以案“释”法 | 滴滴事件看国家数据安全处罚力度
7月21日,国家互联网信息办公室发布滴滴案件处罚结果,依据《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等法律法规,对滴滴全球股份有限公司处人民币 80.26 亿元罚款,对其董事长兼CEO程维、总裁柳青各处人民币 100 万元罚款。
本案例的行政处罚是《个人信息保护法》生效以来开出的最高金额,80.26亿人民币的罚金甚至超越了2021年亚马逊因违反GDPR受到的7.43亿欧元(57.29亿人民币)处罚,成为迄今为止全球数据隐私保护领域的最高罚单。
时间线梳理
2021年6月11日,滴滴出行科技有限公司(以下简称“滴滴”)正式向美国证券交易委员会递交了IPO招股书,6月30日,滴滴正式在纽交所挂牌上市,股票代码为“DIDI”;
7月2日,国家网信办宣布依据《国家安全法》、《网络安全法》,按照《网络安全审查办法》对滴滴实施网络安全审查,审查期间“滴滴出行”App停止新用户注册;
7月4日,网信办因“严重违法违规收集使用个人信息问题”对“滴滴出行”App进行强制下架;
7月9日22时,网信办继续发布了下架“滴滴企业版”等25款App的通报;
7月16日,国家网信办会同公安部、国家安全部、自然资源部、交通运输部、税务总局、市场监管总局等七部门联合进驻滴滴,开展网络安全审查;
2021年12月3日,滴滴启动在纽交所退市的工作,并启动在香港上市的准备工作。2022年6月10日,滴滴在美股正式退市;
2022年7月21日,国家互联网信息办公室公布对滴滴全球股份有限公司处人民币80.26亿元罚款,对程维、柳青各处人民币100万元罚款的处罚规定。
【说明1】审查是依据《网络安全审查办法》第二条“关键信息基础设施运营者采购网络产品和服务,网络平台运营者开展数据处理活动,影响或者可能影响国家安全的,应当按照本办法进行网络安全审查。”
【说明2】目前关于违反网络安全、数据安全、个人信息保护相关法律法规的处罚方式主要有:一般情形通常是执法约谈、责令改正、警告、通报批评、罚款等,对于情节严重的可以责令暂停相关业务、停业整顿、关闭网站、下架、吊销相关业务许可证或者吊销营业执照、处理责任人等措施。
在7月4日的通报中,网信办是按照普通情节要求滴滴进行整改的;而到7月9日“下架滴滴25款App”的处置,相比网信办在6月11日发布的“关于Keep等129款App违法违规收集使用个人信息情况的通报”中对“违反必要原则、收集与其提供的服务无关的个人信息、以及未经用户同意收集使用个人信息等”APP的处置是“要求在本通报发布之日起15个工作日内完成整改,并将整改报告加盖公章发送至电子邮箱。”所以从处置方式来看,对比同类型的事件已经是按照“情节严重”去处理了。
据网信办回应,滴滴对境内各业务线(网约车、顺风车、两轮车、造车等)重大事项具有最高决策权,制定的企业内部制度规范对境内各业务线全部适用,且对落实情况负监督管理责任。
其通过滴滴信息与数据安全委员会及其下设的个人信息保护委员会、数据安全委员会,参与网约车、顺风车等业务线相关行为的决策指导、监督管理,各业务线违法行为是在该公司统一决策和部署下的具体落实。
据此,本案违法行为主体认定为滴滴,其董事长兼CEO程维、总裁柳青,对违法行为负主管责任。
【说明】依据《关键信息基础设施安全保护条例》第十三条规定“运营者的主要负责人对关键信息基础设施安全保护负总责,领导关键信息基础设施安全保护和重大网络安全事件处置工作,组织研究解决重大网络安全问题。”
据网信办回应,滴滴违法违规行为情节严重,结合网络安全审查情况,应当予以从严从重处罚:
其违法行为给国家网络安全、数据安全带来严重的风险隐患,且在监管部门责令改正情况下,仍未进行全面深入整改,性质极为恶劣。
02违法行为的持续时间其相关违法行为最早开始于2015年6月持续至今,时间长达7年,并持续违反2017年6月实施的《网络安全法》、2021年9月实施的《数据安全法》和2021年11月实施的《个人信息保护法》。
03违法行为的危害其通过违法手段收集用户剪切板信息、相册中的截图信息、亲情关系信息等个人信息,严重侵犯用户隐私,严重侵害用户个人信息权益。
04违法处理个人信息的数量其违法处理个人信息达647.09亿条,数量巨大,并且其中包括人脸识别信息、精准位置信息、身份证号等多类敏感个人信息。
05违法处理个人信息的情形其违法行为涉及多个App,涵盖过度收集个人信息、强制收集敏感个人信息、App频繁索权、未尽个人信息处理告知义务、未尽网络安全、数据安全保护义务等多种情形。
