数据委市场处专访
北京市盈科律师事务所-CPDA&数据委专业合作律师团
7月2日,国家网信办发布公告,对“滴滴出行”实施网络安全审查。为配合网络安全审查工作,防范风险扩大,审查期间“滴滴出行”停止新用户注册。
7月4日晚,国家网信办发布通报称,根据举报,经检测核实,“滴滴出行”App存在严重违法违规收集使用个人信息问题,通知应用商店下架“滴滴出行”App。
7月5日,“滴滴下架”引发全网舆论关注。
滴滴出行用6年时间,让自己成为“国民级”出行App,甚至变成很多人的出行“习惯”。
「为了安全,为了保护乘司切身权益、为了更便捷的定位」……
平日,滴滴庞大的体量,让我们感觉它所有的数据搜集行为都有些“理所当然”,尽管在点击“同意服务协议”时会有一丝顾虑,但很快就会被我们对大企业的“社会责任期待感”所抵消。
此次有关部门对滴滴的网络安全审查,让大家更有信心认为之前自己对滴滴部分行为的怀疑与猜测是有道理的,无风不起浪,“滴滴下架”之所以能够引爆舆论,足以证明社会大众对个人隐私过度被挖掘的担心。
网上冲浪吃瓜虽好,但内容同质的信息看多了也会没意思。“透过现象看本质”才能会让我们有所收获和启发。
在全网都在热议“滴滴下架”的同时,数据委市场处数据君特邀北京市盈科律师事务所-CPDA&数据委专业合作律师团的付成武律师、刘桂红律师为我们带来对此次“滴滴下架”法律专业层面的解读。
数据君:“如果滴滴“海外上市,把数据打包卖给美国”的传闻被坐实,将会面临什么样的法律后果?”
付成武·律师:根据《网络安全法》和《网络安全审查办法》的规定,滴滴出行在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。
因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。如果违反该条款规定,在境外存储网络数据,或者向境外提供网络数据的,由有关主管部门责令改正,给予警告,没收违法所得,处五万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。若滴滴存在“卖”数据的行为,那么可能构成侵犯公民个人信息罪,滴滴出行运营公司可能被判处罚金,其直接负责的主管人员和其他直接责任人员,可能被判处有期徒刑,并处或单处罚金。若滴滴存在与境外机构、组织、个人相勾结,危害中华人民共和国的主权、领土完整和安全等行为,还会构成危害国家安全罪。
数据君:“作为普通用户,在日常使用手机App过程中,应该如何判断隐私信息索取过度?如何保存证据维护自身权益?”
付成武·律师:《网络安全法》规定,网络运营者收集个人信息应当遵循“合法、正当、必要”原则,“网络运营者不得收集与其提供的服务无关的个人信息。”
何为“与其提供的服务无关的个人信息”要根据具体案情判断。例如,图片美化APP要求读取图片权限是正当的,而导航APP做同类要求显然就超过了必要的限度。这要用户在使用过程中根据常识和理性作出判断。对于保存证据,用户可以:1、紧急情况下,在提起诉讼或者申请仲裁前向证据所在地、被申请人住所地或者对案件有管辖权的人民法院申请保全证据。该种保存证据的方式证明力高,但是程序繁琐,且存在法院不予受理的可能。2、向公证机关申请证据保全,公证机关对网络上的相关信息逐一打印并将取得证据的过程予以详细记录,形成完整的公证书。公证亦有很高的证明力,该证据保存方法的缺点在于耗时长,费用高。3、向联合信任时间戳服务中心申请可信时间戳,这种方式也可以固定证据,费用很低,操作简便,且越来越得到法院的认可。
4、可以自行截图、录屏保留证据,这种方法更便捷,但是如果侵权人删除相应的侵权内容,该证据的真实性在法庭上可能会被质疑。
数据君:“国家网信办通知下架滴滴,又宣布对“运满满”、“货车帮”以及“Boss直聘”启动网络安全审查,所以作为企业,应该注意哪些用户信息收集和使用方面的问题?”
