7月21日,“网信中国”公众号公布滴滴因违反《网络安全法》、《数据安全法》和《个人信息保护法》而被罚款80.26亿元。一时间,朋友圈被这一消息刷屏。笔者查询行政处罚决定书,由于涉及国家安全,未查到执法机关对《网络安全法》、《数据安全法》和《个人信息保护法》——我国数据保护 “三驾马车”的理解与适用,公布信息中未详细披露依据法律的具体条款。从公布的信息看,依据的法律就是《网络安全法》、《数据安全法》和《个人信息保护法》,笔者从公布的滴滴违法行为倒推可能的适用条款,探析“三驾马车”适用的可能性。一、被处罚的违法行为
现有情况下,要想获知执法机关对法律条文的理解与适用,只能从公布的滴滴的违法行为倒推得出。滴滴的违法行为统计如下:1、违法收集用户手机相册中的截图信息1196.39万条;2、过度收集用户剪切板信息、应用列表信息83.23亿条;7、过度收集乘客“家”和“公司”打车地址信息1.53亿条;8、过度收集乘客评价代驾服务时、App后台运行时、手机连接桔视记录仪设备时的精准位置(经纬度)信息1.67亿条;10、以明文形式存储司机身份证号信息5780.26万条;11、在未明确告知乘客情况下分析乘客出行意图信息539.76亿条;12、在未明确告知乘客情况下分析乘客常驻城市信息15.38亿条;13、在未明确告知乘客情况下分析乘客异地商务/异地旅游信息3.04亿条;14、在乘客使用顺风车服务时频繁索取无关的“电话权限”;15、未准确、清晰说明用户设备信息等19项个人信息处理目的;17、违法违规运营给国家关键信息基础设施安全和数据安全带来严重安全风险隐患。上述信息,1-15项,除了第1、2、14项不那么明显是个人信息外,其他13项都明显是个人信息。第16项涉及国家安全,第17项涉及国家关键信息基础设施安全和数据安全。因此,可以说处罚的依据就是涉及个人信息处理规则的条款、涉及国家安全的条款以及涉及国家关键信息基础设施安全和数据安全的条款。
二、《网络安全法》的可能的适用
《网络安全法》是“三驾马车”中颁布施行最早的,于2017年6月1日施行。其中,第三章第二节专门规定“关键信息基础设施的运行安全”。第三十一条对关键信息基础设施进行了定义:“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施”。《关键信息基础设施安全保护条例》为“关键信息基础设施”的认定提供了指引。该条例除了在第二条基本重复了《网络安全法》第三十一条的内容之外,还在第九条给出了认定关键信息基础设施考虑的因素,包括“网络设施、信息系统等对于本行业、本领域关键核心业务的重要程度”、“一旦遭到破坏、丧失功能或者数据泄露可能带来的危害程度”和“对其他行业和领域的关联性影响”。按照三个因素,结合滴滴的违法收集用户信息的数量,再加上滴滴的市场占有率,可以认定滴滴是关键信息基础设施的运营者。而且答记者问中也明确将滴滴平台认定为关键信息基础设施,滴滴也就是关键信息基础设施的运营者。2021年7月2日,互联网信息办公室公告称,依据《网络安全审查办法》对滴滴进行网络安全审查,[1]公告中所称的《网络安全审查办法》是指2020年版的办法(以下简称《网络安全审查办法(2020)》)。根据《网络安全审查办法(2020)》第二条,网络安全审查的对象就只有“关键信息基础设施运营者”。因此,滴滴是关键信息基础设施运营者已确定无疑。在笔者看来,滴滴很有可能是因为违反了《网络安全法》第三十七条,从而被互联网信息办公室认定为违反关键信息基础设施的运营者的安全保护义务,“给国家关键信息基础设施安全和数据安全带来严重安全风险隐患”。[2]《网络安全法》第三十七条规定:“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估”。该条的适用很有可能是因为滴滴在赴美上市及赴美运营过程中,触发了该条的适用条件,这直接导致的是去年7月份滴滴应用被下架。对该条的违反,将被处以“五万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照”,直接负责的主管人员和其他直接责任人员还会被处以“一万元以上十万元以下罚款”。根据公布的滴滴的违法行为,很有可能适用了《网络安全法》第四十一条。该条明确规定了收集和使用个人信息的原则和程序。这些原则包括合法、正当、必要,程序包括“公开收集、使用规则”,“明示收集、使用信息的目的、方式和范围”和“经被收集者同意”。该条第二款还规定,“不得收集与其提供的服务无关的个人信息”。对于上述原则中的合法、正当和必要原则,除了正当原则的程序规定外,《网络安全法》没有具体规定。