《网络安全审查办法》第二十条“当事人违反本办法规定的,依照《中华人民共和国网络安全法》、《中华人民共和国数据安全法》的规定处理。”
《网络安全法》第五十五条“关键信息基础设施的运营者违反本法第三十五条规定,使用未经安全审查或者安全审查未通过的网络产品或者服务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款。对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。”
《数据安全法》第六章,对企业、组织、机构、最高处罚限额为一千万元,并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依法追究刑事责任。对直接负责的主管人员和其他直接责任人员,最高处罚限额为一百万元。
《个人信息保护法》第六十六条“违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,……情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
《行政处罚法》第二十九条“对当事人的同一个违法行为,不得给予两次以上罚款的行政处罚。同一个违法行为违反多个法律规范应当给予罚款处罚的,按照罚款数额高的规定处罚。”故按照《个人信息保护法》进行罚款处罚。
2022年5月滴滴披露了2021年年报,公布营收1738.27亿元,其中来自中国区域业务营收为1605.2亿元,5%大约为86.9亿元,最后的处罚金额(80.26亿)即是参考了这一数据,所以对于滴滴、相关责任人的处罚金额已经是接近顶格。
曾在2015年时,新华社和滴滴媒体研究院共同发布了一份各部委加班情况的统计报告,通过这份报告中的数据不仅能知道在特定时间段内哪些部门工作比较多,同时也能知道重要部门里面的人物住址、每天的工作行程等信息,此时的滴滴已经具备了大数据分析的能力。
2017年,女性安全方面事故频发,舆论之下的滴滴顺势上线 “桔视”在行车途中进行全程录音录像,在这个过程中会记录下乘客的人脸、声纹等个人生物识别信息。
在《个人信息安全规范》中,将身份证件号码等个人身份信息,指纹、基因等个人生物识别信息,交易信息、银行账号在内的个人财产信息,医疗记录等健康生理信息,通信记录、聊天内容、行踪轨迹、住宿信息等内容,纳入到个人敏感信息范围。而滴滴平台底层的数据字段基本可以覆盖所有的个人敏感数据类型,其中虽然无法获取明确的医疗记录,但也会包含出入医院的频次、时间等数据。
除了收集个人信息,在桔视上线3周年之后,滴滴地图事业部总经理柴华在中国测绘学会年会上公布了一组数据:滴滴地图基础数据准确率已经超过95%,每天新增轨迹数据超108TB,这些轨迹数据和场景,具备海量、连续、高质量的特点。此外,5.5亿乘客出行时,每天还会上报数十万量级的路况事件,也就是说,1000多万滴滴车辆,每天都会通过桔视成为滴滴的街景实时测绘车。
从军事角度看,滴滴掌握的这些数据具有重大的军事战略价值,对这些包含地理、道路、交通、人员出行、视频记录等信息数据进行深度分析,甚至可以探知中国军事战略目标、军事调动等信息,战时可能给敌方国家提供攻击和轰炸目标、精度等信息,如果这些大数据流向境外,将对中国国防、军事战略造成重大风险。
2012年,美国证监会SEC正式要求四大会计事务所必须向其提交在美国上市的中国公司的审计底稿。审计底稿,简单来说就是一家公司的纸质存在形态,包括所有用户数据、所有会议记录、所有沟通文件、所有问题汇总、所有程序表格,甚至连历年来的电子邮件也不能幸免。而在美国上市滴滴是否上交所有的审计底稿,我们无从得知。
此次对滴滴的处罚无疑是作为一个典型负面案例,对于其他的“数据处理者”也是一个警示和威慑,这次的处罚体现了国家对于危害国家网络安全、数据安全以及侵害公民个人信息的违法行为越来越重视,日后管控也会愈加严格。那么对于组织来说应该如何避免此类法律风险,美创认为作为“数据处理者”的当务之急是尽快梳理业务相关数据,建立健全安全合规体系,本着“应评尽评”的原则,开展安全风险评估工作,充分了解组织安全现状,再通过相关处置措施,加强网络安全、数据安全和个人信息保护工作,以规避法律风险。
美创建议:作为“数据处理者”的当务之急是尽快梳理业务相关数据,建立健全安全合规体系,本着“应评尽评”的原则,开展安全风险评估工作,充分了解组织安全现状,再通过相关处置措施,加强网络安全、数据安全和个人信息保护工作,以规避法律风险。
扫码获取滴滴公司16项违法事实及所涉条款