?
来源 | 零壹财经
作者 | 沈拙言
作为实质上的“中国网络安全第一案”,国家互联网信息办公室对滴滴全球股份有限公司处以80.26亿元的罚款(约占滴滴公司上年总营收的5%),金额不可谓不庞大。
但事件的定性远比事件的罚款更重要。在七部门联合进驻滴滴公司开展网络安全的前提下,国家互联网信息办公室对滴滴公司进行网络安全审查相关行政处罚,可能并不意味着滴滴公司违法行为处罚的彻底结束。
2021年7月,国家网信办会同公安部、国家安全部、自然资源部、交通运输部、税务总局、市场监管总局等部门联合进驻滴滴出行科技有限公司,当前仅为国家网信办一部门之处罚,“利空彻底出尽”可能需要多部门联合的处罚文件或审查报告。
自去年6月末滴滴静默上市开始,这家公司已经创造了太多“国内首次”,已经成为我国网络安全、数据安全、个人信息保护等领域的标志性案例,更成为了“查处一案、警示一片”这一监管导向中的标本。
本文将依据公开事实信息,梳理在七部门联合进驻滴滴公司过程中所创造的四个纪录。
一、截至当前最高规格的审查部门联合进驻
2021年7月,网络安全审查办公室有关负责人公开表示,按照网络安全审查工作安排,国家网信办会同公安部、国家安全部、自然资源部、交通运输部、税务总局、市场监管总局等部门联合进驻滴滴出行科技有限公司,开展网络安全审查。
七部门联合进驻一家企业,创造了国内审查规格的历史。有网友调侃滴滴公司“成功集齐七龙珠召唤神龙”,且“连国家安全部公开进驻”这一最难获得的“成就”同样集齐。
七部门的联合进驻,约为两方面原因:其一,滴滴公司的业务性质涉及多个部门;其二,滴滴公司在敏感时期“火线”赴美上市存在巨大的国家安全隐患。
七部门中,国家网信办的职能包含网络安全、个人信息保护,交通运输部的职能包含交通运输体系建设与监督管理,公安部是全国公安工作的最高领导机关和指挥机关,税务总局与市场监管总局也是与企业经常业务联系的部门。国家安全部与自然资源部对企业而言相对“面生”——后者的职能包含测绘地理信息的管理工作,而前者因为职能性质原因,公开审查某企业的概率极为罕见。而在为数不多涉及国家安全部的公开报道中,其所参与的多为具备巨大国际影响力的案件。
当前对滴滴公司出具处罚决定的主体仅为国家网信办,且处罚性质为行政处罚,处罚方式为罚款,所援引的法律为《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等有关规定。依据“一事不再罚”原则,本次对滴滴公司进行的网络安全审查过程中不再有罚款处理,但如果涉及人员刑事犯罪,后续追责仍大有可能。
二、互联网企业首度给国家网络安全、数据安全带来严重的风险隐患
网络安全审查办公室有关负责人指出,从违法性质看,滴滴公司未按照相关法律法规规定和监管部门要求,履行网络安全、数据安全、个人信息保护义务,置国家网络安全、数据安全于不顾,给国家网络安全、数据安全带来严重的风险隐患,且在监管部门责令改正情况下,仍未进行全面深入整改,性质极为恶劣。
此前,网络安全审查还发现, 滴滴公司存在严重影响国家安全的数据处理活动,以及拒不履行监管部门的明确要求,阳奉阴违、恶意逃避监管等其他违法违规问题。滴滴公司违法违规运营给国家关键信息基础设施安全和数据安全带来严重安全风险隐患。因涉及国家安全,依法不公开。
其中,“拒不履行监管部门的明确要求,阳奉阴违、恶意逃避监管等”以及“在监管部门责令改正情况下,仍未进行全面深入整改”等恶劣情况,若是建立在七部门联合进驻(特别是有国家安全部在场情况下)的前提下,事件性质则更为恶劣。
依据《中华人民共和国数据安全法》第二条规定,在中华人民共和国境外开展数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。
三、滴滴相关APP在未关停的平台中下架时间最长
2021年7月2日,《网络安全审查办公室关于对“滴滴出行”启动网络安全审查的公告》显示,将对“滴滴出行”实施网络安全审查,审查期间“滴滴出行”停止新用户注册。7月4日,国家互联网信息办公室依据《中华人民共和国网络安全法》相关规定,通知应用商店下架“滴滴出行”APP。
