搜索業務

滴滴“破財免災”?不存在的

發布時間:2022.07.28點擊次數:274

2021年7月21日,一則消息轟炸了萬能的朋友圈,國家互聯網信息辦公室發布了對滴滴全球股份有限公司依法作出網絡安全審查相關行政處罰的決定,國家互聯網信息辦公室依據《網絡安全法》《數據安全法》《個人信息保護法》《行政處罰法》等法律法規,對滴滴全球股份有限公司處人民幣80.26億元罰款,對滴滴全球股份有限公司董事長兼CEO程維、總裁柳青各處人民幣100萬元罰款。
根據國家互聯網信息辦公室有關負責人答記者問的文章表述中我們可以看出,本次處罰是2021年7月是網安辦進行網絡安全審查的靴子落地,不同于阿里巴巴2021年4月份受處罰的182.28億元,阿里在靴子落地后股價反而上漲,滴滴公司本次的處罰倒像是一次“最后的警告”,在越過行政處罰的紅線后,如不及時改正,等待滴滴、程維、柳青的可能就是“破財”也不能免除的刑事責任。


“破財”處罰是對滴滴侵犯個人信息的警告,也是對企業數據合規的啟示。


首先,根據滴滴今年4月份公布的財報,其2021年總營收為人民幣1738,3億元,其中中國區域業務營收為1605.2億元,那么“兩滴”80.26億元恰巧為2021年度中國區域營業額的5%,而程維、柳青各處人民幣100萬元罰款。
根據《中華人民共和國個人信息保護法》第六十六條的規定 ,結合對程維、柳青、滴滴全球股份有限公司的處罰,該次處罰堪稱“個保處罰雙項天花板”。故而除了引起網絡上吃瓜群眾圍觀吃瓜的同時,我想這也給滴滴公司敲響了警鐘,我們國家確實已經做到了在規范市場經濟行政執法上“有法可依且有法必依”,其次也透露出了國家對于保護信息安全的決心。
根據國家互聯網信息辦公室披露的違法事實來看,滴滴公司共存在16項違法事實,歸納起來為8方面,一是違法收集用戶手機相冊中的截圖信息1196.39萬條;二是過度收集用戶剪切板信息、應用列表信息83.23億條;三是過度收集乘客人臉識別信息1.07億條、年齡段信息5350.92萬條、職業信息1633.56萬條、親情關系信息138.29萬條、“家”和“公司”打車地址信息1.53億條;四是過度收集乘客評價代駕服務時、App后臺運行時、手機連接桔視記錄儀設備時的精準位置(經緯度)信息1.67億條;五是過度收集司機學歷信息14.29萬條,以明文形式存儲司機身份證號信息5780.26萬條;六是在未明確告知乘客情況下分析乘客出行意圖信息539.76億條、常駐城市信息15.38億條、異地商務/異地旅游信息3.04億條;七是在乘客使用順風車服務時頻繁索取無關的“電話權限”;八是未準確、清晰說明用戶設備信息等19項個人信息處理目的。
滴滴的違法行為主要集中于“違法收集信息”、“過度收集信息”及“未盡到數據安全處理義務”等,違反了《網絡安全法》《個人信息保護法》及《數據安全法》等,具體的違反的法條筆者已附在文章最后,這里要給企業的提示是,雖然數據很重要且已被納入生產要素,但是數據收集與處理的“最小必要性”“敏感信息處理”“禁止大數據殺熟”“數據脫敏”等即使是滴滴這樣的頭部企業也依然未能做好。頭部企業不知道這些合規要求嗎?他們沒有聘請專業的法律顧問或是企業的法務沒有提示風險嗎?我想不是的,更有可能的是基于商業利益的考慮而愿意冒所謂的風險,畢竟相較于5%年收入的罰款,這樣的決策在單純經濟利益的考量中明顯能給滴滴公司帶來更大的經濟利益,但數據安全、個人信息的紅線不能越,我們國家也不會允許任何一個企業可以為了經濟利益而侵害我們的國家安全、公民隱私。雖然本次滴滴已經“破財”,但未必就能免災。

“免災”?最后的紅線不允許逾越


許多企業在數據合規中側重于對行政處罰的風險防范,但時常忽略對于企業數據合規中刑事風險的注意。
根據網信辦中答記者問中的表述中,我們可以得知,網信辦除了對行政處罰的違法事實定性的同時,也并未將滴滴公司的刑事風險排除在外,為何說本次滴滴公司“破財不一定免災”呢?

