当前位置：网站首页>从滴滴被罚款事件思考企业数据治理问题

从滴滴被罚款事件思考企业数据治理问题

2022-08-11 11:29:00 【InfoQ】

引言

国家互联网信息办公室依法对滴滴全球股份有限公司涉嫌违法行为进行立案调查。经查实，滴滴全球股份有限公司违反《网络安全法》《数据安全法》《个人信息保护法》的违法违规行为
事实清楚、证据确凿、情节严重、性质恶劣
。
7月21日，国家互联网信息办公室依据
《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等法律法规，对滴滴全球股份有限公司处
人民币80.26亿元罚款
，对滴滴全球股份有限公司董事长兼CEO程维、总裁柳青**各处人民币100万元罚款。
经查明，
滴滴公司共存在16项违法事实，归纳起来主要是8个方面
。
一是违法收集用户手机相册中的截图信息1196.39万条；
二是过度收集用户剪切板信息、应用列表信息83.23亿条；
三是过度收集乘客人脸识别信息1.07亿条、年龄段信息5350.92万条、职业信息1633.56万条、亲情关系信息138.29万条、“家”和“公司”打车地址信息1.53亿条；
四是过度收集乘客评价代驾服务时、App后台运行时、手机连接桔视记录仪设备时的精准位置（经纬度）信息1.67亿条；
五是过度收集司机学历信息14.29万条，以明文形式存储司机身份证号信息5780.26万条；
六是在未明确告知乘客情况下分析乘客出行意图信息539.76亿条、常驻城市信息15.38亿条、异地商务/异地旅游信息3.04亿条；
七是在乘客使用顺风车服务时频繁索取无关的“电话权限”；
八是未准确、清晰说明用户设备信息等19项个人信息处理目的。
本案的违法主体是如何认定的?
滴滴公司成立于2013年1月，相关境内业务线主要包括网约车、顺风车、两轮车、造车等，相关产品包括滴滴出行App、滴滴车主App、滴滴顺风车App、滴滴企业版App等41款App。
滴滴公司对境内各业务线重大事项具有最高决策权，制定的企业内部制度规范对境内各业务线全部适用，且对落实情况负监督管理责任。该公司通过滴滴信息与数据安全委员会及其下设的个人信息保护委员会、数据安全委员会，参与网约车、顺风车等业务线相关行为的决策指导、监督管理，各业务线违法行为是在该公司统一决策和部署下的具体落实。据此，本案违法行为主体认定为滴滴公司。
对滴滴公司作出网络安全审查相关行政处罚的决定的主要依据是什么？
一是从违法行为的性质看，
滴滴公司未按照相关法律法规规定和监管部门要求，履行网络安全、数据安全、个人信息保护义务，置国家网络安全、数据安全于不顾，给国家网络安全、数据安全带来严重的风险隐患，且在监管部门责令改正情况下，仍未进行全面深入整改，性质极为恶劣。
二是从违法行为的持续时间看，滴滴公司相关违法行为最早开始于2015年6月，持续至今，时间长达7年，持续违反
2017年6月实施的《网络安全法》、2021年9月实施的《数据安全法》和2021年11月实施的《个人信息保护法》。
三是从违法行为的危害看，滴滴公司通过违法手段收集用户剪切板信息、相册中的截图信息、亲情关系信息等个人信息，严重侵犯用户隐私，严重侵害用户个人信息权益。
四是从违法处理个人信息的数量看，滴滴公司违法处理个人信息达647.09亿条，数量巨大，其中包括人脸识别信息、精准位置信息、身份证号等多类敏感个人信息。
五是从违法处理个人信息的情形看，滴滴公司违法行为涉及多个App，涵盖过度收集个人信息、强制收集敏感个人信息、App频繁索权、未尽个人信息处理告知义务、未尽网络安全数据安全保护义务等多种情形。

