搜索业务

滴滴“破财免灾”?不存在的

发布时间:2022.07.28点击次数:240

2021年7月21日,一则消息轰炸了万能的朋友圈,国家互联网信息办公室发布了对滴滴全球股份有限公司依法作出网络安全审查相关行政处罚的决定,国家互联网信息办公室依据《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等法律法规,对滴滴全球股份有限公司处人民币80.26亿元罚款,对滴滴全球股份有限公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款。
根据国家互联网信息办公室有关负责人答记者问的文章表述中我们可以看出,本次处罚是2021年7月是网安办进行网络安全审查的靴子落地,不同于阿里巴巴2021年4月份受处罚的182.28亿元,阿里在靴子落地后股价反而上涨,滴滴公司本次的处罚倒像是一次“最后的警告”,在越过行政处罚的红线后,如不及时改正,等待滴滴、程维、柳青的可能就是“破财”也不能免除的刑事责任。


“破财”处罚是对滴滴侵犯个人信息的警告,也是对企业数据合规的启示。


首先,根据滴滴今年4月份公布的财报,其2021年总营收为人民币1738,3亿元,其中中国区域业务营收为1605.2亿元,那么“两滴”80.26亿元恰巧为2021年度中国区域营业额的5%,而程维、柳青各处人民币100万元罚款。
根据《中华人民共和国个人信息保护法》第六十六条的规定 ,结合对程维、柳青、滴滴全球股份有限公司的处罚,该次处罚堪称“个保处罚双项天花板”。故而除了引起网络上吃瓜群众围观吃瓜的同时,我想这也给滴滴公司敲响了警钟,我们国家确实已经做到了在规范市场经济行政执法上“有法可依且有法必依”,其次也透露出了国家对于保护信息安全的决心。
根据国家互联网信息办公室披露的违法事实来看,滴滴公司共存在16项违法事实,归纳起来为8方面,一是违法收集用户手机相册中的截图信息1196.39万条;二是过度收集用户剪切板信息、应用列表信息83.23亿条;三是过度收集乘客人脸识别信息1.07亿条、年龄段信息5350.92万条、职业信息1633.56万条、亲情关系信息138.29万条、“家”和“公司”打车地址信息1.53亿条;四是过度收集乘客评价代驾服务时、App后台运行时、手机连接桔视记录仪设备时的精准位置(经纬度)信息1.67亿条;五是过度收集司机学历信息14.29万条,以明文形式存储司机身份证号信息5780.26万条;六是在未明确告知乘客情况下分析乘客出行意图信息539.76亿条、常驻城市信息15.38亿条、异地商务/异地旅游信息3.04亿条;七是在乘客使用顺风车服务时频繁索取无关的“电话权限”;八是未准确、清晰说明用户设备信息等19项个人信息处理目的。
滴滴的违法行为主要集中于“违法收集信息”、“过度收集信息”及“未尽到数据安全处理义务”等,违反了《网络安全法》《个人信息保护法》及《数据安全法》等,具体的违反的法条笔者已附在文章最后,这里要给企业的提示是,虽然数据很重要且已被纳入生产要素,但是数据收集与处理的“最小必要性”“敏感信息处理”“禁止大数据杀熟”“数据脱敏”等即使是滴滴这样的头部企业也依然未能做好。头部企业不知道这些合规要求吗?他们没有聘请专业的法律顾问或是企业的法务没有提示风险吗?我想不是的,更有可能的是基于商业利益的考虑而愿意冒所谓的风险,毕竟相较于5%年收入的罚款,这样的决策在单纯经济利益的考量中明显能给滴滴公司带来更大的经济利益,但数据安全、个人信息的红线不能越,我们国家也不会允许任何一个企业可以为了经济利益而侵害我们的国家安全、公民隐私。虽然本次滴滴已经“破财”,但未必就能免灾。

“免灾”?最后的红线不允许逾越


许多企业在数据合规中侧重于对行政处罚的风险防范,但时常忽略对于企业数据合规中刑事风险的注意。
根据网信办中答记者问中的表述中,我们可以得知,网信办除了对行政处罚的违法事实定性的同时,也并未将滴滴公司的刑事风险排除在外,为何说本次滴滴公司“破财不一定免灾”呢?

