引言
先说答案
:
一、比数据合规更重要的是:不要试图逃避监管。
二、在数据合规和个人信息保护领域,中国、欧盟和美国监管背后的价 值排序是不一样的,中国和美国都更注重的是“国家安全”,欧洲监管更注重“个人信息保护”和“对巨头的遏制”。国家安全,是红线中的红线。
目录
一、网信办启动对滴滴的“网络安全审查”在当时有无法律依据?
二、“国家安全”是我国数据合规的首要价值取向。
三、滴滴的罚款80.26亿,是怎么构成的?
四、整个事件里面的时间线,也值得拿出来分析!
五、处罚的对象“滴滴全球股份有限公司”,听起来好像有点陌生?
一、网信办启动对滴滴的“网络安全审查”,在当时有无法律依据?
网信办对滴滴启动“网络安全审查”是在2021年7月2日,适用旧版的《网络安全审查办法》(2020年版)。根据该版的规定,只有被认定为“关键信息基础设施运营者”(CIIO)的企业、事业单位等在“采购网络产品和服务”的时候,才可能需要向国家申请“网络安全审查”。据了解,滴滴在当时不具备“关键信息基础设施运营者”身份。主要内容之一,就是增加了触发“网络安全审查”的情形,其中一种情形,就是:掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。滴滴当然属于“掌握超过100万用户个人信息的网络平台运营者”,该修订于2022年2月15日生效,但是,法律是没有溯及力的。看起来倒像是对滴滴事件的推动了立法,让监管重视起境外上市的重要性。但是,这仍然不能改变在启动审查时,......的事实。因此,在2022年2月25日后,监管对滴滴的审查是有法律依据。罚单开给谁、对谁启动调查,最能显示监管的价值取向。从剑桥分析的推荐算法对特朗普选举产生的影响,到美国对微信海外版 和TikTok 的调查,到俄苏战争期间迅猛增长的网络攻击,数据承载的国家安全价值,迅猛凸显,监管也一天天严厉。这种倾向在中美之间特别明显,我个人有个观点:中、美的数据合规以“国家安全”为首,而非“个人信息保护”。欧盟的数据合规中,更注重个人信息保护,但是也似乎不那么纯碎,有遏制美国巨头facebook、亚马逊和谷歌的意味。从对滴滴的违法事实的表述来看,虽然数据条数很多,但看起来跟工信部和网信办每月通报的“违法违规收集个人信息的App”并无多大差别。所以,违规处理个人信息,不是处罚的主要原因。危害国家安全,才是。违规处理个人信息,只是给了80亿这个金额一个强大的支撑。
公布的处罚所依据的实体法包括了《网络安全法》《数据安全法》《个人信息保护法》,这三部法律的最高罚款金额分别是:《个人信息保护法》:最高5%罚款(基数是:上一年度营业额)。其中,危害国家安全主要是依据《网络安全法》和《数据安全法》。也就是说,假定本次罚款可以适用《网络安全法》《数据安全法》里面关于危害国家的条款(实际是否适用请参考本文第一部分),且都按照顶格罚,最高也就是1100万,只是80.26亿的1.4‰(约)。这么算,其余 80.15亿元,都是违法《个人信息保护法》侵犯个人信息权益的罚款,是2021年度的滴滴总营业额1738.3亿元的4.61%。滴滴2021年中国区的营收是1605.2亿,80.26亿正好是1605.2亿的5%。5%是《个人信息保护法》的最高罚款比例。其实,更重要的罚款原因是:阳奉阴违,恶意逃避监管。另外,这么看,数据安全法和网络安全法有必要修改了,这个处罚限额,与国家对国家安全的重视程度是不匹配的,不能满足实践中遏制侵犯国家安全违法行为的基础的。
尤其是《数据安全法》《个人信息保护法》的公布时间和生效时间。滴滴上市的时候,《数据安全法》已经正式公布了(2021年6月10日),还在等着生效,生效日期是9月1日。《数据安全法》的立法进程,与其他法律比起来,可以说是非常快,可见国家对数据领域保护国家安全的决心。但是当时法律未生效,并未影响此后依据这些法律对滴滴进行处罚。还正因为滴滴在这些法律即将生效前上市,影响了最终的处罚金额。根据当时适用的旧版的《网络安全审查办法》(2020版),网络安全审查的时限,原则上,是从启动起算90个工作日。本次审查是2021年7月2日启动的,这么算,应该是11月11日要结束,结束时,《个人信息保护法》生效才11天。但是,90个工作日只是一般情况下的审查期限,情况复杂的,可以延长,可以延长多久,法律没说。而违背《个人信息保护法》的罚款占据了大多数,而这些罚款,绝大多数是在延长调查的时间内发生的。五、处罚的对象“滴滴全球股份有限公司”,听起来好像有点陌生?
处罚的对象:是滴滴全球股份有限公司,不是北京小桔。跟其他许多赴美上市的国内企业一样,滴滴全球股份有限公司注册在开曼群岛(以下简称开曼滴滴),不是一家中国公司,是滴滴美国上市的主体。此次事件是去美国上市引发的,所以处罚对象是开曼滴滴好像也可以理解。同时,根据《行政处罚法》第八十四条的规定,外国人、无国籍人、外国组织在中华人民共和国领域内有违法行为,应当给予行政处罚的,适用本法,法律另有规定的除外。根据《个人信息保护法》第三条“长臂管辖”的规定,我国监管也可以监管开曼滴滴。