总结上面关键字，滴滴知法犯法，从数据安全洪荒时代，自2015年6月频繁触碰数据高压线的事情，后来法律监管完善，《网络安全法》2017年6月实施，《数据安全法》2021年9月实施，《个人信息保护法》2021年11月实施，法律明令声明规则和约束条件，滴滴仍然没有纠正，一直存在违法违规行为，终于国家互联网信息办公室出手惩治。

数据治理上的失策造成严重的经济损失的企业，滴滴不是第一家，也不会是最后一家。滴滴可以作为数据安全治理的典型的反面教材，随着业务的发展，虽然信息技术迭代不断提高，算法模型精度提高、用户画像识别度越加全面，但是信息管理策略上认识不够深，履行太浅，数字化转型过程中没有重视与外部环境结合，跟上数字化社会的需求，从而导致产生严重的后果。

前车可鉴，我们剖析滴滴事件，获取一些教训和经验，一家好的企业有发达的信息技术保驾护航虽好，但是良好的信息管理方法策略也同等重要，数据治理就是信息管理策略的一套方法论，它能够挖掘数据资产中的价值，并防范未知的数据风险。

数据安全治理是高级竞争力

数据安全治理是数据治理下的1个能力域，在《DAMA数据管理知识体系指南》里面，以数据治理为中心，11个能力域环绕中心运转，其中1个能力域就是数据安全。在GB/T 36073-2018 《数据管理能力成熟度评估模型》里面，评估一个组织成熟度等级用8 个指标进行划分，其中一个指标也是数据安全，数据安全非常重要，数据安全是一种高级竞争力。阿里巴巴联合中国电子技术标准化研究院、国家信息安全工程技术研究中心、中国信息安全测评中心2019年8月30日发布《信息安全技术数据安全能力成熟度模型》（GB/T 37988-2019），简称DSMM,包括能力成熟度等级制度【非正式执行、计划跟踪、充分定义、量化控制、持续优化】，数据安全过程维度【数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全】，安全能力维度【组织建设、制度流程、技术工具、人员能力】等等。

什么是数据安全治理

？数据安全治理就是定义并识别安全对象的标准、范围，并且把数据安全规范融入企业制度和流程，通过人工执行和维护达到控制管理风险的目的。

一家企业运转可能遇到多种风险危机，来自内部或者外部，例如战略运营风险，例如进入的行业不符合产业政策、并购重组、大股东撤资、市场份额下降等。采购风险，例如管理人员吃回扣引入不符合要求的供应商、原材料供应中断等。财务风险，例如现金流中断、投资失败、成本超支、财务报告不真实、融资带来的控制权丧失等。生产管理风险，例如火灾、不安全操作等。人力资源风险，例如招聘了不合格的人员，核心人才流失、用工风险、职业健康等等。质量管理风险，比如残次品或未经安全设计、方案评估、安全测试就对提供不安全的IT产品或服务。

这次滴滴的经济损失主要是数据安全管理没有做好，与以上风险问题没有半点关系。

问题探索分析

滴滴的有没有了解自己的业务数据？ 2021年9月发布了《网络预约汽车业务数据分类分级方法》，参与建设公司单位有《北京嘀嘀无限科技发展有限公司》，里面对网约车的数据进行了定级分类，网约车主体分为两个大类，包括用户数据和业务数据，用户数据细分指由用户产生的信息和提供的数据，主要涉及用户个人身份信息、用户服务内容数据、用户服务衍生数据、用户车辆数据、用户统计分析类数据。

业务数据下细分网络预约汽车业务在运营时产生或者基于运营状况统计分析得出的数据，主要涉及

运营统计数据、市场运营数据、技术运维数据

等。

汽车业务数据分级方法汽车业务数据重要程度以及泄露后对国家安全、社会秩序、业务运营和公众利益造成的影响和危害程度

按照国家安全和社会公共利益的影响、企业业务、财务、声誉等影响、用户利益影响三个维度定级

上述数据报告，滴滴理应对自己本身的一套体系结构对行业业务数据性质有一个清楚的认识，知道自己的数据来自于哪里，中间经过哪些编排分类沉淀，在经济价值的定位上哪些数据敏感，哪些数据具备价值，哪些数据有重大影响。

