“1滴=40.13亿”,滴滴天价处罚带给企业哪些数据合规启示?

来源:广悦数据合规研究院

文章摘要
前言 7月21日,国家互联网信息办公室发布了对滴滴全球股份有限公司(下称“滴滴”)的处罚结果,对滴滴处以人民币80.26亿的罚款,对公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款。
前言
7月21日,国家互联网信息办公室发布了对滴滴全球股份有限公司(下称“滴滴”)的处罚结果,对滴滴处以人民币80.26亿的罚款,对公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款。
天价罚单引来全民围观,网友甚至总结出如下公式:
“1滴=40.13亿”。
这份措辞严厉的处罚,是《个人信息保护法》(下称“《个保法》”)自2021年11月生效以来开出的最高罚款金额。根据滴滴今年4月公布的财报,其2021年总营收为人民币1738.3亿元,其中中国区域业务营收为1605.2亿元。据此理解,80.26亿元是滴滴2021年度中国区域营业额的5%,此为《个保法》项下罚则的顶格处罚。此外,对滴滴董事长和总裁的个人处罚,同样是《个保法》项下对直接负责的主管人员的顶格处罚。
高昂的违规成本下,除了围观天价数字,更值得关注的,是滴滴具体违法行为。我们将对国家网信办调查公布的滴滴违法违规行为作简要分析,并总结此对企业做好数据合规工作的启示。

滴滴存在哪些违法收集使用个人信息的行为

致使其面临如此高额的天价罚单

我们用下述图表带您一探究竟


一、收集阶段是关键,“最小必要”须体现
处理个人信息起于收集阶段,这也是个人信息处理者违法违规处理个人信息的“重灾区”。在本次公布的滴滴违法事实中,违反“最小必要原则”违规收集个人信息的行为占据了半壁江山。其一,违法收集用户手机相册中的截图信息1196.39万条;其二,过度收集用户剪切板信息、应用列表信息83.23亿条;其三,在乘客使用顺风车服务时频繁索取无关的“电话权限”;其四,未准确、清晰说明用户设备信息等19项个人信息处理目的等。此外,滴滴还存在过度收集乘客年龄段、职业、亲情关系等信息的情况。

(滴滴App编辑资料界面可收集的乘客信息)
《个保法》第六条明文规定了处理个人信息的“最小必要原则”。对此,我们建议企业从以下四个要点切入,检视自身收集个人信息的行为是否符合“最小必要”之要求。
第一,信息收集的数量和种类是否是实现目的的最小范围?
第二,信息收集的频率是否是产品或服务业务功能所必须的最小频率?
第三,信息的处理行为是否与其处理目的有直接关联?
第四,信息处理方式是否对个人权益影响最小?
二、人脸、轨迹很敏感,单独同意是要件
在滴滴八类违法事实中,值得重点关注的是其对于个人敏感信息的违规收集,即过度收集乘客人脸识别信息1.07亿条、精准位置(经纬度)信息1.67亿条等。
根据《个保法》第二十八条规定,生物识别信息(人脸信息)、行踪轨迹信息等均系一旦泄露或遭非法使用则会导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的敏感个人信息。此外,《个保法》第二十九条明文确立了单独同意制度以确保敏感个人信息在流转和使用过程中的安全。
然而,企业应如何作为才能被认定为搭建了符合监管规定的“单独同意”呢?对此,我们建议企业针对需要授权的敏感个人信息数据处理活动,制作专门的授权同意文件/文本,在用户实际触发相关业务功能时启动单独同意的授权机制。
具体而言,可以通过界面弹窗、跳转链接、邮箱推送、纸面文件等方式充分告知用户,并设置强制阅读停留、用户主动点击确认、文件签署上传等同意模式,确保数据处理活动获得用户自主、明确的同意决定。


