功能的过程中使用个性化展示的,应显著区分个性化展示的内容和非个性化展示的内容。在向个人信息主体提供电子商务服务的过程中,根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务搜索结果的个性化展示的,应当同时向该消费者提供不针对其个人特征的选项。
《信息安全技术个人 信息安全规范》7.4条也专门增加了针对用户画像使用限制的章节,例如,用户画像中对个人信息主体的特征描述不应包含任何与淫秽、色情、赌博、暴力相关的内容或者与民族、种族、宗教、残疾或疾病歧视相关的内容。在业务经营或对外业务合作中使用用户画像的,个人信息控制者不应侵害公民、法人和其他组织的合法权益或从事违法行为。此外,除严格意义上的必要情形,用户画像的使用应该避免关联到特定个人。
2. 事前风险评估
《个人信息保护法(草案二次审议)》第五十五条亦规定,个人信息处理者应当对下列个人信息处理活动在事前进行风险评估,并对处理情况进行记录:(一)处理敏感个人信息;(二)利用个人信息进行自动化决策……风险评估报告和处理情况记录应当至少保存三年。
由此可见,境外企业在面向中国客户提供信息推送等服务时,特别是相关推送是在根据用户敏感信息作出的情况下,需要在事前进行风险评估,并对处理情况进行记录,风险评估报告和处理情况记录应当至少保存三年。
三、个人信息出境与个人信息安全风险评估
由于我们会将留学生的个人信息提供给境外第三方,即出租方,根据《中华人民共和国个人信息保护法(草案二次审议稿)》我们应对留学生个人信息处理活动按照法律法规的规定,在事前进行自行风险评估,或申请风险评估。
1、风险评估的目的
个人信息风险评估旨在发现、处置和持续监控个人信息处理过程中对个人信息主体合法权益造成的不利影响的风险。为保障数据跨境流动中的个人信息和重要数据安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法利益,保护个人信息权益,规范个人信息处理活动,保障个人信息依法有序自由流动,促进个人信息合理利用,在个人信息出境前,风险评估十分重要。
3、个人信息风险评估内容
根据《中华人民共和国个人信息保护法(草案)》第五十五条规定,风险评估的内容应当包括:“a、个人信息的处理目的、处理方式等是否合法、正当、必要;b、对个人的影响及风险程度;c、所采取的安全保护措施是否合法、有效并与风险程度相适应。风险评估报告和处理情况记录应当至少保存三年。”
《信息安全技术 个人信息安全影响评估指南》中列出了风险评估中应当含有的具体内容,包括评估所覆盖的业务场景、业务场景所涉及的具体的个人信息处理活动、负责及参与的部门和人员、已识别的风险、已采用及拟采用的安全评控措施清单、剩余风险等。
2017年《个人信息和重要数据出具安全评估办法(征求意见稿)》中列出了风险评估中应当含有的重点内容,包括a、数据出境的必要性;b、涉及个人信息情况,包括个人信息的数量、范围、类型、敏感程度,以及个人信息主体是否同意其个人信息出境等;c、涉及重要数据情况,包括重要数据的数量、范围、类型及其敏感程度等;d、数据接收方的安全保护措施、能力和水平,以及所在国家和地区的网络安全环境等;e、数据出境及再转移后被泄露、毁损、篡改、滥用等风险;f、数据出境及出境数据汇聚可能对国家安全、社会公共利益、个人合法利益带来的风险;g、其他需要评估的重要事项。
2019年《个人信息出境安全评估办法(征求意见稿)》中列出了风险评估中至少包括:a、网络运营者和接收者的背景、规模、业务、财务、信誉、网络安全能力等;b、个人信息出境计划,包括持续时间、涉及的个人信息主体数量、向境外提供的个人信息规模、个人信息出境后是否会再向第三方传输等;c、个人信息出境风险分析和保障个人信息安全和个人信息主体合法权益的措施。
