2022年7月21日,国家互联网信息办公室依据《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等法律法规,对滴滴依法作出网络安全审查相关行政处罚的决定,对滴滴全球股份有限公司处以人民币80.26亿元罚款,对滴滴全球股份有限公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款。引发了舆论广泛关注。
重点导读
一、案件经过
二、案件争议焦点
三、涉案问题浅析
(一)网络安全审查办公室与国家网信办
(二)多部门何以联合进驻审查
(三)处罚滴滴公司、程维、柳青的法律依据
(四)滴滴公司违法违规行为分析
四、衍生问题
(一)数据法的域外管辖权如何确定连接点?
(二)企业注意国家安全义务的重要性
五、结语
一、案件经过
2021年6月30日,滴滴全球股份有限公司(以下简称“滴滴公司”)在美国悄然上市,市值一度超过5000亿元人民币,当天收盘4400亿。
7月2日,网络安全审查办公室发布对滴滴出行App启动网络安全审查的公告,公告一经发出,不少也在准备上市的如Keep、喜马拉雅等都取消了赴美IPO。
7月4日,国家互联网信息办公室(以下简称国家网信办)通知全国应用商店下架滴滴出行App。
7月16日,国家网信办会同公安部、国家安全部、自然资源部、交通运输部、税务总局、市场监督管理总局六部门联合进驻滴滴出行科技有限公司(以下简称“滴滴科技”),开展网络安全审查。
2022年7月21日,国家网信办依据《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等法律法规,对滴滴公司处人民币80.26亿元罚款,对滴滴公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款。
二、争议焦点
本案涉案主体较多,处罚理由复杂,主要有以下几个问题值得关注和学习。
第一,网络安全审查办公室与国家网信办的法律地位如何界定。网络安全审查办公室是否有权启动网络安全审查,网络安全审查办公室与国家网信办的关系是什么。
第二,联合审查的法律依据是什么。国家网信办会同公安部、国家安全部、自然资源部、交通运输部、税务总局、市监总局六部门联合进驻“滴滴科技”进行网络安全审查,这些部门是否有联合审查的法律依据。
第三,滴滴公司作为被处罚者涉及的法律问题。国家网信办处罚滴滴公司,认为其具有最高决策权,应负监督管理责任。对境内公司的违法行为进行了统一决策和部署应当承担责任的依据是什么。滴滴公司被处罚的法律依据是什么。
第四,滴滴公司的违法事实违反了哪些法律法规,其中最高频次被提及的是“过度收集”,那么过度收集的边界在哪里。
三、涉案问题浅析
(一)网络安全审查办公室与国家网信办
国家网信办由国务院于2011年设立,当时并没有另设新机构,而是在国务院新闻办公室加挂国家网信办的牌子。2014年国家网信办被重组,国务院授权其负责全国互联网信息内容管理工作,并负责监督管理执法。2018年国务院下发《国务院关于机构设置的通知》,指出:国家网信办与另一办公室为一个机构两块牌子。
在对外宣布的文件显示本次滴滴审查案中由网络安全审查办公室启动审查,并不是直接由国家网信办启动审查。根据《网络安全审查办法》第四条第一款规定了国家网信办“会同”十三个部门一起开展工作。第二款规定网络安全审查办公室“设在”国家网信办。“会同”意味着国家网信办需要与其他部门联合展开工作,在多部门联合展开工作时需要协同执法共同配合,而国家网信办作为牵头机构为保证工作的落实必须设立日常工作部门,所以将网络安全审查办公室“设在”国家网信办。这表明网络安全审查办公室是国家网信办的内设机构,不具有对外执法的功能。所以从行政法角度看,网络安全审查办公室所做出的公告仅仅是起通知作用。
