Matéria publicada originalmente no dia 22 de julho de 2022
A Administração do Ciberespaço da China aplicou uma multa de 8 bilhões de yuans (US$ 1,2 bilhão) à Didi, e uma multa de 1 milhão de yuans (US$ 147 mil) para cada um dos CEOs da empresa, nesta quinta-feira (21). Em resposta, a Didi Chuxing, maior app de transporte da China, respondeu através do weibo (rede social chinesa), dizendo que “aceita sinceramente e obedece resolutamente à decisão, e que seguirá rigorosamente a decisão de penalidade e as exigências das leis e regulamentos relevantes, cooperar ativamente com a supervisão e a retificação completa com cuidado.”
O chefe da Administração do Ciberespaço da China respondeu às perguntas dos jornalistas sobre questões relacionadas ao caso.
Em julho de 2021, para proteger os riscos de segurança de dados nacionais, manter a segurança nacional e salvaguardar os interesses públicos, de acordo com a lei de segurança nacional, a lei de segurança cibernética, o escritório de revisão de segurança cibernética implementou uma revisão de segurança cibernética na empresa Didi de acordo com a abordagem de revisão de segurança cibernética.
Segundo as conclusões da revisão de segurança cibernética e os problemas e pistas encontrados, a Administração do Ciberespaço da China abriu uma investigação sobre alegações que violavam a política de proteção de dados da empresa de acordo com a lei. Durante o período, a Administração do Ciberespaço da China realizou uma investigação e inquérito, forense técnica, e ordenou que a empresa a apresentar os materiais de prova relevantes, verificar e analisar em profundidade os materiais de prova do caso, e ouvir totalmente a empresa, para garantir os direitos legais da empresa Didi. Verificou-se que as violações da lei de segurança cibernética, a lei de segurança de dados, a lei de proteção de informações pessoais da empresa Didi deve ser punida com rigor devido aos fatos claros, provas conclusivas, circunstâncias graves e má natureza.
Quais são as violações legais da empresa Didi Chuxing?
Verificou-se que a empresa Didi tinha um total de 16 fatos ilegais, que foram resumidos principalmente em oito aspectos.
- A empresa coletou ilegalmente 11.963.900 informações de captura de tela dos álbuns de celulares dos usuários;
- A empresa coletou excessivamente 8.323 milhões de informações das pranchetas e listas de aplicativos dos usuários;
- A empresa coletou excessivamente 107 milhões de informações de reconhecimento facial de passageiros, 53.509.200 informações sobre grupos etários, 16.335.600 informações sobre profissões, 1.382.900 informações sobre relações familiares;
- A empresa coletou 167 milhões de informações dos usuários ao compartilhar a localização real durante a corrida;
- A empresa coletou excessivamente 142.900.000 informações sobre qualificações acadêmicas dos motoristas e armazenou 57.802.600.000 informações sobre números de identificação dos motoristas de forma explícita;
- A empresa analisou 53.976 milhões de informações sobre intenções de viagem dos passageiros, 1.538 milhões de informações sobre suas cidades residentes e 304 milhões de informações sobre viagens de negócios fora do local sem informá-los explicitamente;
- A empresa pediu frequentemente informações não relacionadas quando os passageiros usaram o serviço de transporte de passageiros “privilégios telefônicos”;
- Falhou em indicar com precisão e clareza o propósito do processamento de 19 itens de informações pessoais, incluindo informações sobre o dispositivo do usuário.
Anteriormente, a Administração do Ciberespaço da China também descobriu que a empresa Didi Chuxing tem atividades de processamento de dados que afetam seriamente a segurança nacional, bem como outros problemas de violação e violação de leis, como a rejeição de pedidos explícitos das autoridades reguladoras e a evasão maliciosa da supervisão. A operação ilegal da Didi trouxe sérios riscos de segurança para a infraestrutura de informação crítica do país e segurança de dados. Por causa da segurança nacional, não é divulgado por lei.
Como foi identificado o sujeito da violação no caso?
Através do Drip Information and Data Security Committee e do Personal Information Protection Committee e Data Security Committee. Foram feitas orientações e discussões e gestão de atos relacionados às linhas de negócios, tais como táxi por aplicativo e carona. As violações de cada linha de negócios são implementadas especificamente sob a decisão unificada e implantação da empresa. Com isso, o sujeito da infração neste caso foi identificado como a empresa Didi.
O presidente e CEO da Didi Corporation, Cheng Wei, e o presidente, Liuqing, são responsáveis por atos ilegais.
Quais são as seguintes orientações e áreas prioritárias para a aplicação da lei cibernética?
A Administração do Ciberespaço da China aumentará os esforços de aplicação da lei nas áreas de segurança de redes, segurança de dados e proteção de informações pessoais, através de entrevistas de aplicação da lei, ordenando correções, avisos, notificações e críticas e multas. Além disso, fará a suspensão de negócios relacionados, suspensão da retificação de negócios, fechamento de sites, e outras medidas de eliminação e punição para combater atos ilegais que ponham em risco a segurança de redes nacionais. Medidas também serão tomadas em relação à segurança de dados e violação de informações pessoais dos cidadãos de acordo com a lei e salvaguarda efetiva segurança nacional de redes, segurança de dados e interesses públicos sociais, para proteger os direitos e interesses legítimos do público em geral.
Ao mesmo tempo, a exposição de casos típicos será aumentada para formar um forte impulso e um poderoso dissuasor, de modo a investigar e lidar com um caso, advertir um pedaço dele, educar e orientar as empresas de Internet a operar de acordo com a lei e promover seu desenvolvimento saudável e padronizado.
Fonte: Diário do Povo