从滴滴被罚案看数据合规要点及相关刑事风险预警
2022-08-01
2022年7月21日,滴滴公司被网络安全审查案时隔一年时间终于尘埃落定,国家网信办对滴滴全球股份有限公司处人民币80.26亿元罚款,对滴滴全球股份有限公司董事长兼ceo程维、总裁柳青各处人民币100万元罚款。国家网信办经查实,认为,“滴滴公司违反《网络安全法》《数据安全法》《个人信息保护法》的违法违规行为事实清楚、证据确凿、情节严重、性质恶劣,应当从严从重予以处罚。”
很多人对于80.26亿处罚的数字如何得来不理解,相关财报显示,滴滴公司2021年境内营收为1605.2亿元。根据《中华人民共和国个人信息保护法》第66条规定“对于违反规定情节严重的,可没收违法所得,并最高可处五千万元以下或者上一年度营业额百分之五以下罚款;对直接负责的主管人员和其他直接责任人员最高可处一百万元罚款”。因此,占上年度营收总额5%的80.26亿的单位罚款、100万的个人罚款,从行政处罚来看,已经是顶格处理。
国家网信办负责人在答记者问时将滴滴公司的违法事实概括为八个方面,涵盖过度收集个人信息、强制收集敏感个人信息、app频繁索权、未尽个人信息处理告知义务、未尽网络安全数据安全保护义务等多种情形。那么,上述情形究竟违反了个人信息保护法哪些规定,违反了哪些合规义务?是否还存在尚不明知的刑事风险?给我们带来哪些风险预警提示?由于相关行政处罚决定因涉及国家安全依法不公开,因此本文对该事件的分析,仅以国家网信办有关负责人答记者问的内容为依据进行分析,欢迎大家进一步探讨。
一、从滴滴被罚案看个人信息保护的数据合规要点
1.收集个人信息以获得个人同意为原则,以法定其他情形为例外
《个保法》第十三条规定了七种可以合法处理个人信息的情形,第一种为取得个人同意,第二至七种属于不需取得个人同意的特殊情形。
第十三条 符合下列情形之一的,个人信息处理者方可处理个人信息:(一)取得个人的同意;(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;(三)为履行法定职责或者法定义务所必需;(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;(七)法律、行政法规规定的其他情形。
依照本法其他有关规定,处理个人信息应当取得个人同意,但是有前款第二项至第七项规定情形的,不需取得个人同意。
滴滴公司违法行为第一条是“违法收集用户手机相册中的截图信息”,具体违法情形无法确定,但考虑到在滴滴公司通常的业务场景下,手机截图也并非“订立、履行合同所必须”进而无需取得个人同意,因此我们可以合理地推测此处的违法方式为未经用户个人同意收集截图信息。笔者猜测一个可能的具体场景是,滴滴app以设置头像图片为由,向用户获取了读取相册的权限,之后超出设置头像的目的,未经用户允许私自获取用户相册中的截图信息。或者在某些低版本的手机系统中,无需用户同意即可获取相册访问权限,进而私自获取截图信息。
《个保法》对个人信息处理规则的具体规定,均以知情同意为原则,以其他情形为例外。因此相关企业在处理个人信息时,除非属于法定特殊情形,否则务必获取个人同意,避免想当然地判定自身行为的合法性。
2.收集个人信息时应遵循最小必要性原则,力求对相关自然人的影响降到最低
《个保法》第五、六条规定处理个人信息时应遵循最小必要性原则。根据国标gb/t 35273-2020《信息安全技术 个人信息安全规范》5.2项,所谓最小必要性是指:
a) 收集的个人信息的类型应与实现产品或服务的业务功能有直接关联;直接关联是指没有上述个人信息的参与,产品或服务的功能无法实现;
b) 自动采集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率;
c) 间接获取个人信息的数量应是实现产品或服务的业务功能所必需的最少数量。
