法制网首页>>
律师频道>>律师实务>>律师说法>>
网约车业务中的个人信息保护合规风险
发布时间:2020-07-15 16:22 星期三
来源:通商律师事务所

随着共享经济时代的来临,以网约车、顺风车、汽车分时租赁等形式为代表的共享出行新业态已经深度改变了城市交通,与轨道交通、地面公交和巡游出租车等传统出行方式共同构建起了多层次的城市出行体系。其中,网约车服务凭借其便利性及舒适性,快速进入大众生活之中,成为城市居民出行的重要方式。

与传统的巡游式或应召式出租车服务不同,网约车服务是以互联网技术为依托,构建网络服务平台以整合乘客与司机的供需信息,使用符合条件的车辆和驾驶员提供非巡游式的预约出租汽车服务。作为传统出租车公司以外的交通运输新业态,网约车平台公司在提供服务的过程中,会收集乘客和司机的大量个人信息,比如实时地理位置、行踪轨迹、电话、付款账户信息等。根据统计,截至2019年6月,我国网约车用户规模达3.37亿,对于如此庞大用户群体的个人信息,其数据保护和安全的重要性不言而喻。我们将在本文中梳理网约车行业个人信息保护相关的法律规范,并结合网约车业务特点和实践讨论网约车企业面临的个人信息保护合规的风险点。

一、网约车业务个人信息保护主要法规

目前我国尚未制定专门的个人信息保护法,个人信息保护相关的法律规定分散在不同的法律法规中。就通用层面的法规而言,主要是以《民法典》、《网络安全法》、《消费者权益保护法》、《电子商务法》和《刑法》中关于个人信息保护的规定为核心,同时还包括和个人信息保护相关的行政法规、部门规章、司法解释、国家标准等其他多层次的法规及指引。网约车企业除了遵守上述通用的个人信息保护法律法规之外,还应遵守监管机关针对网约车业务发布的特别监管法规所涉及的数据安全规定。

2016年7月国务院办公厅发布了《关于深化改革推进出租汽车行业健康发展的指导意见》(“《指导意见》”),明确了网约车行业发展的整体思路和定位,要求网约车平台公司加强网络和信息安全防护,依法合规采集、使用和保护个人信息,不得泄露涉及国家安全的敏感信息,所采集的个人信息和生成的业务数据应当在中国内地存储和使用,就此确立了网约车行业数据安全合规的基本框架。

在《指导意见》发布的次日,交通运输部联合六部委发布了《网络预约出租汽车经营服务管理暂行办法》(“《网约车办法》”),对网约车行业提出了更为具体细致的监管要求。《网约车办法》所提出的个人信息保护原则基本与通用的个人信息保护法规中的要求一致,例如,《网约车办法》要求网约车平台公司应当通过其服务平台以显著方式将驾驶员、约车人和乘客等个人信息的采集和使用的目的、方式和范围进行告知;未经个人信息主体明示同意,网约车平台公司不得将个人信息用于开展其他业务;网约车平台公司采集驾驶员、约车人和乘客的个人信息,不得超越提供网约车服务所必需的范围。但是,总体而言,《网约车办法》及其他行业相关监管规定中关于个人信息保护的条款大部分仍是抽象性的原则规定,具体的落实方法仍需要参考通用的个人信息保护国家标准及其他指引,例如《个人信息安全规范》、《App违法违规收集使用个人信息自评估指南》等。

二、网约车业务个人信息保护常见合规风险点

为开展不同的业务和功能,网约车平台公司收集的个人信息和业务数据会在业务运营过程中涉及的各个环节流动,由不同的企业部门(例如法务、IT、研发、运营、产品、营销等)收集、使用、存储,其中可能存在不同层面的合规差距和风险。根据我们的经验,实践中网约车平台公司容易忽略的个人信息保护的合规风险点包括以下几个方面:

(一)对不同类型个人信息主体的保护

网约车平台的用户包含乘客和司机两个群体,他们分别使用网约车平台提供的乘客端App和司机端App。乘客在使用网约车服务时,首先需要输入目的地发送订单请求,乘客端App将收集手机的位置信息并传输给平台后端服务器,服务器负责将此订单分发到乘客附近的司机端App。如果有司机接受订单,服务器随后会向双方发送一些附加信息,比如预计费用、用车等待时间等。在提供服务的过程中,网约车平台即通过这两种App端分别收集乘客与司机的个人信息。