滴滴的安全管理没有做好？

据悉滴滴的数据跨境流动，存在严重影响国家安全的隐患，但是没有履行监管部门的明确要求、阳奉阴违、恶意逃避监管。DCMM的数据安全等级划分一共分为5级。

第一级是

初始级

，在项目层面建立安全监控和管理。

第二级是

管理级

，在部门范围建立安全管理及监控。

第三级是

稳健级

，在组织层面建立安全管理与监控，并积级与外部监管互动。

第四级是

量化级

，量化度量当前数据安全管理成果产出及绩效，并与外部监管保持一致，甚至促进外部监管修正落地的应用。

第五级是

优化级

，在业界分享最佳实践。

很明显，滴滴作为一家市值近千亿的大企业公司，肩膀的社会责任高，至少位于第三级，但是滴滴跟不上节奏，顾虑重重，可能性原因之一是数据阳光化后不利于滴滴的业务运作，另一个可能性原因是滴滴内部根本没有份量的数据治理人才，或者治理程度不够并且工作开展没有做出重点。

滴滴业务调研

乘客打车流程

司机上线流程

滴滴的核心业务是打车和顺风车，梳理业务流程和业务实体，得出每个流程对应的实体对应的数据的生命周期的关键创建点，矩阵如下。

当一辆普通车经过平台验证成功变成嘀嘀车，对于嘀嘀来说又多了一个车服务民众，在数据层面是一个很关键的信息。

嘀嘀车司机、顺风车每一次上线都必须经过身份认证、授权，开始准备增长嘀嘀的业务盈利，所以是一个关键的数据点。

司机挑选自己的意向或者乘客筛选自己的乘坐需求，由平台的算法或者工作人员派单准备

根据平台的数据结果返回，最终由乘客确定是否愿意达成生成行程订单。

可能存在特殊行程，例如乘客A点出发，B点是目标，但是乘客改方向要求去C点。

行程开始到结束的过程中，都应该源源不断的产生数据。

乘客付费，司机收费，平台开票，一个业务流程结束。

嘀嘀的数据架构至少有9个业务实体，至少历经7个业务流程，结合数据安全生命5个阶段进行管理。

再来解读滴滴的违规违法关键字，

过度收集、违法收集、未明确告知乘客情况下分析。。。。，明面上滴滴的主要出错在数据采集环节和数据处理环节，实际上其它的环节都有点牵联

数据有多重要

关键是要了解滴滴的问题，如果滴滴一直抱有拒绝国家接入监管的想法，不用谈！这是一个态度问题，当年谷歌中国拒绝相关部门接入审核内容监管，国家工信部明确表示，随时欢迎谷歌投资中国市场。最后，谷歌怀着美国式自由梦想离开中国市场，百度吞并了谷歌原有的领土。

美国对中国也一样，美国对tikTok发布禁令，并非是对tikTok赶尽杀绝。tikTok里面的数据非常重要，通过用户画像可以了解tikTok用户的兴趣爱好，可以推演tikTok的关联关系，找出目标最近的潜在需求，所以美国为了自己的人道主义自由，否定了tikTok美国式梦想。2020年9月14日，Oracle已经与字节跳动达成协议，成为其“可信技术提供商”，意味着tikTok数据要脱离原有的数据容器装置，它要放在Oracle这个新容器装置，由Oracle对它的数据进行监督管理。

数据要多重要？中国已经把数据作为一种新型生产要素写入文件中，与土地、劳动力、资本、技术等传统要素并列为要素之一，数据可以协同向先进生产力集聚，加快完善社会主义市场经济体制。不仅数据蕴强着强大的经济价值，而且包括众多有价值的信息，在国家安全和企业发展中，有了数据的加持可以抢先一步、洞察先机、克敌制胜、精确打击等作用。