以案“釋”法 | 滴滴事件看國家資料安全處罰力度
7月21日,國家網際網路資訊辦公室釋出滴滴案件處罰結果,依據《網路安全法》《資料安全法》《個人資訊保護法》《行政處罰法》等法律法規,對滴滴全球股份有限公司處人民幣 80.26 億元罰款,對其董事長兼CEO程維、總裁柳青各處人民幣 100 萬元罰款。
本案例的行政處罰是《個人資訊保護法》生效以來開出的最高金額,80.26億人民幣的罰金甚至超越了2021年亞馬遜因違反GDPR受到的7.43億歐元(57.29億人民幣)處罰,成為迄今為止全球資料隱私保護領域的最高罰單。
2021年6月11日,滴滴出行科技有限公司(以下簡稱“滴滴”)正式向美國證券交易委員會遞交了IPO招股書,6月30日,滴滴正式在紐交所掛牌上市,股票程式碼為“DIDI”;
7月2日,國家網信辦宣佈依據《國家安全法》、《網路安全法》,按照《網路安全審查辦法》對滴滴實施網路安全審查,審查期間“滴滴出行”App停止新使用者註冊;
7月4日,網信辦因“ 嚴重違法違規收集使用個人資訊問題”對“滴滴出行”App進行強制下架;
7月9日22時,網信辦繼續釋出了下架“滴滴企業版”等25款App的通報;
7月16日,國家網信辦會同公安部、國家安全部、自然資源部、交通運輸部、稅務總局、市場監管總局等七部門聯合進駐滴滴,開展網路安全審查;
2021年12月3日,滴滴啟動在紐交所退市的工作,並啟動在香港上市的準備工作。2022年6月10日,滴滴在美股正式退市;
2022年7月21日,國家網際網路資訊辦公室公佈對滴滴全球股份有限公司處人民幣80.26億元罰款,對程維、柳青各處人民幣100萬元罰款的處罰規定。
【說明1】 審查是依據《網路安全審查辦法》第二條“ 關鍵資訊基礎設施運營者採購網路產品和服務,網路平臺運營者開展資料處理活動,影響或者可能影響國家安全的,應當按照本辦法進行網路安全審查。 ”
【說明2】 目前關於違反網路安全、資料安全、個人資訊保護相關法律法規的處罰方式主要有:一般情形通常是執法約談、責令改正、警告、通報批評、罰款等,對於情節嚴重的可以責令暫停相關業務、停業整頓、關閉網站、下架、吊銷相關業務許可證或者吊銷營業執照、處理責任人等措施。
在7月4日的通報中,網信辦是按照普通情節要求滴滴進行整改的;而到7月9日“下架滴滴25款App”的處置,相比網信辦在6月11日釋出的“關於Keep等129款App違法違規收集使用個人資訊情況的通報”中對“違反必要原則、收集與其提供的服務無關的個人資訊、以及未經使用者同意收集使用個人資訊等”APP的處置是“要求在本通報釋出之日起15個工作日內完成整改,並將整改報告加蓋公章傳送至電子郵箱。”所以從處置方式來看,對比同型別的事件已經是按照“情節嚴重”去處理了。
據網信辦回應,滴滴對境內各業務線(網約車、順風車、兩輪車、造車等)重大事項具有最高決策權,制定的企業內部制度規範對境內各業務線全部適用,且對落實情況負監督管理責任。
其透過滴滴資訊與資料安全委員會及其下設的個人資訊保護委員會、資料安全委員會,參與網約車、順風車等業務線相關行為的決策指導、監督管理,各業務線違法行為是在該公司統一決策和部署下的具體落實。
據此,本案違法行為主體認定為滴滴,其董事長兼CEO程維、總裁柳青,對違法行為負主管責任。
【說明】 依據《關鍵資訊基礎設施安全保護條例》第十三條規定“運營者的主要負責人對關鍵資訊基礎設施安全保護負總責,領導關鍵資訊基礎設施安全保護和重大網路安全事件處置工作,組織研究解決重大網路安全問題。”
據網信辦回應,滴滴違法違規行為情節嚴重,結合網路安全審查情況,應當予以從嚴從重處罰:
其違法行為給國家網路安全、資料安全帶來嚴重的風險隱患,且在監管部門責令改正情況下,仍未進行全面深入整改,性質極為惡劣。
其相關違法行為最早開始於2015年6月持續至今,時間長達7年,並持續違反2017年6月實施的《網路安全法》、2021年9月實施的《資料安全法》和2021年11月實施的《個人資訊保護法》。
其透過違法手段收集使用者剪下板資訊、相簿中的截圖資訊、親情關係資訊等個人資訊,嚴重侵犯使用者隱私,嚴重侵害使用者個人資訊權益。
