2022年7月21日,国家网信办宣布依法对滴滴全球股份有限公司(以下简称滴滴公司)作出网络安全审查相关行政处罚,因其违反《网络安全法》《数据安全法》《个人信息保护法》(以下或分别简称《网安法》《数安法》《个保法》)等法律法规,触及16项违法行为,包括非法收集用户信息、图像及其他个人信息等,对滴滴公司处人民币80.26亿元罚款,对滴滴公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款。本次罚款系我国网络数据安全及个人信息保护领域最高罚单,颇受市场关注。
罚单的开具标志着网信办对滴滴公司持续半年多的网络安全审查告一段落,靴子落地后,相关监管执法标准及影响判断,有待进一步观察。本文将对处罚情况进行简要梳理,并阐述我们的一个新理解和两个展望。
一、“滴滴”处罚情况
(一)违法行为认定
根据网信办负责人“答记者问”透露,本次处罚的违法行为主要有:严重影响国家安全的数据处理活动、拒不履行监管部门的明确要求,违反网络安全、数据安全和个人信息保护法定义务等。
个人信息保护方面,滴滴公司存在8个方面,16项违法事实:
(a)违法收集用户手机相册中的截图信息1196.39万条
违法行为:违法收集个人信息
违反法律法规:《网安法》第41条、《个保法》第7条、《常见类型移动互联网应用程序必要个人信息范围规定》
(b)过度收集用户剪切板信息、应用列表信息83.23亿条
违法行为:违法过度收集个人信息,违反最小必要原则
违反法律法规:《个保法》第6条
(c)过度收集乘客人脸识别信息1.07亿条、年龄段信息5350.92万条、职业信息1633.56万条、亲情关系信息138.29万条、“家”和“公司”打车地址信息1.53亿条
违法行为:违法过度收集敏感个人信息,违反最小必要原则
违反法律法规:《个保法》第6条、第29条、第30条、《常见类型移动互联网应用程序必要个人信息范围规定》、《App违法违规收集使用个人信息行为认定方法》第四条
(d)过度收集乘客评价代驾服务时、App后台运行时、手机连接桔视记录仪设备时的精准位置(经纬度)信息1.67亿条
违法行为:违法过度收集敏感个人信息
违反法律法规:《个保法》第6条、第29条、第30条
(e)过度收集司机学历信息14.29万条,以明文形式存储司机身份证号信息5780.26万条
违法行为:违法过度收集个人信息,违反最小必要原则,敏感个人信息存储未采取必要保护措施
违反法律法规:《个保法》第6条、第51条、《GB/T35273个人信息安全规范》6.2项(去标识化)
(f)在未明确告知乘客情况下分析乘客出行意图信息539.76亿条、常驻城市信息15.38亿条、异地商务/异地旅游信息3.04亿条
违法行为:利用个人信息自动化决策未能保证透明度、算法推荐未履行告知义务
违反法律法规:《个保法》第24条、《互联网信息服务算法推荐管理规定》第16条、《移动互联网应用程序个人信息保护管理暂行规定》第8条
(g)在乘客使用顺风车服务时频繁索取无关的“电话权限”
违法行为:过度收集个人信息,频繁、过度索取非必要功能权限
违反法律法规:《个保法》第6条、《常见类型移动互联网应用程序必要个人信息范围规定》第3条、《移动互联网应用程序个人信息保护管理暂行规定》第7条(3)、《App违法违规收集使用个人信息行为认定方法》第四条
(h)未准确、清晰说明用户设备信息等19项个人信息处理目的
违法行为:未告知处理目的处理个人信息
违反法律法规:《个保法》第17条、《App违法违规收集使用个人信息行为认定方法》第二条
(二)处罚金额依据
本次对滴滴公司罚款金额高达80.26亿,虽暂未公开具体计算方式,但根据“答记者问”本次滴滴处罚的依据是《网安法》《数安法》《个保法》《行政处罚法》等法律法规。考虑到罚款金额的确巨大,我们初步理解,很可能是依据《个保法》第六十六条,以滴滴公司上一年度营业额百分之五的比例处罚。
《网安法》第六十四条规定,网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定,侵害个人信息依法得到保护的权利的,最高可处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款。
