滴滴被罚逾80亿给了我们哪些警示？

璀璨鑫空

大家在手机应用市场、应用商店中下载APP时，是否遇到过这种情况？在APP下载安装需要授权手机通讯录、相册、麦克风、语音等多项权限，但是实际很多权限都是与所下载APP功能无关的权限，一旦点击不同意授权，就无法下载或正常安装使用。
很少有人会专门点开查看用户隐私协议或相关授权使用个人信息的文件，即使点开看到的可能也是长达几页甚至几十页密密麻麻小字的各种格式条款，毫无选择地要么不用，要么同意其索取的各项授权。索取授权实际上是应用程序在收集、获取、利用用户个人信息的前置程序。
2022年7月21日，国家网信办依据《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等法律法规，公布网约车平台滴滴涉及16项违规，处罚滴滴80.26亿元人民币，滴滴董事长兼CEO程维、总裁柳青各被罚100万元。
此新闻一出，舆论哗然，本次逾80亿的处罚是互联网行业继阿里之后的位列第二的罚单。网信办负责人指出滴滴存在16项违法事实，涉及违法收集用户手机相册中的截图信息、过度收集用户剪切板信息及应用列表信息和过度收集乘客人脸识别信息等八个方面。那么，滴滴被罚逾80亿给了我们哪些警示？
滴滴被罚的背后是违反《个人信息保护法》第六十六条的规定。该规定内容为：“违反本法规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务的，由履行个人信息保护职责的部门责令改正，给予警告，没收违法所得，对违法处理个人信息的应用程序，责令暂停或者终止提供服务；拒不改正的，并处一百万元以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
有前款规定的违法行为，情节严重的，由省级以上履行个人信息保护职责的部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人”。
滴滴被罚逾80亿元，经网络披露为其上一年度营业额的4.7%。滴滴董事长和总裁分别被罚100万元，属于顶格处罚，可见国家对于个人信息的重视程度。
《个人信息保护法》中第六条明确规定，收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。
在滴滴被罚的新闻报道中，披露滴滴过度收集用户手机相册中的截图信息、用户剪切板信息、乘客人脸识别信息、年龄段信息、职业信息、亲情关系信息、“家”和“公司”打车地址信息……不难看出，数据化背后的个人信息实际上和用户关联，很容易识别并且被利用。
公民个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。
相信不少朋友遇到过刚刚搜索过某种商品或服务之后，再次打开网络或其他APP，将会被推送同类商品或服务或相关上下游产品，甚至亲属的手机、网络、APP等均会收到相关推送，细思极恐，让人不禁怀疑自己已经被监控了。
《个人信息保护法》第四条规定：“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。
个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等”。
个人信息中一部分属于《中华人民共和国民法典》中“隐私权”中“个人隐私”的范畴。《民法典》第一千零三十三条规定：“除法律另有规定或者权利人明确同意外，任何组织或者个人不得实施下列行为：
（一）以电话、短信、即时通讯工具、电子邮件、传单等方式侵扰他人的私人生活安宁；
（二）进入、拍摄、窥视他人的住宅、宾馆房间等私密空间；
（三）拍摄、窥视、窃听、公开他人的私密活动；
（四）拍摄、窥视他人身体的私密部位；
（五）处理他人的私密信息；
（六）以其他方式侵害他人的隐私权”。
侵犯个人隐私不但会遭到行政处罚，情节严重的将承担刑事责任。《治安管理处罚法》第四十二条：“有下列行为之一的，处5日以下拘留或者500元以下罚款；情节较重的，处5日以上10日以下拘留，可以并处500元以下罚款：（一）……（六） 偷窥、偷拍、窃听、散布他人隐私的”。
违反《个人信息保护法》的情形很多，包含过度收集个人信息、强制收集敏感个人信息（人脸识别信息、精准位置信息、身份证号码等多种敏感个人信息）、未尽个人信息处理告知义务、未尽网络安全数据安全保护义务等多种情形。
《民法典》第一千零三十八条规定：“信息处理者不得泄露或者篡改其收集、存储的个人信息；未经自然人同意，不得向他人非法提供其个人信息，但是经过加工无法识别特定个人且不能复原的除外。
信息处理者应当采取技术措施和其他必要措施，确保其收集、存储的个人信息安全，防止信息泄露、篡改、丢失；发生或者可能发生个人信息泄露、篡改、丢失的，应当及时采取补救措施，按照规定告知自然人并向有关主管部门报告”。不难看出，上述规定是“信息处理者的信息安全保障义务”。
《个人信息保护法》第五十七条规定：“发生或者可能发生个人信息泄露、篡改、丢失的，个人信息处理者应当立即采取补救措施，并通知履行个人信息保护职责的部门和个人。通知应当包括下列事项：
（一）发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害；
（二）个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施；
（三）个人信息处理者的联系方式。
个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害的，个人信息处理者可以不通知个人；履行个人信息保护职责的部门认为可能造成危害的，有权要求个人信息处理者通知个人”。该条规定是个人信息泄露时个人信息处理者的通知义务。
个人信息处理者应当依法合规经营，切实保障用户个人信息安全、隐私安全。加大网络安全、数据安全、个人信息保护领域的执法力度，对维护网络安全、数据安全、保障公民合法权益、社会公共利益十分重要。
我们每一个公民也都应当遵纪守法，维护个人自身信息安全，不泄露他人隐私信息。信息安全，人人有责。
作者：谢艳律师
陕西韬达律师事务所