从滴滴被处以80.26亿元罚款事件看国家安全及个人信息保护 ...

唐文博

7月21日星期四，国家互联网信息办公室宣布，国内网约车行业领导者滴滴全球股份有限公司（以下简称“滴滴”）因违反网络安全相关规定（包括《网络安全法》《数据安全法》《个人信息保护法》）被罚款80.26亿元人民币1。这是继2021年国家市场监管总局针对阿里巴巴182亿元反垄断罚款之后，国内监管机构对市场主体处以的最大罚单之一。
01行政处罚内容—

“国家互联网信息办公室依据《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等法律法规，对滴滴全球股份有限公司处人民币80.26亿元罚款，对滴滴全球股份有限公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款。”
上述重罚背后是严重违法，严重影响网络安全。国家互联网信息办公室在通报及答记者问中称滴滴共存在16项违法事实，其“违反《网络安全法》《数据安全法》《个人信息保护法》的违法违规行为事实清楚、证据确凿、情节严重、性质恶劣，应当从严从重予以处罚”。滴滴被处80.26亿元罚款，确可谓“从严从重”。02
处罚作出机构—本次对于滴滴的处罚主体为国家互联网信息办公室2，其成立于2011年5月，在国务院2018年03月下发的《国务院关于机构设置的通知》中明确：“国家互联网信息办公室与中央网络安全和信息化委员会办公室，一个机构两块牌子，列入中共中央直属机构序列”。



国家互联网信息办公室成立后，曾发布一系列规范互联网安全管理、信息管理的部门规章或规范性文件。社会公众感知较多的如《网络信息内容生态治理规定》，其中明确网络信息内容服务使用者和生产者、平台不得开展网络暴力、人肉搜索、深度伪造、流量造假、操纵账号等违法活动。
其他方面，重要的包括《规范互联网信息服务市场秩序若干规定》（2011年12月）、《电信和互联网用户个人信息保护规定》（2012年7月）及《网络安全审查办法》（2022年1月）。同时，本次对滴滴处罚公布前夕，国家互联网信息办公室于7月7日出台了《数据出境安全评估办法》，其将作为规范滴滴等跨国企业数据出境活动的重要指导。
目前国内互联网行业将流量、信息或数据作为企业竞争力核心的格局早已形成，结合国家互联网信息办公室的职能定位及所属监管领域，预期其将发挥更为重要的作用。
与此同时，在一年前的2021年7月16日，国家互联网信息办公室会同公安部、国家安全部、自然资源部、交通运输部、税务总局、市场监管总局等部门联合进驻滴滴出行科技有限公司，开展网络安全审查3。而本次处罚仅以国家互联网信息办公室名义做出，其他各部委、相关监管单位是否在本次处罚基础上对滴滴做出进一步处罚值得关注。03
行政处罚的理由和依据—
根据国家互联网信息办公室通报及答记者问披露信息，滴滴公司相关违法行为最早开始于2015年6月，持续至今，时间长达7年，持续违反2017年6月实施的《网络安全法》、2021年9月实施的《数据安全法》和2021年11月实施的《个人信息保护法》，具体违法违规行为包括：
（1）违法收集用户手机相册中的截图信息1196.39万条；
（2）过度收集用户剪切板信息、应用列表信息83.23亿条；
（3）过度收集乘客人脸识别信息1.07亿条、年龄段信息5350.92万条、职业信息1633.56万条、亲情关系信息138.29万条、“家”和“公司”打车地址信息1.53亿条；
（4）过度收集乘客评价代驾服务时、App后台运行时、手机连接桔视记录仪设备时的精准位置（经纬度）信息1.67亿条；
（5）过度收集司机学历信息14.29万条，以明文形式存储司机身份证号信息5780.26万条；
（6）在未明确告知乘客情况下分析乘客出行意图信息539.76亿条、常驻城市信息15.38亿条、异地商务/异地旅游信息3.04亿条；
（7）在乘客使用顺风车服务时频繁索取无关的“电话权限”；
（8）未准确、清晰说明用户设备信息等19项个人信息处理目的。
由于国家安全领域的法律规定较为概括，国家互联网信息办公室所公布的上述八项违法违规情形主要涉及滴滴公司严重侵犯个人隐私及数据安全的行为。上述行为已经落入《网络安全法》《数据安全法》和《个人信息保护法》的规制范围，具体法条在此不再赘述，同时国家互联网信息办公室亦未在公告内容中予以一一对应。



