（一）违法行为及依据

网信办就滴滴公司被罚的答记者问（以下简称“答记者问”）中公布[1]，经查明，滴滴公司共存在16项违法事实，归纳起来主要是8个方面：

i)：违法收集用户手机相册中的截图信息1196.39万条；

ii)：过度收集用户剪切板信息、应用列表信息83.23亿条；

iii)：过度收集乘客人脸识别信息1.07亿条、年龄段信息5350.92万条、职业信息1633.56万条、亲情关系信息138.29万条、“家”和“公司”打车地址信息1.53亿条；

iv)：过度收集乘客评价代驾服务时、App后台运行时、手机连接桔视记录仪设备时的精准位置（经纬度）信息1.67亿条；

v)：过度收集司机学历信息14.29万条，以明文形式存储司机身份证号信息5780.26万条；

vi)：在未明确告知乘客情况下分析乘客出行意图信息539.76亿条、常驻城市信息15.38亿条、异地商务/异地旅游信息3.04亿条；

vii)：在乘客使用顺风车服务时频繁索取无关的“电话权限”；

viii)：未准确、清晰说明用户设备信息等19项个人信息处理目的。

我们作为乘客看到上面这些时候可能会觉得有些信息我们确实提供过，提供时候可能也没太考虑滴滴APP是否真的需要这些信息帮我们安排行程。但滴滴公司未料到的是，这些行为都是法律所不容的，都是涉及违法行为的。

从网信办所列以上违法事实可以看出，滴滴公司涉及的违法行为集中在个人信息处理领域，具体可以分为四大类，过度收集个人信息、信息收集方式违法、未对个人信息采取相应的加密安全技术措施、未经同意处理个人信息。而其中，过度收集个人信息是最为严重的问题，8项违法行为中有6项与过度收集信息有关。判定这四类问题违法的依据为：

1. 关于过度收集个人信息

在数据时代，基于海量数据的处理和分析是互联网企业的核心竞争优势之一，各大互联网厂商均自然倾向通过提供产品或服务尽可能的收集更多的用户信息、行为数据等，因而过度收集个人信息一直是数据合规监管的重点领域。《个人信息保护法》[2]要求处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式；收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。同时，个人信息处理应遵循“最小必要”原则，但在不同业务领域中，到底哪些信息属于“最小必要”在企业中争论不休。因此网信办联合其他三部门出台了《常见类型移动互联网应用程序必要个人信息范围规定》对常见类型APP的必要个人信息范围进行了明确。

滴滴属于网络约车类，其必要个人信息包括：

1）注册用户移动电话号码；

2）乘车人出发地、到达地、位置信息、行踪轨迹；

3）支付时间、支付金额、支付渠道等支付信息（网络预约出租汽车服务）。

而滴滴公司收集的人脸识别信息、年龄段信息、职业信息、亲情关系信息等显然不属于上述必要个人信息的范围。而对于非必要的信息，在收集时应和必要信息区分，并给予用户拒绝授权的选择。而企业如果未加区分通过隐私政策要求用户一并授权，则可能会面对过度收集信息的风险。

2. 信息收集方式违法

滴滴公司在乘客评价代驾服务时、乘客评价代驾服务时、App后台运行时、手机连接桔视记录仪设备时，收集了客户精准位置（经纬度）信息1.67亿条。《网络安全法》要求网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则[3]。滴滴公司收集信息的场景显然不符合最小必要原则。

在收集信息时，即使收集的信息类别属于业务所必需，也要注意收集的时间点，是否符合最小必要的原则。

位置信息和行踪轨迹是网约车类APP提供服务所必须的，但并不意味，网约车APP可以不分时间的收集用户的位置信息。网约车APP收集用户的位置信息，目的在于了解用户位置进行车辆派单接送用户，并在行程过程中保证安全。而在评价代驾服务、APP后台运营等场景，由于不涉及前述服务的提供，自然收集位置信息也并非必要。