《数安法》第四十五条规定,开展数据处理活动的组织、个人不履行本法第二十七条、第二十九条、第三十条规定的数据安全保护义务的,最高可处五十万元以上二百万元以下罚款;违反国家核心数据管理制度,危害国家主权、安全和发展利益的,由有关主管部门处二百万元以上一千万元以下罚款。
第四十六条规定,违反本法第三十一条规定,向境外提供重要数据的,最高可处一百万元以上一千万元以下罚款。
《个保法》第六十六条规定,违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,情节严重的,最高可处五千万元以下或者上一年度营业额百分之五以下罚款。
滴滴公司今年5月公布的2021年度财报信息显示,2021年全部可并表的实体总营收为1738.27亿人民币,80.26亿元约占年度总营收的4.6%。
二、一个新理解:《个人信息保护法》中违法行为认定
我国《行政处罚法》第三十六条、第三十七条规定了行政处罚适用法律“从旧兼从轻”的原则,适用违法行为发生时的法律、法规、规章的规定。同时,对于“违法行为有连续或者继续状态的”,可能存在适用违法行为持续期间生效的“新法”的空间。
本次处罚的滴滴公司违法行为最早开始于2015年6月,但网信办认定违法行为及罚款金额依据的《网络安全法》《数据安全法》《个人信息保护法》分别实施于2017年6月、2021年9月和11月。结合前述分析,处罚金额很可能依据的是2021年11月起生效的《个保法》第六十六条。处罚公告显示,多项违法行为涉及的个人信息数量巨大,我们理解,本次处罚的不只是2021年11月之后违法处理个人信息的行为。
由此可能会引发疑问:如何理解违法收集个人信息行为的连续或继续状态?换言之,违法收集个人信息行为是否当然具有持续性?
首先,即使对某个数据主体进行持续多次的收集行为,每次的收集行为都能独立获取特定信息、产生对数据权益的影响,相互没有必然关联性,对多个数据主体的收集行为更是多次独立的行为。每次违法收集行为不存在连续状态。其次,若发生在《个保法》生效前的违法收集个人信息行为均适用《个保法》处罚,目前尚无依据此种观点的处罚案例,且否定了违法处理者对违法行为整改、补救的意义,反而降低了《个保法》保护效应。最后,违法收集行为继续状态不等同于数据获取动作的持续性,可能是包含了违法收集造成的继续性影响。
结合本次处罚公告,对于《个保法》下违法行为的认定和处罚,我们有如下理解:
(1)违法违规处理个人信息在影响后果上具有持续性,若个人信息处理者未将相关个人信息删除或匿名化处理,可能会被执法机构认定为违法行为处于继续状态。
在违法收集/过度收集方面:由于个人信息等数据具有虚拟性、关联性、可复制性等特性,不当收集后,处理者就对该信息随时具有支配能力,个人信息主体的知情同意等权利也就一直受到了实质的侵害。若个人信息被删除或进行了匿名化处理,使其丧失了可识别性,违法/过度收集行为的违法状态不再继续。
在违法使用方面,如使用自动化决策未保证透明度和结果公平、公正的:由于机器学习和算法推荐过程的专业性、黑箱化特征,法律很难对算法本身进行事后审查,因此法律有必要在事前进行一些纠偏性的权利义务分配,以达实质性的个人信息保护。企业在建立用户画像后,用户的账户既已标注了关联标签信息,后续调用时难以避开;同时,也普遍存在利用用户画像间接进行数据模型测算等数据训练工作的情形,不当获取这部分数据价值,利益或损失均难以被准确评估。
更进一步,对于App运营者、平台型互联网企业等,由于常涉及海量个人信息,违法违规处理个人信息的持续性影响可能更大。
(2)应对个人信息保护乃至于数据安全的法律法规要求,相关企业整改落实动作应更彻底。对于法规文件施行前已收集处理的数据,若授权来源存在法律瑕疵,仍可能被监管执法部门要求整改及/或苛以罚款处罚。建议企业全面梳理已收集的数据信息,及时对授权瑕疵的数据进行删除或匿名化处理。
三、两个市场展望:海外上市及平台经济监管
(一)海外上市企业网络安全审查靴子落地
2022年2月15日生效的《网络安全审查办法》规定,个人信息超过100万用户的网络平台经营者在国外上市前应申报网络安全审查。经审查研判影响国家安全的,将被终止海外上市程序,并极可能因多重违法行为受到行政处罚。此前,鉴于网络安全审查中相关界定、违法风险尚有很大不确定性,部分拟赴海外上市企业以此回避了对网络安全审查影响的相关披露。
如,
