2022年7月21日,国家互联网信息办公室(“网信办”)对滴滴全球股份有限公司(DiDi Golbal Inc.,以下简称“滴滴公司”)依法作出网络安全审查相关行政处罚的决定,对滴滴公司处人民币80.26亿元罚款,对滴滴公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款。这也宣告了针对滴滴公司为期一年的网络安全审查就此告一段落。
1
案件背景
2021年7月2日晚间,网信办发布《网络安全审查办公室关于对“滴滴出行”启动网络安全审查的公告》。公告称:为防范国家数据安全风险,维护国家安全,保障公共利益,依据《中华人民共和国国家安全法》、《中华人民共和国网络安全法》,网络安全审查办公室按照《网络安全审查办法》,对“滴滴出行”实施网络安全审查。为配合网络安全审查工作,防范风险扩大,审查期间“滴滴出行”停止新用户注册。
2021年7月4日,滴滴出行app从应用商店下架;7月7日滴滴出行小程序从微信、支付宝下架。
2021年7月16日,国家网信办会同公安部、国家安全部、自然资源部、交通运输部、税务总局、市场监管总局等部门联合进驻北京滴滴出行科技有限公司,开展网络安全审查。
2
滴滴公司“情节严重”、“性质恶劣”的十六宗罪
根据公开资料显示,网信办列举了滴滴公司存在的十六项违法事实,涵盖八个方面,包括:
(1)违法收集用户手机相册中的截图信息;
(2)过度收集用户剪贴板信息、应用列表信息;
(3)过度收集乘客人脸识别信息、年龄段信息、职业信息、亲情关系信息、“家”和“公司”打车地址信息;
(4)过度收集乘客的精准位置(经纬度)信息;
(5)过度收集司机学历信息;以明文形式存储司机身份证号码信息;
(6)在未明确告知乘客情况下分析乘客出行意图信息、常驻城市信息、异地商务、异地旅游信息;
(7)在使用顺风车服务时频繁索取无关的“电话权限”;
(8)未准确、清晰说明用户设备信息等19项个人信息处理目的。
并且,上述各项信息涉及的数量巨大,其中滴滴公司违法处理个人信息达647.09亿条。
此外,网络安全审查还发现,滴滴公司存在严重影响国家安全的数据处理活动,以及拒不履行监管部门的明确要求,阳奉阴违、恶意逃避监管等其他违法违规问题。滴滴公司违法违规运营给国家关键信息基础设施安全和数据安全带来严重安全风险隐患。
3
违法主体
根据滴滴公司公开资料显示,滴滴公司(DiDi Global Inc.)是一家注册在开曼群岛(Cayman Islands)的公司。滴滴公司通过小桔科技香港有限公司(Xiaoju Science and Technology (Hong Kong) Limited,一家注册在香港的公司),间接持有北京嘀嘀无限科技发展有限公司100%股权。北京嘀嘀无限科技发展有限公司通过协议控制方式,控制北京小桔科技有限公司,而此次网络安全审查伊始,国家网信办会同各个政府部门联合进驻的北京滴滴出行科技有限公司,是北京小桔科技有限公司间接持股100%的子公司。
虽然具体从事违法行为的实体是滴滴公司集团的各个业务条线实体,但随着调查的进展,网信办认为滴滴公司对中国境内各业务线重大事项具有最高决策权,制定的企业内部制度规范对境内各业务线全部适用,且对落实情况负监督管理责任。滴滴公司通过滴滴信息与数据安全委员会及其下设的个人信息保护委员会、数据安全委员会,参与网约车、顺风车等业务线相关行为的决策指导、监督管理,各业务线违法行为是在滴滴公司统一决策和部署下的具体落实。据此,网信办通过股权/协议控制安排下的层层穿透,认定本案违法行为主体认定为滴滴公司,即滴滴集团的上市主体。此外,网信办还认定了滴滴公司董事长兼CEO程维、总裁柳青对违法行为负主管责任。
4
违法行为认定
网信办认定的滴滴公司违法行为开始于2015年,持续时间长、范围广。主观上,滴滴公司未按照相关法律法规规定和监管部门要求,履行网络安全、数据安全、个人信息保护义务,给国家网络安全、数据安全带来严重的风险隐患,且在主管部门已经要求整改的情况下,未进行整改。客观上,滴滴公司通过各种技术手段,违法处理巨大数量的个人信息(包括个人敏感信息),严重侵犯用户隐私,严重侵害用户个人信息权益。故,网信办对其违法行为作出了“事实清楚、证据确凿、情节严重、性质恶劣”的认定。
5
处罚依据
很多人对网信办对滴滴公司开具人民币80.26亿元罚单的金额表示惊叹。这一罚金金额低于阿里巴巴集团因违反反垄断法而接到的创纪录的182亿元人民币罚单,但高于美团2021年被罚的34亿元人民币。
根据公开数据,该罚金金额约为滴滴公司上一年度全年营业额的5%,而处罚依据包括了《网络安全法》、《数据安全法》、《个人信息保护法》、《行政处罚法》等。根据这些适用法律,在情节严重情况下,网信办及执法机关可以责令违法主体整改、没收违法所得、并处五千万元以下或者上一年度营业额5%以下罚款,并可以对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下的罚款。从这个角度来说,网信办对滴滴公司开具人民币80.26亿元罚单和对滴滴公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款并无不妥。
可以看出,作为“网络安全审查第一案”的滴滴公司案,网信办在解释处罚结果时用了“滴滴公司违法违规行为情节严重,结合网络安全审查情况,应当予以从严从重处罚”的表述。更重要的是,这一顶格处罚可以更好地起到敲山震虎的作用,教育引导互联网企业依法合规运营。同时,此举也表明了政府部门对于网络安全的高度重视和打击违法活动的决心。
6
企业面临的合规挑战
从滴滴公司网络安全审查案不难看出,网信办在认定滴滴公司违法行为时总结的“十六宗罪”均可以对应到适用法律下的基本原则,例如:合法、正当、必要、公平、透明、最小化、目的限定、准确和诚信等原则和具体条款。
在滴滴公司网络安全审查案中,网信办更表示将依法加大网络安全、数据安全、个人信息保护等领域执法力度,通过执法约谈、责令改正、警告、通报批评、罚款、责令暂停相关业务、停业整顿、关闭网站、下架、处理责任人等处置处罚措施,依法打击危害国家网络安全、数据安全、侵害公民个人信息等违法行为,切实维护国家网络安全、数据安全和社会公共利益,有力保障广大人民群众合法权益。
各个涉及数据及个人信息收集、存储、使用、加工、传输、提供、公开的企业,特别是跨国企业,应心怀敬畏,审慎对待中国适用法律的要求,尽快完成网络安全的合规体系建设。