网约车平台个人信息合规治理之探

摘 要：聚集着海量个人信息的网约车平台发展迅速，其具有的运营安全保障义务要求保障乘客的各项合法权益，但在实际运营中却存在着个人信息处理类以及安全保障类合规风险。在应对此类风险时，平台存在由个人信息保护素养不足导致的合规风险预防不力、由信息不对称导致的合规风险识别滞后、由合规成本高昂导致的合规风险应对消极等困境。为有效防范与应对个人信息保护合规风险，平衡个人信息的开放与安全价值，网约车平台需进行技术协同下的智慧合规建设，包括基于知识图谱技术进行个人信息保护合规政策设计、搭建个人信息保护合规组织体系并进行人员培训、基于区块链技术进行个人信息保护合规流程设计。形成“技术+制度”的合规治理体系，实现预防个人信息侵权风险、减轻合规治理负担、有效衔接内外监管等合规治理目的。

关 键 词：网约车平台;平台治理;个人信息保护;政府监管;企业合规

中图分类号：D922.16 文献标识码：A 文章编号：1007-8207（2024）07-0079-15

引 言

生产工具的迭代是推动时代轮转的源动力，信息技术革命将人类从工业时代带入了“ABC时代”，以工厂为中心的经济模式逐渐被以平台为中心的经济模式所取代。[1]在悄然兴起的“数据主义”下，数据资本、信息分析技术已然成为塑造网络平台“分析型市场竞争力”的战略制高点之一。网约车平台在方便人们出行活动的同时，也催生了具有减损信息主体权利隐患的非对称权力结构。[2]其在网络空间生态系统的“枢纽节点”地位，冲击着“互联网赋能个体权利的愿景”[3]，作为“普通节点”的用户面临着个人信息不安全处理、不规范采集和无约束使用的隐患。

当下，合规监管要求逐渐完善、监管执法强度持续提高，不断充实着网约车平台在个人信息保护方面的合规要求。《网络安全审查办法》等行政法规及《上海市数据条例》等地方性法规的陆续颁布出台，不断突出个人信息保护的重要地位。4家专车平台限期整改[4]、“滴滴企业版”App下架[5]以及滴滴网约车公司被罚款80.26亿[6]等事件，使得网约车平台面临着前所未有的个人信息保护合规压力。如何建立健全符合平台管理现状及发展需求的个人信息保护合规治理体系，已经成为网约车行业可持续发展的重大挑战。在“预防性司法理念”的浪潮下，以“深度合规的全面管理”为核心的合规4.0版本正在各行各业中全面铺开。[7]面对屡禁不止的网约车平台个人信息侵权事件，需在平台日常经营管理中嵌入个人信息保护合规架构，在合规科技的赋能下，实现个人信息保护风险的事前预防、事中监管与事后整治，在兼顾安全要素的同时最大限度地开发数据价值，推动网约车行业新质生产力的形成。

一、网约车平台个人信息保护的规范性要求

作为网约车领域的“基本法”——《网络预约出租汽车经营服务管理暂行办法（2019修正）》第十六条明确了网约车平台作为承运人的运营安全保障义务，要求保障乘客的各项合法权益，这其中当然包括用户的个人信息权益。为保障用户个人信息的“本权权益”以及对“本权权益”保护的权利，根据《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）第九条规定，作为个人信息处理者的网约车平台需严格管控个人信息的处理流程并确保个人信息的安全状态。[8]

（一）个人信息处理流程的管控要求

厘清个人信息保护的客体是解读网约车平台个人信息保护规范性要求的前提。个人信息的“可识别”标准在2012年3月15日施行的《规范互联网信息服务市场秩序若干规定》中被确立下来，后由《中华人民共和国民法典》第一千零三十四条第二款、《个人信息保护法》第四条、《汽车数据安全管理若干规定（试行）》第三条第四项沿袭下来。数据收集、分析技术的普及与迭代使得“数字孪生”的态势进一步加强，对个人信息在静态意义上的保护模式已不能满足对个人信息权益的保障要求。有学者提出应转变采集阶段区分个人信息与否的静态思维，进而强化对个人信

息如何使用、应用场景产生何种风险等方面的关注。[9]至此，个人信息保护的客体多指个人信息在平台运营中的全生存周期。

网约车平台处理个人信息应遵循以下原则：一是合法、正当、必要和诚信原则。合法原则要求平台在处理个人信息时应当具备法律依据，不得违法处理个人信息，其内容涵盖施行处理行为的前提、目的与方式;正当原则讲究平台的个人信息处理行为符合一般的行业惯例与公众认知，不得通过误导、欺诈、胁迫等不公正方式处理个人信息;必要原则则是对上述两者的约束，将平台处理个人信息的活动，严格限制在实现目的的必要范围内;诚信原则要求平台在进行个人信息处理时，始终“秉持诚实，恪守承诺”。二是目的限制原则，该原则是对上述必要原则的丰富，是比例原则在个人信息保护领域中的“镜像”，又被誉为个人信息保护法中的“帝王条款”。其要求平台在处理个人信息时应当具有明确、合理的目的;必须与处理目的直接相关;需要且应当采取对个人权益影响最小的方式进行。[10]三是公开透明原则，该原则通过要求平台披露个人信息处理的目的、方式以及范围，以保障信息主体的知情权与决定权。四是质量原则，其要求平台保证个人信息在其处理目的的范围内是完整的、准确的，同时在发现个人信息存在不准确或不完整时，具有更正、补充的义务。

