7月21日,“網信中國”公衆號公佈滴滴因違反《網絡安全法》、《數據安全法》和《個人信息保護法》而被罰款80.26億元。一時間,朋友圈被這一消息刷屏。筆者查詢行政處罰決定書,由於涉及國家安全,未查到執法機關對《網絡安全法》、《數據安全法》和《個人信息保護法》——我國數據保護 “三駕馬車”的理解與適用,公佈信息中未詳細披露依據法律的具體條款。從公佈的信息看,依據的法律就是《網絡安全法》、《數據安全法》和《個人信息保護法》,筆者從公佈的滴滴違法行爲倒推可能的適用條款,探析“三駕馬車”適用的可能性。一、被處罰的違法行爲
現有情況下,要想獲知執法機關對法律條文的理解與適用,只能從公佈的滴滴的違法行爲倒推得出。滴滴的違法行爲統計如下:1、違法收集用戶手機相冊中的截圖信息1196.39萬條;2、過度收集用戶剪切板信息、應用列表信息83.23億條;7、過度收集乘客“家”和“公司”打車地址信息1.53億條;8、過度收集乘客評價代駕服務時、App後臺運行時、手機連接桔視記錄儀設備時的精準位置(經緯度)信息1.67億條;10、以明文形式存儲司機身份證號信息5780.26萬條;11、在未明確告知乘客情況下分析乘客出行意圖信息539.76億條;12、在未明確告知乘客情況下分析乘客常駐城市信息15.38億條;13、在未明確告知乘客情況下分析乘客異地商務/異地旅遊信息3.04億條;14、在乘客使用順風車服務時頻繁索取無關的“電話權限”;15、未準確、清晰說明用戶設備信息等19項個人信息處理目的;17、違法違規運營給國家關鍵信息基礎設施安全和數據安全帶來嚴重安全風險隱患。上述信息,1-15項,除了第1、2、14項不那麼明顯是個人信息外,其他13項都明顯是個人信息。第16項涉及國家安全,第17項涉及國家關鍵信息基礎設施安全和數據安全。因此,可以說處罰的依據就是涉及個人信息處理規則的條款、涉及國家安全的條款以及涉及國家關鍵信息基礎設施安全和數據安全的條款。二、《網絡安全法》的可能的適用
《網絡安全法》是“三駕馬車”中頒佈施行最早的,於2017年6月1日施行。其中,第三章第二節專門規定“關鍵信息基礎設施的運行安全”。第三十一條對關鍵信息基礎設施進行了定義:“公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施”。《關鍵信息基礎設施安全保護條例》爲“關鍵信息基礎設施”的認定提供了指引。該條例除了在第二條基本重複了《網絡安全法》第三十一條的內容之外,還在第九條給出了認定關鍵信息基礎設施考慮的因素,包括“網絡設施、信息系統等對於本行業、本領域關鍵核心業務的重要程度”、“一旦遭到破壞、喪失功能或者數據泄露可能帶來的危害程度”和“對其他行業和領域的關聯性影響”。按照三個因素,結合滴滴的違法收集用戶信息的數量,再加上滴滴的市場佔有率,可以認定滴滴是關鍵信息基礎設施的運營者。而且答記者問中也明確將滴滴平臺認定爲關鍵信息基礎設施,滴滴也就是關鍵信息基礎設施的運營者。2021年7月2日,互聯網信息辦公室公告稱,依據《網絡安全審查辦法》對滴滴進行網絡安全審查,[1]公告中所稱的《網絡安全審查辦法》是指2020年版的辦法(以下簡稱《網絡安全審查辦法(2020)》)。根據《網絡安全審查辦法(2020)》第二條,網絡安全審查的對象就只有“關鍵信息基礎設施運營者”。因此,滴滴是關鍵信息基礎設施運營者已確定無疑。在筆者看來,滴滴很有可能是因爲違反了《網絡安全法》第三十七條,從而被互聯網信息辦公室認定爲違反關鍵信息基礎設施的運營者的安全保護義務,“給國家關鍵信息基礎設施安全和數據安全帶來嚴重安全風險隱患”。[2]《網絡安全法》第三十七條規定:“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要,確需向境外提供的,應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估”。該條的適用很有可能是因爲滴滴在赴美上市及赴美運營過程中,觸發了該條的適用條件,這直接導致的是去年7月份滴滴應用被下架。對該條的違反,將被處以“五萬元以上五十萬元以下罰款,並可以責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照”,直接負責的主管人員和其他直接責任人員還會被處以“一萬元以上十萬元以下罰款”。根據公佈的滴滴的違法行爲,很有可能適用了《網絡安全法》第四十一條。該條明確規定了收集和使用個人信息的原則和程序。這些原則包括合法、正當、必要,程序包括“公開收集、使用規則”,“明示收集、使用信息的目的、方式和範圍”和“經被收集者同意”。該條第二款還規定,“不得收集與其提供的服務無關的個人信息”。對於上述原則中的合法、正當和必要原則,除了正當原則的程序規定外,《網絡安全法》沒有具體規定。