根据公告,启动审查依据是《国家安全法》和《网络安全法》,网络安全审查办公室仅仅是按照《网络安全审查办法》的规定对“滴滴科技”实施网络安全审查。2022年新修订的《网络安全审查办法》第七条,掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查,出台在滴滴网络安全审查立案之后,因此并不是启动审查的依据。从这个角度看,本案启动审查更多是因为滴滴公司上市触及国家安全。
(二)多部门何以联合进驻审查
参与安全审查的主体为国家网信办,以及公安部、国家安全部、自然资源部、交通运输部、税务总局、市监总局,其中并不包括网络安全审查办公室,这也从另一个角度说明网络安全审查办公室是国家网信办的内设机构。
根据《网络安全审查办法》第四条,在会同国家网信办建立国家网络安全审查工作机制的部门中,并没有自然资源部、交通运输部、税务总局。
《数据安全法》第六条规定,交通、自然资源等主管部门承担本行业、本领域数据安全监管职责。公安机关、国家安全机关等依照本法和有关法律、行政法规的规定,在各自职责范围内承担数据安全监管职责。
《网络安全法》第三十一条规定,交通相关数据也要被重点保护,所以交通部也可以进驻调查。
可以看到,相关法规中并没有涉及到税务局。国家税务总局在官网对其主要职能进行了介绍,其中第十二条规定应承办党中央、国务院交办的其他事项,也许因此税务局才可以参与。
当然,如果从安全审查角度出发,目前我国已经形成了大数据税务管理的模式,通过税务部门涉税数据分析,能更好地进行安全审查。但是,税务机关掌握的企业纳税信息能否与其他政府执法部门共享只值得讨论的问题,原则上,税务机关掌握的企业纳税信息应该更加严格保护,不予其他执法机构共享。本次税务机关参加联合执法,直接关注和研究。
(三)处罚滴滴公司、程维、柳青的法律依据
本案中实际上被审查的对象是滴滴科技,该公司与被处罚的滴滴公司在股权关系上没有直接关联。
滴滴公司作为一家在纳斯达克上市的开曼公司存在Offshore和Onshore 的VIE结构:滴滴公司全资控股了位于香港的壳公司小桔科技有限公司(以下简称“香港小桔”)。香港小桔全资控股北京滴滴无限科技发展有限公司(以下简称“北京无限”),北京无限实际上是外商独资企业(WOFE),滴滴公司的控制权也从境外转到境内。北京无限协议控制了北京小桔科技公司(以下简称“北京小桔”),北京小桔全资控股滴滴出行(北京)网络平台技术有限公司(以下简称“滴滴出行”),而滴滴科技是滴滴出行的全资子公司。
从股权结构上看,滴滴公司牢牢控制着被审查的滴滴科技,所以滴滴公司应对境内业务线的全部违法行为承担责任。
根据《测绘地理信息管理工作国家秘密范围的规定》第三条规定,测绘地理信息管理工作中涉及其他部门或者行业的国家秘密,应当按照相关国家秘密范围的规定定密。也就是说测绘地理信息可能成为国家秘密及以上。滴滴公司在运营过程中不断收集数据,并整合分析,道路、交通等信息也包含在内。单一来看,道路、交通等信息并不足以构成重要信息,但整合分析后的数据很可能成为威胁国家安全的重要信息。
《网络安全法》《网络安全审查办法》等法律法规区分了网络运营者和关键信息基础设施运营者的概念和责任。
根据《关键信息基础设施安全保护条例》,关键信息基础设施是指对重要行业和领域和一切遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
