七部门进驻滴滴 企业应当重视数据安全合规
7月16日,中华人民共和国国家互联网信息办公室官网显示,“按照网络安全审查工作安排,国家网信办会同公安部、国家安全部、自然资源部、交通运输部、税务总局、市场监督总局等部门联合进驻滴滴出行科技有限公司,开展网络安全审查”。这是自2020年4月《网络安全审查办法》实施以来的首次公开审查,这同时也标志着该《办法》正式进入实操阶段。由于无成例可循,此次审查无疑充满不确定性和不可预测性。该事项进一步敲响了企业数据安全合规的警钟。企业的数据安全合规,势在必行。
一、滴滴网络安全审查事件回顾
——2021年6月30日,滴滴在美国纽约证券交易所IPO发行定价为每股14美元,上市首日市值峰点达到800亿美元。
——7月2日,国家网信办发布通告“依据国家安全法、网络安全法、网络安全审查办法,对滴滴实施网络安全审查。”同时责令滴滴出行停止接受新用户的注册。
——7月4日,国家网信办要求下架滴滴出行APP。
——7月5日,国家网信办将审查范围扩大至货车帮、BOSS直聘等企业,并禁止被审查企业接受新用户注册。
——7月9日,网信办发布通告,要求各大网站平台下架滴滴出行发布的25款关联APP。
——7月16日,网信办等7部门进驻滴滴开展网络安全审查。
二、滴滴数据安全合规问题
(一)滴滴的数据采集失范
在受到政府审查之前,滴滴在《个人信息保护及隐私政策》中强调,滴滴“保留对个人信息的收集、保存、使用、共享的权利”,其中所指的“个人信息”是“身份证号码、面部识别特征、录音录像、银行卡号、IP地址”。根据《信息安全技术个人信息安全规范》第4条d款和5.2条款,个人信息控制者收集个人信息时需要遵循“最小必要原则”,“收集的个人信息的类型应与实现产品或服务的业务功能有直接关联;直接关联是指没有上述个人信息的参与,产品或服务的功能无法实现”。滴滴显然未见得有足够的理由证明使用该平台服务而要求用户提交个人信息的必要性,这些信息的收集超出正常使用滴滴平台核心功能之所必需。
(二)滴滴的数据共享失范
滴滴《个人信息保护及隐私政策》的“个人信息的共享、转让、公开披露”一节显示,滴滴将会在特定情况下共享用户信息,共享对象主要包括广告分析服务商、供应商和其他合作方等。这显然未能尽然符合《个人信息保护及隐私政策》第9.2条b款之规定。该规定要求,企业对用户数据进行共享时应当告知用户可能产生的后果并且征求用户同意。同条c款进一步要求,若共享敏感信息,还应当告知信息接收主体的身份和数据安全能力,并且征求个人信息主体的明示同意。滴滴通过这种笼统式要求用户同意的方法显然难以契合法规政策的要求。
《民法典》第一百一十一条规定,“不得非法收集、使用、加工、传输他人个人信息”。《个人信息保护法(草案)》第二十四条规定,企业对用户数据进行共享支持应当告知用户,并且征求用户单独同意,第三方对用户数据的使用不得超出同意之范畴。尽管《个人信息保护法》尚在制定之中,但其亦鲜明地向社会传达出国家对于个人信息保护的决心。滴滴的失范行为无疑挑战了这些法律规范和技术标准。这也正是应和了2021年7月4日网信办之通告——“‘滴滴出行’App存在严重违法违规收集使用个人信息问题”。
三、企业应当重视数据合规
在数字信息技术日新月异的发展趋势下,数据已经成为各个企业的核心资产乃至核心生产要素,属于企业的基础性战略资源。由于数字技术促进数据应用场景和参与主体的多样化,各国政府逐步将数据安全的认知从个人隐私保护提升到国家安全高度,并颁布了相应的法律法规。因而,对企业而言,数据安全合规的复杂程度亦日益加深,重要性不断增强。
如若未能做到相应合规,企业将会面临重大商业损失、连带性商誉降低、巨额行政处罚等风险。滴滴从6月30日美股上市至今,价格大跌20%以上,股价从15.53美元/股跌至如今不足12美元/股(美东时间7月16日盘中价格),市值从750亿美元跌至570亿美元,蒸发了180亿美元,约1160亿人民币。与此同时,根据美国商业电报(Business Wire)和雅虎财经7月4日报道称,美国股东权益律师事务所(Labaton Sucharow LLP)以及罗森律师事务所(Rosen Law Firm)日前宣布,其正在代表滴滴全球股份有限公司的股东准备集体诉讼、调查潜在的证券索赔。另外,当下七部门已经进驻滴滴,尽管面临着非常不确定的监管风险,但是可以预见到是,在接受审查期间,滴滴将会因此而失去业务机会进而造成商业损失。在完成审查之后,亦不排除行政机关开出的天价罚单,甚至亦有可能由于合规问题而不得不重塑自身的商业模式。这些都将无疑构成滴滴公司发展史上值得让人深刻反思和警醒的一幕。
因而,企业加强数据合规刻不容缓!