80.26亿引以为戒的个人信息合规要点丨热点评析

80.26亿引以为戒的个人信息合规要点丨热点评析

 虞杨 洪璐 星瀚微法苑 2022-07-25 08:00 发表于上海

微信图片_20220802160234.jpg

- 2022年第  133  篇文章 -


引言


2022年7月21日,国家互联网信息办公室依据《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等法律法规,对滴滴全球股份有限公司(下称“滴滴”)处人民币80.26亿元罚款,对滴滴董事长兼CEO程维、总裁柳青各处人民币100万元罚款。


此次罚款约占滴滴2021全年营收的4.62%(根据相关法律规定,顶格罚款为5%),是迄今为止国家网信办开出的最高罚单,更是再一次敲响了企业个人信息保护合规的警钟。




1.一纸《隐私政策》,尚不能“明哲保身”


通过《隐私政策》向用户告知处理个人信息的目的、方式、范围等,以实现处理个人信息的合法性及正当性是企业的基本做法,但在本次滴滴巨额罚款的背后,我们还是看到了“未准确、清晰说明用户设备信息等19项个人信息处理目的”的违法事实。


这就再一次提示企业,《隐私政策》的目的是为了向用户履行告知义务,但这只是形式上的必要非充分条件,在实质上保证用户的知情权才是企业履行个人信息保护义务的根本。


(1)对于向用户展示的个人信息处理规则


在文本形式上,不得人为给用户造成阅读障碍,比如字体极小、行距过密、未提供简体中文版等。


在实质内容上,不得晦涩难懂、冗长繁琐,使用户难以理解,比如使用大量专业术语、无实质作用的条款过多等。另外,还应当明确告知用户,收集某些个人信息是为了实现什么样的功能目的,并因此调用哪些手机权限等。


在展示方式上,除《隐私政策》外,我们建议企业就“个人信息收集清单”(包括业务场景、收集的个人信息、收集方式、收集目的)及“第三方信息共享清单”(包括SDK的名称、所属公司名称、使用目的、处理方式、涉及的个人信息、第三方隐私政策协议/官网链接)单独成文,并在APP首次运行时,通过弹窗等明显方式提示用户阅读、主动勾选同意,同时进入App主界面后应当在4次点击操作内能够访问。


(2)在具体业务场景中


应当通过弹窗的方式获取相应权限,并应当在弹窗中说明获取该等权限收集的个人信息及实现的功能目的。


微信图片_20220802160242.png微信图片_20220802160242.png


(3)超授权范围处理个人信息需获取“二次授权”


我们注意到,滴滴的违法事实之一还包括“在未明确告知乘客情况下分析乘客出行意图信息、常驻城市信息、异地商务/异地旅游信息”。


显然,这些信息的分析基础需要基于用户每次打车时的位置信息等,但对于前述信息的收集,网约车APP往往仅告知用户是以“准确查找周围车辆、司机能准确接您上车”为目的。因此,如果企业欲利用前述收集的数据对用户出行意图等信息进行分析,则属于收集使用个人信息的目的发生变化,此时就应当再次获取用户的明示同意,并对隐私政策等个人信息收集使用规则及时进行更新并提醒用户阅读等。


需要注意的是,如果企业利用算法等技术对上述信息进行分析的目的是为了向用户进行相应商业营销或其他更精准的个性化服务,应当单独设置同意与否的选项,对于不同意的用户不得擅自分析用户出行数据,更不得因此就拒绝向该用户提供全部服务内容。


(4)敏感个人信息的处理应当更为审慎


除了对一般个人信息的违法处理外,本次滴滴还涉及对乘客人脸识别信息等敏感个人信息的过度收集。


由于敏感个人信息一旦泄露、非法提供或滥用便可能危害人身及财产安全,故而在法律上,对其的保护标准更为严格。一方面,对于敏感个人信息,企业应当履行额外告知义务,即除了向个人明确具体的告知收集敏感个人信息的范围、目的及方式外,还应向个人告知处理敏感个人信息的必要性以及对个人权益的影响;另一方面,应当获取用户的单独同意。


如果未经用户同意,擅自收集大量的个人敏感信息,或者导致个人敏感信息泄露的,企业除了承担行政责任外,还有可能涉嫌构成侵犯公民个人信息犯罪。因此,建议企业在处理敏感个人信息时应当格外谨慎。


关于敏感个人信息的范围,可参考举例如下:


微信图片_20220802160251.png




2.获取了用户同意,亦不能“高枕无忧”


在80.26亿巨额处罚的背后,“过度收集”在八个方面的违法事实中占了足足一半:过度收集用户剪切板信息、应用列表信息、乘客人脸识别信息、打车地址信息等等。而另一违法事实“在乘客使用顺风车服务时频繁索取无关的‘电话权限’”实则和“过度收集”的内涵一致,都属于违反个人信息处理的必要性原则。


根据相关法律法规的规定,企业在处理个人信息时,应当具有明确、合理的目的,并应当与处理目的直接相关,不得过度收集个人信息,个人信息的处理需遵循最小必要原则。


具体而言:第一,收集的个人信息应具有明确、合理、具体的个人信息处理目的;第二,收集的个人信息应限于实现处理目的所必要的最小范围。范围通常涉及收集个人信息的类型、频率、数量、精度等;第三,应采取对个人权益影响最小的方式收集个人信息。一般而言,个人信息越敏感其处理活动对个人权益影响越大;第四,收集的个人信息应与处理目的直接相关,即没有该等个人信息的参与,产品或服务的功能就无法实现;第五,应仅在用户使用业务功能期间,收集该业务功能所需的个人信息。


2022年4月24日,国家市场监督管理总局、国家标准化管理委员会最新发布的《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求(GB/T 41391-2022)》中,对常见服务类型App必要个人信息的范围及使用要求进行了规定,其中,网约车类App必要个人信息范围和使用要求如下:


微信图片_20220802170557.png



写在最后

当然,本次事件滴滴因赴境外上市还涉及国家安全等因素,但归根结底,个人信息的处理行为已经成为数据时代企业经营中难以避免的一环,在立法执法越来越严格和公民个人信息保护意识开始觉醒的大背景下,企业应系统构建企业数据合规制度,特别注意审查个人信息合规漏洞,并及时采取整改措施。