但是,在个人信息保护的问题上,网约车平台公司与社会大众往往更加关注乘客的个人信息保护问题,而忽略了司机的个人信息也可能被泄露或滥用。就此,这方面的常见不合规情况包含:(1)司机端App中提供给司机的隐私政策内容不完整或不规范;(2)网约车平台使用司机个人信息时未采取合理的匿名化或加密措施;(3)平台为了与第三方进行流量导流合作而共享司机的个人信息时,没有向司机进行明确告知或采取其他保护性措施。依照现行法规,网约车平台公司对于所收集的司机个人信息同样是个人信息的控制者,应依法承担与保护乘客个人信息相同的法律义务,该等义务并不因个人信息主体的司机身份而有所降低或是减少。

此外,对于未满14周岁未成年人的个人信息,监管机关出台了《儿童个人信息网络保护规定》,对儿童个人信息提出了更高的保护要求。目前大部分网约车平台公司只是在隐私政策中要求未成年用户必须获得其监护人的同意方可使用网约车服务,但在用户注册阶段,大部分网约车乘客端App基本只需要获取用户的手机号码即可允许用户注册使用网约车服务,网约车平台公司并不会在这个阶段要求用户确认其年龄是否满14周岁,因此其无法确定是否有未成年用户。在网约车平台公司收集了儿童个人信息的情况下,根据《儿童个人信息网络保护规定》,网约车平台公司应设置专门的儿童个人信息保护规则和用户协议,将未满14周岁的乘客的个人信息区别出来,指定专人负责儿童个人信息保护,并从技术上加强对该等儿童个人信息的保护。虽然目前该法案才颁布施行不久,实务中尚未有相关的执法案例或具体指引来指导如何落地,但我们仍建议网约车企业加强注册用户的身份管理,降低儿童个人信息保护相应的合规风险。

(二)收集个人信息的最小必要范围

根据《个人信息安全规范》,App收集用户个人信息应遵循最小、必要的原则,不应收集与所提供服务无关的个人信息。而对于网约车行业所收集的个人信息何为最少必要,2020年1月15日颁布的《信息安全技术 移动互联网应用程序(App)收集个人信息基本规范》最新版草案规定了网约车App为用户提供网约车(不包含汽车租赁)服务时,该服务类型所需收集的最小必要信息的范例:即网络日志、手机号码、用户发布信息、身份认证信息、订单日志、上网日志、行驶轨迹日志、交易信息、账号信息(账号、口令)、位置信息(包含精准定位信息、用户出发地、用户到达地)、第三方支付信息以及在客服场景下,客服沟通的记录和内容(包含通话录音以及在线客服的聊天信息)。

为提供更完整的网约车服务,除了上述必定会收集的信息外,网约车平台公司通常还会根据不同的业务功能,收集更多的个人信息,例如网约车平台公司针对特殊人群开展促销计划,会要求用户提供相应的身份证明(例如学生证)。许多网约车平台公司为了核实、验证司机身份,也会从司机收集其面部识别信息(用于人脸验证身份)和征信信息等。

总体而言,在判断所收集的个人信息是否超越最小必要范围的限制时,网约车平台公司应考量所收集的个人信息类型是否是实现其基本业务功能所必须的。且应注意的是,除非是为遵循法律要求,否则企业不能仅以改善服务质量、提升用户体验、研发新产品、增强安全性等为由强制收集个人信息,且任何个人信息的收集频率皆不得超出其业务功能的实际需要。

(三)进行明确告知做法的常见瑕疵

《网络安全法》规定网络运营者收集、使用个人信息,应向个人信息主体明示收集、使用信息的目的、方式和范围。目前网约车平台往往是以App的形式向乘客和司机提供服务、收集个人信息,并通过App中的隐私政策向司机和乘客告知网约车平台收集、使用个人信息的规则。