且让我们细细分析一下网信办发言人的表述:

其一是“此前,网络安全审查还发现,滴滴公司存在严重影响国家安全的数据处理活动,以及拒不履行监管部门的明确要求,阳奉阴违、恶意逃避监管等其他违法违规问题。滴滴公司违法违规运营给国家关键信息基础设施安全和数据安全带来严重安全风险隐患。因涉及国家安全,依法不公开。在监管部门责令改正情况下,仍未进行全面深入整改,性质极为恶劣。”

其二是“此次对滴滴公司的网络安全审查相关行政处罚,与一般的行政处罚不同,具有特殊性。滴滴公司违法违规行为情节严重,结合网络安全审查情况,应当予以从严从重处罚。一是从违法行为的性质看,滴滴公司未按照相关法律法规规定和监管部门要求,履行网络安全、数据安全、个人信息保护义务,置国家网络安全、数据安全于不顾,给国家网络安全、数据安全带来严重的风险隐患,且在监管部门责令改正情况下,仍未进行全面深入整改,性质极为恶劣。”


根据上述表述,涉及到滴滴公司此次可能触及的刑事处罚,笔者认为其中最有可能触及到的刑事责任为拒不履行信息网络安全管理义务罪

网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列情形之一的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金:

(一)致使违法信息大量传播的;

(二)致使用户信息泄露,造成严重后果的;

(三)致使刑事案件证据灭失,情节严重的;

(四)有其他严重情节的。

单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照前款的规定处罚。


目前并没有从官方的报道中看出来滴滴违反刑法的第二百八十六条里的前三款的情形,所以来评定滴滴是否触犯了刑法第二百八十六条,主要看其违法的结果是否符合第四款里的“其他情形”。根据《最高人民法院、最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》,我们可以大致推断出来滴滴最容易符合的是其中第二款“二年内经多次责令改正拒不改正的”、第五款“致使信息网络服务被用于实施危害国家安全犯罪、恐怖活动犯罪、黑社会性质组织犯罪、贪污贿赂犯罪或者其他重大犯罪的”以及第七款“其他严重违反信息网络安全管理义务的情形”,当结合法条与网信办的表述,我们只是知道滴滴的数据有关国家安全,但是具体情况并没有看出违法迹象。不过其中第二款,我们却可以从公开表达中看出一些端倪,目前公开信息明确表示,滴滴在监管部门责令改正的情况下,调查的信息,但如果真的进入侦查阶段,目前调查组所发现的证据,调查的结果很有可能作为“呈堂证供”出现在法庭之上,而单位犯本罪的,其直接负责的主管人员和其他直接责任人员,也逃不开牢狱之灾。
数据合规的“达摩克里斯之剑”已悬于滴滴项上。即使是滴滴这样行业中的头部企业,虽然会有重大的社会影响,但是我们的国家还是毫不犹豫地出手了,这一次的处罚,体现了国家对于保障国家网络安全、数据安全和社会公共利益的决心,且让我们,静待未来。





►►►

相关法律依据


《中华人民共和国个人信息保护法》

第六十六条 违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。

第四十七条 有下列情形之一的,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除:

(一)处理目的已实现、无法实现或者为实现处理目的不再必要;

(二)个人信息处理者停止提供产品或者服务,或者保存期限已届满;

(三)个人撤回同意;

(四)个人信息处理者违反法律、行政法规或者违反约定处理个人信息;

(五)法律、行政法规规定的其他情形。

法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。

 

第三十九条 个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。

 

第四十条 关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。

 

第三十八条 个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:

(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;

(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;

