查看原文
其他

礼德公告 | 中国国家网信办作出在数据保护相关案件中的最高监管处罚

ReedSmith礼德 ReedSmith礼德 2023-08-25

概览

在对滴滴全球股份有限公司(“滴滴公司”)涉嫌违反中国数据保护法进行了长达一年的调查后,中国国家互联网信息办公室(“国家网信办”)于2022年7月21日公布,对滴滴公司作出80.26亿元人民币(约12亿美元)的行政处罚。这是中国迄今为止在网络安全和数据保护相关案件中作出的最高罚款金额。


国家网信办的此次执法行动展示了中国在监管数据和隐私违规行为方面的决心,企业必须认真对待中国数据保护法律的合规。对于在中国市场收集和处理大量敏感的个人信息的企业而言,隐私和数据保护监管也成为一个新的重大合规风险点,及早对业务中的数据处理活动进行实质性的审查,并了解分析潜在的影响,能够更好地避免合规方面的不确定性。


中国法律对境外实体的域外适用


在国家网信办发布的答记者问中,滴滴公司被认定为本次案件的违法主体,而其系一家在开曼群岛注册的公司。国家网信办认定滴滴公司对境内各业务线重大事项具有最高决策权,对该集团在中国的数据处理活动拥有实际控制权。这明确了包括《个人信息保护法》在内的中国数据隐私法律的域外效力,其对在中国境外注册的实体也可能适用。


与许多其他赴境外上市的中国科技企业(比如电子商务平台、在线传媒或视频平台)一样,滴滴公司采用了VIE(可变权益实体)结构。此结构有利于实益持有人基于合同对滴滴的运营公司进行实际控制,运营公司是作为纯内资公司在中国境内成立的,这样不会受到外商投资的相关限制(比如某些运输交通业务对外资持股比例有限制)。


滴滴公司有哪些违法违规行为?


国家网信办发布的答记者问中将滴滴公司违反中国数据保护法律的违法事实归纳如下:

  • 违法收集用户手机相册中的截图信息。

  • 过度收集用户的剪贴板和应用程序列表中的信息。

  • 过度收集乘客人脸识别信息以及他们的年龄、职业、亲情关系和地址信息。

  • 过度收集乘客评价代驾服务时、App后台运行时、手机连接桔视记录仪设备时的精准位置(经纬度)信息。

  • 过度收集司机学历信息,以明文形式存储司机身份证号信息。

  • 未经授权分析乘客出行意图以及他们的常驻城市信息和异地商务/异地旅游信息。

  • 在乘客使用顺风车服务时频繁索取无关的“电话权限”。

  • 未准确、清楚地说明用户设备信息等个人信息的处理目的。

由此可见,国家网信办重视审查滴滴公司收集用户个人信息的适当性和必要性,必须遵循收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息原则。


国家网信办作出的处罚是什么?


国家网信办对滴滴公司作出了如下处罚:

  • 对滴滴公司罚款80.26亿元人民币(约12亿美元),约占滴滴公司上一年度总营业额1738.27亿元人民币的4.6%,接近《个人信息保护法》规定的处罚上限,即上一年度营业额的5%。

  • 对滴滴公司的首席执行官和总裁各处以100万元人民币的罚款,这是对违反中国《个人信息保护法》的公司负责人的顶格罚款。

此外,在调查期间,滴滴公司的各个App被从应用程序商店下架。滴滴公司App被禁止接受新用户,从而导致了市场份额和收入的损失。


国家网信办在确定处罚金额时考虑了哪些因素?


国家网信办在作出该处罚决定时强调,作出从严处罚是基于违法违规行为的严重性。具体而言,国家网信办在确定违法严重性时考虑了如下因素:


企业的态度

滴滴公司在收到监管机构的要求后并未停止和纠正其违规行为。


尽管国家网信办的处罚决定中未披露细节,滴滴公司在纽约证交所的上市就在国家网信办发布《网络安全审查办法》(“办法”)草案仅仅几周之前,而滴滴公司境外上市并未寻求中国监管机构的预批准。办法要求,掌握超过100万中国用户个人信息的中国企业赴国外上市,须经国家网信办事先审查和批准。因此,滴滴的行为被视为故意规避中国法律及缺乏合作。


