【全文手敲,无任何AI】
上海这边对数据跨境执法一直都比较频繁,此前有公安部门处罚迪奥个人信息泄露、违规跨境传输,随后又有2家酒店、物业行业企业被通报(见:上海2个数据跨境罚单的增量信息),昨天携程违法出境个人信息被罚1000万更是首次公开了罚款金额,还是非常有震慑力。
想必大家周一都有汇报需求,于此给大家由近到远梳理汇总一下4张罚单的全量信息。
一、携程,首个公开罚款金额的数据跨境罚单(202606)
针对上海携程商务有限公司未落实数据出境安全评估要求、违法出境个人信息等行为,依据《个人信息保护法》,予以罚款1000万元的行政处罚,并责令企业限期改正。企业受处罚后积极配合,全面落实有关整改要求。
公众号:网信上海亮剑浦江丨网信部门依法严肃查处违法出境个人信息问题
透露的信息量很少,但还是尽量挖掘一下。
1、相关背景。此前携程与柬埔寨签署合作协议,后引发出卖个人信息的舆情,回应强调“不涉及任何数据合作”。
协议原计划于柬埔寨对华免签后上线广告内容,基于中国驻柬埔寨大使馆近期发布的安全提醒,我司第一时间暂停了原定的投放动作,合作未曾启动。携程承诺:该协议不涉及任何数据合作,绝不存在泄露用户隐私信息的情况,并已将合作协议及实际情况提交相关部门验证核查。
携程黑板报,公众号:携程黑板报携程关于用户关切问题的郑重声明
2、“未落实数据出境安全评估要求、违法出境个人信息”要求的理解。我猜测是做了评估但没有按照国家网信办评估结果执行,比如:传了不该传的字段等等。否则措辞应该就是“未通过数据出境安全评估”了。
3、罚款1000万说明情节还是比较严重。根据《个保法》第66条:“违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款”。之前也有个安全评估部分字段被拒后仍出境的案例(下文会提),但罚款金额没有公开,因此无法对比情节。
可惜网信部门的处罚决定书向来不公开,无法了解更多细节。如果知道内情的朋友,欢迎科普一下。
案例4 某酒店管理企业违法违规出境用户数据案
该企业主营业务为酒店管理,主要为顾客提供酒店住宿、度假、餐饮等国际旅行服务,因酒店在线上预定场景涉及数据出境,向网信部门申报了数据出境安全评估,但在收到国家网信部门《评估结果通知书》明确相关个人信息数据项出境必要性不足的情况下,未能采取切实有效措施,仍违法违规出境境内自然人个人信息,其行为违反《个人信息保护法》和《条例》有关规定。网信部门依法责令企业限期改正,并予以罚款处罚。
公众号:网信上海亮剑浦江|强化网络数据安全 上海发布2025年执法典型案例
某物业管理企业违法违规出境用户数据案
该企业主营业务包括物业管理、酒店管理等全球服务,其运营的APP主要帮助用户管理会员账号和预订,办理入住手续。经查,该企业在未申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的情况下,自行向境外提供用户住宿信息,且涉及金融账户等敏感个人信息,其行为违反《个人信息保护法》和《条例》有关规定。网信部门依法责令企业限期改正,并予以警告处罚。
公众号:网信上海亮剑浦江|强化网络数据安全 上海发布2025年执法典型案例
一是未通过数据出境安全评估、订立个人信息出境标准合同或通过个人信息保护认证,违规向法国迪奥总部传输用户个人信息。
二是向法国迪奥总部提供用户个人信息前,未向用户充分告知其个人信息境外接收方的处理方式,未取得用户“单独同意”。
三是未对收集的个人信息采取加密、去标识化等安全技术措施。
公众号:国家网络安全通报中心公安网安部门依法查处迪奥(上海)公司未依法履行个人信息保护义务案
个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。
《个人信息保护法》第38条第2款
欢迎添加微信,获取《中国人工智能法规及政策汇编》