且讓我們細細分析一下網信辦發言人的表述:

其一是“此前,網絡安全審查還發現,滴滴公司存在嚴重影響國家安全的數據處理活動,以及拒不履行監管部門的明確要求,陽奉陰違、惡意逃避監管等其他違法違規問題。滴滴公司違法違規運營給國家關鍵信息基礎設施安全和數據安全帶來嚴重安全風險隱患。因涉及國家安全,依法不公開。在監管部門責令改正情況下,仍未進行全面深入整改,性質極為惡劣?!?/span>

其二是“此次對滴滴公司的網絡安全審查相關行政處罰,與一般的行政處罰不同,具有特殊性。滴滴公司違法違規行為情節嚴重,結合網絡安全審查情況,應當予以從嚴從重處罰。一是從違法行為的性質看,滴滴公司未按照相關法律法規規定和監管部門要求,履行網絡安全、數據安全、個人信息保護義務,置國家網絡安全、數據安全于不顧,給國家網絡安全、數據安全帶來嚴重的風險隱患,且在監管部門責令改正情況下,仍未進行全面深入整改,性質極為惡劣?!?/span>


根據上述表述,涉及到滴滴公司此次可能觸及的刑事處罰,筆者認為其中最有可能觸及到的刑事責任為拒不履行信息網絡安全管理義務罪。

網絡服務提供者不履行法律、行政法規規定的信息網絡安全管理義務,經監管部門責令采取改正措施而拒不改正,有下列情形之一的,處三年以下有期徒刑、拘役或者管制,并處或者單處罰金:

(一)致使違法信息大量傳播的;

(二)致使用戶信息泄露,造成嚴重后果的;

(三)致使刑事案件證據滅失,情節嚴重的;

(四)有其他嚴重情節的。

單位犯前款罪的,對單位判處罰金,并對其直接負責的主管人員和其他直接責任人員,依照前款的規定處罰。


目前并沒有從官方的報道中看出來滴滴違反刑法的第二百八十六條里的前三款的情形,所以來評定滴滴是否觸犯了刑法第二百八十六條,主要看其違法的結果是否符合第四款里的“其他情形”。根據《最高人民法院、最高人民檢察院關于辦理非法利用信息網絡、幫助信息網絡犯罪活動等刑事案件適用法律若干問題的解釋》,我們可以大致推斷出來滴滴最容易符合的是其中第二款“二年內經多次責令改正拒不改正的”、第五款“致使信息網絡服務被用于實施危害國家安全犯罪、恐怖活動犯罪、黑社會性質組織犯罪、貪污賄賂犯罪或者其他重大犯罪的”以及第七款“其他嚴重違反信息網絡安全管理義務的情形”,當結合法條與網信辦的表述,我們只是知道滴滴的數據有關國家安全,但是具體情況并沒有看出違法跡象。不過其中第二款,我們卻可以從公開表達中看出一些端倪,目前公開信息明確表示,滴滴在監管部門責令改正的情況下,調查的信息,但如果真的進入偵查階段,目前調查組所發現的證據,調查的結果很有可能作為“呈堂證供”出現在法庭之上,而單位犯本罪的,其直接負責的主管人員和其他直接責任人員,也逃不開牢獄之災。
數據合規的“達摩克里斯之劍”已懸于滴滴項上。即使是滴滴這樣行業中的頭部企業,雖然會有重大的社會影響,但是我們的國家還是毫不猶豫地出手了,這一次的處罰,體現了國家對于保障國家網絡安全、數據安全和社會公共利益的決心,且讓我們,靜待未來。





???

相關法律依據


《中華人民共和國個人信息保護法》

第六十六條 違反本法規定處理個人信息,或者處理個人信息未履行本法規定的個人信息保護義務的,由履行個人信息保護職責的部門責令改正,給予警告,沒收違法所得,對違法處理個人信息的應用程序,責令暫?;蛘呓K止提供服務;拒不改正的,并處一百萬元以下罰款;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。

有前款規定的違法行為,情節嚴重的,由省級以上履行個人信息保護職責的部門責令改正,沒收違法所得,并處五千萬元以下或者上一年度營業額百分之五以下罰款,并可以責令暫停相關業務或者停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照;對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款,并可以決定禁止其在一定期限內擔任相關企業的董事、監事、高級管理人員和個人信息保護負責人。

第四十七條 有下列情形之一的,個人信息處理者應當主動刪除個人信息;個人信息處理者未刪除的,個人有權請求刪除:

(一)處理目的已實現、無法實現或者為實現處理目的不再必要;

(二)個人信息處理者停止提供產品或者服務,或者保存期限已屆滿;

(三)個人撤回同意;

(四)個人信息處理者違反法律、行政法規或者違反約定處理個人信息;

(五)法律、行政法規規定的其他情形。

法律、行政法規規定的保存期限未屆滿,或者刪除個人信息從技術上難以實現的,個人信息處理者應當停止除存儲和采取必要的安全保護措施之外的處理。

?

