评析:滴滴错在哪了?
7月21日,国家网信办公布对滴滴全球股份有限公司(以下简称“滴滴公司”)依法作出网络安全审查相关行政处罚决定,对滴滴公司处以80.26亿元罚款,对董事长兼CEO程维、总裁柳青各处以100万元罚款。“滴滴事件”终于告一段落。
本文以国家网信办发布的决定为依据,结合《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》《网络安全审查办法》等法律、行政法规、部门规章的规定,简要对“滴滴事件”进行分析,供读者参考。
一、滴滴事件回顾
2021年6月30日,在向美国证券委员会递交招股书20天后,滴滴出行公司宣布正式在纽交所上市。
2021年7月2日,网络安全审查办公室按照《网络安全审查办法》,宣布对滴滴出行公司实施网络安全审查。
2021年7月4日,国家网信办宣布,经检测核实“滴滴出行”App存在严重违法违规收集使用个人信息问题,依据《网络安全法》相关规定,通知各大应用商店下架“滴滴出行”App。
2021年7月16日,国家网信办会同公安部、国家安全部、自然资源部、交通运输部、国家税务总局、国家市场监管总局等部门联合进驻滴滴出行公司,开展网络安全审查。
2021年12月3日,滴滴出行公司发布消息称,公司即日起启动在纽约交易所退市的工作,并启动在香港上市的准备工作。
2022年5月23日,滴滴出行公司发布公告称,公司已经向纽交所提交退市意向,并将推进从纽交所退市的工作流程。
2022年7月21日,国家网信办公布对滴滴公司的行政处罚决定。
二、滴滴公司的相关行为是否属于我国网络安全审查范围
根据国家网信办的公告,滴滴公司共存在八个方面的违法违规事实:
一是违法收集用户手机相册中的截图信息1196.39万条;
二是过度收集用户剪切板信息、应用列表信息83.23亿条;
三是过度收集乘客人脸识别信息1.07亿条、年龄段信息5350.92万条、职业信息1633.56万条、亲情关系信息138.29万条、“家”和“公司”打车地址信息1.53亿条;
四是过度收集乘客评价代驾服务时、App后台运行时、手机连接桔视记录仪设备时的精准位置(经纬度)信息1.67亿条;
五是过度收集司机学历信息14.29万条,以明文形式存储司机身份证号信息5780.26万条;
六是在未明确告知乘客情况下分析乘客出行意图信息539.76亿条、常驻城市信息15.38亿条、异地商务/异地旅游信息3.04亿条;
七是在乘客使用顺风车服务时频繁索取无关的“电话权限”;
八是未准确、清晰说明用户设备信息等19项个人信息处理目的。
另外,滴滴公司还存在严重影响国家安全的数据处理活动,以及拒不履行监管部门的明确要求、逃避监管等其他违法违规问题。
从国家网信办的上述公告可以看出,滴滴公司的违法行为涉及对用户精准位置(经纬度)信息的收集、对用户人脸、年龄、职业、学历、身份证号等多种生物信息和敏感信息的收集,对用户设备剪切板、应用信息列表、通话信息等其他信息的收集,以及未经用户允许对用户信息进行分析等数据处理行为,给国家关键信息基础设施安全和数据安全带来严重安全风险隐患。
根据我国对网络安全审查的相关规定,以下两类当事人需要进行网络安全审查:(1)关键信息基础设施运营者采购网络产品和服务,影响或者可能影响国家安全的;(2)网络平台运营者开展数据处理活动,影响或者可能影响国家安全的。滴滴公司的相关行为是网络平台运营者开展的数据处理活动,影响或者可能影响国家安全,属于网络安全的审查范围。
三、对滴滴公司的审查时长是否符合
相关法律、法规的规定
从2021年7月16日多部门联合进驻滴滴出行公司开展网络安全审查,到2022年7月21日国家网信办公布对滴滴公司的行政处罚决定,对滴滴公司的网络安全审查历时一年有余,这是否符合相关规定?