国家网信办负责人在描述滴滴公司违法行为时,还提到“过度收集用户剪切板信息、应用列表信息83.23亿条;三是过度收集乘客人脸识别信息1.07亿条、年龄段信息5350.92万条、职业信息1633.56万条、亲情关系信息138.29万条、“家”和“公司”打车地址信息1.53亿条;四是过度收集乘客评价代驾服务时、app后台运行时、手机连接桔视记录仪设备时的精准位置(经纬度)信息1.67亿条;五是过度收集司机学历信息14.29万条,以明文形式存储司机身份证号信息5780.26万条,七是在乘客使用顺风车服务时频繁索取无关的“电话权限”等,其中“过度收集”、“频繁索权”这一表述,与“违法收集”要注意相区分,这意味着相关信息获取行为取得了用户个人同意或属于其他依法不需取得同意的情形,但获取的类型、频率、数量超出实现产品或服务的业务功能所必需。在乘客使用顺风车服务时频繁索取无关的“电话权限”,也就违反了收集个人信息时最小必要性原则中的“直接相关”的要求。
因此笔者提示相关企业,处理个人信息时并非取得个人同意就能高枕无忧,获取个人信息应以业务功能的最低需要为限。通俗地说,也就是不取得相关个人信息,产品的功能或服务就无法正常运行。
保障个人信息主体选择同意的权利,首先需划分产品或服务的基本业务功能和扩展业务功能,一般来说,如果产品或服务不提供基本业务功能,个人信息主体将不会选择使用该产品或服务。
3.收集敏感个人信息时应取得个人单独同意
《个保法》第二十八至三十条对敏感个人信息作了相关规定,敏感个人信息指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。处理敏感个人信息必须取得个人的单独同意。
《信息安全技术 个人信息安全规范》附录b对个人敏感信息进行了举例说明:
在滴滴公司收集的个人信息种类中,含有多种敏感个人信息,包括个人生物识别信息(乘客人脸识别信息)、行踪轨迹(精准位置经纬度信息)、个人身份信息(司机身份证号信息)等。处理敏感个人信息时应取得个人单独同意,但由于我们无法得知“强制收集”的具体情形,而对滴滴公司具体行为方式也仅仅使用了“过度收集”这一表述,因此我们只能认定滴滴公司收集上述敏感个人信息超出了最小必要限度,但是否未取得个人单独同意,或是否通过强制手段获取同意,我们无从判断。
4.收集个人信息前应尽到告知义务,个人有效同意以知情为前提
《个保法》第七、十四、十七条规定个人信息处理者在处理个人信息前,应向个人履行告知义务。告知的内容包括个人信息处理者的名称或者姓名和联系方式;个人信息的处理目的、方式,处理的个人信息种类、保存期限等。
一项合法有效的个人同意,以充分保障个人的知情权为前提。从民法的视角看,一项同意也就是一次意思表示,作出意思表示的主体必须对自己行为的法律后果有明确认知。个人信息处理者不仅应告知用户获取的个人信息种类,还应告知处理的目的、方式、期限等。
因此滴滴公司在未明确告知乘客情况下分析乘客出行意图、常驻城市信息、异地商务/异地旅游信息的行为,属于未告知用户个人信息处理目的,以及未准确、清晰说明用户设备信息等19项个人信息处理目的,均属于违法行为。
5.数据处理者应采取必要措施,履行网络安全数据安全保护义务
《网络安全法》第二十一条规定了网络运营者的安全保护义务,要求采取数据分类、重要数据备份和加密等措施;
《数据安全法》第四章也规定了数据处理者的数据安全保护义务,其中第二十七条作了总体性规定,要求数据处理者应“采取相应的技术措施和其他必要措施,保障数据安全。”根据国标gb/t 35273-2020《信息安全技术 个人信息安全规范》6.3项,传输和存储个人敏感信息时,应采用加密等安全措施。公民身份证信息属于个人敏感信息,对其的储存应采取加密措施,因此滴滴公司明文储存司机身份证信息的行为,可认定为未履行数据安全保护义务。
另外,从答记者问中可以看出滴滴公司已被认定为国家关键信息基础设施(行业内通常简称为“关基”)的运营者,《网络安全法》第三十四条对相关的网络安全保护措施做出了更严格的规定,要求关键信息基础设施的运营者应当履行下列安全保护义务:
(一)设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;
(二)定期对从业人员进行网络安全教育、技术培训和技能考核;
(三)对重要系统和数据库进行容灾备份;
(四)制定网络安全事件应急预案,并定期进行演练;
(五)法律、行政法规规定的其他义务。
二、滴滴公司赴美上市可能面临的刑事风险预警及合规提示
1.滴滴公司违法收集相册截图信息和过度收集其他个人信息的行为是否涉嫌侵犯公民个人信息罪应具体情形具体分析
根据刑法第二百五十三条之一以及《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》),“侵犯公民个人信息罪”的行为方式包括窃取、以其他方法非法获取、向他人出售或提供,对象为公民个人信息,即以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。
首先,由于本罪的行为方式可概括为获取、提供两种情形,因此滴滴公司未尽告知义务即进行个人信息处理的行为虽然违反《个人信息保护法》,但属于获取信息后的行为,不在本罪打击范围内。此外,根据答记者问的情况,目前亦没有指向滴滴存在将获取的个人信息予以出售或提供第三方的情形。
其次,本案滴滴公司收集个人信息的行为方式是否符合刑法规定的犯罪方式应具体情况具体分析。
滴滴公司行为共两种,即“违法收集”和“过度收集”。第一,根据上文的分析,滴滴“违法收集手机相册中的截图信息”可能存在的违法情形在于,在取得相册访问权限后,在用户不知情、未同意的情况下私自获取截图信息,符合私密性特征,可评价为“窃取”。第二,取得用户同意但过度收集的行为当然无法评价为窃取,但是否能够评价为“以其他方法非法获取”?这是值得讨论的。
《解释》第4条专门明确,违反国家有关规定,在履行职责、提供服务过程中收集公民个人信息的,属于《刑法》第253条之一第3款规定的“以其他方法非法获取公民个人信息”。最高人民法院研究室曾发表《侵犯公民个人信息罪的解释适用》(以下简称《解释适用》)一文,就《解释》的制定背景、起草中的主要考虑和主要内容作了介绍。作者表示,违反上述规定(文中指《网络安全法》第41条),未经他人同意收集公民个人信息,或者收集与提供的服务无关的公民个人信息的,应当认定为“非法获取公民个人信息”。
但过度收集个人信息不等于收集无关的个人信息。例如,信息处理者在履行告知义务后,为实现分析客群的目的,需要获取用户的年龄信息,此时收集信息项可有多种选择:身份证号、精确年龄、分段间隔的年龄区间。无论收集哪一种个人信息,均与其业务目的有关,但对用户个人信息造成最小影响的收集项,显然是年龄区间。信息处理者此时若收集身份证号或精确年龄信息,就违反了最小必要原则。换言之,在“有关”与“无关”的两极之间,还有个人信息敏感性和必要性的渐变坐标轴。从《解释》的制定原意看,仅有“无关”的个人信息才属于本罪的犯罪对象。
《解释》制定时我国仅出台了《网络安全法》,最小必要原则还未明确写入法律当中。但时至今日,刑法第253条之一所指涉的“国家有关规定”,应包含其后制定的《个人信息保护法》、《数据安全法》和其他相关行政法规、部门规章。从形式上看,违反《个人信息保护法》中的最小必要原则,当然属于“违反国家有关规定”,但是否能进一步认定为“以其他方法非法获取”则有待商榷。由于刑法将“窃取”与“以其他方法非法获取”并置,因此两种行为的违法性和危害性应具有相当性。在用户知情同意的情况下,收集与业务目的相关,但超出最小必要限度的个人信息,此种行为的违法性和危害程度低于《解释》原意中的“收集无关个人信息”,更远远低于“窃取”。因此笔者认为,司法机关在处理类似案件时,应秉持刑法谦益原则,对涉案行为的违法性和危害性作出实质判断,滴滴公司在本案中的“过度收集”的行为不应认定为本罪行为方式。
最后,滴滴公司在本案中获取的截图等信息是否属于本罪的行为对象有待明确。