2019年《个人信息出境安全评估办法(征求意见稿)》中列出的风险评估中应当含有的重点内容,包括a、是否符合国家有关法律法规和政策规定;b、合同条款是否能够充分保障个人信息主体合法权益;c、合同能否得到有效执行;d、网络运营者或接收者是否有损害个人信息主体合法权益的历史、是否发生过重大网络安全事件;e、网络运营者获得个人信息是否合法、正当;f、其他应当评估的内容。
4、个人信息风险评估的用途
风险评估报告的用途包括但不限于:
(1)对于个人信息主体,评估报告可确保个人信息主体了解其个人信息被如何处理、如何保护,并使个人信息主体能够判断是否有剩余风险尚未得到处置。
(2)对于开展影响评估的组织,评估报告的用途可能包括:
一是在产品、服务或项目的规划阶段,用于确保在产品或服务的设计中充分考虑并实现个人信息的保护要求(例如,安全机制的可实现性、可行性、可追踪性等);
二是在产品、服务或项目的运营过程中,用于判断运营的内外部因素(例如运营团队的变动、互联网安全环境、信息共享的第三方安全控制能力等)、法律法规是否发生实质变更,是否需要对影响评估结果进行审核和修正;
三是用于建立责任制度,监督发现存在安全风险的个人信息处理活动是否已采取安全保护措施,改善或消除已识别的风险;
四是用于提升内部员工的个人信息安全意识。
(3)对于主管监管部门,要求组织提供个人信息安全影响评估报告,可督促组织开展评估并采取有效的安全控制措施。在处理个人信息安全相关投诉、调查个人信息安全事件等时,主管监管部门可通过影响评估报告了解相关情况,或将报告作为相关证据。
(4)对于开展影响评估的组织的合作伙伴,用于整体了解其在业务场景中的角色和作用,以及其应具体承担的个人信息保护工作和责任。
5、如何进行个人信息风险评估
(1)自行评估
2017年《个人信息和重要数据出具安全评估办法(征求意见稿)》第七条规定:“网络运营者应在数据出境前,自行组织对数据出境进行安全评估,并对评估结果负责。”
《中华人民共和国个人信息法(草案)》第五十五条规定,“个人信息处理者应当对下列个人信息处理活动在事前进行风险评估,并对处理情况进行记录: (一)处理敏感个人信息;(二)利用个人信息进行自动化决策;(三)委托处理个人信息、向第三方提供个人信息、公开个人信息;(四)向境外提供个人信息;(五)其他对个人有重大影响的个人信息处理活动。”这条中,我们符合第三点“向第三方提供个人信息”和第四点“向境外提供个人信息”。
所以当我们在个人信息出境前,我们需要先自行开展安全评估的工作。
(2)申请评估
其一,评估部门
2017年《个人信息和重要数据出具安全评估办法(征求意见稿)》提出,若我们需要出境的个人信息含有或累计50万人以上或个人信息量超过1000GB时,我们应报请行业主管或监管部门组织安全评估,若行业主管或监管部门不明确时,由国家网信部门组织评估。
2019年《个人信息出境安全评估办法(征求意见稿)》规定:“个人信息出境前,网络运营者应当向所在地省级网信部门申报个人信息出境安全评估。向不同的接收者提供个人信息应当分别申报安全评估,向同一接收者多次或连续提供个人信息无需多次评估。每2年或者个人信息出境目的、类型和境外保存时间发生变化时应当重新评估。”
若我们对省级网信部门的评估报告有异议时,还规定了“第七条 省级网信部门在将个人信息出境安全评估结论通报网络运营者的同时,将个人信息出境安全评估情况报国家网信部门。网络运营者对省级网信部门的个人信息出境安全评估结论存在异议的,可以向国家网信部门提出申诉。”
其二,申报材料。包括申报书,网络运营者与接收者签订的合同,个人信息出境安全风险及安全保障措施分析报告和国家网信部门要求提供的其他材料。
6、出境后信息的评估
对于已出境的信息,《个人信息和重要数据出境安全评估办法(征求意见稿)》(2017)
第十二条规定:“网络运营者应根据业务发展和网络运营情况,每年对数据出境至少进行一次安全评估,及时将评估情况报行业主管或监管部门。当数据接收方出现变更,数据出境目的、范围、数量、类型等发生较大变化,数据接收方或出境数据发生重大安全事件时,应及时重新进行安全评估。”《个人信息出境安全评估办法(征求意见稿)》(2019)第九条规定:“网络运营者应当每年12月31日前将本年度个人信息出境情况、合同履行情况等报所在地省级网信部门。发生较大数据安全事件时,应及时报所在地省级网信部门。”
