隨著互聯網技術的推廣、社交網絡生態的日益成熟,以網約車等為代表的共享出行方式極大方便了人們生活,成為居民出行的重要選擇。但網約車平臺為用戶提供便捷服務的同時,有的也存在侵害用戶個人信息與數據安全的情況。
近日,交通運輸部、工信部、公安部等五部門對T3出行、美團出行、曹操出行、高德、滴滴出行等11家網約車平臺公司進行約談,對平臺加強保障用戶信息和數據安全方面提出了整改要求。《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》等相關法律陸續出臺,為保障用戶個人信息和數據安全提供了有力法治支撐,網約車平臺應在落實用戶個人信息保障基礎上,構建數據安全制度體系,積極探索平臺合規治理之道。
保障用戶個人信息安全
平臺不得過度收集個人信息。個人信息保護法第五條規定:“處理個人信息應當遵循合法、正當、必要和誠信原則,不得通過誤導、欺詐、脅迫等方式處理個人信息。”該規定作為個人信息保護的基本原則,是構建個人信息保護的具體規則制度基礎。同時,《網絡預約出租汽車經營服務管理暫行辦法》第二十六條第二款規定:“網約車平臺公司采集駕駛員、約車人和乘客的個人信息,不得超越提供網約車業務所必需的范圍。”因此,網約車平臺在收集個人信息過程中應該遵循最小和必要原則,考量所收集的個人信息類型是不是實現其基本業務功能所必需的,不應收集與所提供服務無關的個人信息。
平臺處理個人信息應征得用戶同意。個人信息保護法第十三條規定,取得個人的同意,個人信息處理者方可處理個人信息。這一“告知—同意”機制建構了覆蓋個人信息處理全生命周期的規則框架,強化了保障自然人的自主權利。具體而言,網約車平臺基于同意處理個人信息,應履行充分告知的義務,確保在個人充分知情和自愿前提下,用戶做出同意處理個人信息處理的決定,應杜絕一攬子授權和強制同意。同時,網約車平臺還應該進一步簡化“格式合同”,讓個人可以明確知悉“同意”處理個人信息的具體“后果”,發揮“告知—同意”機制應有的規制作用。
平臺委托處理個人信息應審慎嚴謹。實踐中,有的網約車平臺委托他人(其他公司)處理個人信息而引發公民個人信息泄露。個人信息保護法第二十一條明確規定:“個人信息處理者委托處理個人信息的,應當與受托人約定委托處理的目的、期限、處理方式、個人信息的種類、保護措施以及雙方的權利和義務等,并對受托人的個人信息處理活動進行監督。受托人應當按照約定處理個人信息,不得超出約定的處理目的、處理方式等處理個人信息;委托合同不生效、無效、被撤銷或者終止的,受托人應當將個人信息返還個人信息處理者或者予以刪除,不得保留。未經個人信息處理者同意,受托人不得轉委托他人處理個人信息。”該條款明確了平臺委托處理個人信息的規定。個人信息處理者委托處理個人信息的,應當與受托人約定委托處理的目的、期限、處理方式、個人信息的種類、保護措施以及雙方的權利和義務等,并對受托人的個人信息處理活動進行監督。對網約車平臺而言,在委托處理個人信息行為中,應借鑒“告知—同意”模式,將取得個人信息權利人同意作為委托行為有效的前置條件,以便更加有效地保護公民個人信息權利。
構建平臺數據安全體系
平臺應依法、正當收集數據。作為傳統出租車公司以外的交通運輸新業態,網約車平臺在為用戶提供服務過程中會收集用戶和司機大量數據。實踐中,一次完整的網約車服務活動,都需要以收集到的個人數據為主要基礎條件。例如,乘客和駕駛員注冊、網約車運營者對駕駛員資質審核、乘客發單、訂單匹配、駕駛員接單、行程服務、網約車服務運營者對安全秩序的維護、支付收款、用戶評價等,都涉及平臺對用戶數據的收集和處理。數據安全法第三十二條規定:“任何組織、個人收集數據,應當采取合法、正當的方式,不得竊取或者以其他非法方式獲取數據。”合法原則是對數據使用和處理最基本的要求,正當原則主要強調數據控制者和處理者使用和處理數據應當具有正當的目的。網約車平臺作為以“數據收集”為基礎、以“算法分析”為核心的互聯網平臺,應該嚴格落實數據收集必須遵循的合法、正當性原則,并在充分保障個人數據安全基礎上,提升服務水平和質量。
落實平臺數據安全保護責任。網約車平臺作為用戶與提供服務者的鏈接和橋梁,其掌握大量基礎數據,關系到數據流通安全,應履行對個人數據安全的保護責任。根據數據安全法關于數據安全保障義務的一般規定,網約車平臺利用互聯網等信息網絡開展的數據處理活動,應當在網絡安全等級保護的基礎上,履行數據安全保護義務。對于重要數據的處理應該明確安全負責人和管理機構,將保障用戶數據安全置于平臺整體數據安全的核心地位。同時,應該加強風險監測,做好數據安全缺陷和漏洞的補救措施,完善數據安全應急管理體系。進一步加強個人重要信息處理的風險評估工作,嚴格落實數據安全的保護責任。
(作者單位:華東政法大學法律學院)