（二）个人信息安全的保障要求

构成网约车平台个人信息安全的要素，首先是保证司乘注册账号、定位、行程轨迹、车内录音、常用地址等个人信息存储、传输或处理的机密性，不受未经授权的浏览;其次是确保上述数据的字段完整、逻辑一致与准确，在发生篡改时能及时识别;再次需保障事故发生后个人信息及网约车服务的正常运营;最后在非否认性方面，讲究个人信息生命周期的全程记录，要求操作者不能否认其行为或处理结果。《个人信息保护法》第九条要求平台采取必要措施以保障上述个人信息的安全状态，此类必要措施包括个人信息的内部管理、安全保障技术两方面。

网约车平台履行个人信息安全保障义务的基本路径在于设立相关的内部管理机制，以此实现对个人信息安全事件的事前预防、事中检测以及事后处置。个人信息安全保障工作的有序进行，离不开平台对个人信息严格的内部管理。根据个人信息保护的相关规范，网约车平台在内部管理方面需满足以下要求：一是建立个人信息的分级分类管理机制。依据《汽车数据安全管理若干规定（试行）》第三条，汽车个人信息最少应当分为个人信息、敏感个人信息以及涉及个人信息的重要数据三个等级，并根据不同等级、不同的类型设置不同的管控机制。二是进行个人信息安全影响评估。为预防经营行为对个人信息权益产生重大影响，平台需对个人信息的处理是否符合处理原则、对权益造成的影响及风险、保护措施的适当性等进行评估。三是设置包括高级管理者、安全专家、数据管理员、审计人员在内的个人信息安全保障组织，以对个人信息处理活动、保护措施予以监管，同时定期对从业人员进行安全教育和培训。四是制定补救、通知等针对个人信息安全事件的事后处置措施。技术保障在个人信息安全维护中不可或缺，无论是法律法规的强制性规定还是行业最佳实践，都具有个人信息安全保障的技术要求。根据《个人信息保护法》第五十一条规定，网约车平台在进行个人信息处理时，应“采取相应的加密、去标识化等安全技术措施”以保障个人信息安全。通过国内和国际专业、行业和商业标准，实践中已经形成了大量安全做法。对称密钥、公钥、哈希函数等加密技术，统计、抑制、假名化、泛化等去标识化技术的应用，实现了个人信息流通与安全之间的平衡。[11]

二、网约车平台个人信息保护的合规风险

（一）个人信息处理流程类风险

在开放优于安全的功利导向下，网约车平台个人信息保护的规范性要求往往被架空、甚至被突破。网约车平台因实践中存在的个人信息被滥用、误用，未能完全履行安全保障义务等个人信息侵权情形，面临着个人信息处理流程类合规风险。私有性与公共性界限的模糊加剧了网约

车平台处理个人信息的失范风险。[12]个人信息的采集、使用以及共享阶段往往是造成网约车平台承当违规责任的高发地。

⒈采集阶段：违规采集个人信息或索取系统权限。在“用户即数据”的市场竞争理念下，网约车平台倾向过度采集个人信息或索取系统权限，以期为第三方共享、广告推广等数据分析储备尽可能丰富的数据基础，监管措施的失灵则助长了平台突破个人信息采集目的、方式、范围限度的违规风险。该典型场景多发生于网约车App端以及车辆座舱内外侧：第一，《用户协议》《隐私政策》等个人信息采集规则设置的不合理，有“未公开收集个人信息”之嫌。具体而言，未在App主交互界面设置便捷、明显的访问方式，除注册时自动弹出的查阅窗口，使用过程再次阅读相关平台协议需多次转换页面方能实现;多数文本冗长，难以阅读且用词专业、复杂，用户在未充分阅读、理解相关规则的情形下采取流程式同意的现象普遍。第二，采集或索取服务所必需的个人信息或系统权限数量、种类以及频率不符合最小必要原则。据网约车业务范围限制，必要的个人信息或系统权限包括司乘注册信息、出发到达地点、定位信息、支付信息、通讯方式等，然而实践中网约车平台在采集或索取上具有恣意性，诸如行程录音和录像、设备和日志信息、平台通话及短信等非服务必要信息被无差别收集。在滴滴被罚80亿事件中，涉及的16项违法事实包含剪切板、应用列表信息，乘客人脸识别、年龄段、职业、亲情关系、“家”和“公司”常用地址信息等四方面采集个人信息的过度情形以及一项针对“电话权限”的频繁索取权限情况。①仅以改善产品服务及用户体验之名，作为收集非必要个人信息与系统权限的合法性基础存疑，使用Cookie或同类技术强制采集个人信息更甚。第三，以聚合平台的形式实现用户对个人信息的“捆绑授权”，有违知情同意的个人信息保护规则。以滴滴出行为例，据其《个人信息保护及隐私政策》2.1所示，“滴滴基础信息服务平台”汇总着所采集的所有个人信息，却缺失约束个人信息在不同业务之间流转的平台规则，不同业务类型下的个人信息授权大相径庭，用户的“混合打包授权”现象极易架空知情同意规则在个人信息保护上的质效，用户无法得知其个人信息在何时何种范围，以何形式向哪个服务平台进行传输与分享。若选择不同意概括的个人信息采集的政策，则会面临被拒绝服务的窘境，用户自主选择是否授权的权利被严重挤压。未经单独告知并授权同意的个人信息采集行为已然超脱用户的“合理隐私期待”之外。第四，技术赋能下的智能网联汽车存在对敏感个人信息采集不谨慎的违规风险。依托传感、互联网智能信息处理等技术，车辆成为个人信息的采集终端。车外人脸、车牌信息等视频、图像数据以及车内座舱采集到的司乘面部识别特征、声纹、心律等个人生物识别信息，在未经权利主体触发下被默认采集，部分个人信息非服务所必须或并无合理应用场景，违背《个人信息保护法》第28条规定处理生物识别信息的“特定目的”“充分必要”以及“严格保护”要求。

