环球网络安全审查系列为向读者展示更加完整的网络安全审查制度,以求全面介绍目前网络安全审查制度的整体概况、审查要点及流程以及在上市过程中拟上市企业主体应当关注的合规要点。本文为本系列的第五篇,主要对近期国家互联网信息办公室对滴滴公司做出80.26亿元的行政处罚进行评述。
一、一年有余——从启动网络安全审查到做出行政处罚
2021年6月30日,滴滴全球股份有限公司(下称“滴滴公司”)在美国上市。上市后三天(即2021年7月2日),网络安全审查办公室依据《中华人民共和国国家安全法》(下称“《国家安全法》”)《中华人民共和国网络安全法》(下称“《网络安全法》”),按照《网络安全审查办法(2020)》(下称“《审查办法(2020)》”)对“滴滴出行”启动网络安全审查,并强制要求“滴滴出行”于网络安全审查期间停止新用户注册[1]。
随后,国家互联网信息办公室(下称“网信办”)于7月4日[2]和7月9日[3]分别发布公告,其中明确:根据举报,经检测核实,通知应用商店下架“滴滴出行”、“滴滴企业版”等存在严重违法违规收集使用个人信息问题的26款App,以上26款App的主办单位均为北京小桔科技有限公司(下称“小桔出行”);7月16日,国家网信办会同公安部、国家安全部、自然资源部、交通运输部、税务总局、市场监管总局等七个部门联合进驻滴滴出行科技有限公司[4](下称“滴滴出行”,为滴滴公司在中国的实际运营实体之一),开展网络安全审查[5]。
此后,根据网络安全审查结论及发现的问题和线索,网信办对滴滴公司涉嫌违法行为进行立案调查[6]。
滴滴事件发展图
时隔一年,2022年7月21日,网信办依据《网络安全法》《中华人民共和国数据安全法》(下称“《数据安全法》”)《中华人民共和国个人信息保护法》(下称“《个人信息保护法》”)以及《中华人民共和国行政处罚法》(下称“《行政处罚法》”)[7]等法律法规,对滴滴公司作出网络安全审查行政处罚的决定:
- 对滴滴全球股份有限公司处以人民币80.26亿元罚款;
- 对滴滴全球股份有限公司董事长兼CEO程维、总裁柳青各处以人民币100万元罚款。
根据《个人信息保护法》第66条规定,违法处理个人信息,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
网信办负责人在答记者问中表示[8],滴滴公司违法违规行为事实清楚、证据确凿、情节严重、性质恶劣,结合网络安全审查情况,应当从严从重予以处罚。根据滴滴公司披露的2021年第四季度业绩报告[9]显示,滴滴公司于2021年中国区全年实现营业收入达1605.21亿元人民币,如以此为计算基准,此次网信办对滴滴公司作出的处罚80.26亿元罚款占2021年度中国区营业收入约5%;除此以外,网信办对直接责任人处以100万元人民币的罚款。由此可见,此次网信办对滴滴公司做出了近乎“顶格罚款”的决定。
此外,目前没有报道表明监管部门将案件移交司法机关,或有组织或个人因滴滴公司侵犯其民事权益提起诉讼等,滴滴公司及相关责任人员是否将承担刑事责任和民事责任暂不得而知。但可以明确的是,《网络安全法》《数据安全法》《个人信息保护法》[10]在法律责任方面除明确规定了行政责任外,也与民事责任和刑事责任进行了衔接。由此,我们也提醒企业,在通过网络开展经营和服务活动、处理数据(含个人信息)时,务必遵守《网络安全法》《数据安全法》《个人信息保护法》及其配套法规的规定,否则除面临除行政处罚外,还有可能承担民事、刑事责任。
二、启动网络安全审查的依据
从2021年7月2日网络安全审查办公室发布的对“滴滴出行”启动网络安全审查的公告中也可以看出,网络安全审查办公室对“滴滴出行”实施网络安全审查的依据是《国家安全法》和《网络安全法》,仅按照《审查办法(2020)》启动审查[11]。虽然《审查办法(2020)》已明确对网络安全审查的对象、程序等作出了规定,但仅规定了一种触发情形,即关键信息基础设施运营者采购网络产品和服务,影响或可能影响国家安全的,应当按照《审查办法(2020)》进行网络安全审查。我们推测,原因可能是,彼时“滴滴出行”未被认定为关键信息基础设施运营者,无法直接依据《审查办法(2020)》启动网络安全审查。故网络安全审查办公室根据《网络安全法》“不得利用网络从事危害国家安全”的规定,以及《国家安全法》中关于国家安全审查[12]的相关规定,按照《审查办法(2020)》中的程序规定,对“滴滴出行”启动网络安全审查。彼时,《数据安全法(草案)》已经出台,其中第八条也明确指出“开展数据活动不得危害国家安全”,这个规定和现行《数据安全法》一致。
