根據網絡安全審查結論及發現的問題和線索,國家互聯網信息辦公室依法對滴滴全球股份有限公司涉嫌違法行為進行立案調查。經查實,滴滴全球股份有限公司違反《網絡安全法》《數據安全法》《個人信息保護法》的違法違規行為事實清楚、證據確鑿、情節嚴重、性質惡劣。
7月21日,國家互聯網信息辦公室依據《網絡安全法》《數據安全法》《個人信息保護法》《行政處罰法》等法律法規,對滴滴全球股份有限公司處人民幣80.26億元罰款,對滴滴全球股份有限公司董事長兼CEO程維、總裁柳青各處人民幣100萬元罰款。
消息出來后,一時間引起社會各界的高度關注和激烈探討。歷時一年多的“滴滴大案”雖然已經“靴子落地”,大家心中仍然有諸多困惑,例如“為什么罰單是80.26億?”、“網絡安全審查流程是什么樣的?為什么說滴滴對抗調查,陽奉陰違?”……
為解答大家的疑惑,我們總結了六大法律問題,并一一進行經驗范圍內的解答和科普。
前文鏈接:滴滴系列(一)| 滴滴赴美上市的紅籌架構探析及延伸思考
滴滴系列(二)| 美國SEC關于赴美上市公司的監管要求
01為什么網絡安全審查辦公室進場審查后,由國家互聯網信息辦公室作出處罰?
根據《網絡安全審查辦法》(2022版)第4條規定:“在中央網絡安全和信息化委員會領導下,國家互聯網信息辦公室會同中華人民共和國國家發展和改革委員會、中華人民共和國工業和信息化部、中華人民共和國公安部、中華人民共和國國家安全部、中華人民共和國財政部、中華人民共和國商務部、中國人民銀行、國家市場監督管理總局、國家廣播電視總局、中國證券監督管理委員會、國家保密局、國家密碼管理局建立國家網絡安全審查工作機制。
網絡安全審查辦公室設在國家互聯網信息辦公室,負責制定網絡安全審查相關制度規范,組織網絡安全審查。”
因此,根據《網絡安全審查辦法》規定,網絡安全審查辦公室是由網信委牽頭領導,發改委、工信部、公安部等13個部門組成的執行網絡安全審查的辦事機構。但由于網絡安全涉及網絡技術問題,因此,具體的審查工作實際上“委托中國網絡安全審查技術與認證中心承擔。中國網絡安全審查技術與認證中心在網絡安全審查辦公室的指導下,承擔接收申報材料、對申報材料進行形式審查等任務。”
而根據《網絡安全審查辦法》第20條規定:“當事人違反本辦法規定的,依照《中華人民共和國網絡安全法》、《中華人民共和國數據安全法》的規定處理。”而查閱《中華人民共和國網絡安全法》、《中華人民共和國數據安全法》會發現,前述兩部法對于執法主體均用模糊的“有關主管部門”一筆帶過,并未明確表示執法部門為國家互聯網信息辦公室。但根據本事件的處罰金額,筆者認為處罰依據應為《中華人民共和國個人信息保護法》第66條,即“有前款規定的違法行為,情節嚴重的,由省級以上履行個人信息保護職責的部門責令改正,沒收違法所得,并處五千萬元以下或者上一年度營業額百分之五以下罰款,并可以責令暫停相關業務或者停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照;對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款,并可以決定禁止其在一定期限內擔任相關企業的董事、監事、高級管理人員和個人信息保護負責人。”
而所謂的“省級以上履行個人信息保護職責的部門”的具體規定則出現在《中華人民共和國個人信息保護法》第60條 “國家網信部門負責統籌協調個人信息保護工作和相關監督管理工作。國務院有關部門依照本法和有關法律、行政法規的規定,在各自職責范圍內負責個人信息保護和監督管理工作。縣級以上地方人民政府有關部門的個人信息保護和監督管理職責,按照國家有關規定確定。前兩款規定的部門統稱為履行個人信息保護職責的部門。”
因此,最終處罰作出主體為國家互聯網信息辦公室。
02公司處罰金額為什么是“80.26億”?個人處罰金額為什么是“100萬元”?
