从滴滴被罚款事件思考企业数据治理问题

引言

国家互联网信息办公室依法对滴滴全球股份有限公司涉嫌违法行为进行立案调查。经查实，滴滴全球股份有限公司违反《网络安全法》《数据安全法》《个人信息保护法》的违法违规行为事实清楚、证据确凿、情节严重、性质恶劣。

7 月 21 日，国家互联网信息办公室依据《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等法律法规，对滴滴全球股份有限公司处人民币 80.26 亿元罚款，对滴滴全球股份有限公司董事长兼 CEO 程维、总裁柳青**各处人民币 100 万元罚款。

经查明，滴滴公司共存在 16 项违法事实，归纳起来主要是 8 个方面。

一是违法收集用户手机相册中的截图信息 1196.39 万条；

二是过度收集用户剪切板信息、应用列表信息 83.23 亿条；

三是过度收集乘客人脸识别信息 1.07 亿条、年龄段信息 5350.92 万条、职业信息 1633.56 万条、亲情关系信息 138.29 万条、“家”和“公司”打车地址信息 1.53 亿条；

四是过度收集乘客评价代驾服务时、App 后台运行时、手机连接桔视记录仪设备时的精准位置（经纬度）信息 1.67 亿条；

五是过度收集司机学历信息 14.29 万条，以明文形式存储司机身份证号信息 5780.26 万条；

六是在未明确告知乘客情况下分析乘客出行意图信息 539.76 亿条、常驻城市信息 15.38 亿条、异地商务/异地旅游信息 3.04 亿条；

七是在乘客使用顺风车服务时频繁索取无关的“电话权限”；

八是未准确、清晰说明用户设备信息等 19 项个人信息处理目的。

• 本案的违法主体是如何认定的?

滴滴公司成立于 2013 年 1 月，相关境内业务线主要包括网约车、顺风车、两轮车、造车等，相关产品包括滴滴出行 App、滴滴车主 App、滴滴顺风车 App、滴滴企业版 App 等 41 款 App。

滴滴公司对境内各业务线重大事项具有最高决策权，制定的企业内部制度规范对境内各业务线全部适用，且对落实情况负监督管理责任。该公司通过滴滴信息与数据安全委员会及其下设的个人信息保护委员会、数据安全委员会，参与网约车、顺风车等业务线相关行为的决策指导、监督管理，各业务线违法行为是在该公司统一决策和部署下的具体落实。据此，本案违法行为主体认定为滴滴公司。

• 对滴滴公司作出网络安全审查相关行政处罚的决定的主要依据是什么？

一是从违法行为的性质看，滴滴公司未按照相关法律法规规定和监管部门要求，履行网络安全、数据安全、个人信息保护义务，置国家网络安全、数据安全于不顾，给国家网络安全、数据安全带来严重的风险隐患，且在监管部门责令改正情况下，仍未进行全面深入整改，性质极为恶劣。

二是从违法行为的持续时间看，滴滴公司相关违法行为最早开始于 2015 年 6 月，持续至今，时间长达 7 年，持续违反 2017 年 6 月实施的《网络安全法》、2021 年 9 月实施的《数据安全法》和 2021 年 11 月实施的《个人信息保护法》。

三是从违法行为的危害看，滴滴公司通过违法手段收集用户剪切板信息、相册中的截图信息、亲情关系信息等个人信息，严重侵犯用户隐私，严重侵害用户个人信息权益。

四是从违法处理个人信息的数量看，滴滴公司违法处理个人信息达 647.09 亿条，数量巨大，其中包括人脸识别信息、精准位置信息、身份证号等多类敏感个人信息。

五是从违法处理个人信息的情形看，滴滴公司违法行为涉及多个 App，涵盖过度收集个人信息、强制收集敏感个人信息、App 频繁索权、未尽个人信息处理告知义务、未尽网络安全数据安全保护义务等多种情形。