(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;

(四)法律、行政法规或者国家网信部门规定的其他条件。

中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行。

个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。

 

第三十条 个人信息处理者处理敏感个人信息的,除本法第十七条第一款规定的事项外,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响;依照本法规定可以不向个人告知的除外。

 

第二十九条 处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。

 

第二十八条 敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。

只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。

 

第二十三条 个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。

 

第二十一条 个人信息处理者委托处理个人信息的,应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托人的个人信息处理活动进行监督。

受托人应当按照约定处理个人信息,不得超出约定的处理目的、处理方式等处理个人信息;委托合同不生效、无效、被撤销或者终止的,受托人应当将个人信息返还个人信息处理者或者予以删除,不得保留。

未经个人信息处理者同意,受托人不得转委托他人处理个人信息。

 

第十四条 基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。

个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。

 

第十三条 符合下列情形之一的,个人信息处理者方可处理个人信息:

(一)取得个人的同意;

(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;

(三)为履行法定职责或者法定义务所必需;

(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;

(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;

(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;

(七)法律、行政法规规定的其他情形。

依照本法其他有关规定,处理个人信息应当取得个人同意,但是有前款第二项至第七项规定情形的,不需取得个人同意。

《最高人民法院、最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》

第六条 拒不履行信息网络安全管理义务,具有下列情形之一的,应当认定为刑法第二百八十六条之一第一款第四项规定的“有其他严重情节”:(一)对绝大多数用户日志未留存或者未落实真实身份信息认证义务的;(二)二年内经多次责令改正拒不改正的;(三)致使信息网络服务被主要用于违法犯罪的;(四)致使信息网络服务、网络设施被用于实施网络攻击,严重影响生产、生活的;(五)致使信息网络服务被用于实施危害国家安全犯罪、恐怖活动犯罪、黑社会性质组织犯罪、贪污贿赂犯罪或者其他重大犯罪的;(六)致使国家机关或者通信、能源、交通、水利、金融、教育、医疗等领域提供公共服务的信息网络受到破坏,严重影响生产、生活的;(七)其他严重违反信息网络安全管理义务的情形。

《中华人民共和国数据安全法》

第四十六条 违反本法第三十一条规定,向境外提供重要数据的,由有关主管部门责令改正,给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;情节严重的,处一百万元以上一千万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。

《中华人民共和国网络安全法》

第四十二条 网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。

网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。

 

第四十一条 网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。

网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。

《中华人民共和国刑法》

第二百八十六条之一  网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列情形之一的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金:

(一)致使违法信息大量传播的;

(二)致使用户信息泄露,造成严重后果的;

(三)致使刑事案件证据灭失,情节严重的;

(四)有其他严重情节的。

单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照前款的规定处罚。

有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。


热门文章/POPULAR ARTICLES

关于执行异议之诉的那些事儿

《民事诉讼法》第二百二十七条规定:执行过程中,案外人对执行标的提出书面异议的,人民法院应当自收到书面异议之日起十五日内审查,理由成立的,裁定中止对该标的的执行;理由不成立的,裁定驳回。案外人、当事人

鹰卓新闻2021-06-18 12:54

1346

未签订书面劳动合同 劳动者无缘双倍工资赔偿

案情介绍:  刘某于2005年6月进入武汉某连铸公司工作,担任办公室主任一职,职责是人事招聘、劳动合同的签订及管理等。2009年7月,刘某以公司未与其签订书面劳动合同为由提起劳动仲裁申请,要求公司支

鹰卓新闻2021-06-18 12:20

1214

律师随笔|关于执行异议之诉的那些事儿

《民事诉讼法》第二百二十七条规定:执行过程中,案外人对执行标的提出书面异议的,人民法院应当自收到书面异议之日起十五日内审查,理由成立的,裁定中止对该标的的执行;理由不成立的,裁定驳回。案外

鹰卓视界2021-06-18 12:19

1551