其違法處理個人資訊達647.09億條,數量巨大,並且其中包括人臉識別資訊、精準位置資訊、身份證號等多類敏感個人資訊。
其違法行為涉及多個App,涵蓋過度收集個人資訊、強制收集敏感個人資訊、App頻繁索權、未盡個人資訊處理告知義務、未盡網路安全、資料安全保護義務等多種情形。
《網路安全審查辦法》第二十條“當事人違反本辦法規定的,依照《中華人民共和國網路安全法》、《中華人民共和國資料安全法》的規定處理。”
《網路安全法》第五十五條“關鍵資訊基礎設施的運營者違反本法第三十五條規定,使用未經安全審查或者安全審查未透過的網路產品或者服務的,由有關主管部門責令停止使用,處 採購金額一倍以上十倍以下罰款。對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。”
《資料安全法》第六章,對企業、組織、機構、最高處罰限額為一千萬元,並根據情況責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照;構成犯罪的,依法追究刑事責任。對直接負責的主管人員和其他直接責任人員, 最高處罰限額為一百萬元。
《個人資訊保護法》第六十六條“違反本法規定處理個人資訊,或者處理個人資訊未履行本法規定的個人資訊保護義務的,由履行個人資訊保護職責的部門責令改正,給予警告,沒收違法所得,……情節嚴重的,由省級以上履行個人資訊保護職責的部門責令改正,沒收違法所得, 並處五千萬元以下或者上一年度營業額百分之五以下罰款 ,並可以責令暫停相關業務或者停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照;對 直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款 ,並可以決定禁止其在一定期限內擔任相關企業的董事、監事、高階管理人員和個人資訊保護負責人。
《行政處罰法》第二十九條“對當事人的同一個違法行為,不得給予兩次以上罰款的行政處罰。同一個違法行為違反多個法律規範應當給予罰款處罰的, 按照罰款數額高的規定處罰 。”故按照《個人資訊保護法》進行罰款處罰。
2022年5月滴滴披露了2021年年報,公佈營收1738.27億元,其中來自中國區域業務營收為1605.2億元,5%大約為86.9億元,最後的處罰金額(80.26億)即是參考了這一資料,所以對於滴滴、相關責任人的處罰金額已經是接近頂格。
曾在2015年時,新華社和滴滴媒體研究院共同釋出了一份各部委加班情況的統計報告,透過這份報告中的資料不僅能知道在特定時間段內哪些部門工作比較多,同時也能知道重要部門裡面的人物住址、每天的工作行程等資訊,此時的滴滴已經具備了大資料分析的能力。
2017年,女性安全方面事故頻發,輿論之下的滴滴順勢上線 “桔視”在行車途中進行全程錄音錄影,在這個過程中會記錄下乘客的人臉、聲紋等個人生物識別資訊。
在《個人資訊保安規範》中,將身份證件號碼等個人身份資訊,指紋、基因等個人生物識別資訊,交易資訊、銀行賬號在內的個人財產資訊,醫療記錄等健康生理資訊,通訊記錄、聊天內容、行蹤軌跡、住宿資訊等內容,納入到個人敏感資訊範圍。而滴滴平臺底層的資料欄位基本可以覆蓋所有的個人敏感資料型別,其中雖然無法獲取明確的醫療記錄,但也會包含出入醫院的頻次、時間等資料。
個人資訊示例
個人敏感資訊示例
除了收集個人資訊,在桔視上線3週年之後,滴滴地圖事業部總經理柴華在中國測繪學會年會上公佈了一組資料:滴滴地圖基礎資料準確率已經超過95%,每天新增軌跡資料超108TB,這些軌跡資料和場景,具備海量、連續、高質量的特點。此外,5.5億乘客出行時,每天還會上報數十萬量級的路況事件,也就是說,1000多萬滴滴車輛,每天都會透過桔視成為滴滴的街景實時測繪車。
從軍事角度看,滴滴掌握的這些資料具有重大的軍事戰略價值,對這些包含地理、道路、交通、人員出行、影片記錄等資訊資料進行深度分析,甚至可以探知中國軍事戰略目標、軍事調動等資訊,戰時可能給敵方國家提供攻擊和轟炸目標、精度等資訊,如果這些大資料流向境外,將對中國國防、軍事戰略造成重大風險。