3. 未对个人信息采取相应的加密安全技术措施

滴滴公司过度收集司机学历信息14.29万条，以明文形式存储司机身份证号信息5780.26万条。《个人信息保护法》[4]规定个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等，采取下列措施确保个人信息处理活动符合法律、行政法规的规定，并防止未经授权的访问以及个人信息泄露、篡改、丢失：…(三）采取相应的加密、去标识化等安全技术措施。

4. 未经同意处理个人信息

滴滴公司在未明确告知乘客情况下分析乘客出行意图信息539.76亿条、常驻城市信息15.38亿条、异地商务/异地旅游信息3.04亿条。《个人信息保护法》[5]规定，处理个人信息应当取得个人同意（法律规定的豁免情形除外）。《网络安全法》规定[6]，网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意。

（二）罚款金额及依据

滴滴公司判处罚款80多亿。对很多企业来说是天文数字。在数据安全合规领域也属于天价罚款。网信办在公告中引用的《网络安全法》《数据安全法》和《个人信息保护法》都分别设立了罚则如下：

从处罚金额上分析，对滴滴公司处以人民币80.26亿元罚款，是根据滴滴第四季度业绩报告。2021年滴滴全年营业收入为1738.27亿元人民币，罚款金额约占全年营业收入的4.62%，已接近按照《个人信息保护法》的顶格罚金标准（即上一年度营业额的5%以下）。而对董事长兼CEO程维、总裁柳青各处人民币100万元罚款，属于对个人的顶格罚金标准。

但尽管按照顶格罚金的处罚标准处以罚款，但监管机构仍然给滴滴公司“留有一条生路”，没有按照处以停业整顿、吊销营业执照、行业禁业等更为严厉的处罚措施。

随着《数据安全法》和《个人信息保护法》在2021年生效实施，这两部法律与《网络安全法》一并，构成了我国的网络及数据合规立法体系。其中《网络安全法》以网络安全为核心，建立了关键信息基础设施保护制度，并明确了网络运营者在网络安全保护领域的权利和义务。在《网络安全法》已提出了“数据自身安全”的前提下，《数据安全法》将“数据自主可控”和“数据宏观安全”作为规制重心[7]，明确了数据分类分级保护制度。而《个人信息保护法》则是将之前零散的个人信息管理规定体系化，对个人信息全周期的收集及处理流程进行了系统的规定。

而在三部上位法法律之下，国家各部门也就三部法律中提及的监管措施出台了进一步的部门规章。对于关键信息基础设施的安全保护，通过《关键信息基础设施安全保护条例》和《网络安全审查办法》提供了保护措施。对于数据出境，即将于2022年9月1日生效的《数据出境安全评估办法》，将对数据安全评估的情形和流程进行了细致的规定。至于个人信息保护，有《常见类型移动互联网应用程序必要个人信息范围规定》、《App违法违规收集使用个人信息行为认定犯法法》对通过移动设备端进行个人信息收集的方式和范围进行了限制，亦有《人口健康信息管理办法（试行）》、《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》、《寄送服务用户个人信息安全管理规定》、《汽车数据安全管理若干规定（试行）》等基于不同行业、不同场景所涉及的个人信息管理规定。

现阶段，我国数据合规监管体系已基本建成，企业的数据合规义务也愈发明确和细化，对企业数据合规的监管也更加有法可依。

2. 以国家安全为导向

从滴滴公司的违法事实中可以看出，违法行为均为违反个人信息保护义务。但值得注意的是，答记者问中网信办表示“网络安全审查还发现，滴滴公司存在严重影响国家安全的数据处理活动，以及拒不履行监管部门的明确要求，阳奉阴违、恶意逃避监管等其他违法违规问题。滴滴公司违法违规运营给国家关键信息基础设施安全和数据安全带来严重安全风险隐患。因涉及国家安全，依法不公开。”