在大数据时代对个人信息保护和监管是世界性难题，在该领域进行专项立法已成为国际惯例。其中，以欧、日为例：
欧盟委员会于1995年通过的《关于个人资料处理及自由流通的保护指令》(又称为“欧盟指令”)最为出名。欧盟指令提供的基本框架直接影响欧陆立法，目前，欧盟已发布全球最严格的个人数据保护法规《一般数据保护条例》（2018年5月25日生效），具有全球适用性，适用于所有为欧盟居民提供商品服务的境外数据处理商，也包括服务于欧洲客户的中国公司。
日本早在20世纪70年代即开始构建其个人信息保护制度，1975年日本的《于涉及行政机关等利用电子计算机之隐私保护制度的存在方式的中间报告》指出，行政机关在涉及个人信息的情况下，必须采取适当措施对其进行维持管理。随后亦出台了《信息公开与个人信息保护审查会设置法》与《关于保护行政机关所持有之个人信息法》等多部法律。
现阶段，国内外对于个人信息安全保护的研究已较为丰富，从法律层面看，欧美和亚洲的发达国家均已制定相关法律对个人信息安全进行定义和约束，国内在个人信息保护相关领域的立法仍相对落后。
值得一提的是，滴滴本次受到处罚的背景可延展至美国参议院2021年6月份出台的《外国公司问责法案》。该法案对在美上市外国公司提出了更多的信息披露要求，核心内容主要有两点，第一，如果外国发行人连续三年不能满足美国公众公司会计监督委员会（PCAOB）的审计要求，禁止其证券在美国交易；第二，上市公司需要提交文件，证明没有被外国政府拥有或控制，披露董事会里共产党官员姓名、共产党党章是否写入公司章程等。
而滴滴前期作为在美上市企业，其被美国监管当局要求进行相关信息披露，即被要求提供审计底稿等文件给PCI(美国公众公司会计委员会)，其与我国法律法规直接冲突，我国规定要求在境内形成的工作底稿等档案必须存在境内。4
随着互联网行业的发展，类似滴滴此类商业模式的公司预期将不断涌现，结合现有法律规定，我国对网络安全、个人信息安全的监管、保障已基本有法可依，国家互联网信息办公室也将在这一领域发挥其核心作用。结语—
某种程度上，本次处罚似乎结束了对滴滴来说特别痛苦的一段故事：
在滴滴赴美上市后仅仅几天，国内各监管机构即对滴滴启动了相关调查。在美国上市，使得滴滴在2021年6月30日筹集到了44亿美元，也让滴滴的市值达到670亿美元。但与此同时，在过去的调查过程中，滴滴被开除出国内的网络应用商店、滴滴系APP被禁止下载，这也让滴滴的股价一度下跌80%。在2021年12月，滴滴宣布退出美国股市，现已经生效。
就本次处罚做出后两日内的舆论与市场反应来看，21日天价罚单背后可能预示着滴滴长久以来面临的监管挑战被画上了阶段性句号，有观点如《美国日报》报道称，“滴滴希望在这一处罚宣布后可以重新开始有新的用户，并在中期考虑新的融资行动”。

最后，国家互联网信息办公室有关负责人就对滴滴做出本次处罚的答记者问中称：
“近年来，国家不断加强对网络安全、数据安全、个人信息的保护力度，先后颁布了《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》《网络安全审查办法》《数据出境安全评估办法》等法律法规。网信部门将依法加大网络安全、数据安全、个人信息保护等领域执法力度，通过执法约谈、责令改正、警告、通报批评、罚款、责令暂停相关业务、停业整顿、关闭网站、下架、处理责任人等处置处罚措施，依法打击危害国家网络安全、数据安全、侵害公民个人信息等违法行为，切实维护国家网络安全、数据安全和社会公共利益，有力保障广大人民群众合法权益。同时，加大典型案例曝光力度，形成强大声势和有力震慑，做到查处一案、警示一片，教育引导互联网企业依法合规运营，促进企业健康规范有序发展。”
<hr/>1. 参见http://www.cac.gov.cn/2022-07/21/c_1660021534306352.htm
2.国家互联网信息办公室(简称国家互联网信息办)于2011年5月正式挂牌。　
国家互联网信息办公室职责：　
（一）落实互联网信息传播方针政策和推动互联网信息传播法制建设；
（二）指导、协调、督促有关部门加强互联网信息内容管理；
（三）负责网络新闻业务及其他相关业务的审批和日常监管；
（四）指导有关部门做好网络游戏、网络视听、网络出版等网络文化领域业务布局规划；
（五）协调有关部门做好网络文化阵地建设的规划和实施工作；
（六）负责重点新闻网站的规划建设；
（七）组织、协调网上宣传工作；
（八）依法查处违法违规网站；
（九）指导有关部门督促电信运营企业、接入服务企业、域名注册管理和服务机构等做好域名注册、互联网地址(IP地址)分配、网站登记备案、接入等互联网基础管理工作；
（十）在职责范围内指导各地互联网有关部门开展工作。
《会计师事务所审计档案管理办法》明确将“审计工作底稿”纳入《中华人民共和国档案法》及《中华人民共和国档案法实施办法》所约束的“档案”范围内，受到档案出境的相关约束，即，禁止擅自运送、邮寄、携带出境或者通过互联网传输出境；确需出境的，按照国家有关规定办理审批手续。  《关于加强境内企业境外发行证券和上市相关保密和档案管理工作的规定(征求意见稿)》第九条：为境内企业境外发行证券和上市提供相关证券服务的证券公司、证券服务机构在境内形成的工作底稿等档案应当存放在境内。未经有关主管部门批准，不得通过携带、寄运等任何方式将其转移至境外或者通过信息技术等任何手段传递给境外机构或者个人。涉及对国家和社会具有重要保存价值的档案或档案复制件需要出境的，按照国家有关规定办理审批手续。