我们将滴滴公司IPO和国家网信办调查按时间顺序归纳如下:



违法行为的持续时间长

国家网信办调查发现,滴滴公司相关违法行为开始于2015年,并持续了多年。如上所述,中国的《个人信息保护法》实际上是在对滴滴公司的调查开始后生效的,其中并未明确规定具有追溯力。但国家网信办认为,由于滴滴公司的违法行为即使在该法颁布后仍在持续而未得到纠正,所以在考量严重性时应将违法行为持续的整个期间(包括新法颁布前的期间)整体纳入考虑。这样的违法行为对个人用户的潜在损害是巨大的。


国家网信办关注到滴滴公司收集的用户个人信息具有一定的敏感性,同时属于过度收集信息。国家网信办认为,这种过度收集和处理个人数据的行为可能对用户的隐私权造成严重侵害。


涉及的个人信息数量巨大

滴滴公司违法收集个人信息达647.09亿条,包括用户的人脸识别信息、精准位置信息、身份证号等多类敏感个人信息。


多次违法

国家网信办发现滴滴公司开发和运营的App共有41个。由于这些App是相互独立的,会被视为滴滴公司的多次违规行为。


评论和意义


滴滴公司的处罚案件起到了警示作用,表明认真对待中国数据保护合规非常重要。显然,国家网信办和其他主管机关对违反或违背数据保护标准的行为的确会作出大力处罚。尽管中国是大陆法系国家而不是普通法系国家,行政执法案件和判决对中国的后续相关案件并不自动具有法律约束力,但国家网信办发布的决定仍将具有重要的先例价值,因为该决定为今后如何开展对违法数据保护法律案件的调查提供了指导性意见。该处罚决定对于国家网信办的地方/省市机构以及中国其他行业或部门监管机构可能开展的类似监管调查和/或决策流程也具有指导作用。


企业如果不密切关注中国的数据隐私法律,则很可能会成为网信办的执法目标,从而产生重大后果,对科技和生命科学领域的公司而言尤其如此,因为这些行业的公司通常采用VIE结构实现境外上市,并且这些公司在中国的业务经营中通常收集和处理大量敏感的个人信息。


我们从滴滴公司案中也可以看出,必须持审慎态度来解释和遵守中国的数据隐私法律。此次执法行动告诉我们,单单从法律条款表面作孤立的审查和分析可能会有很大的风险,这对企业合规工作有很好的警示作用。


从实践角度来看,如果企业对其数据处理活动进行了实质性审查,并了解数据处理活动范围及其潜在影响,能够更好地避免合规方面的不确定性。


此次执法行动表明,中国日渐成为一个重要的数据保护执法者,在中国市场,隐私和数据保护监管也成为一个新的重大风险。与美国等其他市场一样,此次执法行动也体现了隐私和安全事务对上市公司及其治理日益增长的重要性。


如果您对此客户简讯有任何问题或想了解更多详情,请联系如下作者或与您经常合作的礼德律师。


本文作者

殷之玥(Amy Yin)

礼德律师事务所上海办公室

合伙人

直线电话:+86 21 6032 3108
ayin@reedsmith.com

沈慧文(Asha Sharma)

礼德律师事务所香港办公室

合伙人

直线电话:+852 2507 9830

asha.sharma@reedsmith.com

陈川首(Bryan Tan)

礼德律师事务所新加坡办公室

合伙人

直线电话:+65 6320 5393
bryan.tan@reedsmith.com

Gerard M. Stegmaier

礼德律师事务所华盛顿办公室

合伙人

直线电话:+1 202 414 9228
gstegmaier@reedsmith.com

胡佳鸣(Charmian Aw)

礼德律师事务所新加坡办公室

顾问律师

直线电话:+65 6320 5367

caw@reedsmith.com

推荐阅读

礼德公告 | 数据出境:中国发布新的安全评估办法

礼德公告 | 中国发布《网络数据安全管理条例(征求意见稿)》向公众征求意见

礼德公告 | 中国发布《数据出境安全评估办法(征求意见稿)》向公众征求意见

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存