根據官方報道,國家互聯網信息辦公室是依據《個人信息保護法》等法律法規,對滴滴全球股份有限公司處人民幣80.26億元罰款,對滴滴全球股份有限公司董事長兼CEO程維、總裁柳青各處人民幣100萬元罰款。其中《中華人民共和國個人信息保護法》第66條規定“有前款規定的違法行為,情節嚴重的,由省級以上履行個人信息保護職責的部門責令改正,沒收違法所得,并處五千萬元以下或者上一年度營業額百分之五以下罰款,并可以責令暫停相關業務或者停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照;對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款,并可以決定禁止其在一定期限內擔任相關企業的董事、監事、高級管理人員和個人信息保護負責人。”
根據國家互聯網信息辦公室有關負責人答記者問中所用表述“滴滴公司違反《網絡安全法》《數據安全法》《個人信息保護法》的違法違規行為事實清楚、證據確鑿、情節嚴重、性質惡劣,應當從嚴從重予以處罰”、“滴滴公司董事長兼CEO程維、總裁柳青,對違法行為負主管責任”、“滴滴公司違法違規行為情節嚴重,結合網絡安全審查情況,應當予以從嚴從重處罰”可見其處罰力度較高,甚至有可能為頂格處罰。
從公開渠道檢索發現,滴滴2021年全年實現營收1738.27億元,按照營業額百分之五計算為86.9135億,而滴滴事件處罰金額為80.26億,符合《中華人民共和國個人信息保護法》第66條所述“上一年度營業額百分之五以下罰款”,其未按照頂格處罰不排除是滴滴公司游說的效果;董事長兼CEO程維、總裁柳青各處人民幣100萬元罰款,符合《中華人民共和國個人信息保護法》第66條所述“對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款”的頂格處罰。
03滴滴被審查的可能原因是什么?
2021年7月2日晚間,網絡安全審查辦公室發布《網絡安全審查辦公室關于對“滴滴出行”啟動網絡安全審查的公告》,宣布對“滴滴出行”實施網絡安全審查。雖然國家互聯網信息辦公室隨即在2021年7月10日發布《網絡安全審查辦法(修訂草案征求意見稿)》,但應確認網絡安全審查辦公室當時適用的是《網絡安全審查辦法》(2020年版)。
根據《網絡安全審查辦法》(2020年版)第2條規定:“關鍵信息基礎設施運營者采購網絡產品和服務,影響或可能影響國家安全的,應當按照本辦法進行網絡安全審查。”可以看出,網絡安全審查辦公室應該是將滴滴視為“關鍵信息基礎設施運營者”,并認為滴滴“采購網絡產品和服務,影響或可能影響國家安全”,進而主動發起網絡安全審查。
那么延伸思考的問題有二:
01滴滴為什么屬于“關鍵信息基礎設施運營者”?
根據《關鍵信息基礎設施安全保護條例》第2條規定:“本條例所稱關鍵信息基礎設施,是指公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域的,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的重要網絡設施、信息系統等。” 《網絡安全審查辦法》(2020年版)第20條進一步規定:“本辦法中關鍵信息基礎設施運營者是指經關鍵信息基礎設施保護工作部門認定的運營者。”因此,結合滴滴的行業屬性,筆者認為網絡安全審查辦公室應該是將滴滴認定為交通領域的關鍵信息基礎設施的運營者。
02滴滴采購的網絡產品和服務,怎么就“影響或可能影響國家安全”?
根據《網絡安全審查辦法》(2020年版)第9條規定:“網絡安全審查重點評估采購網絡產品和服務可能帶來的國家安全風險,主要考慮以下因素:
(一)產品和服務使用后帶來的關鍵信息基礎設施被非法控制、遭受干擾或破壞,以及重要數據被竊取、泄露、毀損的風險;……(五)其他可能危害關鍵信息基礎設施安全和國家安全的因素。”筆者認為,網絡安全審查辦公室大概率是以滴滴采購網絡產品和服務可能導致“重要數據被竊取、泄露、毀損”為由,對其啟動的網絡安全審查。具體理由為:2020年11月23日美國證券交易委員會公司財務部(Corporation Finance Securities and Exchange Commission)在美國證券交易委員會(下稱“SEC”)官網發布《中國發行人的信息披露考慮因素》一文,對中國公司赴美上市的整體披露事項,特別是網絡安全事項做了較為詳細的規定。2021年6月30日滴滴正式在美國紐交所低調上市,因上市需要,滴滴必然需要向美國SEC披露相關的網絡安全數據,這將可能導致滴滴向外國政府部門披露大量中國交通領域的大量數據,“影響或可能影響國家安全”。于是在滴滴上市的第二天,也就是2021年7月2日,網絡安全審查辦公室立刻啟動對滴滴的網絡安全審查。
04滴滴的調查結果與發起審查的動因是否一致?
