刘玉书：滴滴案，罚不是目的，未来发展可期

韶华易逝

作者：刘玉书，北京数规科技中心主任。
2022年7月21日，国家互联网信息办公室依据《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等法律法规，对滴滴全球股份有限公司处人民币80.26亿元罚款，对滴滴全球股份有限公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款。消息公布立即引起了国内外的高度关注。高达80亿的罚单让我国互联网企业看到了数据合规的重要性：数据合规关系到国家安全，关系到企业发展，关系到每一个消费者的权益。数据合规不仅会成为一种价值导向，一种企业文化，更会内化为数字经济时代的基本要求。纵观滴滴被罚事件始末，有四个方面值得关注。
一是数据合规最大罚单，让互联网企业不再“数盲症”。
人在大数据系统中，如同行走在雪地里面一样，站在茫茫的雪地里面容易患上“雪盲症”。同理，人沉浸在大数据之中，看到的到处都是如同雪花一样的数据，时间久了，容易患上“数盲症”，到处都是数据，却看不到任何问题。造成这一现象主要有两方面的原因。
一方面长期以来，社会面对于数据合规问题关注度不高。如图1所示，百度指数显示，“数据合规”问题真正引起社会面关注始于2022年3月15日前后。在此之前，数据合规这一概念在网络大数据中的出现频率是较低的。在2022年央视315晚会曝光的问题企业中，有十余家企业均不同程度涉及到了数据合规问题。315晚会的巨大影响力让消费者看到了数据权益的重要性，也让企业明白了国家对数据合规的重视将会全面落实到各行业各的监管中去。而在此之前，在数据带来巨大的利益的驱动下，企业对自身数据合规问题是缺乏“自纠自查”动力的。因而在主观意愿上，存在“数盲症”的动机。
图1 百度指数显示“数据合规”社会面关注始于2022年3月15日前后         


另一方面，在2021年以前，我国在数据合规监管方面的制度体系建设还相对不完善，企业面对自身的拥有的大数据，缺乏具体的合规建设抓手，难以界定自身数据合规存在的问题，因而对于合规问题，之前存在制度指引上的盲区。我国2017年6月1日起施行《网络安全法》，2021年9月1日起施行《数据安全法》，2021年11月1日起施行《个人信息保护法》。这三部法律是数据合规建设基本大法。因此，业界也称2022年是数据合规建设的元年。而滴滴80亿罚单，以及国家对于数据合规的坚定态度，让企业无论从主观上还是客观上都产生了将数据合规从过去少部分机构的风险控制需求转向全面的合规建设需求的强烈转变欲望。数据合规不再只是企业内控问题，而是企业必须履行的社会责任。
二是滴滴被罚让世界明白了中国的国家安全底线。
据公开报道，对滴滴网络安全审查发现其存在严重影响国家安全的数据处理活动，涉及国家安全问题。对此问题，也引起了国际舆论的共鸣。《纽约时报》2022年7月22日刊文认为，“对滴滴的处罚可能会迫使中国互联网公司重新考虑它们应该如何以及是否应该收集、存储或寻求从中国公民的个人信息中获利。中国互联网企业的快速增长在一定程度上是因为它们的运营几乎不受约束。”同时，《纽约时报》还引用了中国人民大学国际关系学院教授金灿荣说的评论，指出：“滴滴置国家安全于不顾，置国家法律于不顾，置公民隐私于不顾。还有些人走得更远，他们想知道是否应该允许这种危害国家安全的公司存在。”美国之音2022年7月23日也发表文章对此事件展开了评论。美国之音刊文认为，中国“科技行业要听党话跟党走”科技业必须严格遵守中国政府这些网路安全、数据安全及各种安全评估办法的规定。这表明，境外的权威媒体也清楚的明白中国的国家安全底线是不容挑衅的。这对于未来国外企业在我国境内开展数字经济活动有着正向为指引意义。
三是吸取滴滴被罚事件教训，当前三个数据合规要点需要引起企业重视。
国家网信办有关负责人答记者问时指出，滴滴公司共存在八个方面16项违法事实。吸取滴滴被罚事件的教训，对照当前我国数据合规监管的最新要求，有三个方面的需引起企业的高度重视。
第一个方面：要切实做好“3保1评”。“3保1评”指的是涉密信息系统分级保护（分保）、网络安全等级保护（等保）、关健信息基础设施保护（关保）以及商用密码应用安全评估（密评）。目前已有大量的公开的数据合规警示案例均与此有关。
第二个方面：企业在做个人信息保护合规建设时，容易遇到难以把握相关法律法规适用粒度的问题：大细则执行成本太高，太粗则面临合规风险。因此，需要对信息安全事件进行一个比较清晰的细分。因为个人信息保护事实上是贯穿了所有数据合规体系的（因为信息系统最终都服务于人），所以如果不对相关安全事件进行细分，在相关法律法规适用粒度上将难以把握。
第三个方面：要注意数据出境合规工作的时间节点。2022年9月1日起施行《数据出境安全评估办法》规定，不符合本办法规定的，应当自本办法施行之日起6个月内完成整改。这个预留的整改时间是相对比较紧张的，对于无法在2023年2月完成整改的企业应该怎么办？这需要企业主动积极去与地方网信监管部门开展沟通，寻求妥善的解决办法。
四是滴滴被罚事件，罚不是目的，未来发展可期。
滴滴已经为自己的违法违规行为付出巨大代价。尽管滴滴被调查期间对其市场产业了一定的影响，但综合各类媒体报道看，当前滴滴仍然占据网约车市场70％的市场份额，依然有很大的市场影响力。基于滴滴在国内市场顽强的竞争力，我们有理由相信，在完善数据合规建设后，未来滴滴的发展将会迎来全新的阶段，会有更好的高质量增长。