⒉使用阶段：滥用算法技术侵害个人信息权益。网约车平台的正常运营离不开算法技术赋能，从网约车平台的分层系统架构中来看，算法与数据中台是支撑分单系统、抢单系统、定价系统以及策略引擎等业务中台正常运作的基础。其中用户、司机画像服务又是算法与数据中台运转的前提。[13]“用户画像助力商业决策”在网约车运营中表现为平台根据用户性别、年龄、饮酒情况或者其他信息进行用户画像，制定派单策略，以此达到促进交易效率的目的。但在实践中，用户画像的生成与应用在发挥预期功能的同时也产生了异化现象，深层次原因在于具备机器、架构以及嵌入优势的算法权力被滥用。[14]一是“大数据杀熟”现象。“杀熟”是指经营者依据对消费者个人消费偏好数据的收集、检索、分析与挖掘，利用忠诚客户的路径依赖和信息不对称，就同一商品或服务向其索取高于新用户的售价，并且该售价差别不反映成本差别。[15]该现象在网约车行业尤其明显，如2021年3月复旦大学某研究团队基于800余次的打车样本进行调研并发布“手机打车软件打车”报告，得出“熟人”打车比“新人”贵;打车人越多，打车费越贵等“杀熟”结论。[16]有报道称这一“算法收割”手段为网约车大数据杀熟的2.0版。[17]算法通过数据分析描述用户的各类行为信息和性格特点，从而量身定制反映其支付意愿的价格，实施“一人一价”的价格歧视，有损个人信息处理的正当、诚信原则。二是存在着挤压用户意思自治的“算法霸权”现象。出于对商业秘密的保护、经营成本的控制，作为算法推荐服务商的网约车平台一般不会对用户以显著的方式予以告知相关情况，也不会以适当方式公示算法推荐服务的基本原理、目的意图和主要运行机制等。算法技术的不透明性将进一步加剧用户与平台在个人信息使用方面的信息不对称现象，损害信息主体权利的知情权。此外，平台在生成用户标签时，未对用户提供不针对其个人特征的选项，也未向用户提供便捷的关闭算法推荐服务的选项。用户选择关闭算法推荐服务的，也不必然导致算法推荐相关服务的立即停止。用户在算法技术使用上参与的实质性不足，架空了信息主体的信息决定权。[18]

⒊共享阶段：违背告知同意规则与第三方共享个人信息。数据共享的概念主要在平台间使用，指的是数据控制者将自己收集的信息数据与他人分享，赋予分享者访问、操作、运算以及分析的权限。[19]以最大限度开发数据流通价值，实践中多以开通API接口权限的方式实现。网约车共享个人信息的出发点在于保障业务运转所必需，以及提升用户体验或将企业效益最大化，主要场景包括：在关联公司内共享用户注册的账号信息;委托广告服务或决策建议;完成优惠券、奖品发放等营销、推广活动;接入基础设施技术、实名及其他身份验证、人脸识别、支付、数据处理等服务;协助处理纠纷或争议。根据《信息安全技术个人信息安全规范》第9.2条，告知同意构成向第三方共享个人信息的核心要件，然而部分网约车平台未以任何形式明确或单独告知用户并取得同意，仅在相关隐私政策中作出模糊说明，不符合知情同意规则的二次授权要求，网约车行业侵权行为通报常出现“私自共享给第三方”的问题。以第三方地图服务的接入为例，具体应用上包括网约车平台接入该服务或地图软件接入网约车服务两类，其便利在于为司乘提供实时、准确的行程规划、路程导航，个人信息处理的必要原则反应在数据共享阶段，要求网约车平台不应共享司乘手机号码、身份信息等非地图服务必需的其他个人信息，然而司乘人员在个人信息采集时勾选的“阅读并同意”被延伸至向第三方共享时的个人信息处理，此“概括授权”行为导致个人信息共享范围的泛化，架空了知情同意规则。另外，多数平台规则明确了共享双方在个人信息上的独立控制权，于关联公司之间的个人信息共享而言，出于两者的直接或间接控制关系，获得用户在共享接受方改变个人信息使用或处理目的下的二次授权较为便捷;于业务合作伙伴等非关联方之间的个人信息共享而言，出于共享接受方数据库、所遵循个人信息保护标准等的独立性，个人信息共享后的处理情形难以被预测和管控，知情同意规则在此场景下发挥的个人信息保护作用有限，涉及敏感个人信息时的合规隐患剧增。

（二）个人信息安全保障类风险

个人信息泄漏指的是个人信息被未经授权的访问，具备小概率高风险的“黑天鹅”特征，一旦发生将给平台企业带来公众声望受损、经济利益受损、诉讼等法律指控风险以及内部产生不和谐因素等危害。[20]数据作为一种“有害材料”，在网约车平台中聚集的越多，其遭受泄漏的风险就越大。[21]实践中网约车平台在内部管理方面的失责、安全保障技术上的滞后是引发个人信息泄漏，导致个人信息安全保障合规风险出现的主要原因。

⒈个人信息内部管理：员工失责或实施内部攻击致使个人信息泄漏。在未实现个人信息全面自动化管理的现状下，“人为因素”是造成个人信息泄漏的重要原因，其在网约车平台运营实践的表现为：一是内部员工因设备配置不当、工作疏忽，导致个人信息暴露在公开的互联网上。二是平台内部人员监守自盗，内外勾结共同盗取个人信息以此牟利或者出于打击报复等心理，故意公开其掌握的用户信息，甚至由平台管理层作出泄漏个人信息的决策。在网约车平台承担个人信息安全保障主体责任的前提下，其对于员工的管控、约束力度不足导致上述现象发生，这是其承担合规风险的主要原因。

