由“滴滴出行”下架浅谈数据安全合规问题
七月滴滴因受到相关部门网络安全审查导致新用户停止注册的事件,相信大家或多或少都有所关注。
2021年7月4日,国家互联网信息办公室发布关于下架“滴滴出行”App的通报,原因是经检测核实,“滴滴出行”App存在严重违法违规收集个人信息问题。事情的大致经过如下。
滴滴于6月30日晚9点在纽交所挂牌。7月2日晚7点,设在国家互联网信息办公室下的网络安全审查办公室公告称,对滴滴发起网络安全审查,审查期间滴滴停止新用户注册。加上4月滴滴被列入34家要求自查自纠的互联网平台,以及7月市场监管总局对滴滴8起合资和投资未申报罚款400万元的多轮监管重锤,滴滴在上市仅一周的情况下跌破发行价,且受到多家美国律所以“信息披露严重误导投资者并蒙受损失”为由的集体诉讼。
监管部门之所以在滴滴赴美上市之后做出这一系列动作,重要核心原因之一是出于对数据安全的担心。
根据相关媒体报道滴滴今年一季度的数据,滴滴中国出行月活用户1.56亿,年活跃用户3.77亿,活跃司机1300万,中国出行业务日均交易量2500万次;同期滴滴全球年活跃用户为4.93亿,全球年活跃司机1500万。此外,滴滴在2017年拿到了“导航电子地图制作”甲级测绘资质,制作的“高精地图”会收集包括车辆定位、周边环境在内的大量精准地理信息数据。
此外,网传滴滴研究院(坐标美国加州)官方公众号的一篇2015年的文章中,利用两天内公安部、监察部、民政部、司法部、财政部人力资源社会保障部、国土资源部、环境保护部、住房和城乡建设部、交通运输部、水利部、农业部、商务部、文化部、卫生计生委、人民银行、审计署等部委的滴滴快的出租车、快车、专车使用数据,分析了前述部委的工作时间、行车路线等出行规律,并和当时的热点时事做了联系。
可见滴滴手中的数据庞大而重要。
根据美国2020年5月颁布的《外国公司问责法案》,滴滴需要向美国公众公司会计监督委员会(PCAOB)提供会计底稿。而中国虽已经就中概股会计底稿审核问题与美国进行了谈判,但该谈判仍未有结果。滴滴在这个时候赴美上市,意味着滴滴有需要向美国提供未脱敏和数据的潜在可能。而这样的可能若真的实现,则无疑会危及到中国的国家安全以及中国公民的数据和隐私安全。
在上述这个事件中,有几个核心的法律问题。
其一,就是“数据安全”这个概念在法律层面上应当做何理解的问题。
根据即将于今年9月1日起施行的《数据安全法》中的定义,“数据”是指任何以电子或者其他方式对信息的记录。说到这里,就必须说一下“信息”和“数据”的区别,信息是需要使用一定的方法、流程、算法和系统从许多结构化和非结构化数据中获取的知识和洞见。也就是说,“信息”是基于“数据”生产出来的,是抽象的;而“数据”是“信息”的具体客观表现,是具体的。
数据可以是脱敏的,及通过一定的专业清洗步骤,使得数据在一定程度上剥离数据主体、数据环境。但根据目前学界和实务界的主流共识,这样的清洗并不能完全使得数据主体完全分离。这也就是为什么,滴滴的数据共享,除了可能导致国外通过解读数据洞悉中国经济的信息导致国外安全危机外,还可能因为数据中解读出的公民个人信息而侵犯公民的个人隐私。
上面的简单分析略微可以解释明白,为什么在大数据可以给国家带来巨大经济利益的同时,要那么去强调“数据安全”的问题。
其二,中国目前关于数据安全这个问题已有的法律框架是怎样的。
关于数据安全方面的立法,继今年6月10日人大常委会通过并即将于今年9月1日起施行的《中华人民共和国数据安全法》(以下简称“《数据安全法》”)后,相应配套的《数据安全管理条例》随后列在了国务院办公厅发布的2021年度的立法计划中,预计将进一步健全规范数据收集使用管理等方面的规定。
根据《数据安全法》,个人、组织在中华人民共和国境内对数据进行收集、存储、使用、加工、传输、提供、公开等活动,都需要按照《数据安全法》的规范进行,履行相应的数据安全义务,并受到相关行政部门的监管。