根据我国对网络安全审查的相关规定,开展网络安全审查需要经过以下程序:
1
网络安全审查办公室自向当事人发出书面通知之日起30个工作日内完成初步审查,包括形成审查结论建议和将审查结论建议发送网络安全审查工作机制成员单位、相关部门征求意见;情况复杂的,可以延长15个工作日。
2
网络安全审查工作机制成员单位和相关部门应当自收到审查结论建议之日起15个工作日内书面回复意见。
3
网络安全审查工作机制成员单位、相关部门意见一致的,网络安全审查办公室以书面形式将审查结论通知当事人;意见不一致的,按照特别审查程序处理,并通知当事人。
4
按照特别审查程序处理的,网络安全审查办公室应当听取相关单位和部门意见,进行深入分析评估后再次形成审查结论建议,并征求网络安全审查工作机制成员单位和相关部门意见,报中央网络安全和信息化委员会批准后,形成审查结论并书面通知当事人。
从以上程序可以看出,如果案情简单,经初步审查45个工作日(30日初步审查+15日成员单位回复意见)即可通知当事人审查结论;如果案情复杂,初步审查可以延长15个工作日,审查共需要60个工作日;如果成员单位意见不一致,则需要经过特别审查程序,一般应在90个工作日内完成,即在前述45(60)个工作日基础上再增加90个工作日;情况复杂的,特别审查程序的用时可以延长。另外,网络安全审查办公室要求提供补充材料的,提交时间不计入审查时间。
公开资料显示,滴滴公司是全球最大的出行技术平台,拥有4.93亿名年活跃用户,日均4100万名交易用户,在全球16个国家超过4000座城市开展业务,核心平台总交易额达2440亿元,年活跃司机达1500万人。
从滴滴公司超大的体量来判断,对其进行网络安全审查至少需要上述初步审查程序及特别审查程序的150个工作日,再考虑到补充材料所需的时间,历时一年得出审查结论并作出行政处罚,应当属于正常情况,符合我国《网络安全审查办法》的相关规定。
四、对滴滴公司的处罚决定是否符合
相关法律、法规的规定
国家网信办根据审查结论,最终作出对滴滴公司处以80.26亿元罚款,对董事长兼CEO程维、总裁柳青各处以100万元罚款的行政处罚。
从前面的分析可以看出,滴滴公司的违法行为涉及对用户精准位置(经纬度)信息、人脸、设备等多种个人生物信息、敏感信息等的收集及分析,数据量达几十亿条;同时,滴滴公司还存在严重影响国家安全,以及拒不履行监管部门的明确要求、逃避监管等其他违法违规问题,应当从严从重予以处罚。
根据《个人信息保护法》第六十六条规定,违法处理个人信息或者处理个人信息未履行法定个人信息保护义务的,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
从上述法律规定来看,对滴滴公司的罚款是根据其营业额来确定的。目前国家网信办并未公布如何认定滴滴公司上一年度的营业额,但从滴滴公司核心平台2440亿元总交易额来看,80.26亿元的罚款并未超出法律规定的营业额5%以内的范围。
同时,对滴滴公司的处罚也体现了党和国家“惩前毖后、治病救人”的相关政策,只对其处以罚款,并未采用责令停业、吊销营业执照等其他处罚手段。一方面,对于危害国家网络安全和数据安全、侵害公民个人信息等违法行为,国家要坚决予以处理,毫不动摇;另一方面,国家也要促进平台企业健康发展,保证经济稳定运行。对滴滴公司的处罚决定体现了国家宽严相济的执法理念。
五、是否会对滴滴公司及其相关责任人
追究刑事责任
从国家网信办的通报来看,滴滴公司的违法违规行为“情节严重、性质恶劣”,相关负责人答记者问时措辞严厉。大家纷纷猜测:会不会追究滴滴公司的刑事责任?
需要说明的是,开展刑事侦查、追究刑事责任属于公安侦查部门的职权范围。尽管此次公安部也参与了对滴滴公司的网络安全审查,但其是作为网络安全审查工作的成员单位参与其中,更多体现的是其在网络安全审查中的行政职能。
当然,如果在此次网络安全审查中发现滴滴公司及相关责任人的犯罪线索,国家网信办会将线索移交相关部门进行处理。根据法律法规的相关规定,如果滴滴公司的行为构成侵犯公民个人信息罪,滴滴公司及其相关责任人应依法被追究刑事责任。
六、下一家被处罚的互联网企业会是谁
从国家网信办的通告来看,今后网信部门将依法加大网络安全、数据安全、个人信息保护等领域的执法力度,切实维护国家网络安全、数据安全和社会公共利益,有力保障广大人民群众的合法权益,做到查处一案、警示一片,教育引导互联网企业依法合规运营,促进企业健康规范有序发展。
滴滴公司存在的违法行为不是个案,这些违法行为甚至是互联网企业的通病。在我国互联网产业的发展历程中,受益于宽松的乃至鼓励性的政策环境,互联网企业获得了飞速发展,给我国的经济带来了全新的发展模式,改变了人们的生活方式和交易习惯,极大提升了人们学习、工作、生活的便利性。
但人们享受科技红利的同时,互联网企业的大规模扩张也给社会经济和网络安全,甚至给国家安全带来了巨大的危机。国家正在加强对“巨无霸”互联网企业的监管,要求其健康、规范、有序发展。阿里公司被罚款182亿元、腾讯音乐放弃独家版权……,一系列事件宣告对互联网企业的强监管时代已经到来,并将伴随着国家进入新的发展阶段持续很长一段时间。滴滴公司可能不会是最后一家被处罚的互联网企业,也希望其他互联网企业能引以为戒,规范经营。
(本文作者:盈科王俊林、石陇辉律师 来源:微信公众号 盈科北京办公室)