《网络安全法》定义了网络运营者,即网络的所有者、管理者和网络服务提供者。从概念可以看出,关键信息基础设施运营者的违法违规责任更重。事实上《网络安全法》中对网络运营者的要求仅仅在于类似于要求实名登记,保护个人信息方面,但对关键信息基础设施运营者来说,更多从安全角度考量,很多情况下要求其进行报备。根据国家网信办答记者问的回复,国家网信办认为滴滴公司损害了关键信息基础设施,也即未将滴滴认定为关键信息基础设施运营者。所以《网络安全法》并不能作为处罚的依据。
《国家安全法》第二十五条规定了数据应当安全可控。本案中,滴滴公司提供的网约车信息技术和服务,收集到的地理信息构成国家秘密,涉及国家安全的数据出境导致出现数据安全可控风险。《国家安全法》可能成为处罚理由之一。
根据《个人信息保护法》,在中国境外处理中国境内自然人个人信息的活动,如果以向境内自然人提供产品或者服务为目的,或分析、评估境内自然人的行为,也适用《个人信息保护法》。
《个人信息保护法》第六十六条第二款规定,可处以五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。
滴滴公司2021年总营业收入达1738.27亿元,以5%进行计算大致为86.9亿元,而中国出行业务收入达1605.2亿元,以5%计算大致为80.25亿元,显然行政处罚中“上年度营收”认定为中国大陆范围内的业务营收,而不是总营收。对程柳二人各处罚100万元与上述条款的顶格处罚标准一致。所以我们可推测,本次对滴滴公司处以的80.26亿元罚款应适用了个保法第六十六条第二款的规定,依据行政机关所认定的滴滴公司上一年度中国大陆地区营业收入按5%的顶格标准进行了处罚;而对程柳二人的100万元罚款适用了该法关于主管或直接责任人的顶格处罚标准。
值得注意的是本次处罚的对象是直接负责的主管人员和其他直接责任人员,并不包括合规人员。
(四)滴滴公司违法违规行为分析
此次国家网信办公开的处罚理由可以分为违法收集、过度收集两种。
1、违法收集
根据国家网信办公布的事实,本案中滴滴公司违法收集的行为主要表现在用户并未知情同意的情况下开展数据收集活动,违反了知情同意原则。
2021年7月9日,滴滴公司在被网信办处罚的前一天紧急更新了自己的用户隐私协议,按照惯例,隐私条款的更新会有一周左右的“公示期”以确保用户知悉,但是7月8日,该公司紧急更新了自己的条款并注明当天生效,新版条款不仅有加粗加黑的显著性标识,也用浅显易懂的文字将所要收集的数据、用途等分点列出。企业告知用户收集信息的目的、方式、范围,应当与企业实际使用收集的用户信息方式是一致的,在通知方式上,应当具体明晰,一一列出。
此外,隐私协议有变动时也要及时联系用户,如果企业利用收集的数据分析用户出行意图,应当在收集数据前征得用户的明示同意,并且设置撤回同意的选项。针对知情同意的用户,企业可以利用数据算法等技术提供更高效率、更精准的服务,收到用户的明示同意才能进行相关信息的收集、使用等。
最后,数据收集后的传输、交易等共享行为,需要符合二次同意原则,即同意收集和同意提供,要对用户进行说明,并获得用户同意。举例来说,某企业希望收集用户的行踪轨迹,属于个人敏感信息,需要获得明示同意,后续如果希望能进行大数据分析,需要明确使用方式、范围等情况。若要进行交易,还需要告知用户相关情况并取得同意。
《App违法违规收集使用个人信息行为认定方法》规定,如下情况属于未公开收集使用规则:没有隐私政策、未提示阅读隐私政策、隐私政策难以访问、隐私政策内容难以阅读。本案中,滴滴公司在隐私政策的公示程序方面出现了合规风险。
《App违法违规收集使用个人信息行为认定方法》规定,如下情况属于未明示收集使用个人信息的目的、方式和范围:未逐一列明目的、方式、范围;目的、方式、范围发生变化未通知用户;收集时未同步告知用户收集目的或者收集目的难以理解;收集规则内容晦涩难懂。本案中,滴滴公司在个人信息收集告知的程序和内容方面均出现了合规风险。