就告知环节,网约车平台在实务中常见的不合规设计包含:(1)网约车平台公司未在App首次运行时通过弹窗或其他明显方式提示用户阅读隐私政策,或是隐私政策难以访问;(2)隐私政策文本内容晦涩难懂、段落拥挤难以阅读或出现大量错别字;(3)未完整说明网约车平台对个人信息的收集和使用规则,例如未将网约车平台收集个人信息的业务功能逐项列举,或是未逐一说明各个业务功能所收集的个人信息类型,而是以举例的方式使用“等、例如”的字样来概括;(4)未在隐私政策中对收集的个人敏感信息类型进行显著标识(如字体加粗、标星号、下划线、斜体、颜色)。个人信息主体的知情同意是个人信息保护的核心基础,也是监管机关的执法重点,而企业获取个人信息主体知情同意的前提,是对个人信息主体进行明确且有效的告知,因此网约车平台公司应对隐私政策的设置与内容进行仔细的审查。

(四)第三方插件的使用

为实现业务功能,网约车App中往往会部署第三方插件,在网约车App中常见的第三方插件包含:(1)在App中部署调用地图服务的API接口,以完成位置定位、行程规划等打车服务。地图服务提供商会通过该API接口自主收集用户的位置信息、行踪轨迹等个人敏感信息;(2)在App中安插统计分析工具收集产品的崩溃信息以便企业改进产品版本。该统计分析工具会自动收集App的崩溃日志、个人常用设备信息,例如MAC地址、手机的国际移动设备识别码等。该等第三方插件厂商通常不单独向网约车App用户征得收集使用个人信息的授权同意,在这种情况下,网约车平台公司与该第三方插件厂商在个人信息收集阶段构成共同个人信息控制者。

根据《个人信息安全规范》,在共同个人信息控制者的情况下,网约车平台公司应通过合同等方式与该第三方插件厂商共同确定应满足的个人信息安全要求,以及在个人信息安全方面自身和该第三方插件厂商所应分别承担的责任和义务。隐私政策中应逐一列出并向个人信息主体明确告知该等第三方插件的身份,及其收集使用的个人信息类型、范围和各自承担的保护责任。如果网约车平台公司未告知个人信息主体上述信息,网约车平台公司需在第三方插件厂商发生个人信息泄露或侵害事件时向用户承担责任,而且网约车平台公司本身也可能会被监管机关认定为属于“未明示收集使用个人信息的目的、方式和范围,并且未经个人信息主体同意向他人提供个人信息”,从而受到处罚。

(五)用户注销账户的权利实现

用户注销账户环节是一个在实践中容易被企业忽略的合规风险点。根据《个人信息安全规范》,网约车平台公司应向用户提供注销账号的途径(如在线功能界面、客服电话等),并在用户注销账号后,及时删除其个人信息或进行匿名化处理。但在实务中,网约车App里用户注销账户功能常见的不合规情况包含:(1)网约车平台公司在App中未提供注销账户的途径与方法;(2)网约车平台公司对用户注销账户设定了不合理的条件,要求用户提供超过注册阶段所提供的且不必要的个人信息来验证身份,例如要求用户提交手持身份证照片、注册时间、最近一次登录时间及地点等信息;(3)网约车平台公司虽然向用户提供了注销账户的功能,但却未在内部真正建立起用户注销账户的后续执行流程,在用户完成注销手续后仍在继续使用用户注销前收集的个人信息;(4)在收到用户注销申请后,网约车平台公司未在15个工作日内完成核查和处理。

(六)针对网约车平台的数据本地存储的特殊要求

《网约车办法》对网约车平台公司的数据存储设置了特殊要求,其规定网约车平台公司所采集的个人信息和生成的业务数据,应当在中国内地存储和使用,保存期限不少于2年,且除法律法规另有规定外,上述信息和数据不得外流。目前中国对于数据出境的相关法规仍在征求意见阶段,在没有进一步法规出台前,建议网约车企业不应将数据传输至境外。

三、结语

网约车服务已经是很多人日常生活的一部分,海量用户带来的不只是网约车业务和商业模式的快速发展,还有对个人信息安全与隐私权益保护的关注与隐忧。政府从法规层面明确了网约车业务的合法地位,并要求推进以数据安全为核心的监管体系,网约车平台公司通过收集使用数据来扩展市场、增强竞争力的同时,也应关注企业对于数据安全与个人信息的保障,主动进行合规审查及整改,让数据成为共享出行的助力而非阻力,从而实现良好的商业价值和社会价值。

(作者:沈晓琳、林德娴,通商律师事务所)


责任编辑:suminglong
视频推荐
相关新闻