总结上面关键字，滴滴知法犯法，从数据安全洪荒时代，自 2015 年 6 月频繁触碰数据高压线的事情，后来法律监管完善，《网络安全法》2017 年 6 月实施，《数据安全法》2021 年 9 月实施，《个人信息保护法》2021 年 11 月实施，法律明令声明规则和约束条件，滴滴仍然没有纠正，一直存在违法违规行为，终于国家互联网信息办公室出手惩治。

数据治理上的失策造成严重的经济损失的企业， 滴滴不是第一家，也不会是最后一家。滴滴可以作为数据安全治理的典型的反面教材，随着业务的发展，虽然信息技术迭代不断提高，算法模型精度提高、用户画像识别度越加全面，但是信息管理策略上认识不够深，履行太浅，数字化转型过程中没有重视与外部环境结合，跟上数字化社会的需求，从而导致产生严重的后果。

前车可鉴，我们剖析滴滴事件，获取一些教训和经验，一家好的企业有发达的信息技术保驾护航虽好，但是良好的信息管理方法策略也同等重要，数据治理就是信息管理策略的一套方法论，它能够挖掘数据资产中的价值，并防范未知的数据风险。

数据安全治理是高级竞争力

数据安全治理是数据治理下的 1 个能力域 ，在《DAMA 数据管理知识体系指南》里面，以数据治理为中心，11 个能力域环绕中心运转，其中 1 个能力域就是数据安全。在 GB/T 36073-2018 《数据管理能力成熟度评估模型》里面，评估一个组织成熟度等级用 8 个指标进行划分，其中一个指标也是数据安全，数据安全非常重要，数据安全是一种高级竞争力。阿里巴巴联合中国电子技术标准化研究院、国家信息安全工程技术研究中心、中国信息安全测评中心 2019 年 8 月 30 日发布《信息安全技术 数据安全能力成熟度模型》（GB/T 37988-2019），简称 DSMM,包括能力成熟度等级制度【非正式执行、计划跟踪、充分定义、量化控制、持续优化】，数据安全过程维度【数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全】，安全能力维度【组织建设、制度流程、技术工具、人员能力】等等。

什么是数据安全治理？数据安全治理就是定义并识别安全对象的标准、范围，并且把数据安全规范融入企业制度和流程，通过人工执行和维护达到控制管理风险的目的。

一家企业运转可能遇到多种风险危机，来自内部或者外部，例如战略运营风险 ，例如进入的行业不符合产业政策、并购重组、大股东撤资、市场份额下降等。采购风险，例如管理人员吃回扣引入不符合要求的供应商、原材料供应中断等。财务风险，例如现金流中断、投资失败、成本超支、财务报告不真实、融资带来的控制权丧失等。生产管理风险，例如火灾、不安全操作等。人力资源风险，例如招聘了不合格的人员，核心人才流失、用工风险、职业健康等等。质量管理风险，比如残次品或未经安全设计、方案评估、安全测试就对提供不安全的 IT 产品或服务。

这次滴滴的经济损失主要是数据安全管理没有做好，与以上风险问题没有半点关系。

问题探索分析

滴滴的有没有了解自己的业务数据？ 2021 年 9 月发布了《网络预约汽车业务数据分类分级方法》，参与建设公司单位有《北京嘀嘀无限科技发展有限公司》，里面对网约车的数据进行了定级分类，网约车主体分为两个大类，包括用户数据和业务数据，用户数据细分指由用户产生的信息和提供的数据， 主要涉及用户个人身份信息、 用户服务内容数据、 用户服务衍生数据、 用户车辆数据、 用户统计分析类数据。