即使个人信息已经出境了,每年的安全评估仍然必不可少。
7、风险评估报告保存期限及保存内容
《中华人民共和国个人信息保护法(草案二次审议稿)》第五十五条规定:“风险评估报告和处理情况记录应当至少保存三年。”
《信息安全技术 个人信息安全影响评估》中规定个人信息处理活动记录的内容可包括:1)所涉及个人信息的类型、数量、来源(如个人信息主体直接收集或通过间接获取方式获得);2)根据业务功能和授权情况区分个人信息的处理目的、使用场景,以及委托处理、共享、转让、公开披露、是否涉及出境等情况;3)与个人信息处理活动各环节相关的信息系统、组织或人员。
8、个人信息出境记录的存储
2019年《个人信息出境安全评估办法(征求意见稿)》第八条中规定:“网络运营者应当建立个人信息出境记录并且至少保存5年,记录包括:a、向境外提供个人信息的日期时间。b、接收者的身份,包括但不限于接收者的名称、地址、联系方式等。c、向境外提供的个人信息的类型及数量、敏感程度。d、国家网信部门规定的其他内容。”
9、第三方接入管理时信息管理者的义务
(1)建立第三方产品或服务接入管理机制和工作流程,必要时应建立安全评估等机制设置接入条件;
(2)应与第三方产品或服务提供者通过合同等形式明确双方的安全责任及应实施的个人信息安全措施;
(3)应向个人信息主体明确标识产品或服务由第三方提供;
(4)应妥善留存平台第三方有关合同和管理记录,确保可供相关方查阅;
(5)应要求第三方根据本标准相关要求向个人信息主体征得收集个人信息的授权同意,必要时核验其实现的方式;
(6)应要求第三方产品或服务建立响应个人信息主体请求和投诉等的机制,以供个人信息主体查询、使用;
(7)应监督第三方产品或服务提供者加强个人信息安全管理,发现第三方产品或服务没有落实安全管理要求和责任的,应及时督促整改必要时停止接入;
(8)产品或服务嵌入或接入第三方自动化工具(如代码、脚本、接口、算法模型、软件开发工具包、小程序等)的,宜采取以下措施:一是开展技术检测确保其个人信息收集、使用行为符合约定要求;二是对第三方嵌入或接入的自动化工具收集个人信息的行为进行审计,发现超出约定的行为,及时切断接入。
10、关于风险评估的价值
实施个人信息安全影响评估,能够有效加强对个人信息主体权益的保护,有利于组织对外展示其保护个人信息安全的努力,提升透明度,增进个人信息主体对其的信任。包括:
(1)在开展个人信息处理前,组织可通过影响评估,识别可能导致个人信息主体权益遭受损害的风险,并据此采用适当的个人信息安全控制措施。
(2)对于正在开展的个人信息处理,组织可通过影响评估,综合考虑内外部因素的变化情况,持续修正已采取的个人信息安全控制措施,确保对个人合法权益不利影响的风险处于总体可控的状态。
(3)个人信息安全影响评估及其形成的记录文档,可帮助组织在政府、相关机构或商业伙伴的调查、执法、合规性审计等中,证明其遵守了个人信息保护与数据安全等方面的法律、法规和标准的要求。
(4)在发生个人信息安全事件时,个人信息安全影响评估及其形成的记录文档,可用于证明组织已经主动评估风险并采取一定的安全保护措施,有助于减轻、甚至免除组织相关责任和名誉损失。
(5)组织可通过个人信息安全影响评估,加强对员工的个人信息安全教育。参与评估之中,员工能熟悉各种个人信息安全风险,增强处置风险的能力。
(6)对合作伙伴,组织通过评估的实际行动表明其严肃对待个人信息安全保护,并引导其能够采取适当的安全控制措施,以达到同等或类似的安全保护水平。
四、个人信息出境与个人信息保护认证
2020年全国人大常委会发布的《个人信息保护法(草案二次审议稿)》第三十八条规定,个人信处理者因业务需要,确需向中华人民共和国境外提供信息的,应当至少具备下列一项条件:(二)按照国家网信部门规定进行经专业机构进行个人信息保护认证。”目前国家对如何获得个人信息保护认证没有明确规定。
