人工智能和数据法律研究丨80 亿罚单下的合规镜鉴:滴滴案揭示的数据安全六大准则

来源:陕西博硕律师事务所

文章摘要
引言 数字经济时代,数据作为核心生产要素,价值与风险并存。随着互联网技术发展和智能应用普及,个人信息泄露、数据滥用等问题凸显,既威胁公民权益,也可能触及国家安全。

引言
数字经济时代,数据作为核心生产要素,价值与风险并存。随着互联网技术发展和智能应用普及,个人信息泄露、数据滥用等问题凸显,既威胁公民权益,也可能触及国家安全。为此,我国《网络安全法》《数据安全法》《个人信息保护法》等相继出台,构建起数据合规基本框架,为数字经济健康发展筑牢法治根基。
法律的生命力与权威在于实施。2022 年滴滴因数据安全问题被罚 80.26 亿元,正是数据合规领域执法力度的集中体现。该案发生在数据安全法律体系初步建成的关键阶段,处罚力度、违法事实数量、覆盖问题广度均创当时纪录,成为具有里程碑意义的标志性事件。三年过去,数字经济形态持续演进,数据合规场景不断拓展,但滴滴案的警示意义未减。对法律工作者而言,该案是蕴含丰富法律实践价值的 “活教材”,清晰展现了过度收集、敏感信息处理不当等常见违法情形,直观诠释了 “三法” 的适用逻辑,也揭示了企业合规管理的制度漏洞与责任缺位,为把握法律边界、提升服务能力提供了重要参考。以下结合滴滴案的核心要点,对数据合规的关键准则进行解读,以期为法律工作者及企业提供有益借鉴。
2022 年,滴滴全球股份有限公司因网络安全问题被国家网信办处以 80.26 亿元罚款,董事长程维、总裁柳青各被罚款 100 万元。作为深耕陕西的专业律师,我们结合该案核心要点,为企业解读数据合规的关键准则。
一、案件核心,滴滴的 16 项违法事实与处罚依据
(一)违规事实
经国家网信办查明,滴滴公司存在 16 项违法事实,涵盖八大方面:
违法收集用户手机相册截图信息 1196.39 万条;
过度收集用户剪切板信息、应用列表信息高达 83.23 亿条;
过度收集乘客人脸识别信息1.07亿条、年龄段信息5350.92万条、职业信息1633.56万条、亲情关系信息138.29万条、“家”和“公司”打车地址信息1.53亿条;
在乘客评价代驾、App 后台运行、连接桔视记录仪时,过度收集精准位置(经纬度)信息 1.67 亿条;
过度收集司机学历信息 14.29 万条,且以明文形式存储司机身份证号信息 5780.26 万条;
在未明确告知的情况下,分析乘客出行意图信息 539.76 亿条、常驻城市信息 15.38 亿条、异地商务 / 旅游信息 3.04 亿条;
乘客使用顺风车服务时,频繁索取无关的 “电话权限”;
未准确、清晰说明用户设备信息等 19 项个人信息的处理目的。
更严重的是,网络安全审查发现其存在严重影响国家安全的数据处理活动,这已超出单纯的个人信息侵权范畴。
(二)处罚背后的法律逻辑
国家网信办依据《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》作出处罚,核心考量因素包括:
行为性质:滴滴未履行网络安全、数据安全及个人信息保护义务,置国家与用户权益于不顾,在监管部门责令改正后仍未全面整改,性质极为恶劣;
持续时间:相关违法行为始于 2015 年 6 月,长达 7 年,期间《网络安全法》《数据安全法》《个人信息保护法》等数据安全领域重要法律相继出台实施,该违法行为横跨上述多部法律的实施周期,属于典型的违反数据 “三法” 的持续性违法情形。
危害程度:通过违法手段收集剪切板、相册截图、亲情关系等信息,严重侵犯用户隐私与个人信息权益;
数据规模:违法处理个人信息达 647.09 亿条,包含人脸识别、精准位置、身份证号等大量敏感信息;
违规类型:涉及过度收集、强制收集敏感信息、频繁索权、未履行告知义务等多种情形,覆盖多个 App。
二、合规启示,企业必须坚守数据合规的六大准则
滴滴案是国家强化数据安全监管的标志性事件。结合该案与相关法律规定,企业需坚守以下合规准则:



