查看原文
其他

邓勇 | 滴滴被罚80亿背后有哪些细节值得关注

邓勇 知产前沿 2024-01-02


重点导读

引言细节一:80.26亿元罚款是如何计算的细节二:通过决策落实等关系来确定境外违法主体
细节三:针对持续违法行为的法律适用细节四:受损用户如何主张权益细节五:还会有哪些后续问题

引 言

2022年7月21日,国家互联网信息办公室依据《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等法律法规,对滴滴全球股份有限公司处以人民币80.26亿元罚款,对滴滴全球股份有限公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款。本文拟结合上述事实分析事件背后值得关注的细节。

细节一:80.26亿元罚款是如何计算的

在被网络安全审查办公室宣布实施网络安全审查384天后,滴滴迎来了80.26亿元的高额罚单,这一金额在国内尚无先例,即使放到全球的个人信息保护范围内也可能是迄今为止的最高罚款纪录。那么这一金额是怎么计算出来的?通过以下列表可先尝试找到法律依据:
对比上述规定可知,《行政处罚法》规定了违反多个法律规定的同一违法行为,应以数额最高的法律规定作为处罚依据,而《个人信息保护法》第六十六条关于“并处五千万元以下或者上一年度营业额百分之五以下罚款”的规定无疑是上述三部法律中罚款数额最高的条款。
另根据滴滴在2022年4月16日发布的2021年第四季度财报概要内容显示“滴滴2021年总营收为1738.3亿元,较上年同期的1417亿元增长22.6%。其中,滴滴2021年来自中国出行业务营收为1605.2亿元,同比增长20%;”。[1]
如果将罚款金额80.26亿元与上文中的两个数据进行对比,可发现80.26亿元正好是国内业务营收金额1605.2亿元的5%,即本次处罚系以滴滴上年度国内营收总额1605.2亿元为基数,以上限5%为比例,最终得出80.26亿元的罚款结果。
同理,对滴滴董事长兼CEO及总裁各处人民币100万元罚款的依据也都来自于同一条款中关于“对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款”的规定,网信办认定该两位高管“对违法行为负主管责任”。由是,本次对于公司和高管的双罚制均已适用了顶格处罚。

细节二:通过决策落实等关系来确定境外违法主体

从网信办公布的处罚决定中可以发现,本次被处罚的主体全称是“滴滴全球股份有限公司”,而非滴滴官网的运营单位“北京小桔科技有限公司”。这家“滴滴全球股份有限公司”是2013年在开曼群岛注册的离岸公司,也即滴滴在美国纽交所上市的主体。
回看网络安全审查办公室在2021年7月2日发布的《关于对“滴滴出行”启动网络安全审查的公告》一文会发现,当时实施网络安全审查的对象表述为“滴滴出行”,并未指明是哪家运营实体;[2]在2021年7月16日发布的《国家互联网信息办公室等七部门进驻滴滴出行科技有限公司开展网络安全审查》[3]一文中就指明了被审查主体为“滴滴出行科技有限公司”。而之所以网信办在本次处罚中会将滴滴全球股份有限公司列为处罚对象,是基于“滴滴公司对境内各业务线重大事项具有最高决策权,制定的企业内部制度规范对境内各业务线全部适用,且对落实情况负监督管理责任。该公司通过滴滴信息与数据安全委员会及其下设的个人信息保护委员会、数据安全委员会,参与网约车、顺风车等业务线相关行为的决策指导、监督管理,各业务线违法行为是在该公司统一决策和部署下的具体落实”。[4]
这一认定至少释放出两个关键信号:一是监管部门直接突破了VIE(可变利益实体)架构下的复杂控制关系,将协议控制关系下基于决策、监督、部署、落实等实质关联作为认定依据,直接将境外上市主体视为违法主体,二是彰显了我国《网络安全法》《个人信息保护法》《数据安全法》对境外主体在境内从事数据处理活动及个人信息处理活动的管辖权限。甚至可以说,这一认定标准对在境外上市的中概股企业以及境外主体敲响了警钟。