⒉个人信息安全技术：技术滞后导致安全防范落空。网约车平台的系统漏洞集中体现在基础设施与网络系统上。关键基础设施是个人信息存储、处理以及流转的基础环境，如果基础设备、基础设施运行出现问题则会给个人信息安全带来物理性的损坏，破坏个人信息数据的完整性、可用性。从某种意义上讲，漏洞是不能被彻底消除的，其伴随着系统诞生而存在，随着系统迭代而隐蔽，漏洞检测技术的落后将危及个人信息的安全状态，具有致使平台承担合规风险的可能。此外，在个人信息的安全防范层面，技术的滞后也会给网约车平台带来违规隐患。企业数据价值日益提升，越来越多不法分子注意到个人信息这座“金矿”，针对企业内部个人信息数据库的攻击与勒索等威胁频次增加，非法获取计算机数据司法案件总体呈上升趋势，黑客攻击、DDos攻击、零日漏洞利用、“撞库”、勒索软件等手段导致个人信息大量泄露，逐渐形成了一条黑色产业链，Uber就曾遭黑客攻击并导致5700万名用户个人信息泄露。[22]利用具备“自动化人工访问功能”的网络爬虫技术，违背Robot协议在未授权的情形下进行个人信息数据爬取，同样也造成了个人信息数据泄漏。既有的企业级个人信息安全防护技术不足以面对数据大量聚集、信息技术驱动带来的新挑战，针对新型技术攻击的预测、识别与拦截，针对个人信息安全性能的实时检测与事故处置亟待转型。个人信息安全技术的不成熟是导致个人信息泄露的重要原因，如2019年Grab个人信息泄漏事件。[23]在外部攻击技术呈现隐蔽性高、危害性大、升级迅速的态势下，网约车平台的个人信息安全面临着前所未有的挑战，个人信息安全防范技术的滞后将导致合规风险的剧增。

三、网约车平台个人信息保护合规风险的应对困境

（一）个人信息保护素养不足导致合规风险预防力不强

在协同社会治理理念的推动下，一种包含公权力、行业力量和私人救济的三角形治理结构在网约车平台个人信息保护领域中被逐渐确立下来。个人信息保护合规风险的预防一般采取前置性手段矫治个人信息泄露、滥用、误用，考验的是网约车平台管理层、部门负责人、业务人员的个人信息保护内控意识和数据、网络技术，法律等专业能力。在实践中，出于平台员工存在个人信息保护素养不足的现状，个人信息保护合规风险的预防措施往往不能发挥预期功能。在未出现重大个人信息保护事故的情况下，对个人信息进行保护在意识层面尚未被普遍认可与重视，日常出现的个人信息保护问题危害面小，专门针对个人信息保护的覆盖企业上下层的制度化培训更是少数。大多数网约车平台的做法是，将个人信息保护问题交信息或网络安全技术部门负责，由于缺乏高管的有效参与组织协调，导致个人信息保护合规风险预防在整体管理上缺位，预防效果不显著。同时，员工在个人信息保护能力方面具有天然的“认知性障碍”。精神心理学意义上的认知障碍指的是机体认识和获取知识的智能加工过程出现异常。[24]行为上表现为认知的不准确、不及时。认知不准确的发生多源自于“学科壁垒”，法律、技术与管理概念上的差异、理念的不同，使得三者在同一问题的映射上难以达成一致，由此引发认知性偏差。在认知的及时性方面，商业行为守则和企业伦理规范、自身的规章制度等“软法”变动频繁，灵活度较高，针对个人信息保护的立法层出不穷，上述标准在实践中的解释与应用也在不断发生变化，这就导致业务主体在理解和适用相关规范上的不一致、未同步。

（二）信息不对称导致合规风险识别滞后

及时识别个人信息合规风险有利于及时发现个人信息合规风险产生的原因，控制危害范围的继续扩大，其关键在于信息传递的有效程度。真正在数字媒体层面提出信息概念的是美国数学家Claude E.Shannon，其将信息定义为“对消息的潜在筛选行为”或者“为了对消息进行编码而对可用的符号进行筛选的行为”，信息传递可在数学公理上被简单地理解为“熵减”的过程，即“用来消除某种不定性的东西”。[25]在信息经济学理论中，信息不对称是指在经济关系中，双方因观测途径缺失或观测成本高昂，造成掌握的信息处于不对等状态，该状态必然催生“信息劣势主体利益被挤压”的现象，而该现象又可被进一步分为逆向选择、道德风险的实践样态。[26]聚焦于网约车的个人信息合规风险识别领域，逆向选择与道德风险的信息不对称现象多发生在平台监管过程中。就行政监管领域个人信息保护而言，我国形成了“以网信办居中统筹的、以地方人民政府有关部门重点监管”的横向、纵向配置。但外部监管机构面对行业的“专业壁垒”，在缺乏足够的信息与专业知识下，难以准确把握行业的未来发展趋势，在面对新兴领域的监管过程中，具有天然的滞后性缺陷，难以及时识别合规风险。同时，网络技术日新月异，网络侵权具有隐蔽性强、涉及面广、调查取证困难等特点，使得政府实时监管职责难以落实。[27]在大力推行网约车监管信息交互平台的进程中，位于信息优势地位的网约车平台具有向监管机构共享信息、共享何种信息的主动权。自网约车合法化以来，网约车平台公司始终怠于进行平台数据信息的披露工作，还存在数据传输不及时、数据接入重复、甚至造假的问题。[28]主管部门因此处于信息获取的劣势地位，难以完全发挥监管作用。

