竞天公诚律师事务所 - 专业平等包容合作

网约车行业数据保护的规则及其特点

作者：袁立志段宇时间：2019-08-01

分享：

据统计，截至2018年12月，全国网约车APP的注册用户规模达1.9亿。如此庞大的用户群体，数据安全保护的重要性不言而喻。在网约车行业监管政策逐渐形成的过程中，监管部门出台了一系列监管规则，数据安全是其中的重要内容之一。这些规则既有与通用规则一致的地方，也有与网约车行业特点紧密结合的内容。本文在梳理网约车行业数据保护规则的基础上，将其与通用规则进行比较，以呈现网约车行业数据保护的特点。

一、网约车行业数据保护的主要文件

在随后制定的配套文件中，数据保护问题也多有涉及，包括《关于网络预约出租汽车经营者申请线上服务能力认定工作流程的通知》（以下简称“《线上服务能力认定通知》”）《网络预约出租汽车监管信息交互平台运行管理办法》（以下简称“《交互平台管理办法》”）《关于进一步加强网络预约出租汽车和私人小客车合乘安全管理的紧急通知》（以下简称“《紧急通知》”）以及交通运输行业标准《网络预约出租汽车运营服务规范》（以下简称“《运营服务规范》”）等。

二、个人信息的收集和使用

在移动互联网场景中，告知的主要方式为展示隐私政策或类似文件供用户阅读。《网约车办法》要求显著告知，是对告知形式提出了更高层面的要求。所谓显著，即明显、突出，网络运营者可以通过在交互界面显著位置设置隐私政策链接的方式达到监管要求，另外，链接字样的字体、大小、颜色等设置也可以体现出“显著”的特点。

2. 明示同意

3. 最少必要

为解决上述问题，全国信息安全标准化技术委员会于2019年5月发布了《网络安全实践指南—移动互联网应用基本业务功能必要信息规范》，其中对于网络约车的基本业务功能对应的必要乘客信息作出了界定。虽然这一规范并无强制约束力，但对网约车企业具有一定指导意义，详见下表：

可见，就用户端而言，提供手机号码、账号、位置、交易、支付信息即能满足使用网约车产品或服务的需求。举例说明，如果平台需要收集用户紧急联系人的信息以提供安全保障，此时平台需要用户的另外授权；如果用户拒绝授权，平台不得以此为由拒绝提供网络约车服务，或降低对用户的其他安全保障，只是就紧急联系人这一保障功能，用户可能无法使用。

《运营服务规范》规定，网约车客户端程序应具备电话信息加密功能，能够实现对约车人或乘客个人电话号码等信息的保护。在发生一系列顺风车恶性事件后，《紧急通知》也要求屏蔽乘客信息，防止泄露个人隐私。

《安全规范》第7.2条规定，通过界面（如显示屏幕、纸面等）展示个人信息时，宜对个人信息采取去标识化措施，以降低泄露风险。《安全规范》是规制各领域、各业态个人信息展示行为的通用规则，适用于公开展示或在一定范围内展示个人信息的行为，典型场景如医院的就诊叫号显示屏。网约车相关规则在这一点的基本思路与《安全规范》一脉相承，但网约车相关规则对约车人或乘客个人信息的展示限制更主要的是为了防范网约车驾驶员，这是网约车行业对个人信息展示的特殊规定。

四、个人信息的对外提供

但是，在实践中，为向用户提供便利的出行服务，网约车平台不可避免的会与第三方进行信息共享，如用户通过第三方平台使用网约车服务或通过网约车平台使用第三方提供的服务等，这显然突破了《网约车办法》的规定。实际上，就我们的观察而言，网约车企业在对外提供个人信息方面，基本上采纳了通用规则，而有意或无意地忽略了《网约车办法》的严格限制。我们认为，为了实现出行服务、保护安全或处理争议等目的而不得不对外提供个人信息尚在合理范围内，而出于营销推广等目的对外提供个人信息则存在合规风险。当然，从另一个角度来看，也需要反思《网约车办法》第26条的严格限制是否有强有力的依据，如无强有力的依据，则应修改规则，向通用规则靠拢。

五、个人信息的存储

关于存储期限，《网约车办法》第27条明确要求网约车企业所采集的个人信息和生成的业务数据的保存期限不少于2年。

在实践中，出于兼营其他业务的需要或商业模式等考量，一些网约车企业采用VIE架构。在VIE架构之下，境内的经营实体（以下简称“经营实体”）是相关个人信息和业务数据的控制者；根据经营实体与VIE架构下的外商独资企业（以下简称“WFOE”）之间签署的《独家业务合作协议》《独家技术支持和技术服务协议》等一系列协议（以下简称“VIE协议”），前者需要向后者提供个人信息和业务数据（委托处理或共享）。无论该等个人信息和业务数据是否实际发生转移，都应在中国境内存储，不传输至境外。

此外，通用规则并没有禁止数据出境的强制要求，原则上数据可以出境，但是需要进行安全评估并获得用户的授权。网约车企业应遵守《网约车办法》的特殊规定。

六、涉及国家安全的敏感信息

根据《数据安全管理办法（征求意见稿）》第15条，网络运营者以经营为目的收集重要数据或个人敏感信息的，应向所在地网信部门备案；第28条规定网络运营者发布、共享、交易或向境外提供重要数据前，应当进行安全评估，并报主管部门同意。

《网约车办法》第29条要求出租汽车行政主管部门建设和完善政府监管平台，实现与网约车平台信息共享。为了落实信息共享机制，加强对网约车企业的监管，交通部出台了《交互平台管理办法》，以规范网约车企业向监管部门的数据传输行为。

《交互平台管理办法》第6条要求，网约车企业在取得相应《网络预约出租汽车经营许可证》后，应自次日零时起向部级平台传输相关基础静态信息以及订单信息、经营信息、定位信息、服务质量信息等运营数据。具体有以下几点要求：

· 数据传输的质量：保证传输数据的完整性、规范性、及时性、真实性；

· 暂停传输的告知：因系统改造、服务器迁移等可预见原因，需要暂停网约车平台运行的，应提前72小时告知网约车监管信息交互平台运行维护单位等。

与通用规则相比，网约车行业的数据报送要求更高，一方面要求网约车平台及时报送，如订单信息、经营信息、服务质量信息等应实时传输，延迟不得超过300秒，且应保证数据质量；另一方面要求网约车平台主动进行报送，不需要主管部门进行调取。

八、数据安全措施及安全事件应对

上述安全措施及安全事件的应对与通用规则要求相同，但通用规则的规定更为详尽，因此，网约车企业在提高数据安全能力、应对数据安全事件时可参考《网安法》及配套措施。

九、数据安全责任

2018年，交通部、网信办、工信部、公安部、人民银行、国家税务总局、市场监督管理局六部委联合出台的《关于加强网络预约出租汽车行业事中事后联合监管有关工作的通知》规定，网约车企业出现违法违规行为的，由交通运输、网信、通信、公安、人民银行、税务、工商和市场监管等部门在各自职责范围内依法处理；违法违规行为涉及多部门的，相关部门可开展联合约谈；对于拒不改正的网约车企业，还有可能受到暂停发布、下架互联网应用程序（App）等载体、停止互联网服务、停止联网以及停机整顿等处罚。

在网约车商业模式下，网约车企业掌握有大量的用户出行数据，无论从数据本身的价值考虑，还是从数据对个人权益及国家安全的重要意义角度出发，网约车平台都应该将数据安全放在重要战略位置，合法收集和使用个人信息，保护涉及国家安全的敏感信息，配合监管，不断提高自身数据安全能力。如此，方能真正实现“安全出行”。