​作者：金茂律师事务所   谢瑞强  律师   郭君  律师

2018年8月24日，温州少女乘坐滴滴顺风车遇害，距离今年5月5日发生的郑州空姐遇害案仅仅间隔110天。滴滴顺风车再一次因恶性命案站在全民声讨的风口浪尖，并不得不于8月27日开始无限期关停顺风车功能。根据“凤凰网”等媒体的相关报道，与郑州空姐案不同的是，本次顺风车案件几乎在事发同时当事人亲友及接案民警便多次向滴滴公司联系要求获得涉案车辆及驾驶员信息，然而由于客服权限及内控流程所限，在接到个人联系电话2小时31分钟、民警联系电话1小时32分钟后，滴滴方才将车辆及驾驶员信息告知警方。

就滴滴公司而言，无论平台车辆及驾驶员信息或乘客信息均属于其基于业务原因所采集的公民个人信息。滴滴公司在本次顺风车案件中的处置失当，一方面当然是基于客服外包、流程混乱、监管缺失等原因，另一方面也反映了“滴滴出行”这款国民软件在个人信息管理方面的系统性问题，本文仅从个人信息安全合规角度谈滴滴顺风车的个人信息管理问题。

近年来，随着各国对个人信息安全及隐私权保护的重视，一大批法律法规及规范性文件相继推出生效，其中代表性的包括2018年5月25日开始生效的欧盟《一般数据保护条例》（General Data Protection Regulation, GDPR）及2018年5月1日开始实施的我国《信息安全技术个人信息安全规范》（GB/T 35273-2017）国家标准（以下简称“《个人信息安全规范国家标准》”）。企业对个人信息采集、使用的无序无规状态本也应该随着指导文件的推出逐渐开始改善，然而从本次顺风车案中滴滴这样的独角兽公司的应对情况来看，中国企业个人信息安全管理系统的合规建设仍然任重道远。

首先，滴滴是否应该及时响应普通公民或警方的要求快速提供其掌握的公民个人信息？根据《中华人民共和国网络信息安全法》（以下简称“《信息安全法》”）第四十二条规定：“网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外” 。似乎对企业共享、披露个人信息数据设定了“同意”条件。但《信息安全法》第四十四条亦同时规定：“网络运营者应当建立网络信息安全投诉、举报平台，公布投诉、举报方式等信息，及时受理并处理有关网络信息安全的投诉和举报”。在类似本次顺风车案这样的突发刑事案件或者危害公共安全的案件中，征得信息主体“同意”或“告知”都显然是不现实的，甚至可能扩大危害的后果，企业需要在个人信息管理体系建设中将隐私权和公共利益的博弈考虑其中，提前做出合规安排。根据《个人信息安全规范国家标准》第8.5条“共享、转让、公开披露个人信息时事先征得授权同意的例外”中规定：“以下情形中，个人信息控制者共享、转让、公开披露个人信息无需事先征得个人信息主体的授权同意:

a) 与国家安全、国防安全直接相关的；

b) 与公共安全、公共卫生、重大公共利益直接相关的；

c) 与犯罪侦查、起诉、审判和判决执行等直接相关的；

d) 出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人同意的；

e) 个人信息主体自行向社会公众公开的个人信息；

f) 从合法公开披露的信息中收集个人信息的,如合法的新闻报道、政府信息公开等渠道。”

由此可见，滴滴公司在个人信息主体涉嫌犯罪或危害公共利益的情况下，是有义务及时对其掌握的个人信息进行披露的，但这种披露显然需要基于滴滴公司建立有效的情报分析机制和警务联系平台，这些靠外包客服和几乎隐形的安全专家显然是无法有效解决的。《个人信息安全规范国家标准》第8.2条“个人信息共享、转让”，第8.4条“个人信息公开披露”中均规定需要“事先开展个人信息安全评估，并以评估结果采取有效的保护个人信息主体的措施”，可见建立有效的个人信息安全评估制度和程序也是类似流程中必须非常重视的合规要求。企业应该建立起明确简洁的评估标准以呼应来自警方或者公民个人等不同信息共享者或披露者的要求。

其次，滴滴是否应该与警方或网络信息监管人建立信息共享平台。这显然又是一个敏感的问题，根据《法制晚报》及部分网络新闻披露，滴滴在全国多地均有拒绝将数据信息接入警务平台的情况发生。这种情况一方面可能确实反映了垄断型企业对客户需求和公共需求的漠视，另一方面也显示了目前企业个人信息管理系统与政府公共管理系统之间的隔膜。《信息安全法》第四十四条明确规定：“国家建立网络安全监测预警和信息通报制度。国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作，按照规定统一发布网络安全监测预警信息”。《个人信息安全规范国家标准》第8.6条“共同个人信息控制者”规定：“当个人信息控制者与第三方为共同个人信息控制者时，个人信息控制者应通过合同等形式与第三方共同确定应满足的个人信息安全要求，以及在个人信息安全方面自身和第三方应分别承担的责任和义务，并向个人信息主体明确告知。”欧盟《一般数据保护条例》也在第10条中规定：“对有关刑事定罪和犯罪或者有关安全措施的数据进行的处理仅能在政府机关的控制下进行或者有欧盟或者成员国法律授权。”由此可见，目前各国法规或标准文件均预留了在维护公共利益及打击犯罪情况下公司个人信息数据管理系统和政府管理机构的对接渠道，但同时也要求应当在程序上满足信息安全的要求，并明晰信息共享的责任和义务，同时实现保证个人信息主体的一般知情权。根据以上规定，滴滴这样的个人信息控制者和政府监管和执法机构之间信息共享系统的建设显然不是凭一方之力或者临时起意的一夕之功即可建成，而是需要双方均按照法规标准规定，积极沟通，建立有效共享平台。否则即使一方强势主导完成共享平台，也容易在效率上出现缺失，甚至会造成在满足政府管理机构的监管要求之后，却又同时产生个人信息管理权责不清，个人信息安全无法保障的新乱象。

从近期滴滴创始人和投资人的集中表态看来，滴滴在此次顺风车案中的应对不利并不完全是由于企业对社会责任的淡漠，同时也是因为企业自身个人信息安全合规体系建设的薄弱。随着公民信息隐私权日益受到重视以及个人信息数据价值在各个维度的全面展现，如何化解个人信息数据和社会公共利益的矛盾，如何完善企业个人信息安全管理理念和制度建设，都需要越来越多掌握大量公民个人信息数据的企业掌握法律法规、国家标准乃至国际规则的要求，建立完善的个人信息安全合规体系，从而真正做到遇变不惊，防患未然。