據7月(yuè)7日晚間消息，滴滴官網已下(xià)架滴滴出行app。此前，國家互聯網信息辦公室依據《中華人(rén)民共和(hé)國網絡安全法》相關規定，于7月(yuè)4日通(tōng)知應用(yòng)商店(diàn)下(xià)架“滴滴出行”app，該通(tōng)知指出“滴滴出行”app存在嚴重違法違規收集使用(yòng)個(gè)人(rén)信息問題。盡管“滴滴出行”app實際收集的(de)用(yòng)戶數據類型、收集手段以及使用(yòng)領域、使用(yòng)方式等細節尚未公開，但不難看到國家對(duì)信息密集型企業愈發嚴格的(de)監管趨勢，同時(shí)也(yě)對(duì)未來(lái)的(de)企業數據合規工作帶來(lái)了(le)一定的(de)啓示。

重視企業數據合規工作的(de)必要性

      格力電器董事長(cháng)董明(míng)珠女(nǚ)士曾在一次演講中宣稱：“沒有實體經濟的(de)支撐,互聯網就是死路一條。”此言雖有誇大(dà)之嫌，但确實一語道出“互聯網+實體經濟”的(de)發展大(dà)趨勢。信息與數字技術已經滲透到各行各業，除了(le)大(dà)衆印象中的(de)信息技術領域，如芯片、操作系統研發與供應，通(tōng)信設施與解決方案供應，搜索引擎、殺毒軟件、數據庫産品供應，雲計算(suàn)大(dà)數據服務等，非信息技術強相關的(de)實體行業如金融、醫療、教育、法律、交通(tōng)物(wù)流、社交文娛乃至于房(fáng)産交易、餐飲旅遊美(měi)容等服務業等也(yě)都在越來(lái)越深入地利用(yòng)信息技術，如金融行業使用(yòng)的(de)量化(huà)交易軟件，在線教育軟件如網易雲課堂app、極客時(shí)間app，短視頻(pín)社交平台如抖音(yīn)、快(kuài)手，房(fáng)産交易平台如鏈家app，點餐排隊取号軟件等。

      各行業企業推出app爲用(yòng)戶提供服務的(de)同時(shí)，不可(kě)避免地需要收集、存儲和(hé)使用(yòng)各類型的(de)巨量用(yòng)戶數據。目前國家已經或是将要出台的(de)大(dà)量相關法律法規，如《國家安全法》、《網絡安全法》、《數據安全法》、《網絡安全審查辦法》，以及正在制定中的(de)《個(gè)人(rén)信息保護法》等等，正在構建出越來(lái)越立體的(de)數據合規與網絡安全審查法律體系。例如，國家互聯網信息辦公室在2020年12月(yuè)發布《常見類型移動互聯網應用(yòng)程序（App）必要個(gè)人(rén)信息範圍（征求意見稿）》，針對(duì)38類常見類型app的(de)必要個(gè)人(rén)信息範圍進行了(le)相對(duì)細緻的(de)規定，如網絡約車類app必要個(gè)人(rén)信息包括：（1）注冊用(yòng)戶移動電話(huà)号碼或其他(tā)真實身份信息（App提供者提供多(duō)種選項，由用(yòng)戶選擇其一）。（2）乘車人(rén)出發地、到達地、位置信息、行蹤軌迹。毫無疑問，企業的(de)網絡安全審核與數據合規工作在不久的(de)将來(lái)必然成爲常态。

滴滴下(xià)架對(duì)企業數據合規工作的(de)啓示

  01針對(duì)不同的(de)用(yòng)戶信息采集方式規避數據合規風險

      目前企業獲取用(yòng)戶數據，包括但不限于以下(xià)兩種方式：

      （1）app本身在運行過程中采集信息。用(yòng)戶信息可(kě)以由用(yòng)戶主動選擇輸入，如上傳文字、圖片、視頻(pín)，更多(duō)的(de)是由app後台獲取，如實時(shí)地理(lǐ)位置、訪問用(yòng)戶本地數據（如備忘錄中的(de)電子筆記、相冊中的(de)照(zhào)片，聊天記錄、搜索引擎入口檢索記錄等）。使用(yòng)該種數據采集方式，爲了(le)規避企業風險，應當在堅持“同意、合理(lǐ)、最小化(huà)”三項基本原則下(xià)，格外注意充分(fēn)獲取用(yòng)戶許可(kě)與授權。同意原則是指企業采集個(gè)人(rén)信息必須經過用(yòng)戶同意；合理(lǐ)原則指的(de)是采集相關用(yòng)戶數據必須有相應的(de)服務場(chǎng)景；最小化(huà)原則指的(de)是企業應當在服務所需的(de)最小範圍内采集個(gè)人(rén)數據，不應過度延伸。工信部于2018年5月(yuè)發布《信息安全技術個(gè)人(rén)信息安全規範》（GB/T 35273-2017），該規範系統詳細地規定了(le)個(gè)人(rén)信息的(de)内涵、采集原則與權限設置等，具有很高(gāo)的(de)司法實踐指導價值。爲了(le)充分(fēn)獲取用(yòng)戶許可(kě)與授權，以更好的(de)規避企業風險，app在收集用(yòng)戶信息時(shí)應當取得(de)用(yòng)戶的(de)明(míng)示同意，确保信息是在用(yòng)戶完全知情的(de)基礎上自願給出的(de)。例如，在app運行前應當以彈窗(chuāng)等明(míng)顯方式提示用(yòng)戶app将要采集的(de)所有類型的(de)數據信息，獲得(de)用(yòng)戶充分(fēn)授權；app運行過程中，啓用(yòng)新增應用(yòng)功能需要采集實時(shí)用(yòng)戶數據時(shí)，及時(shí)向用(yòng)戶給出明(míng)顯的(de)提示，是否同意采集信息的(de)選項等。