（三）高昂合规成本导致合规风险的消极应对

合规风险处置措施落到实处的关键在于履行该项措施所需成本与所得收益的匹配度，合规的成本大于收益是导致平台消极应对合规风险的主要原因。网约车平台的营利性很大程度上取决于个人信息的开放性。个人信息在平台内部的顺利流通，有利于迅速匹配司乘供需关系，提升网约车订单落地的成功率，释放数据中台算力，合理配置平台资源;在不同平台之间的及时共享，将极大促进数据价值的二次挖掘，多元个人信息的整合与分析将完善用户画像，助力商业广告、社交媒体等数据交易的精准投送，形成商业利益的多赢格局。然而，为有效保护个人信息，响应新的合规要求，平台不仅需在内部管理体系、个人信息安全保障技术以及专业人员的招聘等方面进行资源投入，同时，个人信息保护合规风险应对措施的设立在一定程度上抑制了个人信息的流动。严格的个人信息保护合规监管遵循以惩罚为核心的外部规制理念，与平台经济发展的制度开放式理念相左，是导致网约车平台“形式守法”发生的主要原因。实践中，网约车平台在遇到个人信息严重泄露事件时，采取惩戒、挽损措施的积极性不足，出于平台声誉、受司法追究等不利后果的考虑，往往不会优先考虑上报有关部门或通报受害群体，如2017年Uber数据大泄露事件中平台的消极应对态度。[29]平台报有侥幸心态，选择以违规的方式应对个人信息侵权事件的背后，是平台“自然垄断与增值业务的完全竞争二重属性”下的市场逻辑。

四、网络平台个人信息保护合规治理体系的完善：技术协同下的智慧合规

面对由个人信息保护素养不足引起的预防不力、由信息不对称引起的合规风险识别滞后、由合规成本高昂引起的合规风险应对消极等困境，平台不仅需要建立有效的合规计划，还需创新“合规科技”，形成“技术+制度”的合规治理体系，以实现预防个人信息侵权风险、减轻合规治理负担、有效衔接内外监管等合规治理目的。

（一）基于知识图谱技术的个人信息保护合规政策设计

作为“责任切割”证据的合规政策，与员工手册同时发挥着划分平台对外、对内责任的功能，前者是面向客户、第三方、被并购企业的外向型规则，后者则是针对企业高管、员工、分支机构的内部守则。两者的制定都需要穷尽并实时更新个人信息保护相关规范的禁止性和义务性条款，同时与个人信息保护合规风险和特定业务场景相结合，实现“风险导向”和“场景细化”。[30]这就要求相关法律法规、商业行为守则和企业伦理规范、自身的规章制度能及时传达并转化为个人信息处理具体场景下的内部约束，而知识图谱技术能够很好地实现上述功能。

作为一种语义网络，知识图谱由节点及边组成，对不同关联实体的知识数据库予以“实体-关系-属性”的模型化表达，应用场景包括搜索、推荐、架构等，其建构基础在于知识抽取、知识融合与知识推理三大要素。[31]将该技术运用于个人信息保护合规政策的设计上具有以下优势：其一，该技术下的语义搜索功能能够突破技术、法律不同专业在知识表达上的差异，透过用户输入字面来捕捉背后的真正含义，从而帮助业务人员更为精准地查找相关合规政策。其二，可通过智能问答模块，设定个人信息保护合规场景，以人机交互的形式解决较为简单的合规政策咨询问题，释放部分劳动力。在机器学习技术的支撑下，规范的更新情况能够被及时抽取与融合，再通过其中的自然语言处理技术，构建与补全网约车个人信息保护合规政策谱系，以图的方式存储相关合规要求是快速匹配内部整改措施的关键;当然，基于市场全球化效应，个人信息保护合规不应在实质意义上阻碍网约车平台在域外的市场拓展，这就要求知识图谱获取知识的数据集应包含与跨境业务相符的个人信息保护域外规则。

（二）个人信息保护合规组织体系搭建与合规培训

“合规”不局限于“守法”，更是强调规范在组织内的有效执行，其关键在于建立科学的合规组织架构，以此保障合规工作的有效开展。依据有效的合规计划标准，合规组织的构成应当包括合规委员会、首席合规官、合规部门以及合规人员。[32]将个人信息保护作为专项合规计划，需在高级管理人员中设立专职或兼职的合规负责人，发挥个人信息保护的统筹规划、宏观指导、资源调配、部门联动等功能;需结合网约车平台的具体业务及个人信息处理场景，明确合规各级部门的职责范围与工作重点，并根据具体执行人员的履职情况制定与工资待遇挂钩的绩效考核方法;条件允许的，需设立单独的合规监督员，对个人信息在平台侧的全生命周期进行实时性和系统性的监控，并赋予其发现违规问题直接向管理层汇报的特权。

作为合规管理体系中关键的一环，定期进行个人信息保护合规培训旨在完成员工在意识、价值和观念上的转变，培育企业社会责任感，将个人信息保护合规在企业文化层面渗透。核心要点在于根据员工职能定位与已识别的个人信息保护合规风险，将新入职、半年定期、不定期、年度合规培训进行制度化构造，结合网约车行业个人信息处理特点制定科学、合理、有针对性的合规培训方案，以此保障各合规节点的履职能力。个人信息保护合规文化应通过合规培训贯穿于企业经营管理的各个层级：通过要求列席个人信息侵权事故预防或处置会议、研习国内外典型案例，提升董事、管理层对个人信息保护合规的关注度，同时培养其进行个人信息保护合规有效性评估与审核的专业能力;将个人信息保护理念、规范与案例分析在合规培训中有机结合，增强一线业务人员对个人信息保护合规问题的分析与处理能力。同时，需搭建与绩效考核挂钩的合规检验机制，设置衡量培训效果的标准化指标，综合考核员工对个人信息保护合规知识的掌握程度。此外，由于业务第三方合规风险牵涉之广，还需对第三方的个人信息保护合规进行实质培训，建立长效的合规沟通机制，提高第三方个人信息合规风险意识与抵御能力。

