动态与观点
► 引 言
随着移动互联网的发展,各式各样的交通出行类APP已经改变了我们的出行方式。通过地图APP查询路线,通过网约车APP打车出行,通过交通票务APP购买汽车、火车、飞机票,又或是通过用车服务APP租车出行。交通领域APP的功能也从其基础的单一功能向全面的复合功能而转变。
服务的内容的增加,APP智能化的提升,意味着APP需要收集更多的用户信息来分析用户的行为习惯。随着收集数据维度和数据量的增加,数据合规也就变得尤为重要。
► 行业趋势:规模扩大,监管趋严
在经历过萌芽期和爆发期后的交通出行类APP,在2020年迎来了行业的发展期。以共享出行为代表的交通出行行业,在细分领域的差异化竞争日益激烈。共享出行市场涵盖的网约车、顺风车、汽车租赁、共享单车四个细分市场,均有较高的行业集中度,各平台通过推出不同的业务模式和出行服务进行差异化竞争。
例如滴答出行大力发展顺风车业务,2019年滴答出行在顺风车市场排名第一,市占率达66.5%;神州租车、一嗨租车等企业专注传统汽车租赁业务,提供长距离或跨市的出行需求;曹操出行则定位品质出行,提供新能源车辆出行服务,并衍生出同城快递、城际快车等业务模式。
截止2020年12月,中国网约车市场乘客端活跃用户规模达千万级的仅有滴滴出行、嘀嗒出行和花小猪打车三个平台。其中花小猪打车亦是滴滴推出的旗下独立打车平台。滴滴打车的平台月活用户为8157万人,远超同类网约车平台的活跃用户规模。
据第三方分析数据,2020年中国网约车市场整体交易金额为2499.1亿元,同比下滑18%,主要系受疫情影响。伴随国内疫情控制趋稳,经济活力恢复,及主流平台在供给、安全管控与营销层面的努力,中国网约车市场中长期发展态势良好,未来两年将重回增长快车道。预计2021/2022年,中国网约车市场交易规模分别达到3542.1/4022.9亿元,同比增长42%/14%,2017-2022年,网约车市场复合增长率达12%。
数据来源:易观分析,国泰君安证券研究
在“互联网+”的加持下,交通出行行业的市场规模与日俱增,随着市场规模的不断扩大和社会影响力的不断提升,国家对该行业的经营以及发展也提出更为严格的监管要求。
“数据合规”便是国家对互联网行业的新要求,更是对“互联网+交通出行”行业的新要求,也是该类行业在当前发展中最应注意的首要合规事项。
► 行业监管动态:对于交通APP收集个人信息的范围已有明文规定
早期的地图APP只能提供简单的路线查询和导航服务,随着技术的发展和人们需求的不断增多,现在的地图APP已经变为集导航,公交线路查询,打车,周边服务查询为一体的综合服务提供商。
今年5月实施的《常见类型移动互联网应用程序必要个人信息范围规定》(以下简称《必要个人信息范围规定》)中针对各类型APP需要的《必要个人信息范围规定》给出了明确规定。这些具体的规定旨在落实《民法典》、《网络安全法》等法律法规关于收集使用个人信息合法、正当、必要的原则,规范APP的个人信息收集使用行为,保障公民个人信息安全。
在《必要个人信息范围规定》中给出的39类常见移动互联网应用程序中,涉及交通出行类APP的类型有:
地图导航类
网约车类
交通票务类
用车服务类
旅游服务类
《必要个人信息范围规定》对上述交通领域的APP的功能服务进行明确描述,并对APP应当收集的个人信息范围列出了详细清单备查,要求运营此类APP的企业应当按照指导尽快落实整改。
值得一提的是,《必要个人信息范围规定》中第四条还明确提出了“APP不得因为用户不同意提供非必要个人信息,而拒绝用户使用其基本功能服务”。这意味着APP提供商应当无法再以APP无法使用而“要挟”用户同意隐私协议、提供相关个人信息。
值得一提的是,《必要个人信息范围规定》中第四条还明确提出了“APP不得因为用户不同意提供非必要个人信息,而拒绝用户使用其基本功能服务”。这意味着APP提供商无法再以APP无法使用而“要挟”用户同意隐私协议。
► 行业合规情况:仍存在超范围收集信息
《必要个人信息范围规定》开始实施已有数月时间,为了解交通领域APP的数据合规情况,我们特汇总了各类型代表APP的个人信息收集情况并进行分析,为类似企业推进合规整改提供参考。以安卓手机为例,各类型代表APP目前收集的用户个人信息情况如下:
一、地图导航类APP
从下表可以看出,某地图软件除了收集必要的地理位置信息外,还获取了通讯录和健身运动等个人信息,已超出《必要个人信息范围规定》要求可收集的个人信息范围。