从已经有媒体所公布的相关信息来看,支付宝(中国)网络技术有限公司,腾讯云计算(北京)有限责任公司,北京百度网讯科技有限公司云计算事业部等,因建立的个人信息安全管理体系符合国家标准及隐私政策要求,成为国内首批通过个人信息安全管理体系认证的试点单位,已于2019年2月2日获得中国网络安全审查技术与认证中心个人信息安全管理体系认证证书。据该媒体券商中国记者从北京某征信评级机构从业人士了解到,上述认证依据的国家标准GB/T 35273-2017《信息安全技术个人信息安全规范》,于2017年12月29日正式发布。该国家标准紧紧围绕“保护个人权益”为核心,在《网络安全法》的框架下,结合国际通用保护理念,提出了权责一致、目的明确、选择同意、最少够用、公开透明、确保安全、主体参与七大原则以及个人信息处理生命周期的控制和管理要求,为组织全面提升个人信息保护水平提供了详尽、完备和体系化的指导。
五、个人信息出境如何与境外接收方订立合同
《中华人民共和国个人信息保护法(草案)》第三十八条规定,对于向中华人民共和国境外提供个人信息的需要至少具备如下一项条件:(1)通过国家网信部门组织的安全评估;(2)按照国家网信部门的规定经专业机构进行个人信息保护认证;(3)与境外接收方订立合同,约定双方的权利和义务,并监督其个人信息处理活动达到本法规定的个人信息保护标准;(4)法律、行政法规或者国家网信部门规定的其他条件。
一般在个人信息出境时,应与境外接收方签订合同,在合同中规定双方的权利和义务,并监督其个人信息处理活动达到本法规定的个人信息保护标准。
2019年《个人信息出境安全评估办法(征求意见稿)》中对合同的签订、双方的责任和义务等条款列出了相关规定:“第十三条 网络运营者与个人信息接收者签订的合同或者其他有法律效力的文件(统称合同),应当明确:a、个人信息出境的目的、类型、保存时限;b、个人信息主体是合同中涉及个人信息主体权益的条款的受益人;c、个人信息主体合法权益受到损害时,可以自行或者委托代理人向网络运营者或者接收者或者双方索赔,网络运营者或者接收者应当予以赔偿,除非证明没有责任;d、接收者所在国家法律环境发生变化导致合同难以履行时,应当终止合同,或者重新进行安全评估;e、合同的终止不能免除合同中涉及个人信息主体合法权益有关条款规定的网络运营者和接收者的责任和义务,除非接收者已经销毁了接收到的个人信息或作了匿名化处理;f、双方约定的其他内容。”
“第十四条 合同应当明确网络运营者承担以下责任和义务:a、以电子邮件、即时通信、信函、传真等方式告知个人信息主体网络运营者和接收者的基本情况,以及向境外提供个人信息的目的、类型和保存时间;b、应个人信息主体的请求,提供本合同的副本;c、应请求向接收者转达个人信息主体诉求,包括向接收者索赔;个人信息主体不能从接收者获得赔偿时,先行赔付。”
“第十五条 合同应当明确接收者承担以下责任和义务:a、为个人信息主体提供访问其个人信息的途径,个人信息主体要求更正或者删除其个人信息时,应在合理的代价和时限内予以响应、更正或者删除。b、按照合同约定的目的使用个人信息,个人信息的境外保存期限不得超出合同约定的时限。c、确认签署合同及履行合同义务不会违背接收者所在国家的法律要求,当接收者所在国家和地区法律环境发生变化可能影响合同执行时,应当及时通知网络运营者,并通过网络运营者报告网络运营者所在地省级网信部门。”
“第十六条 合同应当明确接收者不得将接收到的个人信息传输给第三方,除非满足以下条件:a、网络运营者已经通过电子邮件、即时通信、信函、传真等方式将个人信息传输给第三方的目的、第三方的身份和国别,以及传输的个人信息类型、第三方保留时限等通知个人信息主体。b、接收者承诺在个人信息主体请求停止向第三方传输时,停止传输并要求第三方销毁已经接收到的个人信息;c、涉及到个人敏感信息时,已征得个人信息主体同意。d、因向第三方传输个人信息对个人信息主体合法权益带来损害时,网络运营者同意先行承担赔付责任。”