业务数据下细分网络预约汽车业务在运营时产生或者基于运营状况统计分析得出的数据， 主要涉及运营统计数据、 市场运营数据、 技术运维数据等。

汽车业务数据分级方法 汽车业务数据重要程度以及泄露后对国家安全、 社会秩序、 业务运营和公众利益造成的影响和危害程度

按照国家安全和社会公共利益的影响、 企业业务、 财务、 声誉等影响 、用户利益影响 三个维度定级

上述数据报告，滴滴理应对自己本身的一套体系结构对行业业务数据性质有一个清楚的认识，知道自己的数据来自于哪里，中间经过哪些编排分类沉淀，在经济价值的定位上哪些数据敏感，哪些数据具备价值，哪些数据有重大影响。

滴滴的安全管理没有做好？ 据悉滴滴的数据跨境流动，存在严重影响国家安全的隐患，但是没有履行监管部门的明确要求、阳奉阴违、恶意逃避监管。DCMM 的数据安全等级划分一共分为 5 级。

第一级是初始级，在项目层面建立安全监控和管理。

第二级是管理级，在部门范围建立安全管理及监控。

第三级是稳健级，在组织层面建立安全管理与监控，并积级与外部监管互动。

第四级是量化级，量化度量当前数据安全管理成果产出及绩效，并与外部监管保持一致，甚至促进外部监管修正落地的应用。

第五级是优化级，在业界分享最佳实践。

很明显，滴滴作为一家市值近千亿的大企业公司，肩膀的社会责任高，至少位于第三级，但是滴滴跟不上节奏，顾虑重重，可能性原因之一是数据阳光化后不利于滴滴的业务运作，另一个可能性原因是滴滴 内部根本没有份量的数据治理人才，或者治理程度不够并且工作开展没有做出重点。

滴滴业务调研

乘客打车流程

司机上线流程

滴滴的核心业务是打车和顺风车，梳理业务流程和业务实体，得出每个流程对应的实体对应的数据的生命周期的关键创建点，矩阵如下。

• 当一辆普通车经过平台验证成功变成嘀嘀车，对于嘀嘀来说又多了一个车服务民众，在数据层面是一个很关键的信息。

• 嘀嘀车司机、顺风车每一次上线都必须经过身份认证、授权，开始准备增长嘀嘀的业务盈利，所以是一个关键的数据点。

• 司机挑选自己的意向或者乘客筛选自己的乘坐需求，由平台的算法或者工作人员派单准备

• 根据平台的数据结果返回，最终由乘客确定是否愿意达成生成行程订单。

• 可能存在特殊行程，例如乘客 A 点出发，B 点是目标，但是乘客改方向要求去 C 点。

• 行程开始到结束的过程中，都应该源源不断的产生数据。

• 乘客付费，司机收费，平台开票，一个业务流程结束。

嘀嘀的数据架构至少有 9 个业务实体，至少历经 7 个业务流程，结合数据安全生命 5 个阶段进行管理。

再来解读滴滴的违规违法关键字，过度收集、违法收集、未明确告知乘客情况下分析。。。。，明面上滴滴的主要出错在数据采集环节和数据处理环节，实际上其它的环节都有点牵联

数据有多重要

关键是要了解滴滴的问题，如果滴滴一直抱有拒绝国家接入监管的想法，不用谈！这是一个态度问题，当年谷歌中国拒绝 相关部门接入审核内容监管，国家工信部明确表示，随时欢迎谷歌投资中国市场。最后，谷歌怀着美国式自由梦想离开中国市场，百度吞并了谷歌原有的领土。

美国对中国也一样，美国对 tikTok 发布禁令，并非是对 tikTok 赶尽杀绝。tikTok 里面的数据非常重要，通过用户画像可以了解 tikTok 用户的兴趣爱好，可以推演 tikTok 的关联关系，找出目标最近的潜在需求，所以美国为了自己的人道主义自由，否定了 tikTok 美国式梦想。2020 年 9 月 14 日，Oracle 已经与字节跳动达成协议，成为其“可信技术提供商”， 意味着 tikTok 数据要脱离原有的数据容器装置 ，它要放在 Oracle 这个新容器装置，由 Oracle 对它的数据进行监督管理。