正當原則是指程序上的正當,[3]在處理個人信息前,應當“公開個人信息處理規則,明示處理的目的、方式和範圍。”[4]必須要以“顯著方式、清晰易懂的語言真實、準確、完整地”向用戶告知上述事項,處理規則中載明“處理的目的、方式和範圍”的,應當確保處理規則符合“顯著、清晰、真實、準備、完整”的要求。另外,處理規則還必須“便於查閱和保存”。[5]就滴滴處罰案而言,滴滴存在未明確告知乘客情況下分析乘客出行意圖信息、未明確告知乘客情況下分析乘客常駐城市信息、在未明確告知乘客情況下分析乘客異地商務/異地旅遊信息和未準確、清晰說明用戶設備信息等19項個人信息處理目的。滴滴的上述行爲違反了《網絡安全法》第四十一條關於“明示收集、使用信息的目的、方式和範圍”的規定。根據第六十四條規定,違反第四十一條規定的,除了其他處罰外,還處違法所得一倍以上十倍以下罰款。很有可能,80多億的罰款有一部分是依據該條計算出的。關於合法和必要原則,在《個人信息保護法》裏有較爲明確規定,下文闡述。三、《數據安全法》的可能的適用
《數據安全法》是“三駕馬車”中的第二部出臺的法律,於2021年9月1日施行。該法第三十一條再次重申了關鍵信息基礎設施運營者的重要數據出境安全管理義務,並強調按照《網絡安全法》的規定即第三十一條處理。根據《數據安全法》第四十六條規定,違反關鍵信息基礎設施運營者的重要數據出境安全管理義務的,有兩檔罰款。第一檔是:單位十萬元以上一百萬元以下,直接負責的主管人員和其他直接責任人員一萬元以上十萬元以下。第二檔是:單位一百萬元以上一千萬元以下,直接負責的主管人員和其他直接責任人員十萬元以上一百萬元以下。因此,滴滴案中對單位和個人的處罰,也有可能是按照該條作出的。除此之外,似乎在《數據安全法》找不到能夠適用於滴滴案的條款了。四、《個人信息保護法》的可能的適用
《個人信息保護法》是“三駕馬車”中最晚出臺的,於2021年11月1日起施行。該法可謂是對個人信息保護最全面的法律,其從個人信息的定義、處理原則、處理規則、敏感個人信息的處理規則、國家機關處理個人信息的特別規定、個人在個人信息處理中的權利、個人信息處理者的義務和法律責任較爲全面的規定了個人信息的保護。《個人信息保護法》明確列舉了個人信息處理的合法性基礎,包括個人同意、訂立合同所必須等。[6]正是因爲滴滴沒有明確告知用戶上述信息處理的情況下,很顯然沒有獲得用戶同意。因此,滴滴對於用戶出行意圖信息、常駐城市信息、異地商務或旅遊信息的分析以及19項個人信息處理目的,違反了“同意”規則,屬於非法處理。關於必要原則,《個人信息保護法》並沒有在一個條文中規定,可能涉及的條文有第六條、第十九條和第二十八條。總體來講,必要原則至少包含以下六個方便:目的特定(明確、合理)、直接相關、對個人權益影響最小、實現處理目的最小範圍、保存時間最短和敏感個人信息充分必要。從公佈的滴滴的違法行爲看,大部分是“過度收集”,也就是“超範圍收集”,違反了《個人信息保護法》的第六條。在監管機構看來,用戶剪切板信息、應用列表信息、乘客人臉識別信息、收集乘客年齡段信息、乘客職業信息、乘客親情關係信息、乘客“家”和“公司”打車地址信息和司機學歷信息都屬於與“打車目的”無關的信息。從這些信息的性質看,確實與打車無關,而且人臉識別信息和地址信息分別是生物識別信息和行蹤軌跡信息,屬於敏感個人信息。對於這些敏感個人信息,沒有評估充分必要性,也是違反了《個人信息保護法》第二十八條。《個人信息保護法》第六十六條對情節嚴重的違法行爲,規定了較爲嚴重的處罰,其中之一就是“處五千萬元以下或者上一年度營業額百分之五以下罰款”。因此,也有可能,滴滴80多億的罰款是這麼計算得來的。五、結 語
數字時代,各種數據爲社會帶來便利的同時,也帶來了好多隱患。如何在有效控制風險的前提下發揮數據的作用,是一個充滿矛盾但又必須解決的問題。數據處理主體必須緊繃“數據合規”這根弦,並按照各自實際,做好數據合規制度的建設、執行與評估。
[1] http://www.cac.gov.cn/2021-07/02/c_16268
11521011934.htm,最後訪問日期:2022年7月22日。
[2] https://mp.weixin.qq.com/s/6v-BVICScq1loD
mdx7x9ww,最後訪問日期:2022年7月22日。
[3] 劉權,《論個人信息處理的合法、正當、必要原則》,
https://legal theory.org/?mod=info&act=view&
id=26127, 最後訪問日期:2022年7月22日。
[4] 《個人信息保護法》第七條。
[5] 《個人信息保護法》第十七條。
[6] 《個人信息保護法》第十三條。
Chrome
Firefox
Safari
IE9及以上