第三十九條 個人信息處理者向中華人民共和國境外提供個人信息的,應當向個人告知境外接收方的名稱或者姓名、聯系方式、處理目的、處理方式、個人信息的種類以及個人向境外接收方行使本法規定權利的方式和程序等事項,并取得個人的單獨同意。

?

第四十條 關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的個人信息處理者,應當將在中華人民共和國境內收集和產生的個人信息存儲在境內。確需向境外提供的,應當通過國家網信部門組織的安全評估;法律、行政法規和國家網信部門規定可以不進行安全評估的,從其規定。

?

第三十八條 個人信息處理者因業務等需要,確需向中華人民共和國境外提供個人信息的,應當具備下列條件之一:

(一)依照本法第四十條的規定通過國家網信部門組織的安全評估;

(二)按照國家網信部門的規定經專業機構進行個人信息保護認證;

(三)按照國家網信部門制定的標準合同與境外接收方訂立合同,約定雙方的權利和義務;

(四)法律、行政法規或者國家網信部門規定的其他條件。

中華人民共和國締結或者參加的國際條約、協定對向中華人民共和國境外提供個人信息的條件等有規定的,可以按照其規定執行。

個人信息處理者應當采取必要措施,保障境外接收方處理個人信息的活動達到本法規定的個人信息保護標準。

?

第三十條 個人信息處理者處理敏感個人信息的,除本法第十七條第一款規定的事項外,還應當向個人告知處理敏感個人信息的必要性以及對個人權益的影響;依照本法規定可以不向個人告知的除外。

?

第二十九條 處理敏感個人信息應當取得個人的單獨同意;法律、行政法規規定處理敏感個人信息應當取得書面同意的,從其規定。

?

第二十八條 敏感個人信息是一旦泄露或者非法使用,容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息,包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息,以及不滿十四周歲未成年人的個人信息。

只有在具有特定的目的和充分的必要性,并采取嚴格保護措施的情形下,個人信息處理者方可處理敏感個人信息。

?

第二十三條 個人信息處理者向其他個人信息處理者提供其處理的個人信息的,應當向個人告知接收方的名稱或者姓名、聯系方式、處理目的、處理方式和個人信息的種類,并取得個人的單獨同意。接收方應當在上述處理目的、處理方式和個人信息的種類等范圍內處理個人信息。接收方變更原先的處理目的、處理方式的,應當依照本法規定重新取得個人同意。

?

第二十一條 個人信息處理者委托處理個人信息的,應當與受托人約定委托處理的目的、期限、處理方式、個人信息的種類、保護措施以及雙方的權利和義務等,并對受托人的個人信息處理活動進行監督。

受托人應當按照約定處理個人信息,不得超出約定的處理目的、處理方式等處理個人信息;委托合同不生效、無效、被撤銷或者終止的,受托人應當將個人信息返還個人信息處理者或者予以刪除,不得保留。

未經個人信息處理者同意,受托人不得轉委托他人處理個人信息。

?

第十四條 基于個人同意處理個人信息的,該同意應當由個人在充分知情的前提下自愿、明確作出。法律、行政法規規定處理個人信息應當取得個人單獨同意或者書面同意的,從其規定。

個人信息的處理目的、處理方式和處理的個人信息種類發生變更的,應當重新取得個人同意。

?

第十三條 符合下列情形之一的,個人信息處理者方可處理個人信息:

(一)取得個人的同意;

(二)為訂立、履行個人作為一方當事人的合同所必需,或者按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需;

(三)為履行法定職責或者法定義務所必需;

(四)為應對突發公共衛生事件,或者緊急情況下為保護自然人的生命健康和財產安全所必需;

(五)為公共利益實施新聞報道、輿論監督等行為,在合理的范圍內處理個人信息;

(六)依照本法規定在合理的范圍內處理個人自行公開或者其他已經合法公開的個人信息;