二、网约车类APP
按照《必要个人信息范围规定》中的APP分类,网约车类可收集的用户必要信息有:注册用户移动电话号码;乘车人出发地、到达地、位置信息、行踪轨迹;支付时间、支付金额、支付渠道等支付信息(网络预约出租汽车服务)。但是实际情况是,因为之前网约车一些恶性案件的发生,导致网约车APP需要加入如录音等在内的安全措施保障司乘安全。这也为网约车APP提出新的要求,那便是如何平衡用户体验,用户安全和数据合规这三个方面。
三、交通票务类APP
从以上权限中可以看出,该交通票务类APP对提供服务时的非必要信息作出收集的情况较少,从合规角度看更符合监管要求。
四、用车服务类APP
某共享自行车APP,其最基本的服务就是提供自行车的租赁,但是我们却在其隐私权限收集列表中发现一些与服务无关的内容,比如麦克风和通讯录权限。
五、旅游服务类APP
某旅游服务类APP融合了交通票务购买,旅游咨询查询等服务,这也导致其收集用户信息的维度多于其他单一功能APP。但是在其中我们依然发现APP收集了一些与服务内容无关的用户信息获取权限,比如麦克风和通讯录。
从以上分析我们可以很清楚地看出,交通领域APP中仍存在对用户信息收集的维度超出《必要个人信息范围规定》范围的情况,可见对于此类APP的合规整改是首务之急。
► 国家安全:交通APP数据合规的更高要求
立法上,有关运营企业收集涉及国家安全信息应当进行网络安全审查早已写入规范性文件。《网络安全审查办法》第2条中就指出:
关键信息基础设施运营者(以下简称运营者)采购网络产品和服务,影响或可能影响国家安全的,应当按照本办法进行网络安全审查。
实践中,“滴滴事件”也应引起我们对于数据合规与国家安全的思考。根据网络安全审查办公室的通告,网络安全审查的法律依据主要来自于《国家安全法》《网络安全法》和《网络安全审查办法》。具体法条包括:
《国家安全法》第59条:“国家建立国家安全审查和监管的制度和机制,对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目,以及其他重大事项和活动,进行国家安全审查,有效预防和化解国家安全风险。”
《网络安全法》第35条:“关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。”
《网络安全审查办法》第15条:“网络安全审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,依照本办法的规定进行审查等。”
即将在今年9月1日实施的《数据安全法》第24条也规定了数据安全审查制度:“国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。依法作出的安全审查决定为最终决定。”但因尚未实施,本次通报中并未引用《数据安全法》。
上述文件或事件意味着国家在数据合规的严谨性,不论是在企业收集信息的维度还是企业收集信息的数量上都做了约束。尤其是交通出行类APP,需要收集客户地理位置信息作为服务基础,当数量足够庞大时,便可通过大数据分析出一些信息,从而可能威胁到国家安全。
交通领域企业在运营APP以及收集相关数据时,不仅需要考虑根据现有法律、法规和规定规范收集、使用数据的行为,并且应当提升对数据保护的认知,在可能影响国家安全的层面提高警惕,以更为严格的标准利用、保护数据。
► 总 结
从数据合规的角度考虑,交通领域APP是改善国民出行方式的利器,为越来越多消费者使用,APP所收集的数据也因而呈现指数式的增长。
国家对此也已出台了各类文件,指导企业按照规定完善APP的数据收集行为,并从保护国家安全的层面也给予相关企业警示。然而,从我们观察行业相关APP的结果来看,目前仍有不少交通领域APP存在超范围收集个人信息的情况,亟待企业进行整改。
从推动行业发展的角度考虑,各类法律严格规定了交通出行类APP可收集的必要信息和必须提供的基础服务,这也改变了交通出行类APP企业以往的经营模式.
由于无法再随意收集客户信息,此类APP企业也需要结合法律动态修改其产品服务模式,摸索如何在有限的数据维度情况下,为客户提供优质的产品体验。在用户隐私与智能服务之间找到新的平衡点。
本文参考:易观分析,国泰君安证券研究
免责声明:本文仅为分享、交流、学习之目的,不代表恒都律师事务所的法律意见或对法律的解读,任何组织或个人均不应以本文全部或部分内容作为决策依据,因此造成的后果将由行为人自行负责。