根据网络安全审查结论及发现的问题和线索,国家互联网信息办公室依法对滴滴全球股份有限公司涉嫌违法行为进行立案调查。经查实,滴滴全球股份有限公司违反《网络安全法》《数据安全法》《个人信息保护法》的违法违规行为事实清楚,证据确凿,情节严重,性质恶劣。
2022年6月21日,国家互联网信息办公室依据《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等法律法规,对滴滴全球股份有限公司处人民币80.26亿元罚款,对滴滴全球股份有限公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款。
经查明,滴滴公司共存在16项违法事实,归纳起来主要是8个方面:
1.违法收集用户手机相册中截图信息1196.39万条;
2.过度收集用户剪贴板信息、应用列表信息822.23亿条;
3.过度收集用户人脸识别信息1.07亿条、年龄段信息5350.92万条、职业信息1633.56万条、亲情关系信息138.29万条、“家”和“公司”打车地址信息1.53亿条;
4.过度收集乘客评价代驾服务时、app后台运行时,手机连接记录设备时的精准位置信息1.67亿条;
5.过度收集司机学历信息14.29万条,以明文形式存储司机身份证号信息5780.26万条;
6.未明确告知乘客情况下分析乘客出行意图信息539.76亿条、常驻城市信息15.38亿条,异地商务/异地旅游信息3.04亿条;
7.乘客在使用顺风车服务时频繁索取无关的“电话权限”;
8.未准确、清晰说明用户设备信息等19项个人信息处理目的。
(一)违反“知情-同意规则”
《民法典》第1035条第1款规定: “处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:
(1)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;
(2)公开处理信息的规则;
(3)明示处理信息的目的、方式和范围;
(4)不违反法律、行政法规的规定和双方的约定。
《个人信息保护法》第13条第1款规定:“符合下列情形之一的,个人信息处理者方可处理个人信息:
(1)取得个人的同意;
(2)为订立、履行个人作为一方当事人的合同所必需、或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;
(3)为履行法定职责或者法定义务所必需;
(4)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;
(5)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;
(6)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;
(7)法律、行政法规规定的其他情形。”
第2款规定:“依照本法其他有关规定,处理个人信息应当取得个人同意,但是有前款第二项至第七项规定情形的,不需取得个人同意。”
(二)违反“单独同意”规则
《个人信息保护法》第28条第1款规定: “敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。”
第2款规定:“只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。”《个人信息保护法》第29条规定:“处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。”
(三)违反“合法、正当、必要”原则
《民法典》第1035条第1款规定,处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理。
《个人信息保护法》第5条规定:“处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。
扫一扫关注公众号
陕公网安备 61011302001724号