（三）基于区块链技术的个人信息保护合规流程设计

个人信息保护的持续性合规要求应贯穿涉个人信息处理的网约车业务全流程。为此，平台需将合规风险评估作为个人信息处理的前置性措施，合理划分并严格管控个人信息的访问权限，动态监管核心及关联业务中的个人信息合规情况，建立个人信息侵权事件的紧急应对预案，并依据反馈机制进行定期合规维护。区块链技术的本质是一种不依赖第三方、通过自身分布式节点进行网络数据的存储、验证、传递和交流的一种新型技术模式，其在可信与安全保障上的赋能，具有推动个人信息保护合规模式升级的重大意义。

⒈基于区块链技术的个人信息保护合规风险评估。个人信息保护合规风险评估在合规风险防范中不可或缺，由于全覆盖的合规风险评估成本高昂且无必要，并非所有针对个人信息的处理行为都需网络平台予以评估，评估内容囊括了个人信息处理活动、个人权益以及保护措施三方面。合规风险评估的目的在于降低甚至避免对个人权益的影响以及对个人信息造成的安全风险，具体而言：首先，应根据个人信息处理活动的目的、状态、相关个人信息的敏感程度，同时考虑个人信息主体数量、群体特征等要求，评价对个人权益影响的程度等级;其次，应根据个人信息处理活动涉及的特点、已实施的安全措施、相关方、处理规模等要素，同时考虑具备的事件处置经验、用户习惯及预防性措施等，评价安全事件发生的可能性等级;最后，综合分析个人权益影响程度和安全事件可能性两个要素，得出风险等级。[33]当然，平台还需在此基础上形成个人信息保护合规风险评估报告予以交付或公开。

在金融领域中，区块链在风险评估方面具有广泛应用，将区块链技术应用在个人信息保护合规风险评估上具有其独特优势。联盟链的搭建是进行合规风险评估的前提，平台需对员工数据、二次系统策略信息（风险评估系统、故障检测系统、网络保护系统以及个人信息查询系统）、用户分布数据和用户投入信息等进行基础数据的准备，并在此基础上进行筛选形成区块，通过哈希算法将区块进一步生成联盟链，得到供应链。平台可在供应链上实施对个人信息保护合规风险的评估：一是对供应链上的第三方进行个人信息保护信用情况、合规隐患评估。二是以个人信息安全系统故障发生的概率为标准，进行个人信息安全保障技术合规风险的评估。三是以个人信息处理部门、员工的操作失误率及潜在的运营管理失责为标准，进行个人信息操作风险评估。四是基于以上风险评估，列出可能性风险定义数据及风险评估矩阵数据，然后对供应链上的成员进行筛选。区块链在个人信息保护合规风险评估中的应用，使得供应链上各成员对个人信息的处理处于透明、公开状态，为法律、技术、管理三者的协同式合规风险评估带来了可能，降低了形成共识的交流成本。

2.基于密码学的个人信息内部管理。建立科学、完备的个人信息内部管理体系是合规风险防范的重要举措。个人信息内部管理体系的关键在于个人信息的匿名化处理以及个人信息的访问控制。在保证账本的完整性、公开性、隐私保护、不可篡改、可校验等一系列特性上，区块链技术高度依赖密码学，后者的功能很好地匹配了前者的需求。在访问个人信息的权限管控方面，数据访问权限管控的本质在于为权限的使用设置实体访问控制、数据访问控制。[34]这就要求划定依业务必需处理个人信息的范围限度，在涉及敏感程度较高的个人信息访问时，匹配更为严格、完善的审批程序与安全保障措施，在人员换岗或离职时，应及时修改与之对应的访问权限。区块链依托椭圆曲线数字签名算法生成公钥，并以公钥的哈希值作为识别用户身份的特征。[35]在比特币系统的数字交易中，用户只有通过其私钥签名才能完成对该交易输出的确权，基于该身份控制功Thjk2fsYHePs7JJ3RPjVKzk6mybqRrBC4QmcODl6UlY=能可以通过为个人信息处理者设定不同的私钥来控制其访问权限。学界对于如何管理私钥存在众多研究成果，如本地存储方式、离线方式、托管方式等。[36]借鉴该种管理技术能够严格控制个人信息访问渠道，实现隐私保护。在个人信息的匿名化处理方面，包含着对个人信息的加密存储与脱敏传输，旨在将涉及敏感个人信息的数据进行静态或动态脱敏，达到无法识别到特定个人且不能复原，彻底消除身份指向性的目的。[37]计算机领域对区块链中的隐私保护研究成果丰硕，如签名验证、环签名、盲签名等，其中的零知识证明加密协议较为突出，其能够在比特币交易领域中换算成零币，以隐藏交易的输入、输出地址。以零币为基础的零钞，使用zk-SNARK技术使得零知识证明更加简洁，操作性得到提升。[38]将上述技术应用于个人信息的存储与传输中，能够在保障个人信息机密性的前提下实现个人信息的流转应用。