  1. 数据收集严守 “最小必要” 原则
    《个人信息保护法》第6 条明确规定,处理个人信息应具有明确合理的目的,且需与处理目的直接相关,采取对个人权益影响最小的方式。这意味着企业在运营过程中,仅能收集实现功能所必需的数据,例如位置信息可用于导航,但严禁收集相册截图、剪切板等无关信息。对于人脸、精准位置等敏感信息,依据《个人信息保护法》第29 条,必须取得用户的单独同意。同时,隐私政策需做到透明化,按照《个人信息保护法》第17 条要求,逐项列明收集的数据类型、用途及存储期限,杜绝模糊表述。滴滴超范围收集用户剪切板、相册、精准位置等非必要信息的行为,明显违反了这一原则。

  2. 数据分类分级是保障国家安全的生命线
    《数据安全法》第21 条规定,国家建立数据分类分级保护制度,对关系国家安全的数据实行更严格的管理。像滴滴涉及的地理信息、交通流量等数据,就可能影响国家安全,其出境行为需格外谨慎。企业在合规过程中,需落实多项措施:标注 “国家安全级” 数据,在数据目录中标识涉密字段;对于涉国家安全的数据,禁止与一般数据混合存储,且严格禁止未经批准向境外传输。同时,企业应定期开展数据泄露应急演习,演练内容需涵盖事件上报流程、系统隔离与漏洞修复、跨部门协同处置机制等。

  3. 数据出境触发法定情形时须通过安全评估
    《网络安全法》第37 条和《数据安全法》第31 条对此作出规定:关键信息基础设施运营者在境内产生的重要数据,原则上不得出境;确需出境的,需通过安全评估。此外,根据《数据出境安全评估办法》《促进和规范数据跨境流动规定》,关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息,也应申报数据出境安全评估。企业内部需建立完善的审批流程,设立法务、安全、技术跨部门的出境审批机制,留存评估记录以备查验,同时要通过合同明确境外接收方的数据保护义务,这一点在《个人信息保护法》第38 条中有明确要求。

  4. 企业合规需确保责任到人,尤其是关键人员
    滴滴被罚 80.26 亿元,其董事长、总裁作为对企业数据处理活动负有直接领导责任的关键人员,因未有效履行监管责任被追责,公司与高管被 “双罚”,高管个人问责渐成常态。《个人信息保护法》第66 条明确规定,违反本法规定处理个人信息,或未履行个人信息保护义务且情节严重的,省级以上履行个人信息保护职责的部门可责令改正,没收违法所得,对企业处 5000 万元以下或上一年度营业额 5% 以下罚款;对直接负责的主管人员,处 10 万 - 100 万元罚款,还可禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。因此,企业合规需切实将责任落实到人,高管等负有数据安全职责的人员须签署《数据安全责任承诺书》,明确对数据泄露、违规出境等问题承担的个人责任;企业应定期组织关键人员和员工开展专项培训,使其掌握《个人信息保护法》《数据安全法》《网络安全法》的合规红线及安全负责人的法定义务;同时设立内部举报机制,专门受理针对员工数据违规行为的举报。

  5. 整改机制应从被动响应转向主动治理
    滴滴曾被多次责令整改却仍未彻底解决问题,这一情况值得警惕。《行政处罚法》第32 条规定,主动消除危害后果的可从轻处罚,而滴滴因拒不整改导致处罚加重。《个人信息保护法》第54 条则要求,个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。企业应建立 “监管要求 - 整改清单 - 验收销号” 的全流程跟踪系统,可参考《信息安全技术个人信息安全影响评估指南》主动开展数据安全自查,对地图数据、国防科研等涉密数据实施独立存储与动态脱敏。

  6. 技术措施与管理制度并重
    《个人信息保护法》第51 条规定,个人信息处理者需采取加密、去标识化等技术措施保障数据安全。具体而言,身份证号、生物信息等敏感数据必须加密,同时要严格限制员工访问敏感数据的权限,例如仅限授权人员调取地理信息;还要留存数据访问的全链路日志,确保具备溯源能力。
    三、律师提示,数据合规是企业的必修课
    数字化时代,网络安全、数据安全与个人信息保护已成为国家治理与社会发展的核心议题。滴滴案以 80.26 亿元天价罚单及对企业高管的追责,清晰传递出国家对数据安全违法行为 “零容忍” 的监管态度,也为企业划定了不可逾越的合规红线。无论身处互联网行业还是传统领域,企业都必须将数据合规深度融入日常经营管理体系:明确专门负责数据合规的岗位或部门,确保责任落地;定期对照《网络安全法》《数据安全法》《个人信息保护法》开展全面法律体检,及时排查风险;建立健全数据泄露、违规处理等突发事件的应急响应机制,做到有备无患。

技术驱动法律,专业成就未来