六、RCEP框架下个人信息保护相关规定
2020年11月15日,东盟10国和中国、日本、韩国、澳大利亚、新西兰共15个亚太国家正式签署了《区域全面经济伙伴关系协定》(Regional Comprehensive Economic Partnership,RCEP)。目前为止中国、泰国、日本均已经完成协定批准手续。
1. 为境外企业带来的机遇
(1)进行无纸化贸易或为无纸化贸易提供服务
无纸贸易作为电子商务重要应用领域,大大提高了效率、降低了成本,在促进贸易便利化等商务活动中发挥着越来越重要的作用。境外企业可以抓住该机遇,促进自身无纸化贸易,或者为需要进行无纸化贸易的企业提供相关技术支持。
(2)提供电子认证服务
根据《电子认证服务管理办法》第三条规定,在中华人民共和国境内设立电子认证服务机构和为电子签名提供电子认证服务,需适用《电子认证服务管理办法》有关规定。而根据《电子认证服务管理办法》,电子认证服务,是指为电子签名相关各方提供真实性、可靠性验证的活动。境外企业可以在中国境内设立电子认证服务机构,为相关主体提供第三方电子签名认证服务。根据该办法,在中国境内设立电子认证服务机构的,需要具备该办法第五条规定的条件,且需要获得电子认证服务许可。
当然,若境外企业不在境内设立电子认证服务机构,也可以与境内已经获得电子认证服务许可的企业进行合作,从而展开业务。
(3)通过电子方式跨境传输信息
RECP规定,缔约各国原则上应允许电子商务信息自由跨境传输。在海关关税上,RECP并不阻止缔约各国依照协定对电子传输征收税费、费用或其他支出。但原则上,缔约方应当维持目前不对缔约方之间的电子传输征收关税的现行做法。
因此,境外企业可以采用电子跨境传输的方式传输电子商务信息。根据目前中国的税收规定,境外企业跨境传输电子商务信息亦无须负担税费或其他支出。
2. 境外企业在RECP框架下开展电商服务需履行的义务
(1)履行线上消费者保护义务
境外企业面向境内用户开展电商服务,则须就线上消费者保护履行中国的相关规定。如根据《电子商务法》相关规定,境外电子商务经营平台需承担安全保障义务,规范精准营销行为,禁止默认搭售、虚构交易与评价等。
(2)保护电子商务中的个人信息
根据《电子商务法》、《个人信息保护法(草案二次审议稿)》等相关规定,电子商务经营者收集、使用其用户的个人信息的,应当遵守用户个人信息保护有关规定,获取用户授权、履行充分提示说明义务、遵循有关个人信息数据跨境传输规定、保障用户对信息的删除和注销的权利等
(3)管理非应邀商业电子信息
RCEP对各缔约国就非应邀商业电子信息方面提出了具体要求。对此,《电子商务法》、《互联网电子邮件服务管理办法》《通信短信息和语音呼叫服务管理规定(征求意见稿)》等法律法规中均有具体规定,若境外企业在中国境内开展电子商务,则须遵守有关规定,如未经用户同意,不得向其发布商业短信等。
从滴滴公司被罚看数据信息合规治理
来源:德恒律师事务所、北大法宝律所实务库
作者:许秀慧
2022年7月21日国家互联网信息办公室对滴滴全球股份有限公司(以下简称:滴滴公司)依法作出行政处罚,滴滴被罚80.26亿元,对滴滴公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款。
这一事件在数据信息安全领域无疑是一重磅消息,同时也是一个标志性事件,它代表着数据野蛮生长时代的结束,以及数据信息安全强监管时代的到来。
一、从国家互联网信息办公室有关负责人回答的记者提问中可以获知以下几点问题
(一)违法事实