《解释》第一条规定“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。有观点认为滴滴公司违法收集的用户手机相册中的截图信息、用户剪切板信息、应用列表信息,虽然来源于个人移动通信设备,涉及用户的个人隐私,但是否具备“可识别性”尚不明确,而且无法判断对个人人身安全或财产安全的影响,故不能认定为刑法意义上的公民个人信息。
但根据《解释》第一条,本罪指涉的个人信息,不仅包括可识别出个人的信息,还包括反映个人活动的信息。也就是说,不仅包括“你是谁”,还包括”你做了什么“。用户的截图信息、剪贴板信息、应用列表信息可以反映出用户通过手机做的大量行为,手机上安装了哪些应用,就可以反映用户日常生活行为。例如安装某银行的手机银行app,可反映出该用户为该银行的客户。安装某些专业性app,例如无讼、法信等法律相关app,可反映该用户为法律行业从业者。这些都属于“反映特定自然人活动情况”的信息。
因此,如果滴滴收集的截图信息包含了具有可识别性的个人信息或“反映特定自然人活动情况”的信息,例如我们经常会截图保存与他人的聊天记录,或者截图保存转账或其他交易记录等,那么才可能会涉嫌侵犯公民个人信息罪。如果不涉及,那么则不构成该罪。
综上所述,虽然滴滴公司“过度收集”的行为不应认定为本罪的行为方式,但“违法收集”行为有可能会被认定为“窃取”或“以其他方法非法获取”,收集的截图信息是否构罪要具体分析,不能一概而论。日后司法机关是否会追究滴滴公司的刑事责任我们无法确定,但在理论上滴滴公司不排除可能面临刑事风险。
2.本案滴滴公司给国家网络安全、数据安全带来严重的风险隐患,并未指向已经造成实际的危害后果,故排除拒不履行网络安全管理义务罪的适用
刑法第二百八十六条之一规定了拒不履行信息网络安全管理义务罪:网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列四种情形之一的,构成本罪:(一)致使违法信息大量传播的;(二)致使用户信息泄露,造成严重后果的;(三)致使刑事案件证据灭失,情节严重的;(四)有其他严重情节的。
前三项均规定了拒不履行信息网络安全管理义务造成的危害后果,第四项为常见的兜底条款。从前三项看,本罪属于结果犯,并非危险犯。因此第四项的“其他严重情节”从体系解释和相当性的角度,也应属于造成危害后果的情节。根据仅有的两份公开裁判文书(2020)云0103刑初1206号 李某全拒不履行信息网络安全管理义务一审刑事判决书和 (2018)沪0115刑初2974号 胡某拒不履行信息网络安全管理义务一审刑事判决书,法院在实务中也同样将本罪认定为结果犯。
网信办负责人在答记者问时作出如下描述:“从违法行为的性质看,滴滴公司未按照相关法律法规规定和监管部门要求,履行网络安全、数据安全、个人信息保护义务,置国家网络安全、数据安全于不顾,给国家网络安全、数据安全带来严重的风险隐患,且在监管部门责令改正情况下,仍未进行全面深入整改,性质极为恶劣”。滴滴公司在监管部门责令改正情况下,仍未进行全面深入整改,完全符合本罪的行为方式。但任何不履行信息网络安全管理义务的行为均会对网络安全、数据安全造成风险隐患,只有造成严重的危害后果才构成本罪。
虽然本案的起因是滴滴赴美上市,美国sec要求上市公司应提供审计报告及审计底稿,而审计底稿中有可能包含影响国家安全的数据或分析结果。舆论因此猜测滴滴公司可能将大量数据泄露给美国政府。但网信办在答记者问中仅认定“带来严重的风险隐患”,并没有认定致使违法信息大量传播或用户信息泄露或其他实际发生的危害后果,因此以目前的情况看,滴滴公司不构成本罪。但所幸国家有关部门反应及时,第一时间采取果断措施,及时制止了滴滴赴美上市可能造成重要数据出境的违法行为,从而避免了实际危害后果的发生。
虽然未被刑事处理,但给数据处理企业带来的合规提示在于:
1.开展数据处理活动时应尽到基本的查验、评估、审核责任,应严格履行法律、行政法规所规定的网络安全管理义务,若未尽此义务,导致用户数据泄露或违法信息传播或致使刑事案件证据灭失等等危害结果,经监管部门责令采取改正措施拒不改正,则涉嫌拒不履行信息网络安全管理义务罪。
2.因业务等需要,确需向境外提供个人信息等数据的,应具备《个人信息保护法》第三十八条规定的三种条件之一:(1)通过网信部门的安全评估;(2)按照国家网信部门的规定经专业机构进行个人信息保护认证;(3)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务。
今年7月7日,国家网信办发布了《数据出境安全评估办法》(以下简称《办法》),自今年9月1日起施行。根据《办法》第四条,以下情形下数据处理者应当申请评估:
(一)数据处理者向境外提供重要数据;
(二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;
(三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;
(四)国家网信部门规定的其他需要申报数据出境安全评估的情形。
为了更好地理解上述规定,需要对何为“重要数据”以及“关键信息基础设施运营者”进行解读。
第一,关于何为“重要数据”的认定。《数据安全法》第二十一条规定了对数据分类分级保护制度,其中规定“根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度”。并要求“各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护”。根据数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,将数据从低到高分成一般数据、重要数据、核心数据共三个级别。
据媒体报道,今年4月,全国信息安全标准化标准化技术委员会发布了最新的《重要数据识别规则》,虽尚未看到规则全文,但有报道称该规则对重要数据作出如下定义:特定领域、特定群体、特定区域或达到一定精度和规模的数据,一旦被泄露或篡改、损毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全(注:重要数据不包括国家秘密)[1]。
识别重要数据时聚焦对公共安全的影响,仅影响组织自身或公民个体的数据一般不作为重要数据。《规则》列举了19项识别应考虑的因素,具备其中之一的,可考虑是重要数据。
第二,企业如何判断是否系“关键信息基础设施运营者”。根据《关键信息基础设施安全保护条例》,关基运营者是公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等的运营者。实际上公安或网信部门会依职权主动进行相关身份认定工作,一旦认定某企业为关键信息基础设施运营者,就会主动告知相关企业。该企业所处理的数据通常可能会被界定为“重要数据”甚至“核心数据”。此外,关键信息基础设施运营者向境外提供个人信息目前没有设置数量要求,仅向境外提供少量个人信息,仍需要进行安全评估。因此相关企业必须进一步提高政治敏感性认识,加强数据安全保护。
结语
滴滴公司在本案中暴露出的问题,诸如未经同意收集个人信息、不履行告知义务、数据出境不进行安全审查等,均属于数据合规领域的典型问题,对其他数据处理者具有重要的警示意义。相关企业可以以此为鉴,自查自纠,将数据合规风险防范于未然。也希望滴滴公司在本次事件后能通过合规整改,焕发更强的生机与活力。
文中备注:
[1]笔者注:“重要数据不包括国家秘密”为《规则》原文表述,但其含义并非指国家秘密不重要,而是指对于国家秘密适用专门的法律规则。
本文作者:
声明:
本文由k8凯发天生赢家·一触即发律师事务所律师原创,仅代表作者本人观点,不得视为k8凯发天生赢家·一触即发律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容,请注明出处。