正当原则是指程序上的正当,[3]在处理个人信息前,应当“公开个人信息处理规则,明示处理的目的、方式和范围。”[4]必须要以“显著方式、清晰易懂的语言真实、准确、完整地”向用户告知上述事项,处理规则中载明“处理的目的、方式和范围”的,应当确保处理规则符合“显著、清晰、真实、准备、完整”的要求。另外,处理规则还必须“便于查阅和保存”。[5]就滴滴处罚案而言,滴滴存在未明确告知乘客情况下分析乘客出行意图信息、未明确告知乘客情况下分析乘客常驻城市信息、在未明确告知乘客情况下分析乘客异地商务/异地旅游信息和未准确、清晰说明用户设备信息等19项个人信息处理目的。滴滴的上述行为违反了《网络安全法》第四十一条关于“明示收集、使用信息的目的、方式和范围”的规定。根据第六十四条规定,违反第四十一条规定的,除了其他处罚外,还处违法所得一倍以上十倍以下罚款。很有可能,80多亿的罚款有一部分是依据该条计算出的。关于合法和必要原则,在《个人信息保护法》里有较为明确规定,下文阐述。
三、《数据安全法》的可能的适用
《数据安全法》是“三驾马车”中的第二部出台的法律,于2021年9月1日施行。该法第三十一条再次重申了关键信息基础设施运营者的重要数据出境安全管理义务,并强调按照《网络安全法》的规定即第三十一条处理。根据《数据安全法》第四十六条规定,违反关键信息基础设施运营者的重要数据出境安全管理义务的,有两档罚款。第一档是:单位十万元以上一百万元以下,直接负责的主管人员和其他直接责任人员一万元以上十万元以下。第二档是:单位一百万元以上一千万元以下,直接负责的主管人员和其他直接责任人员十万元以上一百万元以下。因此,滴滴案中对单位和个人的处罚,也有可能是按照该条作出的。除此之外,似乎在《数据安全法》找不到能够适用于滴滴案的条款了。
四、《个人信息保护法》的可能的适用
《个人信息保护法》是“三驾马车”中最晚出台的,于2021年11月1日起施行。该法可谓是对个人信息保护最全面的法律,其从个人信息的定义、处理原则、处理规则、敏感个人信息的处理规则、国家机关处理个人信息的特别规定、个人在个人信息处理中的权利、个人信息处理者的义务和法律责任较为全面的规定了个人信息的保护。《个人信息保护法》明确列举了个人信息处理的合法性基础,包括个人同意、订立合同所必须等。[6]正是因为滴滴没有明确告知用户上述信息处理的情况下,很显然没有获得用户同意。因此,滴滴对于用户出行意图信息、常驻城市信息、异地商务或旅游信息的分析以及19项个人信息处理目的,违反了“同意”规则,属于非法处理。关于必要原则,《个人信息保护法》并没有在一个条文中规定,可能涉及的条文有第六条、第十九条和第二十八条。总体来讲,必要原则至少包含以下六个方便:目的特定(明确、合理)、直接相关、对个人权益影响最小、实现处理目的最小范围、保存时间最短和敏感个人信息充分必要。从公布的滴滴的违法行为看,大部分是“过度收集”,也就是“超范围收集”,违反了《个人信息保护法》的第六条。在监管机构看来,用户剪切板信息、应用列表信息、乘客人脸识别信息、收集乘客年龄段信息、乘客职业信息、乘客亲情关系信息、乘客“家”和“公司”打车地址信息和司机学历信息都属于与“打车目的”无关的信息。从这些信息的性质看,确实与打车无关,而且人脸识别信息和地址信息分别是生物识别信息和行踪轨迹信息,属于敏感个人信息。对于这些敏感个人信息,没有评估充分必要性,也是违反了《个人信息保护法》第二十八条。《个人信息保护法》第六十六条对情节严重的违法行为,规定了较为严重的处罚,其中之一就是“处五千万元以下或者上一年度营业额百分之五以下罚款”。因此,也有可能,滴滴80多亿的罚款是这么计算得来的。
五、结 语
数字时代,各种数据为社会带来便利的同时,也带来了好多隐患。如何在有效控制风险的前提下发挥数据的作用,是一个充满矛盾但又必须解决的问题。数据处理主体必须紧绷“数据合规”这根弦,并按照各自实际,做好数据合规制度的建设、执行与评估。
[1] http://www.cac.gov.cn/2021-07/02/c_16268
11521011934.htm,最后访问日期:2022年7月22日。
[2] https://mp.weixin.qq.com/s/6v-BVICScq1loD
mdx7x9ww,最后访问日期:2022年7月22日。
[3] 刘权,《论个人信息处理的合法、正当、必要原则》,
https://legal theory.org/?mod=info&act=view&
id=26127, 最后访问日期:2022年7月22日。
[4] 《个人信息保护法》第七条。
[5] 《个人信息保护法》第十七条。
[6] 《个人信息保护法》第十三条。