2012年,美國證監會SEC正式要求四大會計事務所必須向其提交在美國上市的中國公司的審計底稿。審計底稿,簡單來說就是一家公司的紙質存在形態,包括所有使用者資料、所有會議記錄、所有溝通檔案、所有問題彙總、所有程式表格,甚至連歷年來的電子郵件也不能倖免。而在美國上市滴滴是否上交所有的審計底稿,我們無從得知。
此次對滴滴的處罰無疑是作為一個典型負面案例,對於其他的“資料處理者”也是一個警示和威懾,這次的處罰體現了國家對於危害國家網路安全、資料安全以及侵害公民個人資訊的違法行為越來越重視,日後管控也會愈加嚴格。那麼對於組織來說應該如何避免此類法律風險,美創認為作為“資料處理者”的當務之急是儘快梳理業務相關資料,建立健全安全合規體系,本著“應評盡評”的原則,開展安全風險評估工作,充分了解組織安全現狀,再透過相關處置措施,加強網路安全、資料安全和個人資訊保護工作,以規避法律風險。
美建立議: 作為“資料處理者”的當務之急是儘快梳理業務相關資料,建立健全安全合規體系,本著“應評盡評”的原則,開展安全風險評估工作,充分了解組織安全現狀,再透過相關處置措施,加強網路安全、資料安全和個人資訊保護工作,以規避法律風險。
掃碼獲取滴滴公司16項違法事實及所涉條款
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69973247/viewspace-2908362/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 80.26億元罰款!網信辦對滴滴作出網路安全審查相關行政處罰
- 滴滴貪汙行為曝光,四人收到處罰BXR
- 英國航空公司將因資料洩露問題面臨創紀錄罰款處罰
- 土耳其對臉書資料洩露事件罰款27萬美元事件
- 美國法警局遭遇重大安全事件,洩露執法敏感資訊事件
- 世界糧食安全最高國家(附原資料表)
- 預告丨產業安全專家論壇之《資料安全法》下的企業資料安全建設產業
- 資料安全法下,企業如何平衡資料安全合規與業務效能?| 產業安全專家談產業
- 罰函式法函式
- 《國家網路空間安全戰略》釋出
- 加大對編造網路謠言的處罰力度:謠言背後是赤裸裸的利益
- 以紅隊視角看FireEye武器洩漏事件事件
- 9月1日起施行!國家網信辦公佈《資料出境安全評估辦法》
- 企業如何遵守資料安全法規進行SAP資料脫敏處理?
- 60.2%受訪快遞員認為投訴罰款多,專家建議解決“以罰代管”頑疾
- 大資料國家工程專案001號主資料國標平臺與工具大資料
- 國家林業和草原局資訊中心大資料處正式成立大資料
- 《中華人民共和國資料安全法 (草案) 》解讀
- 獨家 | 利用滴滴出行資料透視中國城市空間發展(附視訊&PPT)
- 滴滴美國研究院落戶矽谷,重點發展大資料安全和智慧駕駛大資料
- 拿到登入資料以後如何處理?
- 11月資料安全重要政策法規、檔案彙總
- 谷歌違反通用資料保護條例,法國監管機構判罰5000萬歐元谷歌
- 以自主可控技術服務國家資訊保安
- 國家網信辦等十三部門聯合修訂釋出《網路安全審查辦法》
- 雲原生愛好者週刊:美國國家安全域性釋出網路安全指南
- 4.15全民國家安全教育日|國家安全,人人有責
- 從IDC資料庫安全報告,看OceanBase安全能力資料庫
- 國家發改委:中國移動資料流量資費在全球處於中低水平
- 國家網信辦:國內資料共享與資料市場建設仍處於分散探索階段
- Github資料洩露事件處置常見技巧Github事件
- 《資料安全法》之下,你的資料安全建設跟上了嗎?
- 解讀《資料安全法》,開啟資料安全保護“新思路”
- 以資料為中心的資料安全基礎能力建設探索
- 從技術角度看騰訊雲“資料丟失”事件!事件
- FB洩露300萬歐洲使用者資料 GDPR大考:如何處罰?
- 騰訊安全姬生利:《資料安全法》下,雲上資料安全最佳實踐
- 抖音暫停廣告業務 將落實“侮辱英烈”事件處罰結果事件