临深渊, 知地厚——从滴滴案再论网络安全审查
2022年7月21日, 国家互联网信息办公室(“网信办”)公布对滴滴全球股份有限公司(“滴滴公司”)依法作出网络安全审查相关行政处罚的决定, 滴滴公司被处罚款人民币80.26亿元, 滴滴公司董事长兼CEO、滴滴公司总裁各自被处罚款人民币100万元。
2021年7月网信办发布《网络安全审查办公室关于对“滴滴出行”启动网络安全审查的公告》后, 我们曾在《见微知萌—从滴滴出行案谈网络安全审查制度》《一文解读企业境外上市网安数据合规》《2022版<网络安全审查办法>重点问题评析》等文中对网络安全审查制度进行了全面分析。如今滴滴公司网络安全审查启动已逾一年, 审查结果也尘埃落定, 且网络安全审查还引发了“地震级”的行政处罚。本文将再次聚焦滴滴公司网络安全审查以及行政处罚案件始末, 并为企业提供合规建议。
1
案件经过
2
网络安全审查制度
2.1 启动审查
网络安全审查制度由《国家安全法》《网络安全法》确立, 依照《网络安全审查办法》(“《审查办法》”)具体实施。网络安全审查包括依申请审查及依职权审查两种触发机制, 根据2022年2月15日生效的新修订的《审查办法》, 依申请提起网络安全审查的情形包括:
(1) 关键信息基础设施运营者(“CIIO”)采购网络产品和服务, 影响或者可能影响国家安全的;
(2) 网络平台运营者开展数据处理活动, 影响或者可能影响国家安全的;
(3) 掌握超过100万用户个人信息的网络平台运营者赴国外上市的。
其中, 第(2)(3)项是2022年《审查办法》对2020年版本的新增情形。“滴滴出行”作为大型出行和交通平台, 掌握大量个人身份证、位置信息等敏感个人信息以及敏感区域的街景、车流、人流数据等重要数据, 很可能满足第(1)项依申请情形, 其数据处理活动和赴美上市行为也可能分别落入第(2)(3)项依申请范围。但针对滴滴公司的网络安全审查属于网信办依职权启动网络安全审查, 即网络安全审查工作机制成员单位认为滴滴公司网络产品服务或数据处理行为“影响或者可能影响国家安全”。
2.2 审查时限
根据《审查办法》的规定, 网络安全审查的时限为:
(1) 一般审查: 30/45个工作日(初审)+15个工作日(书面意见);
(2) 特别审查: 30/45个工作日(初审)+15个工作日(书面意见)+90个工作日(特别审查)+X(情况复杂)。
从上述审查时限来看, 网络安全审查最短时限为45个工作日, 若情况复杂, 则需要依据具体情况确定审查时限。但值得注意的是, 上述法定期限是从“向当事人发出书面通知之日”才开始起算。尽管网信办未披露对滴滴公司进行网络安全审查的具体时间, 但从滴滴公司网络安全审查启动时间以及相关行政处罚来看, 滴滴公司此次网络安全审查或面临复杂情况, 很可能在经历了相当时间的前期调查才正式通知滴滴公司进行网络安全审查, 或者是经过了特别审查程序, 延长了审查时限。
3
80.26亿处罚
对滴滴出行逾80亿元的处罚是中国网络和数据安全法律框架下迄今为止最大金额的一笔处罚, 其处罚之法律依据格外引人注目。值得注意的是, 根据《审查办法》, 违反《审查办法》的, 依照《网络安全法》和《数据安全法》的规定处理, 但《网络安全法》及《数据安全法》下对企业的最高罚款为人民币1000万元, 80余亿元的罚款显然不是仅依据这两部法律而作出。对此, 我们的理解是, 在进行网络安全审查的过程中, 如果发现企业有其他的网络安全或者数据违法问题(例如个人信息违法处理), 网信办可能另案(同时)对该等违法情形进行调查, 并依据相关法律, 在其职权范围内作出处罚。
根据网信办《对滴滴全球股份有限公司依法作出网络安全审查相关行政处罚》以及《就对滴滴全球股份有限公司依法作出网络安全审查相关行政处罚的决定答记者问》, 滴滴公司违反《网络安全法》《数据安全法》《个人信息保护法》, 且情节严重、性质恶劣。由于国家安全原因, 网信办并未公布完整的行政处罚决定, 我们尝试归纳滴滴公司的违法行为, 并总结相应的法律规定。我们希望下文的系统性梳理, 可帮助企业充分了解应履行的网络安全与数据合规义务, 以滴滴案为戒, 增强合规意识。
以《个人信息保护法》规定的违法责任为例, 违反以上《个人信息保护法》相关规定的违法企业, 可能被处以责令改正、警告、没收违法所得、暂停或者终止应用程序提供服务等处罚; 如企业拒不改正, 则可能被并处100万元以下罚款, 直接负责的主管人员和其他直接责任人员被处1万元以上10万元以下罚款。如果企业有前述违法行为且情节严重, 还将面临5000万元以下或者上一年度营业额5%以下罚款; 直接负责的主管人员和其他直接责任人员则面临10万元以上100万元以下罚款, 还可能被决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
从上述处罚措施来看, 由于滴滴公司涉嫌8个方面共16项违法事实, 应属于《个人信息保护法》下的“情节严重”, 可被处以上一年度营业额5%以下的罚款(滴滴公司2021年的营业额超过1700亿, 仅这一项的处罚即可超过80亿元)。再加之滴滴公司存在严重影响国家安全的数据处理活动, 以及拒不履行监管部门的明确要求, 恶意逃避监管等其他违法违规问题, 在《数据安全法》下最高可被处以1000万元的罚款。由此, 滴滴公司最终被处罚80余亿元于法有据。
4
合规建议
(1) 对企业数据处理活动进行盘点和自查, 查明企业个人信息、重要数据、核心数据的数据存量和数据处理行为, 对过往和持续的违法违规行为进行整改;
(2) 符合《审查办法》要求的企业, 应当主动提起申报网络安全审查, 未经审查应当暂停相应的网络产品和服务采购、数据处理、境外上市等活动;
(3) 如网络安全审查可能涉及其他交易相对方或合作方, 应当在与交易相对方或合作方的协议中增加网络安全审查合规条款, 注明通过网络安全审查后才可继续进行交易;
(4) 无论是依申请还是依职权启动的网络安全审查, 企业都应当积极配合网络安全审查工作机制成员单位、相关部门的审查工作, 并积极与其进行沟通, 以使企业顺利通过网络安全审查。
注: 本篇文章独家授权威科先行法律信息库发布, 欢迎微信个人用户转发; 未经许可, 微信公众号不得转载。
作者:
潘永建 合伙人 +86 136 2172 0830 +86 21 3135 8701 david.pan@llinkslaw.com | |
朱晓阳 业务合伙人 +86 180 1764 2887 +86 21 3135 8683 nigel.zhu@llinkslaw.com | |
沙莎 |
往期分享
长按下图识别二维码关注我们
© 通力律师事务所
本微信所刊登的文章仅代表作者本人观点, 不代表通力律师事务所的法律意见或建议。我们明示不对任何依赖该等文章的任何内容而采取或不采取行动所导致的后果承担责任。如需转载或引用该等文章的任何内容, 请注明出处。
点击“阅读原文”,直达通力官网了解更多资讯!