2022年7月21日,国家互联网信息办公室对滴滴全球股份有限公司依法做出网络安全审查相关行政处罚的决定。从去年6月内,滴滴公司因为违规赴美上市遭到产品下架、强制进行网络安全整改以来,闹得沸沸扬扬的的滴滴泄露个人信息事件终于落下了第一只靴子:滴滴公司收到了80.26亿元的公司罚单和100万元的个人罚单。从金额上看,这是《个人信息保护法》自颁布实施以来的最高额罚单,也是顶格处罚,滴滴公司为何会遭受顶格处罚?处罚的依据是什么?除了行政处罚,滴滴公司后续还可能面临哪些风险?本案对于我国数据及信息安全环境会带来哪些影响?本文将做一个简要的分析。
一、滴滴为何遭到顶格处罚?
根据网信办披露的信息,滴滴公司违法行为可谓是触目惊心,其中:
从数量上看,违法处理个人信息高达647.09亿条;
从类别上看,滴滴公司违法处理和泄露的信息共涉及8个方面:一是违法收集用户手机相册中的截图信息1196.39万条;二是过度收集用户剪切板信息、应用列表信息83.23亿条;三是过度收集乘客人脸识别信息1.07亿条、年龄段信息5350.92万条、职业信息1633.56万条、亲情关系信息138.29万条、“家”和“公司”打车地址信息1.53亿条;四是过度收集乘客评价代驾服务时、App后台运行时、手机连接桔视记录仪设备时的精准位置(经纬度)信息1.67亿条;五是过度收集司机学历信息14.29万条,以明文形式存储司机身份证号信息5780.26万条;六是在未明确告知乘客情况下分析乘客出行意图信息539.76亿条、常驻城市信息15.38亿条、异地商务/异地旅游信息3.04亿条;七是在乘客使用顺风车服务时频繁索取无关的“电话权限”;八是未准确、清晰说明用户设备信息等19项个人信息处理目的;
从性质上看,网信办在披露案件内容的时候,措辞严厉,使用了诸如:“滴滴公司存在严重影响国家安全的数据处理活动,以及拒不履行监管部门的明确要求,阳奉阴违、恶意逃避监管等其他违法违规问题。滴滴公司违法违规运营给国家关键信息基础设施安全和数据安全带来严重安全风险隐患。因涉及国家安全,依法不公开。”这样严厉的表述。滴滴公司违法处理或泄露的个人信息涉及国家安全和关键信息基础设施安全,特别是部分信息在滴滴公司去年赴美上市知识可能已经泄露到境外,后续可能会给国家安全带来不可估量的风险。
基于滴滴公司上述违法事实无论是涉案信息的数量,情节恶劣程度,造成影响波及的范围,都属于及其严重的等级,所以网信办此次给予滴滴集团重罚。
二、处罚滴滴公司的法律依据
从网信办公布的信息可以看出,这也是网络及数据安全领域三驾马车——《网络安全法》《数据安全法》《个人信息保护法》颁布以来,网信办少有的同时适用三部法律展开调查并进行处罚的案例。从目前公开披露的滴滴公司违法情节及三部法律的处罚力度来看,应当是适用了最为严厉的《个人信息保护法》相关规定。
根据《个人信息保护法》第六十六条:“违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的……情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。”
此次滴滴公司违法处理及可能泄露的个人信息除了数量庞大以外,很多还都是《个保法》第二十八条规定的“敏感个人信息”,该类信息与我们日常人身、财产安全和私人生活安宁密切相关,例如我们的人脸特征、职业信息、通话内容、手机输入信息、特定活动地点的位置信息等等,这些信息被滴滴公司过度收集,过度处理,将会给我们的个人生活带来严重的隐患。比如滴滴公司可以通过匹配人脸和用户登记信息记录我们的面部特征从而实现对我们个人的精准识别;通过记录我们在网约车软件中常用的上下车地点,结合我们在乘车过程中的通话记录和文字输入记录经过大数据分析,判断我们的职业和工作地点、家庭住址,如果某些用户是在涉密部门工作,这种分析结果一旦被“有心之人”获取,将会泄露保密部门的位置信息,甚至是泄露国家秘密,细思极恐。