(单独同意界面参考示例)
三、自动化决策有利弊,“大数据杀熟”是大忌
滴滴的违法事实中,显示了一个天文数字,“539.76亿”。这是其在未明确告知乘客情况下分析乘客出行意图的信息数量。此外,滴滴还擅自分析乘客的常驻城市信息15.38亿条、异地商务/异地旅游信息3.04亿条。
上述行为涉及个人信息处理过程中的自动化决策,若以自动化决策方式分析乘客信息对个人权益将造成重大影响的,个人有权要求个人信息处理者对相应的处理规则予以说明。显然,滴滴擅自分析乘客个人信息的行为,有悖法律铭文要求。该行为容易导致“算法黑箱”的产生,进而为“大数据杀熟”埋下伏笔。
现今,自动化决策业已成为互联网企业发展业务的一大利器,但不得任其无度滥用。我们建议企业在涉及自动化决策的场景下,应当事先进行个人信息保护影响评估,根据处理的信息种类和算法原理,预判自动化决策可能对个人权益带来的不利影响,并提前设置相应的保护措施。
当自动化决策用于商业营销或信息推送时,企业应同时提供不针对用户个人特征的选项
,例如在“综合推荐/猜你喜欢”的个性化推送外,为用户提供“销量、好评、信用”等内容查看选项。又如,
在无法提供非个性化选项时,企业应当为用户设计便捷的拒绝路径
,如在App中提供“停用”选项、设置客服人工处理机制等。
除此之外,还要注意不得利用自身掌握的用户经济状况、消费习惯、价格敏感度等信息,对用户实施“价格歧视”。以打车软件为例,企业不得利用其掌握的乘客的常驻城市信息、异地商务/异地旅游信息或经常行动轨迹信息对乘客实施“人生地不熟”的价格歧视。

(分析乘客出行意图截图)

(自动化决策关闭界面参考示例)

(自动化决策关闭界面参考示例
四、存储安全不能忘,脱敏处理是良方
根据处罚公告,滴滴存在过度收集司机学历信息14.29万条,并以明文形式存储司机身份证号信息5780.26万条的行为。
实务中,企业往往疏于对存储环节的合规审视。在保障信息利用的价值和效率不受影响的情况下,将收集的个人信息进行“脱敏”处理,是避免陷入侵犯个人信息权益纠纷的首选之策。
具体而言,“脱敏”处理存在“去标识化”和“匿名化”两种方式。两种方式分别存在多元化的技术手段,可供企业参考和选择。以“去标识化”为例,根据《个人信息安全规范》6.2和《信息安全技术个人信息去标识化指南》(GB/T 37964-2019)规定可知,常见的去标识化技术包括统计技术、密码技术、抑制技术、假名化技术、泛化技术、随机化技术和数据合成技术等。收集个人信息后,个人信息处理者可立即进行去标识化处理,并采取技术和管理方面的措施,将去标识化的数据与可用于恢复识别个人的信息分开存储,并确保在后续的个人信息处理中不重新识别个人。
本案滴滴可利用抑制技术中较为常见的屏蔽技术,对司机身份证号部分字段进行类似“***”的遮蔽处理,并将可用于恢复识别个人的信息进行分开存储。这样的做法既能满足对平台司机日常管理的需要,又能保障司机个人信息的安全。措施并不难,难的是没有合规意识。

(去标识化技术手段展示)
结语
伴随着处罚结果公布,持续一年的“滴滴数据安全事件”告一段落。滴滴对此予以回应,“我们将引以为戒,坚持安全与发展并重,进一步加强网络安全、数据安全建设,加强个人信息保护,切实履行社会责任,服务好每一位乘客、司机师傅和合作伙伴,实现企业安全健康可持续发展。”
《个保法》施行以来,企业在数据处理上面临着愈来愈强的合规监管压力。一方面,侵犯个人信息案件适用举证责任倒置规则,正如本案滴滴因不能准确、清晰说明收集用户设备信息等19项个人信息的处理目的,故未能成功为自己“辩护”。另一方面,当“1滴=40.13亿”的罚单落地,也就意味着依据《个保法》第六十六条之规定,企业在违法违规处理个人信息时可能因“并处五千万元以下或者上一年度营业额百分之五以下罚款”而面临高昂处罚,上不封顶。
数据作为新型生产要素,已快速融入生产、分配、流通、消费和社会服务管理等各个环节,深刻改变着我们的生产方式、生活方式和社会治理方式。企业在快速发展中,只有把合规理念贯穿数据处理活动全流程,才可能长期持续稳健地发展。
技术驱动法律,专业成就未来