时至今日,已长达一年有余,滴滴公司主要业务APP依然并未重新上架应用商店,且仍未开放新用户注册。与滴滴同期被下架的APP中,“BOSS直聘”、“运满满”、“货车帮”已恢复新用户注册。
在这一年,滴滴原本在网约车领域的市场被大平台追赶、小平台蚕食,竞争对手日渐活跃。美团打车沉寂两年后回归、T3出行融资77亿元并出行加快了攻城略地的步伐、高德的聚合打车业务趁势崛起、曹操出行完成38亿元融资……作为昔日网约车大战中的决胜者,滴滴在这一年中市场份额大幅下降。
一鲸落,万物生。一个增量受限甚至处于倒退状态中的昔日霸主,重新点燃了网约车领域的战火。当然,中小平台也同样面临着滴滴曾经面临过的从业人员监管不到位、安全事件频发等社会问题,仍需进一步规范。
四、首度披露各类违法收集用户信息的细则
滴滴公司8个方面存在的16项违法事实令人触目惊心。
排序第一的是违法收集用户手机相册中的截图信息1196.39万条。值得注意的是,在某些相对开放的手机操作系统中,应用软件所具备的权力并非只有单独的“读取”权限,甚至具备一定的“写入”权限——简而言之,应用软件不但可以读取用户的相册,还有可能具有上传、删除等权限。
排序第二的是过度收集用户剪切板信息、应用列表信息83.23亿条。剪切板信息是每一个用户使用频率都很高,却很容易忽视的信息泄露重要环节。当用户享受复制某些口令后,再在某些APP上自动触发想要参加的活动之便利时,几乎不会去思考APP获取剪切板信息时,是只提取和自身产品口令格式一致的数据,还是不管剪切板上是何信息一律直接访问?更别提,不少APP的口令为乱码,且在APP中没有手动输入口令的渠道,只能通过剪切板一种形式访问。
滴滴公司过度收集乘客人脸识别信息1.07亿条、年龄段信息5350.92万条、职业信息1633.56万条、亲情关系信息138.29万条、“家”和“公司”打车地址信息1.53亿条,且在未明确告知乘客情况下分析乘客出行意图信息539.76亿条、常驻城市信息15.38亿条、异地商务/异地旅游信息3.04亿条。
为什么提到这个信息?因为据网络安全审查办公室有关负责人透露,滴滴公司相关违法行为最早开始于2015年6月,持续至今,时间长达7年。
在2015年,新华社新媒体中心联合滴滴研究院发布过一个“大数据揭秘:高温天部委加班大比拼”的研究报告。
该报告中,滴滴研究院通过对实时生成的移动出行大数据进行分析,通过数据图表详细描绘了一天内国家各部委的出行信息,包括公安部、外交部、教育部、商务部、新华社、发改委、国土资源部、交通运输部、住房城乡建设部、农业部、中纪委、监察部、工信部、中国人民银行、环境保护部、民政部、水利部、商务部、财政部、司法部、人社部、卫健委、审计署等等。
七载光阴,技术发展日新月异,所能获取的数据量自不可同日而语,如今再看“滴滴公司违法违规运营给国家关键信息基础设施安全和数据安全带来严重安全风险隐患”这句话中的“严重”二字,可见一斑。
结语
关于下一步网络执法的重点方向和领域,网络安全审查办公室有关负责人表示,网信部门将依法加大网络安全、数据安全、个人信息保护等领域执法力度,通过执法约谈、责令改正、警告、通报批评、罚款、责令暂停相关业务、停业整顿、关闭网站、下架、处理责任人等处置处罚措施,依法打击危害国家网络安全、数据安全、侵害公民个人信息等违法行为的同时,将加大典型案例曝光力度,形成强大声势和有力震慑,做到查处一案、警示一片,教育引导互联网企业依法合规运营。
“加大典型案例曝光力度,形成强大声势和有力震慑,做到查处一案、警示一片”同样标志着我国网络安全与数据安全进入新时代。
如果以对滴滴公司网络安全审查同等规格去审查与滴滴体量类似或比滴滴体量更大的互联网平台,滴滴所存在的违法行为有没有可能在其它平台中同样存在?
滴滴的违法违规行为事实清楚、证据确凿、情节严重、性质恶劣,如果其它平台同样对网络安全、数据安全、个人信息保护等领域的法规阳奉阴违或搞形式主义,谁都不免成为下一个滴滴。
问题是,谁想成为下一个滴滴?
原文标题 : “滴滴事件”创下四个纪录