开篇语

　　2022年7月21日，国家互联网信息办公室依据《网络安全法》、《数据安全法》、《个人信息保护法》及《行政处罚法》等法律法规，对滴滴全球股份有限公司（以下简称“滴滴公司”）依法作出网络安全审查相关行政处罚的决定，对滴滴公司处人民币80.26亿元罚款，对其董事长兼CEO程维、总裁柳青各处人民币100万元罚款。

　　“滴滴被罚”对整个网约车行业及所有的互联网企业来说，都是一个值得深思及警示的案例。个人信息权益作为被《民法典》纳入的基本人格权益，及最高人民法院强调的“人民群众最关心、最直接、最现实的利益问题”，关系到人民群众的人格尊严、生活安宁和财产安全，受法律保护。在网络安全审查办公室对“滴滴出行”启动网络安全审查一年之后，《个人信息保护法》出台将满一年之际，国家互联网信息办公室对滴滴公司开出迄今为止的最高罚单，不仅体现了以人民群众权益为中心的法治理念，亦有效震慑了企业的个人信息违法行为，敲响了企业个人信息保护合规处理的警钟。鉴于上述，本文笔者将从“滴滴被罚”事件，围绕相关法律规定对个人信息合规处理原则进行梳理和分析，以期为企业个人信息保护提供相应有效的风险防范提示。

　　违法事实及行政处罚依据

　　从国家互联网信息办公室有关负责人对滴滴公司被依法作出网络安全审查相关行政处罚的决定答记者问中可知，滴滴公司共存在16项违法事实，主要涉及8个方面：

　　1、违法收集用户手机相册中的截图信息1196.39万条；

　　2、过度收集用户剪切板信息、应用列表信息83.23亿条；

　　3、过度收集乘客人脸识别信息1.07亿条、年龄段信息5350.92万条、职业信息1633.56万条、亲情关系信息138.29万条、“家”和“公司”打车地址信息1.53亿条；

　　4、过度收集乘客评价代驾服务时、App后台运行时、手机连接桔视记录仪设备时的精准位置（经纬度）信息1.67亿条；

　　5、过度收集司机学历信息14.29万条，以明文形式存储司机身份证号信息5780.26万条；

　　6、在未明确告知乘客情况下分析乘客出行意图信息539.76亿条、常驻城市信息15.38亿条、异地商务/异地旅游信息3.04亿条；

　　7、在乘客使用顺风车服务时频繁索取无关的“电话权限”；

　　8、未准确、清晰说明用户设备信息等19项个人信息处理目的。

　　可见，严重侵害用户隐私及个人信息权益，违法收集、过度收集、未尽个人信息处理告知义务成为国家互联网信息办公室对滴滴公司作出行政处罚决定的主要依据。如何保护个人信息权益，规范个人信息处理活动，促进个人信息合理利用，成为个人信息保护的核心要义及法益精神。

　　个人信息合规处理原则

　　自《民法典》从基本法的法律高度，在人格权编明确规定“个人信息保护”章节以来，个人信息保护的基本原则、个人信息处理者的义务和责任，即对大数据时代下的个人信息处理提出挑战，并为《个人信息保护法》的出台奠定了基础。《民法典》有关“处理个人信息的，应当遵循合法、正当、必要原则，不得过度处理”的规定，成为《个人信息保护法》关于个人信息处理的根本遵循原则。此外，2022年4月15日，国家市场监督管理总局、国家标准化管理委员会正式发布的《信息安全技术移动互联网应用程序（App）收集个人信息基本要求（GB/T41391-2022）》(以下简称“《APP要求》”），亦在《民法典》、《个人信息保护法》规定的个人信息处理原则的基础上，进一步规范了APP个人信息的各项收集行为，对个人信息的合规处理原则提供了更为直接的衡量标准。

　　（一）合法、正当原则

　　要求个人信息处理者通过合法、正当的手段收集、使用个人信息，不得欺诈、诱骗、强迫用户提供个人信息，不得隐瞒产品或者服务所具有的的收集个人信息的功能，不得通过非法渠道获得个人信息，不得收集法律、法规明令禁止收集的个人信息，不得违法违规或者违反双方约定使用个人信息。同时，个人信息处理者应采取必要措施最大程度保障个人信息安全。

　　（二）最小必要原则

　　要求个人信息处理者应在有助于目的实现的必要范围内运用对个人权益影响最小的方式，从事个人信息处理活动，不得超出用户同意范围或者与服务场景无关。

　　（三）敏感信息单独同意原则

　　根据《个人信息保护法》第二十八条及第二十九条的规定，用户的人脸识别信息、身份信息、精准定位信息、社会关系信息等均属于个人敏感信息，应依法按照单独同意原则的要求，除向个人明确告知收集敏感个人信息的范围、目的及方式外，还应向个人告知处理敏感个人信息的必要性以及对个人权益的影响，否则，不得擅自收集个人敏感信息。

　　（四）公开规则、明示内容并征得同意原则

　　个人信息处理者收集个人信息时，应明示收集、使用信息的目的、方式和范围，并征得用户同意。如需对收集的个人信息进行处理，应告知被收集的个人信息会被用于处理，并明确告知处理的目的、方式、范围和具体使用规则，在获得用户的授权同意后方可进行收集和处理。

　　个人信息处理合规建议

　　1、企业应严格遵循合法、正当、最小必要原则。在实践操作中建议参照《常见类型移动互联网应用程序必要个人信息范围规定》、《App违法违规收集使用个人信息行为认定方法》、《移动互联网应用程序个人信息保护管理暂行规定（征求意见稿）》及APP要求的规定，结合个人信息的敏感程度，在用户授权范围内采取对个人权益影响最小的方式合法收集信息。

　　2、过度收集个人信息的违规行为始终是国家监管的重点，也是APP违规的重灾区。企业应当按照《常见类型移动互联网应用程序必要个人信息范围规定》，区分企业提供服务的类型，明确界定“保障App基本功能服务正常运行所必需的个人信息”的范围，以必要原则为要求，合法收集个人必要信息。对于服务类型多样的企业，对收集范围有疑问的，可主动联系企业所在地网信办等监管部门及时请示，以降低经营风险。

　　3、建议企业收集信息频度应符合业务功能，数据存储上，个人信息存储期限应为实现个人信息主体授权使用的目的所必需的最短时间并符合规定天数。

　　4、企业在制定《个人信息处理协议》及《隐私政策》时，应充分注意收集用户信息的告知义务，采取明确、便捷的方式予以说明，并且按照最新法规和监管要求，及时定期更新。如因业务模式的更新或变更需要扩大收集用户信息范围的，或者涉及收集用户敏感个人信息的，可以采用建议弹窗或者短信的方式将收集使用规则特别提示用户。同时建议企业上述文件留痕保存，已备企业自查和监管抽查。

　　5、建议企业建立数据收集合规体系，对数据收集行为的合法合规性进行论证，包括《隐私政策》、《个人信息处理协议》中重点信息的显著标示，单独同意方式的设置，收集信息提示功能的完善，收集内容、目的、方式和范围的公示等。如涉及向第三方购买或使用第三方提供信息的，应利用合同约定和相关技术手段、合规尽调排查等确保数据来源的合法性。

　　结束语

　　“滴滴被罚”事件敲响了企业个人信息合规处理的警钟，体现了监管部门治理数据违法行为的决心，守护合法底线和遵守执行监管要求成为企业和行业发展的必由之路。各类企业应增强在数据安全及个人信息保护上的合规意识，严格整改存在违法违规收集使用个人信息的现象，以避免给企业带来重大合规风险及经济、商誉损失。