7月21日,国家互联网信息办公室依据《网络安全法》、《数据安全法》、《个人信息保护法》、《行政处罚法》等法律法规,对滴滴全球股份有限公司处人民币80.26亿元罚款,对滴滴全球股份有限公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款。天价罚款因何而来?
根据相关媒体报道本次罚款主要指向滴滴“八项罪状”
(1) 违法收集用户手机相册中的截图信息1196.39万条;
(2) 过度收集用户剪切板信息、应用列表信息83.23亿条;
(3) 过度收集乘客人脸识别信息1.07亿条、年龄段信息5350.92万条、职业信息1633.56万条、亲情关系信息138.29万条、“家”和“公司”打车地址信息1.53亿条;
(4) 过度收集乘客评价代驾服务时、App后台运行时、手机连接桔视记录仪设备时的精准位置(经纬度)信息1.67亿条;
(5) 过度收集司机学历信息14.29万条,以明文形式存储司机身份证号信息5780.26万条
(6) 在未明确告知乘客情况下分析乘客出行意图信息539.76亿条、常驻城市信息15.38亿条、异地商务/异地旅游信息3.04亿条;
(7) 在乘客使用顺风车服务时频繁索取无关的“电话权限”;
(8) 未准确、清晰说明用户设备信息等19项个人信息处理目的。
以上八项罪状暴露出滴滴公司个人信息合规仍存在较大问题,2015年至今,滴滴公司多次被相关部门约谈却仍在个人信息合规建设领域暴雷,问题的核心大概并不在技术上的不能防范而是越过合规红线背后“个人信息油田”带来的巨大利益。
尽管如此,80.26亿元的罚款也能称得上是给滴滴好好上了一课,这也警示了其他公司合规建设堪称企业运营中的重中之重,尽管其并不像业务部门直接带来短期收益,但一旦合规建设不到位,但凡暴雷企业所承担的责任便会是“不能承受之重”。
尤其是在个人信息保护领域要关注最新的法规政策和行业动向,自2021年11月1日《个人信息保护法》出台以来,个人信息处理者的义务及责任便有了明确的合规要求,面对强制合规义务及责任,企业应当积极的建立合规管理体系,以践行处理个人信息的法定义务,避免因违法处理个人信息而受到处罚。
综合目前有关个人信息保护和网络安全及数据保护方面相关的法律法规及监管动态,企业个人信息合规建设须致力于阐明个人信息保护合规目的与内涵,明确处理个人信息的行为规范及违规后果,将外部有关合规要求转化为内部规章制度。可通过拟定规章制度形成个人信息安全管理基础性制度,践行个人信息收集、存储、使用、加工、传输、提供、公开、删除等各个处理环节个人信息保护义务,并明确违规行为的内部处理流程和责任承担方式将合规落到实处。
需要特别提示的是,在处理敏感个人信息,利用个人信息进行自动化决策,委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息,向境外提供个人信息等特殊情形时,须进行个人信息影响评估。对个人信息处理目的、处理方式等是否合法、正当、必要,对个人权益的影响及安全风险,所采取的保护措施是否合法、有效并与风险程度相适应作出评估并保留相关资料备查,争取做到技术上能处理,策略上善处理,规避风险为企业可持续发展护航。