应当注意的是,同意是全过程的同意,明确的同意,可以反悔的同意,与妇女与其发生性行为的“同意”只有过之而无不及,根据《App违法违规收集使用个人信息行为认定方法》以下的情况都视为不同意收集:
- 先收集再同意;
- 用户不同意之后收集,频繁征求同意干扰;
- 超授权范围收集;
- 非明示的方式征求用户同意;
- 更改用户个人隐私权限状态;
- 定向推送信息,未提供非定向选项;
- 误导用户同意;
- 未向用户提供撤回同意收集个人信息的途径、方式;
- 违反其所声明的收集使用规则收集。
本案中,滴滴公司在个人信息收集知情同意原则方面出现了合规风险。
滴滴公司未清晰说明数据处理目的,可能涉及向第三方提供个人信息,根据《App违法违规收集使用个人信息行为认定方法》以下行为可被认定为“未经同意向他人提供个人信息”:
- 既未经用户同意,也未做匿名化处理,App客户端直接向第三方提供个人信息,包括通过客户端嵌入的第三方代码、插件等方式向第三方提供个人信息;
- 既未经用户同意,也未做匿名化处理,数据传输至App后台服务器后,向第三方提供其收集的个人信息;
- App接入第三方应用,未经用户同意,向第三方应用提供个人信息。
本案中,滴滴公司在个人信息收集后的数据共享环节出现了合规风险。
2、过度收集
国家网信办公布的事实中,有四条含有“过度收集”,整体上看,本案中滴滴公司过度收集的行为主要表现在违反了最小必要原则。
个人面对企业,地位并不平等。2017年滴滴用户协议在用户信息收集方面的规定非常模糊,将除了个人信息外的所有信息都认为是“非保密和非专有的”,否认自己需要对这些信息承担“任何义务”,并表明若用户无特别声明,则可以“视为同意滴滴及其授权人可以因商业或非商业目的”进行数据的共享,除此之外,滴滴在信息用途、共享等方面都采用了非常不清晰的说法。
最关键的是,用户并没有办法拒绝此“霸王条款”,在2017年的滴滴用户协议的信息收集范围部分,滴滴采用“包括但不限于”的描述方式进行收集范围的划定,基本等同于用户一旦使用滴滴产品,滴滴就可以无责收集信息,并充分使用。滴滴公司的用户隐私协议以及数据收集行为明显违背了最小必要原则,那么最小必要原则言称的“最小”和“必要”边界何在?
笔者认为最小必要原则来源于比例原则,而比例原则是行政法上的理念。比例原则强调行政行为的必要性、适当性、损害最小性。而最小必要原则则强调收集数据的必要性、适当性、收集数据后要对数据主体损害最小。
最小必要原则的三个根本特性在实际中并无法通过一条清晰的界限进行划分。比如滴滴公司的违法行为中包含“过度收集乘客人脸识别信息、年龄段信息、职业信息、亲情关系信息、“家”和“公司”打车地址信息。”收集上述信息的目的在于满足实名制的需求、完成运输需求等。从信息性质上说,这部分信息既是敏感信息,又是必要信息,还是个人信息,这就涉及到收集过程是否满足收集数据的三个基本要求。所以,被收集数据自身的多重属性也为明晰最小必要原则带来了困难,但我们依旧可以大致了解最小必要原则的边界。
根据《常见类型移动互联网应用程序必要个人信息范围规定》第三条,必要个人信息是指保障APP基本功能服务正常运行所必需的个人信息,缺少该信息则App即无法实现基本功能服务,或者说核心功能,第五条指明了网约车类型必要的个人信息类型为为了保障用车全过程所必须的注册用户移动电话号码;乘车人出发地、到达地、位置信息、行踪轨迹;支付时间、支付金额、支付渠道等支付信息,所以超出这些信息的收集都是过度收集。
