【CSA GCR何渊】美光网络安全审查及企业合规危机应对.pdf

1、何渊 上海交通大学数据法律研究中心执行主任2023年4月13日美光网络安全审查与企业合规危机应对美光到底怎么了？做了什么？美光到底怎么了？做了什么？公告原文关于对美光公司在华销售产品启动网络安全审查的公告为保障关键信息基础设施供应链为保障关键信息基础设施供应链安全安全，防范产品问题隐患造成网络安全风险，维护国家安全维护国家安全，依据中华人民共和国国家安全法中华人民共和国网络安全法，网络安全审查办公室按照网络安全审查办法，对美光公司（Micron）在华销售的产品实施网络安全审查。特此公告。网络安全审查办公室 2023年3月31日滴滴又是怎么一回事？12021年6月30日，滴滴在美国纽交所上市（时

2、间点，速度最快时间点，速度最快）22021年7月2日，对滴滴启动网络安全审查，并暂停新用户注册32021年7月4日，网信办下架滴滴出行APP42021年7月9日，网信办下架滴滴出行等25款APP52021年7月16日，7部门进驻滴滴，开展网络安全审查62021年12月3日，滴滴宣布将在美国退市，启动香港上市准备72022年6月12日，滴滴正式从美国纽交所退市82022年7月21日，网信办对滴滴罚款80.26亿7880亿是如何计算出来的？凭啥顶格处罚？亿是如何计算出来的？凭啥顶格处罚？网络安全审查发现:滴滴公司存在严重影响国家安全的数据处理活动存在严重影响国家安全的数据处理活动，以及拒不履行监管

3、部门的拒不履行监管部门的明确要求，阳奉阴违、恶意逃避监管明确要求，阳奉阴违、恶意逃避监管等其他违法违规问题。滴滴公司违法违规运营给国家关键信息基础设施安全和数据安全带来严重安给国家关键信息基础设施安全和数据安全带来严重安全风险隐患全风险隐患。因涉及国家安全，依法不公开。滴滴公司违法违规行为情节严重，应当予以从严从重处罚从严从重处罚。一是一是从违法行为的性质看，滴滴公司未按照相关法律法规规定和监管部门要求，履行网络安全、数据安全、个人信息保护义务，置国家网络安全、数据安全于不顾，给国家网络安全、数据安全带来严重的风险隐患，且在监管部给国家网络安全、数据安全带来严重的风险隐患，且在监管部门责令改正

4、情况下，仍未进行全面深入整改，性质极为恶劣门责令改正情况下，仍未进行全面深入整改，性质极为恶劣。二是二是从违法行为的持续时间看，滴滴公司相关违法行为最早开始于2015年6月，持续至今，时间长达时间长达7 7年年，持续违反2017年6月实施的网络安全法、2021年9月实施的数据安全法和2021年11月实施的个人信息保护法。三是三是从违法行为的危害看，滴滴公司通过违法手段收集用户剪切板信息、相册中的截图信息、亲情关系信息等个人信息，严重侵犯用户隐私，严重侵害严重侵犯用户隐私，严重侵害用户个人信息权益。用户个人信息权益。四是四是从违法处理个人信息的数量看，滴滴公司违法处理个人信息达违法处理个人信息达

5、647.09647.09亿亿条，数量巨大条，数量巨大，其中包括人脸识别信息、精准位置信息、身份证号等多类敏多类敏感个人信息。感个人信息。五是五是从违法处理个人信息的情形看，滴滴公司违法行为涉及多个App，涵盖涵盖过度收集个人信息、强制收集强制收集敏感个人信息、AppApp频繁索权频繁索权、未尽未尽个人信息处理告知告知义务、未尽未尽网络安全数据安全保护义务保护义务等多种情形。16项违法事实，归纳起来主要是8 8个方面个方面。1.违法收集用户手机相册中的截图信息手机相册中的截图信息1196.39万条；2.过度收集用户剪切板信息、应用列表信息剪切板信息、应用列表信息83.23亿条；3.过度收集乘客人

6、脸识别信息人脸识别信息1.07亿条、年龄段信息5350.92万条、职业信息1633.56万条、亲情关系信息138.29万条、“家”和“公司”打车地址信息1.53亿条；4.过度收集乘客评价代驾服务时、App后台运行时、手机连接桔视记录仪设备时的精准位置（经纬度）信息精准位置（经纬度）信息1.67亿条；5.过度收集司机学历信息学历信息14.29万条，以明文形式存储司机身份证号信身份证号信息息5780.26万条；6.在未明确告知乘客情况下分析乘客出行意图信息出行意图信息539.76亿条、常驻城市信息15.38亿条、异地商务/异地旅游信息旅游信息3.04亿条；7.在乘客使用顺风车服务时频繁索取无关的“