数据要多重要？ 中国已经把数据作为一种新型生产要素写入文件中，与土地、劳动力、资本、技术等传统要素并列为要素之一，数据可以协同向先进生产力集聚，加快完善社会主义市场经济体制。不仅 数据蕴强着强大的经济价值，而且包括众多有价值的信息，在国家安全和企业发展中，有了数据的加持可以抢先一步、洞察先机、克敌制胜、精确打击等作用。

滴滴要做什么

亡羊补牢，为时未晚，如果滴滴下决心要把数据管理这个事情做好，结合法院对滴滴的诉状判决，综合分析，滴滴至少要重视以下事情。

1、高层领导重视数据安全是成功的关键，数据安全治理不能够解决问题 ，它只能发现问题，发现问题后协调各个部门一起解决问题。安全治理不是业务部门的事，也不是技术层面的事，安全治理是组织层面的事。数据落地实施，必须高层领导点头牵头，确所所需要的资源调配到家，确保各个部门达成一致，并提供公司上的政策支持。

2、建立数据安全相关组织，定义职责、分派人员。考虑到组织需要重视外部监管，可能考虑三层划分决策层、管理 层、执行层，组织定期展数据安全培训和安全标准操作规范，定期发布数据安全质量评估报告，宣贯数据安全意识文化。

3、识别企业安全危险，尤其企业外部监管的风险，了解网络安全法、数据安全法、个人信息保护法的目标、定义、范围、约束等等，数据创建后，记录客观真实的信息，不会由于反复使用发生耗损，跨境数据已经涉及到国家安全等级，必须制定数据安全策略控制数据流动，数据跨境要有脱敏或者加密、授权、访问控制等技术做后台保障。

4、重视处理个人数据采集的隐私声明，保障数据主体的知情权，隐私声明中应包括：

■ 数据控制者及法定代表人、数据保护官的身份、联系方式。

■ 收集数据的用途、必要性、合法性说明

■ 数据是否向第三者或第三国转移、接收者是谁，数据下一步处理。

■ 存储期限或标准。

■ 数据的相关保护措施。

■ 声明数据主体有权访问、更正、删除个人数据，以及限制、拒绝、撤销同意、向监管机构投诉等权利。

5、制定数据生命周期的策略审计，包括过程性审计、规范性审计、合规性审计等。在数据从开始到结束的生涯，数据采集、数据传输、数据存储、数据处理、数据交换、数据销毁，定义范围和控制管理点，设立审计监控点。滴滴的事件特别是犯了数据采集和数据处理的地方，可以多设几个审计点。

6、数据安全化落地，从安全组织部门中 成立一个督导小组，协同其它部门协作，并解决并记录相关问题，包括培训、沟通、合规性、冲突、一致性问题。

7、建立数据安全建设目标，例如小目标进行 DCMM 三级和 DSMM 三级，建立组织层面的数据安全方面的规章、制度、流程、细则等等，指导其它部门进行工作。三级是小目标，要完全满足业务需求，滴滴要达到四级，滴滴建立数据安全的绩效考核，为将来满足四级做准备。

参考链接

• https://www.doc88.com/p-99159560113836.html

• https://zhuanlan.zhihu.com/p/507039460

• 《数据安全架构设计与实战》

原文链接：从滴滴被罚款事件思考企业数据治理问题

声明：本文为墨天轮作者 大数据模型 原创内容，代表作者观点。如您对上述内容有意见和建议，请在下方评论区指点和交流，或点击作者墨天轮主页 留言。

欲了解更多可浏览墨天轮社区，围绕数据人的学习成长提供一站式的全面服务，打造集新闻资讯、在线问答、活动直播、在线课程、文档阅览、资源下载、知识分享及在线运维为一体的统一平台，持续促进数据领域的知识传播和技术创新。

关注官方公众号： 墨天轮、 墨天轮平台、墨天轮成长营、数据库国产化 、数据库资讯