新聞中心 >> 新聞中心詳情

以案“釋”法 | 滴滴事件看國家數據安全處罰力度

發布時間:2022-08-01作者:閱讀次數: 分享到:

7月21日,國家互聯網信息辦公室發布滴滴案件處罰結果,依據《網絡安全法》《數據安全法》《個人信息保護法》《行政處罰法》等法律法規,對滴滴全球股份有限公司處人民幣 80.26 億元罰款,對其董事長兼CEO程維、總裁柳青各處人民幣 100 萬元罰款。


本案例的行政處罰是《個人信息保護法》生效以來開出的最高金額,80.26億人民幣的罰金甚至超越了2021年亞馬遜因違反GDPR受到的7.43億歐元(57.29億人民幣)處罰,成為迄今為止全球數據隱私保護領域的最高罰單。



時間線梳理

2021年6月11日,滴滴出行科技有限公司(以下簡稱“滴滴”)正式向美國證券交易委員會遞交了IPO招股書,6月30日,滴滴正式在紐交所掛牌上市,股票代碼為“DIDI”;


7月2日,國家網信辦宣布依據《國家安全法》、《網絡安全法》,按照《網絡安全審查辦法》對滴滴實施網絡安全審查,審查期間“滴滴出行”App停止新用戶注冊;


7月4日,網信辦因“嚴重違法違規收集使用個人信息問題”對“滴滴出行”App進行強制下架;


7月9日22時,網信辦繼續發布了下架“滴滴企業版”等25款App的通報;


7月16日,國家網信辦會同公安部、國家安全部、自然資源部、交通運輸部、稅務總局、市場監管總局等七部門聯合進駐滴滴,開展網絡安全審查;


2021年12月3日,滴滴啟動在紐交所退市的工作,并啟動在香港上市的準備工作。2022年6月10日,滴滴在美股正式退市;


2022年7月21日,國家互聯網信息辦公室公布對滴滴全球股份有限公司處人民幣80.26億元罰款,對程維、柳青各處人民幣100萬元罰款的處罰規定。



【說明1】審查是依據《網絡安全審查辦法》第二條“關鍵信息基礎設施運營者采購網絡產品和服務,網絡平臺運營者開展數據處理活動,影響或者可能影響國家安全的,應當按照本辦法進行網絡安全審查。


【說明2】目前關于違反網絡安全、數據安全、個人信息保護相關法律法規的處罰方式主要有:一般情形通常是執法約談、責令改正、警告、通報批評、罰款等,對于情節嚴重的可以責令暫停相關業務、停業整頓、關閉網站、下架、吊銷相關業務許可證或者吊銷營業執照、處理責任人等措施。


在7月4日的通報中,網信辦是按照普通情節要求滴滴進行整改的;而到7月9日“下架滴滴25款App”的處置,相比網信辦在6月11日發布的“關于Keep等129款App違法違規收集使用個人信息情況的通報”中對“違反必要原則、收集與其提供的服務無關的個人信息、以及未經用戶同意收集使用個人信息等”APP的處置是“要求在本通報發布之日起15個工作日內完成整改,并將整改報告加蓋公章發送至電子郵箱?!彼詮奶幹梅绞絹砜?,對比同類型的事件已經是按照“情節嚴重”去處理了。


處罰主體

據網信辦回應,滴滴對境內各業務線(網約車、順風車、兩輪車、造車等)重大事項具有最高決策權,制定的企業內部制度規范對境內各業務線全部適用,且對落實情況負監督管理責任。


其通過滴滴信息與數據安全委員會及其下設的個人信息保護委員會、數據安全委員會,參與網約車、順風車等業務線相關行為的決策指導、監督管理,各業務線違法行為是在該公司統一決策和部署下的具體落實。


據此,本案違法行為主體認定為滴滴,其董事長兼CEO程維、總裁柳青,對違法行為負主管責任。




【說明】依據《關鍵信息基礎設施安全保護條例》第十三條規定“運營者的主要負責人對關鍵信息基礎設施安全保護負總責,領導關鍵信息基礎設施安全保護和重大網絡安全事件處置工作,組織研究解決重大網絡安全問題?!?/span>


 處罰依據

據網信辦回應,滴滴違法違規行為情節嚴重,結合網絡安全審查情況,應當予以從嚴從重處罰:


01
違法行為的性質

其違法行為給國家網絡安全、數據安全帶來嚴重的風險隱患,且在監管部門責令改正情況下,仍未進行全面深入整改,性質極為惡劣。

02
違法行為的持續時間

其相關違法行為最早開始于2015年6月持續至今,時間長達7年,并持續違反2017年6月實施的《網絡安全法》、2021年9月實施的《數據安全法》和2021年11月實施的《個人信息保護法》。

03
違法行為的危害

其通過違法手段收集用戶剪切板信息、相冊中的截圖信息、親情關系信息等個人信息,嚴重侵犯用戶隱私,嚴重侵害用戶個人信息權益。

04
違法處理個人信息的數量

其違法處理個人信息達647.09億條,數量巨大,并且其中包括人臉識別信息、精準位置信息、身份證號等多類敏感個人信息。

05
違法處理個人信息的情形

其違法行為涉及多個App,涵蓋過度收集個人信息、強制收集敏感個人信息、App頻繁索權、未盡個人信息處理告知義務、未盡網絡安全、數據安全保護義務等多種情形。


處罰金額

《網絡安全審查辦法》第二十條“當事人違反本辦法規定的,依照《中華人民共和國網絡安全法》、《中華人民共和國數據安全法》的規定處理?!?/span>


《網絡安全法》第五十五條“關鍵信息基礎設施的運營者違反本法第三十五條規定,使用未經安全審查或者安全審查未通過的網絡產品或者服務的,由有關主管部門責令停止使用,處采購金額一倍以上十倍以下罰款。對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款?!?/span>