《App违法违规收集使用个人信息行为认定方法》将所能收集的个人信息类型限定为与现有业务直接相关,收集个人信息的频度不能超出实际业务功能需求。所以最小必要原则的必要性和收集数量的适当性就是指为了完成用户侧所欲达到的目的所必须收集的最少量的信息,而不是企业服务侧为了达到目的所想要收集的信息。所以本案中滴滴公司的违法违规行为“过度收集用户剪贴版信息、应用列表信息”,表述存在重复定义的情况,收集用户剪贴板信息、应用列表的信息本身就是一种过度收集,应当直接构成过度收集,而不是需要“过度”收集剪贴板、应用列表信息才构成过度收集。
此外,对于用户的人脸识别信息(生物识别)、身份信息(特定身份)、精准定位信息(行踪轨迹)、社会关系信息(特定身份)等均属于个人敏感信息,这就涉及到了收集数据后的最小损害性。
也就是说,一般情况下,个人敏感信息应当排除在企业收集信息的范围之外。这是因为个人敏感信息更多同个人隐私相关联,个人有权利决绝他人进入自己的私密空间或收集自己敏感信息。如果企业不收集用户个人敏感信息就无法提供APP核心功能服务,完成用户所希望达到的目的,那么应当按照单独同意规则的要求,履行告知义务,并征得用户同意方可收集。为保证收集行为的最小损害性,保证数据安全,最好对个人敏感信息进行加密处理或者匿名化处理。
显而易见的是,滴滴公司“过度收集乘客评价代价服务时、APP后台运行时、手机连接记录设备时的精准位置信息”以及“过度收集司机的学历信息,以明文形式储存司机身份证号信息”的行为已经进行了个人敏感信息的收集。
打车可以精准定位到用户所在地点,确实改善了服务体验,但滴滴公司通过用户不同意就拒绝提供或实质拒绝提供服务的方式,获得了表面的合法性,进行了大量个人敏感信息的收集。驾驶员的学历并不会影响车辆驾驶,对学历的收集是完全没有必要的。这无疑违反了最小必要原则。
四、衍生问题
(一)数据法的域外管辖权如何确定连接点?
数据法的域外管辖权,以数据处理行为结果发生地或者数据产品或者服务的接受地作为连接点。
《数据安全法》第二条规定,在中华人民共和国境外开展数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。《个人信息保护法》第三条规定,在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法:(一)以向境内自然人提供产品或者服务为目的;(二)分析、评估境内自然人的行为;(三)法律、行政法规规定的其他情形。《网络安全法》第七十五条规定,境外的机构、组织、个人从事攻击、侵入、干扰、破坏等危害中华人民共和国的关键信息基础设施的活动,造成严重后果的,可以依据网络安全法追究法律责任。从这些法条也可以看出,如果处理的数据与中国无关,即使在中国国内处理数据,传输到国外,也不受规制。
(二)企业注意国家安全义务的重要性
本案为滴滴网络安全审查案,安全更多是指国家安全。目前大多数企业所能涉及到的数据多为个人数据,也即收集到的信息基本都是个人信息。个人信息的合规义务应当依据《个人信息保护法》的要求完成,但是信息聚集后很可能生成新的数据信息,比如政府信息、商贸信息等影响国家政治经济安全,也可能通过记录敏感地理位置等方式,影响国家军事安全。本案中,对滴滴公司开展网络安全审查的核心原因恰恰是滴滴公司有泄露重要数据,危害国家安全的可能,而不是个人信息保护不到位等原因,所以企业在合规过程中,要牢树国家安全观,及时做好这方面的合规工作。
结 语
数据是新时代的石油,但具有负外部性。保持数据发展和数据安全是天平的两端,只能尽量保持平衡。目前无法出现完美保护个人信息或数据的制度,究其原因,是因为当前企业发展并不是技术驱动,而是数据驱动,所以才有不断收集数据的渴求。
寄希望于出现“万能”的数据合规流程或模板是不现实的,因为不仅是数据技术在不断发展,数据相关法律法规也在不断革新,同时企业业务也在动态变化。为最大程度保持企业发展和业务合规的平衡,只能个案、动态、具体进行考量。
作者:商建刚
编辑:Sharon
 |