鉴于滴滴公司涉案情节、造成后果的严重性,网信办适用《个保法》,按照滴滴公司2021年度营收额为基数,处以不超过5%,高达80.26亿元的顶格罚款,按照这个金额我们也可以反推,滴滴公司全年的营业额高达1600亿,如此体量的互联网平台巨头,却无视国家网络与数据安全的监管要求,犯下如此大错,确实不应该。
三、另一只靴子会不会落地
网信办本次对滴滴公司开出的天价罚单,只是行政处罚,第一只靴子已经落地,那么滴滴公司是否还会受到其他处罚?会不会有另一只靴子落地?笔者认为可能性很大。
首先是民事责任,数量如此庞大,波及面如此之广的个人信息泄露事件,几乎可以肯定会对部分自然人造成损害,根据《个保法》第六十九条,侵害个人信息的侵权责任适用过错推定原则,如果自然人有证据证明自己的个人信息被滴滴公司过度收集利用,甚至是不当传输至境外,造成了损害,可以直接要求滴滴公司进行民事赔偿,此时应由滴滴公司证明自己在处理信息的过程中不存在过错,即所谓的“自证清白”。现在网信办处罚已定,滴滴公司存在过错也已经是板上钉钉,可以说,追究滴滴公司民事责任的条件已经成就。
考虑到此次事件中涉及的个人信息数量巨大,牵涉的主体必然也是海量,实际上已经符合《个保法》第七十条规定的提起“公益诉讼”的条件,后续人民检察院、消保委、网信办确定的组织都有可能直接提起公益诉讼,向滴滴公司主张赔偿。
其次是刑事责任,从网信办公布的数据可以看出,滴滴公司违法处理了647.09亿条信息,这其中如果有大量的信息被泄露甚至是非法提供给境外机构,性质就不是简单的行政处罚和民事责任了,滴滴公司和直接责任人员可能会承担刑事责任。
根据《个保法》第七十一条,违反个人信息保护规定,构成犯罪的,依法追究刑事责任。
又根据《刑法》第二百五十三条之一 :“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。
窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。
单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”
虽然目前为止还没有看到公安或国安机关对滴滴公司立案调查的进一步报道,但是数百亿的个人信息不当处理,未经网信部门和国安部门同意擅自赴美上市,如果存在非法获取并识别、利用个人信息,对用户进行精准画像,甚至获取国家保密单位地址,国家秘密,如果在赴境外上市过程中,还存在大量的敏感个人信息、国家秘密被境外组织获取这样严重的情形,那么几乎可以确认,滴滴公司及相关责任人将难逃刑责,当然一切都要以公安或者国安机关的调查结论为准,让我们一起关注本次事件的后续进展。
四、结语
80.26亿元的天价罚单,乍一看来,似乎是一个惊天数字,但是这个金额和滴滴公司的体量及事件造成的危害相比,并不算高,但足以载入史册。
去年6月份的滴滴赴美上市被紧急叫停事件到了今天,有了一个中期的答案,但是这绝不是一个结束,这只是一个开始,去年6月份开始,滴滴事件似乎成为了中国网络与信息安全立法的催化剂,从彼时彼刻开始,大量涉及到信息安全、网络安全、数据出境监管的法律、法规、规章、国家标准密集出台,凸显出国家保护网络与数据安全的决心,亡羊补牢,未为晚矣。网络与数据安全已经上升到国家安全,经济安全的高度,如何加强监管都不为过。随着配套法律法规、国家标准的出台,宝剑已经铸就,滴滴公司“荣幸”成为了第一个试剑人,教训不可谓不惨痛。
滴滴事件终归会尘埃落定,但是数据合规之弦必须时刻紧绷,达摩克里斯之剑永远悬在头顶,希望所有从事此类行业的市场主体以此为戒,真正做到依法合规运营,健康有序发展。
