共享单车背后的网络安全数据合规问题探析

共享单车

共享单车企业普遍应用的LBS服务,是基于位置的服务,简称“定位服务”,也被广泛应用于社交、导航、网约车、团购等各种社会生活中。海量个人地理信息被频繁获取,暗藏着日益突出的个人地理信息风险。

此外,共享单车企业掌握大量的用户姓名、身份证号码、电话号码、行踪轨迹、支付账户等个人信息,这些个人信息的收集、处理、使用都需要合乎网络安全和数据信息的法律规定,否则,共享单车企业及背后追逐的资本都将面临巨大法律风险及违法成本。

《关于鼓励和规范互联网租赁自行车发展的指导意见(征求意见稿)》出台

有鉴于此,今年5月22日,交通运输部正式发布了《关于鼓励和规范互联网租赁自行车发展的指导意见(征求意见稿)》(以下称“《指导意见》”),开始向社会各界公开征求意见。《指导意见》对社会比较关心的网络信息安全保护提出了针对性措施,规定加强网络和信息安全保护。

其要求互联网租赁自行车运营企业应当遵守国家网络和信息安全有关规定,将服务器设在中国境内,并落实网络安全等级保护制度,建立网络安全管理制度,完善网络安全防范措施,依法合规采集、使用和保护个人信息,强化系统数据安全保护。采取的信息不得侵害用户合法权益和社会公共利益,不得超越提供互联网租赁自行车服务所必需的范围;采取的信息和生成的相关数据应当在国内储存和使用。

《指导意见》关于网络安全以及数据信息的保护,涉及了网络安全等级保护制度、数据跨境传输、个人信息保护,也是10月1日即将生效的《民法总则》和今年6月1日刚实施的《网络安全法》(以下称“《网安法》”)的要求。

《民法总则》第一百一十一条规定了自然人的个人信息受法律保护,任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息,首次从民事基本法层面明确个人信息权,把个人信息作为一项重要的民事权利予以保护。

共享单车企业属于《网安法》所规制的主体“网络运营者”

共享单车企业也属于《网安法》所规制的主体“网络运营者”,其作为网络运营者,需要履行《网安法》及其配套法规规定的网络安全保护义务,包括实施个人信息保护、网络安全等级保护制度、数据跨境传输限制等。

关于个人信息保护,《网安法》规定网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。

这就要求企业收集个人信息需合法明示收集,严格保密,不得超越提供互联网租赁自行车服务所必需的范围收集和使用。共享单车企业在用户注册过程中提供的用户协议往往会对个人信息收集和使用进行约定,但虽然有此约定,在实践过程中仍存在滥用用户个人信息的情形,个人信息保护值得共享单车企业引起注意。

关于网络安全等级保护制度,《网安法》规定网络运营者应当按照网络安全等级保护制度的要求,履行相应安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。

安全保护义务包括(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;(四)采取数据分类、重要数据备份和加密等措施。由于目前相应的网络安全等级保护制度实施办法尚未出台,建议共享单车企业可以依据我国现行的信息安全等级保护制度建立相应的企业网络安全管理制度,完善网络安全防范措施。

关于数据跨境传输限制,由于共享单车企业的数据信息涉及我国公民的个人信息和可能属于国家秘密的地理信息等重要数据,数据跨境传输或引起安全问题不容忽视。因此《指导意见》强调共享单车企业应当将服务器设在中国境内,采取的信息和生成的相关数据应当在国内储存和使用。