滴滴公司共存在8个方面16项违法事实:一是违法收集用户手机相册中的截图信息1196.39万条;二是过度收集用户剪切板信息、应用列表信息83.23亿条;三是过度收集乘客人脸识别信息1.07亿条、年龄段信息5350.92万条、职业信息1633.56万条、亲情关系信息138.29万条、“家”和“公司”打车地址信息1.53亿条;四是过度收集乘客评价代驾服务时、App后台运行时、手机连接桔视记录仪设备时的精准位置(经纬度)信息1.67亿条;五是过度收集司机学历信息14.29万条,以明文形式存储司机身份证号信息5780.26万条;六是在未明确告知乘客情况下分析乘客出行意图信息539.76亿条、常驻城市信息15.38亿条、异地商务/异地旅游信息3.04亿条;七是在乘客使用顺风车服务时频繁索取无关的“电话权限”;八是未准确、清晰说明用户设备信息等19项个人信息处理目的。
(二)处罚法律依据
《网络安全法》、《数据安全法》、《个人信息保护法》、《行政处罚法》等法律法规。
(三)被处罚主体和金额
对滴滴公司董事长兼CEO、总裁进行处罚。对滴滴公司处人民币80.26亿元罚款,对滴滴公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款。
二、滴滴公司违法收集个人信息即违法事实的具体内容对普通民众的教育意义
我国《数据安全法》、《个人信息保护法》规定的数据信息和个人信息的概念分别为:数据是指任何以电子或者其他方式对信息的记录;个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
通常情况下,我们认为个人信息就是身份、住址、账户、电话、人脸等信息,而此次国家网信办对滴滴公司8个方面16项违法事实的处罚,向普通民众阐述了其他我们没有意识到的一些对于网络运营者具有价值的数据信息,对于到底什么是个人信息有了新的认识,比如:手机截图信息、剪切板信息、应用列表信息、亲情关系信息等。对于普通民众来讲,明白这一点可以建立对个人信息全面充分保护的意识,具有法律教育意义。
三、从滴滴公司的发展情况看合规管理的必要性
滴滴公司于2013年1月11日在开曼群岛注册成立。2021年6月30日在纽交所挂牌上市。
2021年7月2日,国家网信办发布公告称,为防范国家数据安全风险,维护国家安全,保障公共利益,依据《中华人民共和国国家安全法》、《中华人民共和国网络安全法》,网络安全审查办公室按照《网络安全审查办法》,对“滴滴出行”实施网络安全审查。为配合网络安全审查工作,防范风险扩大,审查期间“滴滴出行”停止新用户注册。
2021年7月4日,国家网信办发布关于下架“滴滴出行”App的通报,称根据举报,经检测核实,“滴滴出行”App存在严重违法违规收集使用个人信息问题。国家互联网信息办公室依据《中华人民共和国网络安全法》相关规定,通知应用商店下架“滴滴出行”App,要求滴滴出行科技有限公司严格按照法律要求,参照国家有关标准,认真整改存在的问题,切实保障广大用户个人信息安全。
2021年7月9日,国家网信办再次发布通知称,根据举报,经检测核实,“滴滴企业版”等25款App(列表附后)存在严重违法违规收集使用个人信息问题。国家互联网信息办公室依据《中华人民共和国网络安全法》相关规定,通知应用商店下架上述25款App,要求相关运营者严格按照法律要求,参照国家有关标准,认真整改存在的问题,切实保障广大用户个人信息安全。各网站、平台不得为“滴滴出行”和“滴滴企业版”等上述25款已在应用商店下架的App提供访问和下载服务。
2022年7月21日,根据网络安全审查结论及发现的问题和线索,国家互联网信息办公室依法对滴滴全球股份有限公司涉嫌违法行为进行立案调查。经查实,滴滴全球股份有限公司违反《网络安全法》、《数据安全法》、《个人信息保护法》的违法违规行为事实清楚、证据确凿、情节严重、性质恶劣。国家互联网信息办公室依据《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等法律法规,对滴滴全球股份有限公司处人民币80.26亿元罚款,对滴滴全球股份有限公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款。
从上市到退市时间不到一年且受到重罚,为什么?值得深思!