根據官方報道披露,滴滴被處罰的原因在于其存在違法違規收集個人信息的問題,具體包括:
· 違法收集用戶手機相冊中的截圖信息1196.39萬條;
· 過度收集用戶剪切板信息、應用列表信息83.23億條;
· 過度收集乘客人臉識別信息1.07億條、年齡段信息5350.92萬條、職業信息1633.56萬條、親情關系信息138.29萬條、“家”和“公司”打車地址信息1.53億條;
· 過度收集乘客評價代駕服務時、App后臺運行時、手機連接桔視記錄儀設備時的精準位置(經緯度)信息1.67億條;
· 過度收集司機學歷信息14.29萬條,以明文形式存儲司機身份證號信息5780.26萬條;
· 在未明確告知乘客情況下分析乘客出行意圖信息539.76億條、常駐城市信息15.38億條、異地商務/異地旅游信息3.04億條;
· 在乘客使用順風車服務時頻繁索取無關的“電話權限”;
· 未準確、清晰說明用戶設備信息等19項個人信息處理目的。
可以看出,滴滴的調查結果和發起審查的動因是不一致的。結合本文第三問可以看出,根據《網絡安全審查辦法》(2020年版)的規定,網絡安全審查辦公室當時應該是將滴滴視為“關鍵信息基礎設施運營者”,認為滴滴“采購網絡產品和服務,影響或可能影響國家安全”,進而主動發起網絡安全審查。而最終的調查結果是滴滴本身存在違規收集個人信息的問題,而非因“采購網絡產品和服務”而導致“存在重要數據被竊取、泄露、毀損的風險”。
實際上,筆者認為網絡安全審查辦公室應該一開始就奔著滴滴可能違規收集個人信息的查處動因啟動的網絡安全審查,但苦于《網絡安全審查辦法》(2020年版)并未賦予其查處依據,只能轉而先將滴滴視為“關鍵信息基礎設施運營者”,以滴滴“采購網絡產品和服務,影響或可能影響國家安全”為由發起網絡安全審查。筆者的該點推論來自于網絡安全審查辦公室在2021年7月2日啟動對滴滴的網絡安全審查時,緊接著在一周后,國家互聯網信息辦公室迅速發布《網絡安全審查辦法(修訂草案征求意見稿)》,增加了“數據處理者開展數據處理活動,影響或者可能影響國家安全的,應當按照本辦法進行網絡安全審查”,最終生效的《網絡安全審查辦法》修改為“網絡平臺運營者開展數據處理活動,影響或者可能影響國家安全的,應當按照本辦法進行網絡安全審查”,最終賦予了網絡安全審查辦公室對于“網絡平臺運營者開展數據處理活動”的審查權,隨后生效的還包括《網絡安全法》《個人信息保護法》等。
05滴滴經歷了哪些網絡安全審查流程,為什么說其“陽奉陰違”?
《網絡安全法》第35條規定:“關鍵信息基礎設施的運營者采購網絡產品和服務,可能影響國家安全的,應當通過國家網信部門會同國務院有關部門組織的國家安全審查。”該條款確立了網絡產品和服務的安全審查制度。為細化網絡產品和服務的安全審查制度,國家互聯網信息辦公室于2017年發布《網絡產品和服務安全審查辦法(試行)》,并于2020年和2022年分別修訂發布了《網絡安全審查辦法》(2020版)和《網絡安全審查辦法》(2022版)(詳見附件《<網絡安全審查辦法>重要修訂的各版本比對表》)
無論是《網絡安全審查辦法》(2020版),還是《網絡安全審查辦法》(2022版),都對網絡安全審查流程做了詳細規定。結合滴滴事件,讓我們一起看下滴滴到底經歷了哪些網絡安全審查流程:
一方面,《網絡安全審查辦法》(2020版)第5條規定:“運營者采購網絡產品和服務的,應當預判該產品和服務投入使用后可能帶來的國家安全風險。影響或者可能影響國家安全的,應當向網絡安全審查辦公室申報網絡安全審查。” 《網絡安全審查辦法》(2022版)第7條規定:“掌握超過100萬用戶個人信息的網絡平臺運營者赴國外上市,必須向網絡安全審查辦公室申報網絡安全審查。”
因此,筆者推斷滴滴出現“陽奉陰違”、“惡意逃避監管”的首要問題點在于滴滴赴美上市未主動申報網絡安全審查。不僅未主動申報網絡安全審查,而且是低調籌備上市事宜。