⒊基于分布式账本的个人信息保护合规风险监控。“众管”型合规风险监控模式由面向平台内部、公权力机关以及公众的监控措施组成。在平台内部与公权力机关监管的衔接方面，平台需对个人信息处理的全流程进行记录，以便公权力机关倒查。在平台内部监管方面，平台需进行合规审计，对个人信息处理活动进行专项审计和定期审计，发挥合规自我检查作用。在公众监督方面，平台需设立有效、便捷、全天候的投诉、举报机制，并对举报人进行保护与奖励。合规报告制度的确立涉及上述三方面监管措施，平台通过合规组织体系自下而上地将合规计划运行情况、合规风险、发生的违规行为报告给最高管理层。重要数据处理企业应将定期风险评估报告报送有关主管部门，重要互联网平台企业还应定期发布个人信息保护社会责任报告，接受社会监督。个人信息合规风险监控的功能性定位有二：其一，通过采取必要的技术与管理措施进行自我检查，及时发现合规隐患并对相应制度进行优化整改。其二，跟踪完整的数据操作流程，包括操作主体、内容、时间等信息，以便监督主体进行核查。上述两功能的实现，都要求跟踪数据处理主体对数据操作的每个步骤，使得用户在使用数据资源访问权限时留下包含操作人、内容、时间等信息的记录。[39]同时保证检查的实时性、回溯的准确性。目前，对于“区块链+审计/会计”的提法不在少数，区块链技术具备天然的审计、记录功能，并能发挥不可篡改、准确回溯等作用，该特性与构成区块链底层技术的分布式公共账本直接相关。分布式账本作为区块链的主要特征之一，指的是采用一种分布式数据库对链上的信息予以存储，链上其他节点的实时记录使得存储的数据具有一致性和唯一性;个人节点的错误在容错共识算法的支撑下不会影响整个账本数据的安全性。这些特征既保证了监管信息的完整性，也保全了信息内容的真实性，还保护了信息传递的时效性，从规模、内容和时效三个维度提升了监管信息的质量。分布式账本能够赋能合规监管的背后是其具有的数据可追溯性。其可溯源性表现在为每一类数据建链的同时，数据的来源、权属、数据的操作者、对数据的操作内容（更新、访问下载等）、当前时间戳等都会形成一个区块接入链式结构，并被保存在分布式公共账本中。值得注意的是，区块链中的数字时间戳技术需将接受到的数据信息与接受的时间信息加密到该文件中去，以此形成数据签名，发挥了实时记录时间的功能;另外，由独立于数据处理双方的认证单位DTS负责时间戳的添加，保证了时间记录的准确性、可信性。[40]上述功能能够很好地实现监管主体对个人信息合规风险的实时监控;且被监控的内容不会被伪造，节点可自行验证其真伪性。

⒋基于智能合约的个人信息违规事件应对机制。个人信息违规事件的应对机制应当发挥如下功能：首先，将违规行为给个人信息主体、平台经济以及公共利益带来的损害予以控制，即减少造成的损害以及限制损害进一步扩大。其次，总结分析导致违规事件产生的原因，消除导致个人信息侵权现象出现的制度隐患，避免违规事件再次出现。为发挥个人信息违规事件的上述两大功能，网络平台需明确以下几项措施：一是在个人信息违规事件爆发后，应及时进行内部合规调查，建立专项应对小组对事件性质、发生原因进行判断，尽快对违规员工或第三方作出处理;二是及时将事件涉及的个人信息基本属性、造成的损害、已采取的挽损措施以及负责人联系方式上报相关单位;三是向公众及权利主体以合理方式通报事件发生的原因、造成的损失现状、平台所应负的主体责任及拟采取的整改措施，同时提供负责对接反馈、举报、补充信息的专员联系渠道;四是对违规事件的全流程进行记录，以备监管部门调查以及平台内部的经验教训总结，助力合规体系漏洞的修复与整改。[41]在应对处置措施被不完全、消极执行的问题上，智能合约技术有着独到之处。智能合约是一套以数字形式定义的、合约参与方同意的承诺，作为传统合约的数字化版本，智能合约在区块链上是可执行的程序。在金融领域中，智能合约因其具备能够提高自动化交易水平、确保金融交易安全和效率、降低金融交易及合约执行成本、便于金融机构对交易行为进行管理的优势，而广泛应用在金融交易、保险、转换资产管理、杠杆贷款中，其背后是因为智能合约能够实现权利义务的自动执行。[42]具体而言，智能合约基于预定时间触发、不可篡改、自动执行的程序，是由代码构建的多方承诺。合约签订前，合约所有内容已经制定好，当事人之间不用达成合意，而是依靠技术背书进行可信数据交互，系统会自动撮合、自动执行，不存在违约可能性。[43]智能合约应用在合规风险应对中，能够实现对报告义务、惩罚措施的自动执行。在个人信息违规事件发生后，智能合约对平台需进行的对监管机构、个人信息权益主体的报告义务自动执行;惩罚机制完全可以因此触发，排除掉人工的不作为以及裙带关系引发的漏网之鱼。同时，其不可篡改性，使得合约的执行具有准确性。

【参考文献】

[1]Kenney M，Zysman J.The Rise of the Platform Economy[J].Issues in Science and Technology，2016（3）：61.

[2]程啸.论大数据时代的个人数据权利[J].中国社会科学，2018（3）：102-122+207-208.

[3]周辉.算法权力及其规制[J].法制与社会发展，2019（6）：113-126.

[4]五部门约谈四家专车平台 要求限期整改[EB/OL].国家互联网信息办公室网站，http：//www.cac.gov.cn/2015-08/18/c_1116295023.htm.

[5]关于下架“滴滴企业版”等25款App的通报[EB/OL].国家互联网信息办公室网站，http：//www.cac.gov.cn/2021-07/09/c_1627415870012872.htm.

[6]国家互联网信息办公室对滴滴全球股份有限公司依法作出网络安全审查相关行政处罚的决定[EB/OL].国家互联网信息办公室网站，http：//www.cac.gov.cn/2022-07/21/c_1660021534306352.htm.

[7]孙旭.深度合规管理：体系、审查与实践[M].上海：上海人民出版社，2020：60.

[8]张新宝.论个人信息权益的构造[J].中外法学，2021（5）：1144-1166.

[9]范为.大数据时代个人信息保护的路径重构[J].环球法律评论，2016（5）：92-115.

[10]程啸.个人信息保护法理解与适用[M].北京：中国法制出版社，2021：87.

[11]中国信息通信研究院互联网法律研究中心.个人信息保护立法研究[M].北京：中国法制出版社，2021：309.