(1)见知教育(JZ.US)于2022年7月向SEC递交招股说明书,拟在美国纳斯达克上市,其招股说明书中披露了部分关于“网络安全审查”的风险因素:
见知教育认为其不存在需要进行网络安全审查的情形,同时,《办法》将如何解释或实施、网信办是否会出台详细实施和解释,以及网络安全审查可能会造成的何种处罚后果,仍存在不确定性。
(2)蔚来汽车于2022年5月20日在新加坡交易所介绍上市,其招股说明书中关于“网络安全审查”风险因素披露如下:
蔚来汽车认为,网络安全审查的相关定义尚不清晰明确,《网络安全审查办法》的解释、适用和执行也存在很大不确定性。同时,蔚来汽车认为其截至招股说明书出具之日,不具有任何违反网络安全或数据安全的情形。
本次滴滴处罚事件后,网络安全审查的可适用情形、审查依据更为明确,涉及国家安全的违法行为的后果有一定的可参考性。全球各国对数据资产价值日益重视,国家安全与数据安全的关注度持续加强。越来越多的中国企业境外上市过程中,会遇到严格的网络数据安全审查。同时,境外交易所等监管部门也对安全审查的后果愈发关注,客观上给拟上市企业带来信息披露压力。可以预见,未来中概股赴国外上市时,披露涉及网络安全审查的法律风险需更为严谨。倘仍以规范和执法标准不明确为理由,回避对网络安全与数据保护法规的理解和风险披露,可能有违信息披露要求。
(二)平台经济监管透明度渐强、监管促发展更趋常态化
第一,平台经济监管透明度逐渐清晰。
滴滴公司违反《网络安全法》《数据安全法》《个人信息保护法》等多部法律法规,处罚公告列明的违法行为详实,处罚的依据较为透明。近些年,大型互联网企业受罚款金额比例也逐渐清晰,此次滴滴罚款约为年营收的的4.6%,与阿里巴巴(BABA.US)及美团(3690.HK)的罚款占收入的比例相近(阿里巴巴罚款约占其2019年中国境内收入的4%,美团罚款约占其2020年中国境内收入的3%)。本次处罚不仅有警示作用,也有利于引导互联网企业合规展业,找准合规标准,依法依规经营发展。促进企业规范健康发展。
第二,平台经济监管政策更侧重常态化规范。
近些年,由于平台型互联网企业自身的双边市场及规模经济的特性,叠加大数据处理和算法技术可能产生的广泛影响,我国监管部门对大型互联网企业公平竞争和数据安全规制力度明显加强。如,2020年,蚂蚁金服暂缓上市;2021年,市场监管总局对阿里集团处罚182亿元人民币等。
我们注意到,随着反垄断及网络数据安全执法整改措施的落地,部分互联网平台企业已逐渐重视规模经济中业务合规要求、强化数据安全保护制度,以避免因数据规模而引发的“原罪性”认定。同时,结合多项政策性文件内容(详见下图“平台经济监管政策节选”),我们理解,今年我国平台经济监管政策的重点更加明晰,逐渐以支持和引导资本规范健康发展、维护公平竞争和落实数据安全保护为方向,更侧重于促“发展”,保持“监管常态化”。
相较于去年阿里因“二选一”领到182.28亿元的我国反垄断执法史上最高罚单,此前市场预期滴滴公司已经预留100亿元人民币用于潜在罚款,本次80.26亿元的处罚力度略低于市场预期,且,因行政处罚一事不再罚原则,涉及网络安全、数据安全等违法行为不会再受二次处罚,滴滴的主要违法罚款金额已落地。此次处罚一定程度上,顺应了4月29日中央政治局会议提出的“要促进平台经济健康发展,完成平台经济专项整改,实施常态化监管,出台支持平台经济规范健康发展的具体措施”精神。
我们相信,未来平台经济监管将更加规范、透明、可预期,会更兼顾平台经济规模效应与公平竞争和数据安全保护责任。长期来看,相关平台型企业做好规范化合规操作,重视自身数据资产梳理和保护义务,落实平台数据安全责任,将更符合平台经济监管政策,实现健康有序发展。
结 语
“东隅已逝,桑榆非晚”。滴滴公司因多项数据违法行为受到严厉处罚,罚款金额巨大,但靴子落地,有利于其自身整改甚至后续资本市场融资,也为其他企业指引了数据安全保护的监管态势。我们建议,企业应做好数据领域合规风险筛查工作,尤其对涉及国家安全或个人信息保护的不合规行为,应及时整改(包括删除或匿名化有关数据等),避免历史违法行为被高额处罚。同时,拟境外上市企业应及时关注我国网络数据安全监管最新政策,准确评估自身是否需进行网络安全审查及相应的后果,补强该领域的风险评估和披露工作。另外,平台经济监管标准趋明晰,有利于平台型互联网企业健康有序发展,相关企业可注意把握近期平台经济监管的积极信号。