从国家互联网信息办公室有关负责人回答记者提问可以看出,滴滴公司有制定企业内部制度规范对境内各业务线落实负责监督管理,且是通过滴滴信息与数据安全委员会及其下设的个人信息保护委员会、数据安全委员会,参与网约车、顺风车等业务线相关行为的决策指导、监督管理。由此可知滴滴公司有一套从上到下的管理体系,但是滴滴公司未按照相关法律法规规定和监管部门要求,履行网络安全、数据安全、个人信息保护义务,置国家网络安全、数据安全于不顾,给国家网络安全、数据安全带来严重的风险隐患,且在监管部门责令改正的情况下,仍未进行全面深入整改,性质极为恶劣。也就是说滴滴公司之前的管理体系没有将相关法律法规规定和监管部门要求的网络安全、数据安全、个人信息保护义务落实到管理体系中,即没有建立真正的合规管理体系。因此对于这样一个企业建立数据信息合规管理体系的重要性及未建立真正合规管理带来的法律后果清晰可见。
四、从滴滴公司收集个人信息看数据信息的价值
随着全球数字化发展潮流,数据信息不仅是企业资源,同时也是企业资产、资本。数据信息将会作为企业的核心资产之一,是企业价值的重要组成部分,会辅助公司业务发展,之后无疑也将会成为企业交易、质押、证券化的探寻发展方向。那么《网络安全法》、《数据安全法》、《个人信息保护法》规定的数据信息安全保护义务的履行会越来越重要,这些法律中规定的法律责任就是企业的法律风险。从滴滴被罚事件中我们可以看出监管部门对数据信息监管的决心和力度,一定会不断加强对网络安全、数据安全、个人信息的保护力度和执法力度。
监管部门特别是网信部门依据《互联网信息内容管理行政执法程序规定》《网络安全法》《数据安全法》《个人信息保护法》规定的约谈、责令改正、警告、通报批评、罚款、责令暂停相关业务、停业整顿、关闭网站、下架、处理责任人等处置处罚措施都是积极有效打击危害国家网络安全、数据安全、侵害公民个人信息等违法行为处罚措施和方法。
从滴滴公司违法事实看,其收集个人信息数量之多令人咋舌,作为一个在美国纽交所上市的收集中国公民个人信息的企业来讲,其处理海量信息不仅涉及国家安全还涉及个人信息安全。《网络安全法》第三十七条规定关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;而从滴滴发展的时间路线看滴滴2021年6月30日在纽交所上市,7月2日即上市后短短两天就由国家网络安全审查办公室对其进行审查,可见其未依法履行相关的安全评估义务。另外2021年7月2日《数据安全法》、《个人信息保护法》均未颁布施行。
五、从滴滴公司看数据信息处理行为违法后应当承担的法律责任
从滴滴公司被处罚主体和处罚金额上看,此次处罚是依据《个人信息保护法》进行处罚的,即采用了双罚制,对企业主体依据上一年度营业额的百分比进行处罚,对直接负责的主管人员和其他直接责任人员顶格处罚100万。(《个人信息保护法》第六十六条 违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。)
六、从滴滴事件看企业数据信息合规管理的必要性
2018年11月2日,《中央企业合规管理指引》对合规做出了定义,即合规是指企业及员工的经营管理行为符合法律法规、监管规定、行业准则和企业章程、规章制度及国际条约规则等。大量的事实证明合规管理在于其提前治理的益处,不仅可以帮助企业减少违法、违规的行为,还能避免遭受越来越严苛的刑事责任或监管处罚,也能避免企业声誉受损而带来预料不到的其他损失。