《數據安全法》第六章,對企業、組織、機構、最高處罰限額為一千萬元,并根據情況責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照;構成犯罪的,依法追究刑事責任。對直接負責的主管人員和其他直接責任人員,最高處罰限額為一百萬元。


《個人信息保護法》第六十六條“違反本法規定處理個人信息,或者處理個人信息未履行本法規定的個人信息保護義務的,由履行個人信息保護職責的部門責令改正,給予警告,沒收違法所得,……情節嚴重的,由省級以上履行個人信息保護職責的部門責令改正,沒收違法所得,并處五千萬元以下或者上一年度營業額百分之五以下罰款,并可以責令暫停相關業務或者停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照;對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款,并可以決定禁止其在一定期限內擔任相關企業的董事、監事、高級管理人員和個人信息保護負責人。


《行政處罰法》第二十九條“對當事人的同一個違法行為,不得給予兩次以上罰款的行政處罰。同一個違法行為違反多個法律規范應當給予罰款處罰的,按照罰款數額高的規定處罰?!惫拾凑铡秱€人信息保護法》進行罰款處罰。




2022年5月滴滴披露了2021年年報,公布營收1738.27億元,其中來自中國區域業務營收為1605.2億元,5%大約為86.9億元,最后的處罰金額(80.26億)即是參考了這一數據,所以對于滴滴、相關責任人的處罰金額已經是接近頂格。



 滴滴掌握的信息

曾在2015年時,新華社和滴滴媒體研究院共同發布了一份各部委加班情況的統計報告,通過這份報告中的數據不僅能知道在特定時間段內哪些部門工作比較多,同時也能知道重要部門里面的人物住址、每天的工作行程等信息,此時的滴滴已經具備了大數據分析的能力。




2017年,女性安全方面事故頻發,輿論之下的滴滴順勢上線 “桔視”在行車途中進行全程錄音錄像,在這個過程中會記錄下乘客的人臉、聲紋等個人生物識別信息。


在《個人信息安全規范》中,將身份證件號碼等個人身份信息,指紋、基因等個人生物識別信息,交易信息、銀行賬號在內的個人財產信息,醫療記錄等健康生理信息,通信記錄、聊天內容、行蹤軌跡、住宿信息等內容,納入到個人敏感信息范圍。而滴滴平臺底層的數據字段基本可以覆蓋所有的個人敏感數據類型,其中雖然無法獲取明確的醫療記錄,但也會包含出入醫院的頻次、時間等數據。
 


個人信息示例



個人敏感信息示例


除了收集個人信息,在桔視上線3周年之后,滴滴地圖事業部總經理柴華在中國測繪學會年會上公布了一組數據:滴滴地圖基礎數據準確率已經超過95%,每天新增軌跡數據超108TB,這些軌跡數據和場景,具備海量、連續、高質量的特點。此外,5.5億乘客出行時,每天還會上報數十萬量級的路況事件,也就是說,1000多萬滴滴車輛,每天都會通過桔視成為滴滴的街景實時測繪車。


從軍事角度看,滴滴掌握的這些數據具有重大的軍事戰略價值,對這些包含地理、道路、交通、人員出行、視頻記錄等信息數據進行深度分析,甚至可以探知中國軍事戰略目標、軍事調動等信息,戰時可能給敵方國家提供攻擊和轟炸目標、精度等信息,如果這些大數據流向境外,將對中國國防、軍事戰略造成重大風險。
 


2012年,美國證監會SEC正式要求四大會計事務所必須向其提交在美國上市的中國公司的審計底稿。審計底稿,簡單來說就是一家公司的紙質存在形態,包括所有用戶數據、所有會議記錄、所有溝通文件、所有問題匯總、所有程序表格,甚至連歷年來的電子郵件也不能幸免。而在美國上市滴滴是否上交所有的審計底稿,我們無從得知。


總結與反思

此次對滴滴的處罰無疑是作為一個典型負面案例,對于其他的“數據處理者”也是一個警示和威懾,這次的處罰體現了國家對于危害國家網絡安全、數據安全以及侵害公民個人信息的違法行為越來越重視,日后管控也會愈加嚴格。那么對于組織來說應該如何避免此類法律風險,美創認為作為“數據處理者”的當務之急是盡快梳理業務相關數據,建立健全安全合規體系,本著“應評盡評”的原則,開展安全風險評估工作,充分了解組織安全現狀,再通過相關處置措施,加強網絡安全、數據安全和個人信息保護工作,以規避法律風險。


美創建議:作為“數據處理者”的當務之急是盡快梳理業務相關數據,建立健全安全合規體系,本著“應評盡評”的原則,開展安全風險評估工作,充分了解組織安全現狀,再通過相關處置措施,加強網絡安全、數據安全和個人信息保護工作,以規避法律風險。


掃碼獲取滴滴公司16項違法事實及所涉條款



服務熱線:400-811-3777
Copyright ?2005-2020 杭州美創科技有限公司. All Rights Reserved. 浙公網安備 33010502006954號 浙ICP備12021012號-1 網站地圖
亚洲AV无码一区二区三区18丨