细节三:针对持续违法行为的法律适用

《国家互联网信息办公室有关负责人就对滴滴全球股份有限公司依法作出网络安全审查相关行政处罚的决定答记者问》(以下简称《答记者问》)一文中可以看出,网信办认定“滴滴公司相关违法行为最早开始于2015年6月,持续至今,时间长达7年”,持续违反了“2017年6月实施的《网络安全法》、2021年9月实施的《数据安全法》和2021年11月实施的《个人信息保护法》”。尽管《数据安全法》和《个人信息保护法》都是在滴滴被实施网络安全审查以后才得以生效施行的,但根据我国《行政处罚法》第三十六条关于“违法行为在二年内未被发现的,不再给予行政处罚;涉及公民生命健康安全、金融安全且有危害后果的,上述期限延长至五年。法律另有规定的除外。前款规定的期限,从违法行为发生之日起计算;违法行为有连续或者继续状态的,从行为终了之日起计算。”的规定,持续性的违法行为从行为终了之日起两年内是完全可以给予行政处罚的。
当然针对上述两部法律生效之前即已存在的相关行为的法律适用问题仍然还有讨论空间,有待该案的更多涉案细节披露之后再行探讨。

细节四:受损用户如何主张权益

在《答记者问》一文披露出滴滴涉及8个方面的严重违法事实后,有用户在社交媒体上表达出个人信息遭受侵害后应该如何维权的疑惑。对此,我国《个人信息保护法》第六十九条已有规定“处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。前款规定的损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额。”,该条规定了推定过错责任,即个人信息处理者(包括了收集、存储、使用、加工、传输、提供、公开、删除等行为)不能举证证明自己没有过错的,即可推定其存在过错而应当承担侵权损害赔偿责任。也就是说,在能够举证证明个人信息因滴滴的违法行为造成损害的前提下,滴滴用户是可以通过上述法律规定获得法律救济的

细节五:还会有哪些后续问题

笔者在《答记者问》一文中注意到以下表述“此前,网络安全审查还发现,滴滴公司存在严重影响国家安全的数据处理活动,以及拒不履行监管部门的明确要求,阳奉阴违、恶意逃避监管等其他违法违规问题。滴滴公司违法违规运营给国家关键信息基础设施安全和数据安全带来严重安全风险隐患。因涉及国家安全,依法不公开”,这一内容表明涉案的违法行为很可能还涉及国家安全层面,所以目前还不能简单判定本次行政处罚就是网络安全审查的最后结果,尚不排除还会有其他后续措施,有待监管部门披露厘清。
滴滴被罚事件体现了我国不断加强在网络安全、数据安全、个人信息保护等方面的监管态势和执法力度,同时也给境内外互联网企业敲响了警示钟声,促使各方主体依法合规运营,健康规范有序发展。

邓勇专栏文章SPECIAL COLUMN

如何看待知网被实施网络安全审查?


从《关于防范NFT相关金融风险的倡议》看NFT的行业监管趋势


从典型案例看网络安全和个人信息保护领域的典型问题


新版《网络安全审查办法》有哪些值得关注的变化?


如何看待数据合规监管在平台经济健康发展中的重要意义


从Apache安全漏洞事件看《网络产品安全漏洞管理规定》的理解与适用


关于数据出境的几个理解问题


如何看待脱口秀的“抄袭”问题


NFT与知识产权保护究竟有什么关系?


从《喜剧之王2018》终止拍摄看影视作品的不正当竞争问题



注释(上下滑动阅览)


【1】https://baijiahao.baidu.com/s?id=1730847045015126138&wfr=spider&for=pc;【2】http://www.cac.gov.cn/2021-07/02/c_1626811521011934.htm;【3】http://www.cac.gov.cn/2021-07/16/c_1628023601191804.htm;【4】http://www.cac.gov.cn/2022-07/21/c_1660021534364976.htm;

媒体合作请联系Sharon市场合作、转载授权、专栏投稿、会议活动、发布招聘...


作者:邓勇

编辑:Sharon



点击图片查看文章

扫码购买观看(长期有效)

(www.pharmaip.cn)

(www.caiips.com)

(www.meddeviceip.com)

(www.giips.cn)

(www.ipforefront.com)

继续滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存