随着市场环境的发展变化,在市场竞争中不管多大的企业,特别是一些走出去的企业,合规管理将是企业可持续发展运行的内在基本要求,未做合规管理其经营发展大厦随时可能出现危机,因此合规治理将成为企业核心竞争力之一,滴滴事件足以让我们认识到这一点。因此,加强企业合规管理十分重要也势在必行。
七、数据信息合规管理的体系建设及步骤
2017年ISO19600:2014《合规管理体系指南》,制定了GB/T 35770—2017《合规管理体系指南》。2021年ISO发布了ISO37301:2021《合规管理体系要求及使用指南》。在此背景下,为了满足我国各类组织的需求以及与国际规则保持同步,已经针对 GB/T 35770—2017《合规管理体系指南》进行修改发布了征求意见稿。在上述一系列指南框架下,随着2021年国家及相关部门在数据信息领域的立法动态,我们认为企业进行数据信息合规管理主要有以下内容:
1.诊断合规现状
企业开展合规体系建设,首先要搞清楚当下的合规管理水平怎么样,充分了解公司经营管理现状,识别企业法律义务身份,比如在数据信息合规领域,首先应当识别其在数据信息领域属于履行关键基础设施法律义务主体还是数据信息处理的义务主体。
2.梳理合规义务
根据企业业务范围,对标相关法律规定梳理企业应当履行的法律义务,包括法律法规、行业监管规定、行业准则和企业章程、规章制度甚至国际条约规则等。这一点很重要,只有全面梳理了企业的合规义务,才知道去承担什么、遵循什么。
3.评估合规风险
合规义务因有规定是普遍客观存在的,而企业的合规风险则因为企业的业务类型、经营管理方式方法以及企业的目标愿景,企业文化的不同则是个性及主观的,所以需要全面认真识别企业合规管理风险,切不可生搬硬套企业已经成熟的合规方案,而是应当针对企业自身进行分析评估,从而确定合规风险。
4.制定合规应对措施
根据企业自身的风险评估,对标法律法规等规定的义务,结合自身制定应对措施。
5.成立专门合规管理团队
合规管理体系建设一般以项目的形式进行,所以光有常态的合规组织体系是不够的。在短时间内建立企业的合规管理体系,需要一批有经验的专业人员相助。
6.开展合规培训
这是普及合规文化的重要方式,通过培训,让全员知道合规管理的重要性和必要性,知道违规的代价,以此提升全员的合规意识。合规体系建设项目启动会也是合规培训的一项重要内容,需要认真对待。
7.制定合规管理体系的建设方案
根据外部要求和合规现状诊断结果,制定合规管理体系建设方案,明确合规管理的目标、方针、总体规划、详细计划等内容。方案中包括如何搭建合规管理组织体系、如何在现有管理组织架构基础上优化合规管理、如何制定完善合规制度以及合规管理手册、宣贯合规手册的方式方法等。
8.合规管理体系方案的落地执行,这一步非常关键
很多合规项目都是“虎头蛇尾”,忽视落地,企业看似有一系列方案层面的制定组织,但落到实处却很难,往往是纸上谈兵,导致的结果就是轰轰烈烈启动的合规管理项目在一系列方案出台后被束之高阁。因此,合规管理体系建设不是建在纸上和电脑里,而是建在全体员工的脑海里、潜意识里。
结束语
这一事件在数据信息安全领域无疑是一重磅消息,同时也是一个标志性事件,它代表着数据野蛮生长时代的结束,以及数据信息安全强监管时代的到来。
点击右上角
分享给朋友吧
长按图片保存/分享
更多NISP授权运营机构