[12]陈荣昌.网络平台数据治理的正当性、困境及路径[J].宁夏社会科学，2021（1）：72-80.

[13]詹盈.算法与数据中台：基于Google、Facebook与微博实践[M].北京：电子工业出版社，2020：283.

[14]张凌寒.算法权力的兴起、异化及法律规制[J].法商研究，2019（4）：63-75.

[15]邹开亮，刘佳明.大数据“杀熟”的法律规制困境与出路——仅从《消费者权益保护法》的角度考量[J].价格理论与实践，2018（8）：47-50.

[16]复旦教授疯狂打车800次，发现大数据杀熟的秘密！[EB/OL].搜狐网，https：//www.sohu.com/a/456476514_

609133.

[17]算法来收割，乘客变韭菜：网约车玩大数据“杀熟”2.0版[EB/OL].新华网，http：//www.xinhuanet.com/fortune/2021-04/26/c_1127376995.htm.

[18]林洹民.个性化推荐算法的多维治理[J].法制与社会发展，2022（4）：162-179.

[19]王利明.数据共享与个人信息保护[J].现代法学，2019（1）：45-57.

[20]金元浦.大数据时代个人隐私数据泄露的调研与分析报告[J].清华大学学报（哲学社会科学版），2021（1）：191-201+206.

[21]（美）雪莉·大卫杜夫.数据大泄漏：隐私保护危机与数据安全机遇[M].马多贺，译.北京：机械工业出版社，2021：36.

[22]优步被曝隐瞒用户数据泄露事件：给黑客66万了事[EB/OL].人民网，http：//it.people.com.cn/n1/2017/1122/

c1009-29662242.html.

[23]国内机构重大数据泄漏案例[EB/OL].知乎网，https：//zhuanlan.zhihu.com/p/113257010.

[24]Tsai C K，Kao T W，Lee J T，et.Global-cognitive Health Metrics：A Novel Approach for Assessing Cognition Impairment in Adult Population[J].Plos one，2018（5）：e0197691.

[25]Lombardi O，Holik F，Vanni L.What is Shannon Information？[J].Synthese，2016（7）：1983-2012.

[26]辛琳.信息不对称理论研究[J].嘉兴学院学报，2001（3）：38-42.

[27]肖成俊，许玉镇.大数据时代个人信息泄露及其多中心治理[J].内蒙古社会科学（汉文版），2017（2）：185-192.

[28]网约车数据接入不落实成难题交通部建信息交互平台[EB/OL].每经网，http：//auto.nbd.com.cn/articles/2018-

03-04/1195814.html.

[29]5700万用户数据被盗，黑客勒索赎金，优步的做法让人大跌眼镜！[EB/OL].每经网，http：//www.nbd.com.cn/articles/2017-11-22/1163917.html.

[30]毛逸潇.数据保护合规体系研究[J].国家检察官学院学报，2022（2）：84-100.

[31]张吉祥，张祥森，武长旭，等.知识图谱构建技术综述[J].计算机工程，2022（3）：23-37.

[32]陈瑞华.企业合规的基本问题[J].中国法律评论，2020（1）：178-196.

[33]丁振赣.网络安全与个人信息保护法律实务[M].深圳：海天出版社，2021：106.

[34]张锐卿，汤泰鼎，万可.大数据环境下细粒度的访问控制与审计管理[J].信息安全研究，2017（6）：509-515.

[35]Katz J，Lindell Y.Introduction to Modern Cryptography[M].CRC press，2020：333-337.

[36]Eskandari S，Clark J，Barrera D，et.A First Look at the Usability of Bitcoin Key Management[J].ArXiv Preprint ArXiv：2018：6-7.

[37]包英明.大数据平台数据安全防护技术[J].信息安全研究，2019（3）：242-247.

[38]张亮，刘百祥，张如意，等.区块链技术综述[J].计算机工程，2019（5）：1-12.

[39]于莽.规·据：大数据合规运用之道[M].北京：知识产权出版社，2020：218.

[40]周晓垣.区块链时代：数字货币意味着什么[M].天津：天津人民出版社，2018：96.

[41]刘新宇.数据保护：合规指引与规则解析[M].北京：中国法制出版社，2021：309.

[42]舒鑫.论电子数据调取的警企协同模式[J].政法学刊，2023（4）：26-36.

[43]陈奇伟，聂琳峰.技术+法律：区块链时代个人信息权的法律保护[J].江西社会科学，2020（6）：166-175.

Exploring Personal Information Compliance Governance

of Network Car Platforms

Shu Xin

Abstract：The development of ride hailing platforms，which gather massive amounts of personal information， is rapid. Their operational security obligations require the protection of the legitimate rights and interests of passengers. However，in actual operation，there are compliance risks related to personal information processing and security protection. When dealing with the compliance risk of personal information protection，the platform has some difficulties，such as poor prevention of compliance risk caused by insufficient personal information protection literacy，lagging identification of compliance risk caused by information asymmetry，and negative response to compliance risk caused by high compliance cost. In order to effectively prevent and deal with the compliance risks of personal information protection，and balance the openness and security value of personal information，the online car platform needs to carry out smart compliance construction under the technical cooperation，including the design of personal information protection compliance policy based on knowledge map technology，the establishment of personal information protection compliance organization system and personnel training，and the design of personal information protection compliance process based on blockchain technology.Establish a compliance governance system of “technology+system”to prevent the risk of personal information infringement，reduce the burden of compliance governance，and effectively connect internal and external supervision.

Key words：online ride hailing platform;platform governance;personal information protection;government supervision;corporate compliance

（责任编辑：王正桥）

收稿日期：2023-12-16

作者简介：舒鑫，中国人民公安大学法学院博士研究生，研究方向为诉讼法学。