(七)法律、行政法規規定的其他情形。

依照本法其他有關規定,處理個人信息應當取得個人同意,但是有前款第二項至第七項規定情形的,不需取得個人同意。

《最高人民法院、最高人民檢察院關于辦理非法利用信息網絡、幫助信息網絡犯罪活動等刑事案件適用法律若干問題的解釋》

第六條?拒不履行信息網絡安全管理義務,具有下列情形之一的,應當認定為刑法第二百八十六條之一第一款第四項規定的“有其他嚴重情節”:(一)對絕大多數用戶日志未留存或者未落實真實身份信息認證義務的;(二)二年內經多次責令改正拒不改正的;(三)致使信息網絡服務被主要用于違法犯罪的;(四)致使信息網絡服務、網絡設施被用于實施網絡攻擊,嚴重影響生產、生活的;(五)致使信息網絡服務被用于實施危害國家安全犯罪、恐怖活動犯罪、黑社會性質組織犯罪、貪污賄賂犯罪或者其他重大犯罪的;(六)致使國家機關或者通信、能源、交通、水利、金融、教育、醫療等領域提供公共服務的信息網絡受到破壞,嚴重影響生產、生活的;(七)其他嚴重違反信息網絡安全管理義務的情形。

《中華人民共和國數據安全法》

第四十六條?違反本法第三十一條規定,向境外提供重要數據的,由有關主管部門責令改正,給予警告,可以并處十萬元以上一百萬元以下罰款,對直接負責的主管人員和其他直接責任人員可以處一萬元以上十萬元以下罰款;情節嚴重的,處一百萬元以上一千萬元以下罰款,并可以責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照,對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款。

《中華人民共和國網絡安全法》

第四十二條 網絡運營者不得泄露、篡改、毀損其收集的個人信息;未經被收集者同意,不得向他人提供個人信息。但是,經過處理無法識別特定個人且不能復原的除外。

網絡運營者應當采取技術措施和其他必要措施,確保其收集的個人信息安全,防止信息泄露、毀損、丟失。在發生或者可能發生個人信息泄露、毀損、丟失的情況時,應當立即采取補救措施,按照規定及時告知用戶并向有關主管部門報告。

?

第四十一條 網絡運營者收集、使用個人信息,應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用信息的目的、方式和范圍,并經被收集者同意。

網絡運營者不得收集與其提供的服務無關的個人信息,不得違反法律、行政法規的規定和雙方的約定收集、使用個人信息,并應當依照法律、行政法規的規定和與用戶的約定,處理其保存的個人信息。

《中華人民共和國刑法》

第二百八十六條之一  網絡服務提供者不履行法律、行政法規規定的信息網絡安全管理義務,經監管部門責令采取改正措施而拒不改正,有下列情形之一的,處三年以下有期徒刑、拘役或者管制,并處或者單處罰金:

(一)致使違法信息大量傳播的;

(二)致使用戶信息泄露,造成嚴重后果的;

(三)致使刑事案件證據滅失,情節嚴重的;

(四)有其他嚴重情節的。

單位犯前款罪的,對單位判處罰金,并對其直接負責的主管人員和其他直接責任人員,依照前款的規定處罰。

有前兩款行為,同時構成其他犯罪的,依照處罰較重的規定定罪處罰。


熱門文章/POPULAR ARTICLES

關于執行異議之訴的那些事兒

《民事訴訟法》第二百二十七條規定:執行過程中,案外人對執行標的提出書面異議的,人民法院應當自收到書面異議之日起十五日內審查,理由成立的,裁定中止對該標的的執行;理由不成立的,裁定駁回。案外人、當事人

鷹卓新聞2021-06-18 12:54

1428

未簽訂書面勞動合同 勞動者無緣雙倍工資賠償

案情介紹:  劉某于2005年6月進入武漢某連鑄公司工作,擔任辦公室主任一職,職責是人事招聘、勞動合同的簽訂及管理等。2009年7月,劉某以公司未與其簽訂書面勞動合同為由提起勞動仲裁申請,要求公司支

鷹卓新聞2021-06-18 12:20

1286

律師隨筆|關于執行異議之訴的那些事兒

《民事訴訟法》第二百二十七條規定:執行過程中,案外人對執行標的提出書面異議的,人民法院應當自收到書面異議之日起十五日內審查,理由成立的,裁定中止對該標的的執行;理由不成立的,裁定駁回。案外

鷹卓視界2021-06-18 12:19

1606

亚洲熟妇无码AV不卡在线播放_无码无遮挡又大又爽又黄的视频_人妻少妇精品无码专区_亚洲欧洲美色一区二区三区