滴滴因为过度收集用户信息被网信办罚款80.26亿元,这一重磅新闻给出了一份答卷。自去年6月滴滴赴美上市后,七部门进驻调查网络安全问题,随后滴滴出行软件下架,并在去年底宣布退出美国市场回港上市。7月21日,网信办决定对滴滴全球股份有限公司处以80.26亿元的罚款,该公司董事长兼CEO程维以及总裁柳青各处以100万元的罚款。
滴滴遭受巨额罚款的背后是国家加强对网络安全、数据安全、个人信息的保护。网信办称:“经查实,滴滴全球股份有限公司违反《网络安全法》《数据安全法》《个人信息保护法》的违法违规行为事实清楚、证据确凿、情节严重、性质恶劣。”那到底什么是网络安全、数据安全、信息隐私呢?对滴滴的处罚又有何借鉴意义呢?Clearway Law 就与大家聊聊与数据安全相关的法律重点。
滴滴涉及哪些违法违规行为?
互联网公司的命脉在流量,流量的背后是用户留下的使用记录,这些记录成为一笔笔数据,再利用数据去挖掘潜在需求,这本来是互联网公司的优势,比用户自己更了解我想要什么。但这一套模式慢慢被玩坏了,未经用户同意就收集个人信息,甚至有可能将这些隐私信息泄露或转卖给第三方。就拿滴滴来说,就收集个人数据问题,网信办列出其8大违法行为:
从上述八大罪状中可见,平时大家在用软件时,像地址、电话、相册、联系人、数据储存等等都有可能存在被非法收集的情况,更可怕的是连截图、复制粘贴都被监控到,不仅侵犯个人隐私,一旦泄露对人身安全将构成威胁。关键是这些都是“暗箱操作”,据网信办称,滴滴违法收集个人数据时间长达7年,最早始于2015年6月,若不被揭露大家还都蒙在鼓里,互联网企业以核心算法技术不予透露为由为自己开脱。
除了侵犯个人隐私之外,网信办还指出滴滴“存在严重影响国家安全的数据处理活动”,“给国家关键信息基础设施安全和数据安全带来严重安全风险隐患”。这部分内容由于涉及国家安全,网信办没有给予更多的信息披露。但实际上,《网络安全法》第三十一条规定,已经指出关键信息基础设施行业是重点管制以及保护的,滴滴就属于其中的交通行业。
另外,根据《数据安全法》第二十一条:“关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。”这里的严格管制不仅是针对国内范围的数据收集以及安全防范,也包括境内数据出口的管制。
滴滴赴美上市,必定要接受美国证监会的审查,在中国境内的数据就属于“关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据”,根据《数据安全法》第三十六条:“非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。”若滴滴没有经过批准,擅自将境内信息提供给境外监管机构,就属于严重的违法行为。
什么是网络安全、数据安全、信息隐私呢?
网信办对滴滴的处罚主要依据三部法律,分别为2017年6月施行的《网络安全法》、2021年9月施行的《数据安全法》、2021年11月施行的《个人信息保护法》。
最早推行的《网络安全法》主要是监督管理网络建设、运营、维护以及网络信息安全问题。《网络安全法》第十二条规定,网络内容信息受到严格监管以及个人隐私信息受到保护。
《网络安全法》之后,网络上涉黄涉暴内容以及各类敏感词得到了控制,但随着互联网科技的发展,数据安全已经超越了信息安全。2021年开始实施的《数据安全法》就集中于以电子或者其他方式记录的数据信息。由于数据信息可以在全球范围内流动,对数据的监管也不止步于境内,强调了境内数据不得向境外泄露,维护国家安全。
《数据安全法》第三十二条规定:“任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。”网信办列举滴滴违法违规行为包括强制收集敏感个人信息、App频繁索权、未尽个人信息处理告知义务、未尽网络安全数据安全保护义务等。
数据收集一旦超越合理的界限,就容易造成个人隐私的侵犯。《个人信息保护法》正是保障个人信息权益最全面的法律。该法第六条规定:“处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。”据网信办称,滴滴违法处理个人信息达647.09亿条,不仅数量大,而且涉及敏感信息如亲情关系、人脸识别、身份证,对个人隐私的影响范围面较广。
《个人信息保护法》规定,个人信息的处理应取得本人同意,并且是在个人在充分知情的前提下自愿、明确作出。互联网企业要取得用户的同意,必须告知用户信息处理目的、处理方式,处理的个人信息种类、保存期限。这里就为了防止用户在不知情的情况下被收集个人信息。对于敏感信息的收集处理更为严格:
由此可见,上述三部法律对网络信息安全、数据收集以及安全防范、个人信息的收集与保护都做了全面的规范。
对滴滴的处罚又有什么借鉴意义呢?
网信办对滴滴违法行为以十六个字概括:“事实清楚、证据确凿、情节严重、性质恶劣。”
在《网络安全法》、《数据安全法》中,最重的处罚为“违反国家核心数据管理”,处以二百万元以上一千万元以下罚款。而《个人信息保护法》对“情节严重的违法行为”的处罚更为严重,处以五千万元以下或者上一年度营业额百分之五以下罚款。以滴滴被罚80亿元来看,占比起2021年营收的4.61%。
回顾去年被重罚的互联网企业,像美团因为垄断行为,被市场监管总局处以34.42亿元的罚款,就是依据其2020年销售额的3%来计算。根据《反垄断法》,罚金在上一年度销售额百分之一至百分之十之间。由此可见,对滴滴的惩罚比美团更胜。
网信办表示,国家对网络执法的重点将放在网络安全、数据安全、个人信息保护等领域,并将曝光典型案例,一方面为了保障群众的合法权益,另一方面促进互联网企业合规运营。从滴滴被罚这件事来说,国家对互联网行业的管制不会放松,因为与国家安全以及群众利益相关,不会任由市场来主导。
如果我们放眼世界,其实因为数据或隐私问题被监管机构重金惩罚的还有一个例子,就是社交平台Facebook的母公司Meta。
(来源:搜狐)
滴滴犯的错,其实在Meta那里都有相似的影子。2021年,Meta公司官司缠身,未告知用户数据会被用于商业用途,被意大利监管机构罚款700万欧元;未经同意收集人脸识别信息,被用户告上美国法院被罚6.5亿美元赔偿款;未告知用户的情况下将WhatsApp与Facebook的数据共享,被爱尔兰政府罚款2.25亿欧元……仅一年,Meta累计被罚金额超10亿美元。
多国政府对Meta公司违法收集数据以及侵犯用户隐私予以重罚,而在美国,多是因为用户发觉个人信息被非法收集,通过法院诉讼获得赔偿。回到我国,网信办对滴滴的重罚也是一种国家行为,起到警示作用并加以管制。但我们可以想象一下,未来会不会出现,我国用户通过诉讼主张个人隐私被互联网企业侵犯从而获得赔偿呢?不知道大家怎么看,欢迎分享。