滴滴被罚营业额的5%,过罚相当吗?
发布时间:2022-07-22 / 浏览次数:1,521 次
2022年7月21日,国家互联网信息办公室对滴滴全球股份有限公司依法作出网络安全审查相关行政处罚的决定。国家互联网信息办公室依据《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等法律法规,对滴滴全球股份有限公司处人民币80.26亿元罚款,对滴滴全球股份有限公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款。对此,滴滴出行通过官方微博回应称,诚恳接受,坚决服从,严格按照处罚决定和相关法律法规要求,全面深入自查,积极配合监管,认真完成整改。本次处罚作为一个典型案例,体现了国家对于加强网络安全、数据安全、个人信息保护的重视程度和保护力度,由本案例也可以看出,未来我国对于危害国家网络安全、数据安全、及侵害公民个人信息的违法行为将更为重视,这次的处罚案例也是对于作为数据处理者的相关企业一个警示和有力威慑,督促其应该更为严格的执行国家相关数据合规的要求。
早在2021年7月,国家网络安全审查办公室就发布了《关于对“滴滴出行”启动网络安全审查的公告》。本次安全审查也是历时了一年之久最终作出处罚决定。国家网信办在审查过程中,通过调查询问、技术取证、责令滴滴公司提交相关证据材料等方式,对证据材料深入核查分析并听取滴滴公司意见,最终作出处罚决定。
滴滴出行存在的违法违法行为主要依据是《网络安全法》《数据安全法》《个人信息保护法》,这三部法律也是目前针对数据安全保护的主要法律依据。值得注意的是,除了上述三部法律外,有关数据出境的《数据出境安全评估办法》已于2022年7月初公布,并将于2022年9月1日起施行,因此对于正在开展或拟开展数据出境活动的相关企业,也需要特别注意符合《数据出境安全评估办法》的要求。就滴滴出行具体存在的违法违规行为,归纳起来主要是以下8个方面:
1违法收集用户手机相册中的截图信息1196.39万条;
2过度收集用户剪切板信息、应用列表信息83.23亿条;
3过度收集乘客人脸识别信息1.07亿条、年龄段信息5350.92万条、职业信息1633.56万条、亲情关系信息138.29万条、“家”和“公司”打车地址信息1.53亿条;
4过度收集乘客评价代驾服务时、App后台运行时、手机连接桔视记录仪设备时的精准位置(经纬度)信息1.67亿条;
5过度收集司机学历信息14.29万条,以明文形式存储司机身份证号信息5780.26万条;
6在未明确告知乘客情况下分析乘客出行意图信息539.76亿条、常驻城市信息15.38亿条、异地商务/异地旅游信息3.04亿条;
7在乘客使用顺风车服务时频繁索取无关的“电话权限”;
8未准确、清晰说明用户设备信息等19项个人信息处理目的。
此外,滴滴公司还存在严重影响国家安全的数据处理活动,以及拒不履行监管部门的明确要求,阳奉阴违、恶意逃避监管等其他违法违规问题。滴滴公司违法违规运营给国家关键信息基础设施安全和数据安全带来严重安全风险隐患。可以看出,有关归纳的8个方面的违法行为,主要涉及的是滴滴用户的个人信息,违反了《个人信息保护法》的相关要求。如第一项“违法收集用户手机相册中的截图信息”,这类收集很可能没有取得用户的个人同意,违反了《个人信息保护法》中处理个人信息的所必备的合法性要求。再如第二至第五项中“过度收集”的行为,违反了《个人信息保护法》中收集个人信息应当限于实现处理目的最小范围原则。第六项中“在未明确告知乘客情况下分析乘客出行意图信息、常驻城市信息、异地商务/异地旅游信息”则是没有向用户履行法律规定的告知义务,自然也是不符合合法性、正当性要求的。第七项“在乘客使用顺风车服务时频繁索取无关的“电话权限”则是违反了《个人信息保护法》中处理个人信息的必要性原则。第八项“未准确、清晰说明用户设备信息等19项个人信息处理目的”也违反了《个人信息保护法》中所述对于处理个人信息应当具有明确、合理的目的的要求。
经过分析,我们认为:虽然《个人信息保护法》中许多法条规定的是笼统概括的原则,但是这并不代表相关数据处理者可以抱有侥幸心理去规避这些原则,而是应该在这些原则的大框架之下,根据具体的业务行为来进行分析、判断是否符合这些原则性要求。如果数据处理者对于某一数据处理行为没有一个合理、准确、清晰的解释,那么也很可能会像本案中滴滴出行一样被认定为违反《个人信息保护法》的规定。