      （2）利用(yòng)外部手段如爬蟲工具抓取相關數據。利用(yòng)該方式獲取用(yòng)戶數據，應當注意被爬取方性質及聲明(míng)。如果爬蟲抓取的(de)數據對(duì)象是提供公開信息檢索服務的(de)網站，如中國裁判文書(shū)網等，則不存在合規風險。但是如果爬蟲獲取數據的(de)對(duì)象是各類商業網站，就需要高(gāo)度重視其中的(de)違法違規風險。如果被爬取數據方聲明(míng)robots協議(yì)（存放于網站根目錄下(xià)的(de)ASCII編碼文本文件，它通(tōng)常告訴網絡搜索引擎的(de)漫遊器，此網站中的(de)哪些内容不應被搜索引擎的(de)漫遊器獲取，哪些可(kě)以被漫遊器獲取），而使用(yòng)爬蟲工具的(de)企業并未遵守協議(yì)，則可(kě)能面臨侵權糾紛與反不正當競争之訴。例如2016年，大(dà)衆點評向百度提出了(le)不正當競争之訴，理(lǐ)由是百度通(tōng)過爬蟲工具大(dà)量抓取用(yòng)戶點評信息用(yòng)于百度地圖、百度知道等産品，最終法院判定百度構成不正當競争，并判決賠償大(dà)衆點評經濟損失300餘萬元。

      爲了(le)更好的(de)規避數據合規風險，企業應當構建并完善動态管理(lǐ)用(yòng)戶信息的(de)部門職能，定期對(duì)app需要采集的(de)用(yòng)戶數據進行必要性審查和(hé)管理(lǐ)。對(duì)已經不再需要使用(yòng)的(de)用(yòng)戶數據類型，或者涉嫌違規采集、使用(yòng)的(de)用(yòng)戶數據，應當做(zuò)到及時(shí)縮回“觸角”，立即停止獲取和(hé)使用(yòng)，并盡可(kě)能做(zuò)到消除相關影(yǐng)響；對(duì)新增業務功能需要采集的(de)新的(de)類型的(de)用(yòng)戶數據，應當做(zuò)到及時(shí)、充分(fēn)的(de)告知用(yòng)戶，給予用(yòng)戶充分(fēn)的(de)選擇空間，從而獲得(de)用(yòng)戶的(de)充分(fēn)授權。

  02未來(lái)企業數據出境的(de)潛在風險

      關于此次滴滴出行app下(xià)架，目前輿論有一種觀點，就是滴滴可(kě)能向境外提供了(le)地圖數據。由于目前官方沒有更新發布具體細節，該種觀點也(yě)隻能是大(dà)衆的(de)猜測。但針對(duì)數據出境，《網絡安全法》第37條要求，關鍵信息基礎設施的(de)運營者在中華人(rén)民共和(hé)國境内運營中收集和(hé)産生的(de)個(gè)人(rén)信息和(hé)重要數據應當在境内存儲。因業務需要，确需向境外提供的(de)，應當按照(zhào)國家網信部門會同國務院有關部門制定的(de)辦法進行安全評估；法律、行政法規另有規定的(de)，依照(zhào)其規定。關于該規定規制的(de)主體“關鍵信息基礎設施的(de)運營者”，目前尚未有嚴格明(míng)确的(de)界定。但值得(de)注意的(de)是，《個(gè)人(rén)信息出境安全評估辦法（征求意見稿）》（下(xià)稱《意見稿》）已經将數據跨境流動的(de)個(gè)人(rén)信息安全規制對(duì)象範圍擴大(dà)至一般的(de)網絡運營者。《意見稿》第2條規定，網絡運營者向境外提供在中華人(rén)民共和(hé)國境内運營中收集的(de)個(gè)人(rén)信息（以下(xià)稱個(gè)人(rén)信息出境），應當按照(zhào)本辦法進行安全評估。經安全評估認定個(gè)人(rén)信息出境可(kě)能影(yǐng)響國家安全、損害公共利益，或者難以有效保障個(gè)人(rén)信息安全的(de)，不得(de)出境。

筆者總結

         由此可(kě)見，企業在未來(lái)的(de)數據合規工作中，需要注意的(de)不僅是用(yòng)戶信息采集的(de)性質，方式與使用(yòng)，對(duì)于可(kě)能涉及出境的(de)數據，更要做(zuò)好相關的(de)境内存儲、報備、向有關部門提請評估等數據合規工作。