2021年6月11日晚,在线招聘平台“BOSS直聘”正式登陆纳斯达克。招股书信息显示, 2021年3月,BOSS直聘月活跃用户数达3060万。
2021年6月22日晚,“运满满”和“货车帮”合并而成的货运平台满帮在纽交所挂牌上市。招股书显示,2020年,满帮2020年全年交易总额达1738亿,订单量达7170万单,共计280万卡车司机在平台上完成货运订单,约占中国中重型卡车司机的20%。2021年6月30日晚,“滴滴出行”在纽交所挂牌上市。招股书显示,截至 2021 年 3 月 31 日,滴滴年活跃用户数为4.93亿,平均月活用户数为1.56亿。2021年6月间,网约车、货运和招聘行业的龙头企业“滴滴出行”、“满帮”(“运满满”和“货车帮”)和” BOSS直聘”接连赴美上市……这些企业掌握着中国海量的个人信息,以及客运数据、货运数据、道路交通数据等重要数据。而在上市过程中,这些企业需要向美国证监会(The U.S. Securities and Exchange Commission,简称“SEC”)提供审计底稿,并接受SEC的多轮问询,在当前中美形势下,无疑对于中国的网络安全、数据安全甚至国家安全产生重大不利影响。国家互联网信息办公室(简称“网信办”)7月4日要求滴滴出行APP下架,次日,网信办下属网络安全审查办公室通知对“运满满”,“货车帮”以及“Boss直聘”启动网络安全审查,APP停止新用户注册。数据安全和个人信息保护问题已经成为很紧迫的问题。
根据《网络安全法》、《个人信息保护法(草案二次审议稿)》、数据安全管理办法(征求意见稿)等已生效或在审议中的法律法规的规定和建议,作为网络运营者的企业,在收集和使用用户信息方面要注意:
1、收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
2、个人要求删除或更正其个人信息时,应当采取措施予以删除或者更正。
3、 不得以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,以默认授权、功能捆绑等形式强迫、误导个人信息主体同意其收集个人信息。
4、不得依据个人信息主体是否授权收集个人信息及授权范围,对个人信息主体采取歧视行为,包括服务质量、价格差异。
5、以经营为目的收集重要数据或个人敏感信息的,应当明确数据安全责任人。
6、保存个人信息不应超出收集使用规则中的保存期限,用户注销账号后应当及时删除其个人信息,经过处理无法关联到特定个人且不能复原的除外。
7、利用用户数据和算法推送新闻信息、商业广告等,应当以明显方式标明“定推”字样,为用户提供停止接收定向推送信息的功能;用户选择停止接收定向推送信息时,应当停止推送,并删除已经收集的设备识别码等用户数据和个人信息。
8、处理个人信息应当经过个人同意,基于个人同意而进行的个人信息处理活动,个人 有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。
9、个人信息处理者向他人提供其处理的个人信息 的,应当向个人告知接收方的身份、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在 上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的,应当依照本法规 定重新取得个人同意。
10、个人信息的保存期限应当为实现处理目的所必要 的最短时间。
11、应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。
12、关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。
13、以及其他需要注意的事项。
数据君:“9月1日即将实施的数据安全法,在如今企业掌握大量用户数据的情况下,应该注意哪些方面对于数据收集和应用的安全问题?”
9月1日《数据安全法》即将生效,企业应当注意以下安全问题:
1、开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。2、开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。3、重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。4、任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。
5、从事数据交易中介服务的机构提供服务,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。
6、《数据安全法》生效后,相关部门会出台配套的法规,相关企业应当时刻关注动态,做好其他企业数据安全工作。
数据君:“这次「滴滴下架」引爆舆论,作为一名法律从业者有何感想?”
随着互联网的发展,数据安全、网络安全、个人信息的保护等越来越与个人生活和国家稳定息息相关。立法有一定的滞后性,尽管《民法典》把个人信息和个人隐私的保护明确到法典之中,尽管《网络安全法》、《数据安全法》已出台,仍然需要配套的法规来完善,《个人信息保护法》也仍在征求意见之中。
作为中国企业,应当本着公平公正、诚实信用的原则,收集和使用个人信息,保护重要数据的安全,维护国家的安全和发展,毕竟,国家发展是企业发展的基础。
“中国人愿意用隐私换便捷”这个说法从不存在,“愿意”只是纯粹的因为“没得选”。
近年来,中国的互联网消费环境发生了天翻地覆的变化,资本、平台搭建者需要意识到“互联网流量红利时代”已经过去了,消费者已经不再愿意忍受单方面的平台霸权,逐渐完善的相关法律法规,将成为消费者维护自身数据隐私权益的有力武器。在此背景下,所有平台、大数据持有者都会迎来很大的考验,和全新的机会。
《中华人民共和国数据安全法》将于9月正式施行。《数据安全法》会对我们普通个人、企业生产者会产生哪些切身影响? 以后还会看到类似此次“滴滴下架”的新闻么?《数据安全法》实施前夕,数据委将举办专场沙龙分享会,邀请北京市盈科律师事务所-CPDA&数据委专业合作律师团权威律师为大家带来精彩观点分享。