很多评论都猜测，滴滴公司之所以被处以重罚，除了在个人信息处理过程中的严重违规外，还有一定的原因是因为滴滴的行为损害了国家数据安全。而《网络安全法》、《数据安全法》、《个人信息保护法》的立法主旨，均包括保护国家数据安全。因此，这也给存在境外上市、境外融资等跨境数据流动行为的企业敲响了警钟。未来国家监管部门对数据合规的执法，也会继续以国家数据安全为导向，企业应切实履行好自身数据合规义务，避免这一领域很高的合规风险。

3. 处罚力度逐渐加大

即使在《个人信息保护法》正式出台前，国家网信办与其他监管部门也已对APP违法违规收集个人信息进行了多轮检查和处罚，但处罚方式集中于责令改正、要求整改或下架app。据不完全统计，工信部四部委及其省级单位在2019年至2021年8月份期间共通报整改2111款APP，通报下架470款APP[8]。

（图片来源：《移动应用（APP）个人信息保护白皮书》）

而涉及到罚款的处罚，目前集中于金融行业，央行及银保监会多次开出百万级罚单，而本次对滴滴公司的处罚事件，开启了因违法违规收集个人信息而对互联网APP进行大额处罚的先河。而未来随着执法趋严，不符合数据合规要求的企业及APP可能会越来越频繁的面对监管的大额罚金处罚。

三、通过处罚提高企业数据合规

1. 对个人信息收集情况进行摸排

如上文所述，本次对滴滴公司的处罚集中在个人信息收集的违规行为上，而随着监管力度越来越严，用户也对企业收集个人信息的行为愈发敏感，企业应对业务流程中涉及的个人信息收集情况进行摸排，对已有的违规问题及时整改。

信息类别摸排：进行摸排的第一步，就是识别业务活动中处理的信息类型，企业业务活动中可能涉及财务数据、行业数据、信息系统数据等，因此企业应梳理业务活动中涉及的全部数据类型，并排查其中属于个人信息和个人敏感信息的情形。

必要性审查：在了解了企业业务活动中涉及个人信息和个人敏感信息的情形后，企业则应该按照业务类别，分类确认收集相关信息是否符合最小必要原则，此步骤可能需要企业的法律合规人员和业务部门人员探讨，为实现特定的业务功能，收集哪些信息是必要的，对属于过度收集的信息类别，应停止收集并给予客户单独授权的机会。

合法性审查：而对于必要的个人信息，则要进行合法性审查，确保收集信息的流程、涉及的告知书、同意方式的内容和形式合法合规。对于一般种类的个人信息，应严格履行“告知同意”义务，告知内容要符合《个人信息保护法》的要求，包括处理目的、处理方式，处理的个人信息种类、保存期限等信息。而对于属于个人敏感信息，则需要履行增强义务，通过单独的同意书或弹窗等方式进行单独告知，并告知处理敏感个人信息的必要性以及对个人权益的影响。

2. 对个人信息处理进行评估

本次滴滴公司处罚事件给予其他企业的另一个警告是，在数据处理的过程中，一定要以维护数据安全为核心，避免商业获利的优先级高于数据安全的行为。而为保护数据安全，《个人信息保护法》对一些高风险场景规定了进行安全评估的义务，如处理个人敏感信息、利用个人信息进行自动化决策、委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息、数据跨境传输等情形。涉及重要数据的，《数据安全法》规定了数据处理着应定期开展风险评估，并向有关主管部门报送评估报告。而对于数据跨境传输，可能还涉及需要提交到监管部门进行安全审查。

限于篇幅原因，具体的安全评估事项在此无法具体展开，但企业应首先对处理数据的类型、范围、规模、方式进行梳理和分类，涉及上述高风险行为的，应触发个人信息保护影响评估机制或数据出境评估机制。确定需要进行评估的，企业可以通过访谈、穿行测试、同业比对、量化评估等方式进行分析。

而无论是对个人信息收集情况进行摸排，还是对个人信息处理进行评估，企业都需要建立一套完整的数据合规体系，覆盖到企业业务过程中的各个环节，因此需要法务部门与业务部门合作，也应在关键步骤聘请律师事务所、软件测评机构等专业中介机构，借助专业的力量协助企业完善企业的数据合规建设。