此外,《民法典》第一千零三十四条至第一千零三十九条,规定了处理个人信息的原则和条件,自然人对个人信息处理者就其个人信息的查阅、复制、提出异议与更正、删除等请求权。《网络安全法》也将“保障数据的完整性、保密性、可用性的能力”归纳在“网络安全”的内涵之中。
其三,在上述目前的法律框架下,互联网公司的数据合规风险较一般企业更大。具体体现在什么方面。
现在的监管环境是,不光是赴美上市的滴滴,其数据安全问题得到监管部门的重视,目前国内其他互联网行业公司也受到了监管部门的密切关注。
7月26日上午,工业和信息化部官网发布“启动互联网行业专项整治行动”的公告,其中包括在威胁数据安全方面的行动。该方面重点整治企业在数据收集、传输、存储及对外提供等环节,未按要求采取必要的管理和技术措施等问题,包括数据传输时未对敏感信息加密、向第三方提供数据前未征得用户同意等场景。
总的来说,对于国内的互联网企业而言,在境内开展数据处理活动,需要在安全监管下履行数据安全义务;在境外开展数据处理活动,需要注意不能损害中国国家安全、公共利益或者公民、组织合法权益。
最后,对于所有在境内有数据处理活动开展的企业而言,需要履行的基本的合规义务有哪些。
企业在中国境内开展数据处理活动时,需要履行的义务分为一般义务和重要数据处理者的特殊义务。
开展数据处理活动需要履行的一般义务有:
(1)建立健全数据安全管理制度;
(2)组织开展数据安全教育培训;
(3)采取相应的技术措施和其他必要措施,保障数据安全;
(4)加强风险预测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。
重要数据处理者的特殊义务有:
(1)明确数据安全负责人和管理机构,落实数据安全保护责任;
(2)按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告(风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等);
此外,需要特别提醒所有的企业都要重视对个人信息的处理合规。
目前有相当多的企业已经因为处理消费者个人信息不合规导致受到相应行政处罚。自《刑法修正案(九)》增加了出售、非法提供、窃取或非法获取公民个人信息的犯罪及刑罚后,因有前述行为而遭到刑事起诉的企业或个人也数量不少。
对于境内企业而言,员工信息、客户信息以及生产、销售、服务中产生或解除的个人信息及其他重要数据几乎难以避免。因此建立有效的个人信息处理和数据处理合规机制,可以从源头上尽量避免侵权纠纷、行政处罚和刑事责任。同时,在个人信息保护和数据保护日趋得到公众重视的今天,用户信息保护方面的建树可以增加企业形象和公众信任度,从而增加品牌价值。
参考:
[1] 中华人民共和国工业和信息化部:《工业和信息化部启动互联网行业专项整治行动》,2021年7月26日,https://www.miit.gov.cn/jgsj/xgj/gzdt/art/2021/art_b86f1d15c9824f3297090330353ce2f3.html。
[2] 国务院办公厅:《国务院办公厅关于印发国务院2021年度立法工作计划的通知》,国发办[2021]21号,http://www.gov.cn/zhengce/content/2021-06/11/content_5617194.htm。
[3] 国家互联网信息办公室:《关于下架“滴滴出行”App的通报》,2021年7月4日,http://www.cac.gov.cn/2021-07/04/c_1627016782176163.htm。
[4] 财新周刊:《封面报道|滴滴强震》,2021年7月12日,https://weekly.caixin.com/2021-07-09/101737957.html。