另一方面,《網絡安全審查辦法》規定網絡安全審查辦公室可以主動發起審查通知,在向當事人發出書面通知之日起30個工作日內完成初步審查,包括形成審查結論建議和將審查結論建議發送網絡安全審查工作機制成員單位、相關部門征求意見;情況復雜的,可以延長15個工作日(30日+15日)。網絡安全審查工作機制成員單位和相關部門應當自收到審查結論建議之日起15個工作日內書面回復意見,意見不一致的,按照特別審查程序處理,并通知當事人。特別審查程序一般應當在90個工作日內完成,情況復雜的可以延長。
按照前述規定,初步審查時間(以情況復雜情況計)為45個工作日,回復意見時間為15個工作日,再加上按照特別審查程序處理的90個工作日,網絡安全審查的最長期間應為150個工作日。滴滴事件中,網絡安全審查辦公室于2021年7月2日正式發布啟動調查程序,于2022年7月21日對外發布調查結果,整個調查時間一年有余,顯然超過正常的調查時間。可以看出,網絡安全審查辦公室在調查過程中應當是遇到了較多的阻礙,滴滴公司并未積極配合開展調查工作,以致于網絡安全審查辦公室不得不延長調查時間,這也正是國家互聯網信息辦公室有關負責人答記者問所述“……拒不履行監管部門的明確要求,陽奉陰違、惡意逃避監管等其他違法違規問題。滴滴公司違法違規運營給國家關鍵信息基礎設施安全和數據安全帶來嚴重安全風險隱患。”
06為什么認定“滴滴全球股份有限公司”為違法主體?
根據本文第三問所述,網絡安全審查辦公室有可能援引《網絡安全審查辦法》(2020年版)第2條規定,將滴滴視為“關鍵信息基礎設施運營者”。那么,為什么此處“關鍵信息基礎設施運營者”指的是“滴滴全球股份有限公司”,而不是其境內的運營主體呢?
根據《關鍵信息基礎設施安全保護條例》第2條規定“本條例所稱關鍵信息基礎設施,是指公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域的,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的重要網絡設施、信息系統等。”第8條規定:“本條例第2條涉及的重要行業和領域的主管部門、監督管理部門是負責關鍵信息基礎設施安全保護工作的部門。”由此可以看出關鍵信息基礎設施保護工作部門主要包括公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域的主管、監管部門,換言之,工信部、發改委、中國人民銀行、銀保監會、證監會等關鍵信息基礎設施的保護部門,前述部門有權認定關鍵信息基礎設施運營者的名單。
而正如《網絡安全審查辦法》(2020年版)第4條所述,國家網絡安全審查工作機制正是由“國家互聯網信息辦公室會同中華人民共和國國家發展和改革委員會、中華人民共和國工業和信息化部、中華人民共和國公安部、中華人民共和國國家安全部、中華人民共和國財政部、中華人民共和國商務部、中國人民銀行、國家市場監督管理總局、國家廣播電視總局、中國證券監督管理委員會、國家保密局、國家密碼管理局”組建而成,自然地,網絡安全審查辦公室作為前述部門的辦事機構,應有權根據實際審查情況認定“滴滴全球股份有限公司”的違法主體身份。
退一步講,如果網絡安全審查辦公室援引的是《網絡安全審查辦法》(2022年版)第2條規定,將滴滴視為“網絡平臺運營者”。那么,處罰主體是否還是 “滴滴全球股份有限公司”?《網絡安全法》第76條第3款規定:“網絡運營者,是指網絡的所有者、管理者和網絡服務提供者。”該條款雖然針對的僅是網絡運營者,而非網絡平臺運營者,但結合《互聯網平臺分類分級指南(征求意見稿)》的相關定義和分類,大體可以知道網絡平臺運營者是指網絡平臺的所有者、管理者和網絡服務提供者。而根據國家互聯網信息辦公室有關負責人答記者問所述“滴滴公司對境內各業務線重大事項具有最高決策權,制定的企業內部制度規范對境內各業務線全部適用,且對落實情況負監督管理責任。該公司通過滴滴信息與數據安全委員會及其下設的個人信息保護委員會、數據安全委員會,參與網約車、順風車等業務線相關行為的決策指導、監督管理,各業務線違法行為是在該公司統一決策和部署下的具體落實”,因此綜合認定為“滴滴全球股份有限公司”為本次處罰的違法主體。
