据7月7日晚间消息，滴滴官网已下架滴滴出行app。此前，国家互联网信息办公室依据《中华人民共和国网络安全法》相关规定，于7月4日通知应用商店下架“滴滴出行”app，该通知指出“滴滴出行”app存在严重违法违规收集使用个人信息问题。尽管“滴滴出行”app实际收集的用户数据类型、收集手段以及使用领域、使用方式等细节尚未公开，但不难看到国家对信息密集型企业愈发严格的监管趋势，同时也对未来的企业数据合规工作带来了一定的启示。

重视企业数据合规工作的必要性

      格力电器董事长董明珠女士曾在一次演讲中宣称：“没有实体经济的支撑,互联网就是死路一条。”此言虽有夸大之嫌，但确实一语道出“互联网+实体经济”的发展大趋势。信息与数字技术已经渗透到各行各业，除了大众印象中的信息技术领域，如芯片、操作系统研发与供应，通信设施与解决方案供应，搜索引擎、杀毒软件、数据库产品供应，云计算大数据服务等，非信息技术强相关的实体行业如金融、医疗、教育、法律、交通物流、社交文娱乃至于房产交易、餐饮旅游美容等服务业等也都在越来越深入地利用信息技术，如金融行业使用的量化交易软件，在线教育软件如网易云课堂app、极客时间app，短视频社交平台如抖音、快手，房产交易平台如链家app，点餐排队取号软件等。

      各行业企业推出app为用户提供服务的同时，不可避免地需要收集、存储和使用各类型的巨量用户数据。目前国家已经或是将要出台的大量相关法律法规，如《国家安全法》、《网络安全法》、《数据安全法》、《网络安全审查办法》，以及正在制定中的《个人信息保护法》等等，正在构建出越来越立体的数据合规与网络安全审查法律体系。例如，国家互联网信息办公室在2020年12月发布《常见类型移动互联网应用程序（App）必要个人信息范围（征求意见稿）》，针对38类常见类型app的必要个人信息范围进行了相对细致的规定，如网络约车类app必要个人信息包括：（1）注册用户移动电话号码或其他真实身份信息（App提供者提供多种选项，由用户选择其一）。（2）乘车人出发地、到达地、位置信息、行踪轨迹。毫无疑问，企业的网络安全审核与数据合规工作在不久的将来必然成为常态。

滴滴下架对企业数据合规工作的启示

  01针对不同的用户信息采集方式规避数据合规风险

      目前企业获取用户数据，包括但不限于以下两种方式：

      （1）app本身在运行过程中采集信息。用户信息可以由用户主动选择输入，如上传文字、图片、视频，更多的是由app后台获取，如实时地理位置、访问用户本地数据（如备忘录中的电子笔记、相册中的照片，聊天记录、搜索引擎入口检索记录等）。使用该种数据采集方式，为了规避企业风险，应当在坚持“同意、合理、最小化”三项基本原则下，格外注意充分获取用户许可与授权。同意原则是指企业采集个人信息必须经过用户同意；合理原则指的是采集相关用户数据必须有相应的服务场景；最小化原则指的是企业应当在服务所需的最小范围内采集个人数据，不应过度延伸。工信部于2018年5月发布《信息安全技术个人信息安全规范》（GB/T 35273-2017），该规范系统详细地规定了个人信息的内涵、采集原则与权限设置等，具有很高的司法实践指导价值。为了充分获取用户许可与授权，以更好的规避企业风险，app在收集用户信息时应当取得用户的明示同意，确保信息是在用户完全知情的基础上自愿给出的。例如，在app运行前应当以弹窗等明显方式提示用户app将要采集的所有类型的数据信息，获得用户充分授权；app运行过程中，启用新增应用功能需要采集实时用户数据时，及时向用户给出明显的提示，是否同意采集信息的选项等。

      （2）利用外部手段如爬虫工具抓取相关数据。利用该方式获取用户数据，应当注意被爬取方性质及声明。如果爬虫抓取的数据对象是提供公开信息检索服务的网站，如中国裁判文书网等，则不存在合规风险。但是如果爬虫获取数据的对象是各类商业网站，就需要高度重视其中的违法违规风险。如果被爬取数据方声明robots协议（存放于网站根目录下的ASCII编码文本文件，它通常告诉网络搜索引擎的漫游器，此网站中的哪些内容不应被搜索引擎的漫游器获取，哪些可以被漫游器获取），而使用爬虫工具的企业并未遵守协议，则可能面临侵权纠纷与反不正当竞争之诉。例如2016年，大众点评向百度提出了不正当竞争之诉，理由是百度通过爬虫工具大量抓取用户点评信息用于百度地图、百度知道等产品，最终法院判定百度构成不正当竞争，并判决赔偿大众点评经济损失300余万元。

      为了更好的规避数据合规风险，企业应当构建并完善动态管理用户信息的部门职能，定期对app需要采集的用户数据进行必要性审查和管理。对已经不再需要使用的用户数据类型，或者涉嫌违规采集、使用的用户数据，应当做到及时缩回“触角”，立即停止获取和使用，并尽可能做到消除相关影响；对新增业务功能需要采集的新的类型的用户数据，应当做到及时、充分的告知用户，给予用户充分的选择空间，从而获得用户的充分授权。

  02未来企业数据出境的潜在风险

      关于此次滴滴出行app下架，目前舆论有一种观点，就是滴滴可能向境外提供了地图数据。由于目前官方没有更新发布具体细节，该种观点也只能是大众的猜测。但针对数据出境，《网络安全法》第37条要求，关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。关于该规定规制的主体“关键信息基础设施的运营者”，目前尚未有严格明确的界定。但值得注意的是，《个人信息出境安全评估办法（征求意见稿）》（下称《意见稿》）已经将数据跨境流动的个人信息安全规制对象范围扩大至一般的网络运营者。《意见稿》第2条规定，网络运营者向境外提供在中华人民共和国境内运营中收集的个人信息（以下称个人信息出境），应当按照本办法进行安全评估。经安全评估认定个人信息出境可能影响国家安全、损害公共利益，或者难以有效保障个人信息安全的，不得出境。

笔者总结

         由此可见，企业在未来的数据合规工作中，需要注意的不仅是用户信息采集的性质，方式与使用，对于可能涉及出境的数据，更要做好相关的境内存储、报备、向有关部门提请评估等数据合规工作。