另一方面,经披露,滴滴公司还存在严重影响国家安全的数据处理活动,以及拒不履行监管部门的明确要求,阳奉阴违、恶意逃避监管等其他违法违规问题。滴滴公司违法违规运营给国家关键信息基础设施安全和数据安全带来严重安全风险隐患。这部分的行为就触及到了《网络安全法》和《数据安全法》。数据处理者的网络活动和数据处理活动,绝对不能危害到国家安全和社会公共利益,这是底线,也是大前提。触犯这一底线的数据处理者,必将受到国家的严厉制裁。
目前,关于违反网络安全、数据安全、个人信息保护相关法律法规的处罚方式主要有:执法约谈、责令改正、警告、通报批评、罚款、责令暂停相关业务、停业整顿、关闭网站、下架、吊销相关业务许可证或者吊销营业执照、处理责任人等措施。本案例中,滴滴出行的违法违法行为属于“情节严重”情形。从网信办相关负责人的发言中,我们可以得出“情节严重”的认定有以下几个标准:
1违法行为的性质。本案例中,滴滴公司的违法行为给国家网络安全、数据安全带来严重的风险隐患,且在监管部门责令改正情况下,仍未进行全面深入整改,性质极为恶劣。
2违法行为的持续时间。本案例中,滴滴公司相关违法行为最早开始于2015年6月,持续至今,时间长达7年,持续违反2017年6月实施的《网络安全法》、2021年9月实施的《数据安全法》和2021年11月实施的《个人信息保护法》。
3违法行为的危害。本案例中,滴滴公司通过违法手段收集用户剪切板信息、相册中的截图信息、亲情关系信息等个人信息,严重侵犯用户隐私,严重侵害用户个人信息权益。
4违法处理个人信息的数量。本案例中,滴滴公司违法处理个人信息达647.09亿条,数量巨大,而且其中包括人脸识别信息、精准位置信息、身份证号等多类敏感个人信息。
5违法处理个人信息的情形。本案例中,滴滴公司违法行为涉及多个App,涵盖过度收集个人信息、强制收集敏感个人信息、App频繁索权、未尽个人信息处理告知义务、未尽网络安全数据安全保护义务等多种情形。
总结来说,对于“情节严重”的认定将综合分析违法行为的性质、持续时间、危害、涉及数据量以及情形来判断。如果像本案例中滴滴公司一样符合多种情况的,那么将极有可能也被认定为“情节严重”,处罚力度将相当之大。
本案例中,对滴滴公司处罚金额是人民币80.26亿元,对相关负责人即滴滴公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款。可以说,这个处罚已经是现行数据安全法律框架内的顶格处罚。如果根据《网络安全法》中第六章“法律责任”的规定,对于公司的直接罚款最高是100万以下,对于相关责任人的罚款最高也是10万元以下。如果依据《数据安全法》中第六章“法律责任”的规定,对于公司的直接罚款最高是1000万以下,对于相关责任人的罚款根据不同情形分为不同标准,最高一档为10万元以上100万元以下。可以看出,如果根据《网络安全法》及《数据安全法》的规定,对于滴滴公司如此情节严重的违法行为,处罚力度将明显不足。这时,《个人信息保护法》登场。根据《个人信息保护法》第七章“法律责任”中的规定,对于情节严重的违法行为,可以对于个人信息处理者处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
根据我们在网络公开信息上的检索,滴滴公司在2021年的全年总营收为1738.3亿元,百分之五大约为86.9亿元,我们认为最后的处罚金额即是参考了这一数据。需要注意的是,这里的标准是以全年营业额为依据,而非净利润。因为像滴滴公司这样类似的许多互联网企业往往每年净利润是亏损状态,如果用净利润这一标准那将无从适用。做个对比,欧盟所实行的数据保护相关法规即《通用数据保护条例》(“GDPR”)中,对于严重性的违法行为,罚款上限是2000万欧元,或者在承诺的情况下,最高为上一个财政年度全球全年营业收入的4%(两者中取数额大者)。由此可见,从比例上来看,我国对于严重的数据违法行为的处罚严厉程度甚至要超过欧美。
综上所述,对于滴滴公司的处罚金额已经是接近顶格,对于相关责任人也是直接顶格的100万,可见本次处罚的力度。
本次对滴滴公司的处罚作为一个典型负面案例,体现了国家对于加强网络安全、数据安全、个人信息保护的重视程度和保护力度。由本案例也可以看出,我国对于危害国家网络安全、数据安全、及侵害公民个人信息的违法行为整体趋势上将越来越重视,管控也会越来越严格。这次的处罚案例也是对于作为数据处理者的其他相关企业一个警示和有力威慑,督促其应该更为严格的执行国家相关网络安全、数据安全合规、个人信息保护的要求。我们建议,作为数据处理者的有关企业需要尽早尽快得主动全面梳理其数据相关业务、建立完善数据合规体系、对于不合法不合规的数据处理行为,需尽早尽快整改,做到依法合规运营。