但值得注意的是,在网络安全审查办公室对“滴滴出行”启动网络安全审查后,网信办随即于2021年7月10日发布了《网络安全审查办法(修订草案征求意见稿)》,将掌握超过100万用户个人信息的运营者(其中运营者包括关键信息基础设施运营者和数据处理者)赴国外上市的情况规定为必须申报网络安全审查的情形之一。2022年2月15日生效的《网络安全审查办法(2021)》(下称“《审查办法(2021)》”)中的第七条亦正式规定“掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。”。
我们建议,企业存在触发需要申报网络安全审查的场景的,应主动向网络审查办公室申报网络安全审查,具体建议请见(《网络安全审查系列 | 之三:赴美上市中概股企业的网络安全审查应对》和《网络安全审查系列 | 之四:其他企业网络安全审查的评估、准备与应对》)。
三、多部委联合审查
此外,《审查办法(2020)》第四条明确规定,在中央网络安全和信息化委员会领导下,网信办会同国家发展和改革委员会、工业和信息化部等11个国家部委建立国家网络安全审查的工作机制。据此,在网信办宣布对“滴滴出行”实施网络安全审查后,网信办、公安部、国家安全部等7个国家部委联合入驻“滴滴出行”开展网络安全审查。经过对比可以发现,入驻“滴滴出行”的自然资源部、税务总局、交通运输部并未出现在《审查办法(2020)》第四条中。我们理解,“滴滴出行”的业务或者对其进行网络安全审查的相关事项与自然资源部(如测绘)、税务总局、交通运输部的监管职能存在相关性。相应地,《审查办法(2021)》也规定了多部委联合工作机制,在《审查办法(2020)》的基础上新增了企业上市监管部门——中国证券监督管理委员会[13]。
我们提示,网络安全审查中可能涉及到多个监管部门同时入驻被审查企业开展审查工作的情形,企业应提前做好网络数据安全、个人信息保护和上市前的各项合规工作,以免触发网络安全审查而给企业带来额外负担和不良影响。
四、违法违规事项分析
网信办负责人就案件相关问题答记者问[14]中明确滴滴公司存在以下违法违规行为:
① 公开的违法违规行为:“滴滴公司共存在16项违法事实,归纳起来主要是8个方面”。
② 不公开的违法违规行为:“存在严重影响国家安全的数据处理活动,以及拒不履行监管部门的明确要求,阳奉阴违、恶意逃避监管等其他违法违规问题”。
下文将对上述违法违规事项一一做出分析,以期为企业合规作出警示:
(一)公开的违法违规行为:八方面违法违规事实——个人信息保护
总体而言,从滴滴公司八方面违法事实中可归纳为以下四类违反《个人信息保护法》等相关法律法规的具体情形:
1. 违法收集
第一:违法收集用户手机相册中的截图信息1196.39万条。
处理个人信息应当遵循合法原则,应当具有合法性基础。“知情同意”是个人信息处理合法性基础之一,同时也是基本原则之一。《网络安全法》第二十二条第三款和《个人信息保护法》第十三条、第十四条都明确提出,除存在其他合法性基础,处理(收集)个人信息应当取得个人同意,该同意应当由个人在充分知情的前提下自愿、明确地作出。
“滴滴出行”App的《个人信息保护及隐私政策》(2021年7月8日版本)[15]虽披露滴滴平台会调用系统的IOS系统的“照片”权限和Android系统的“多媒体访问权限”,但调用权限的目的分别为“上传头像照片”和“设置个人用户信息获取相册照片”,未明确滴滴平台将收集手机相册中的其他信息。此外,“截图信息”中很可能包含敏感个人信息,一旦泄露或者被他人非法使用,容易导致个人信息主体的人格尊严受到侵害或者人身、财产安全受到危害,需要取得用户的单独同意。由此,我们理解,此处“违法收集”可能是指滴滴公司未征得用户单独同意便收集用户手机相册中的截图信息。
建议:企业在收集个人信息时,务必要履行对个人信息主体的告知义务,并满足《个人信息保护法》的合法性基础前提下收集个人信息。
2. 过度收集
第二:过度收集用户剪切板信息、应用列表信息83.23亿条。
第三:过度收集乘客人脸识别信息1.07亿条、年龄段信息5350.92万条、职业信息1633.56万条、亲情关系信息138.29万条、“家”和“公司”打车地址信息1.53亿条。
第四:过度收集乘客评价代驾服务时、App后台运行时、手机连接桔视记录仪设备时的精准位置(经纬度)信息1.67亿条。
第五:过度收集司机学历信息14.29万条,以明文形式存储司机身份证号信息5780.26万条。
2019年发布的《App违法违规收集使用个人信息行为认定方法》即指出六种可被认定为“违反必要原则,收集与其提供的服务无关的个人信息”的行为,其中包括:收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关。《个人信息保护法》第六条第二款亦明确了收集环节的禁止性规范,明确个人信息的收集应当限于实现处理目的的最小范围,不得过度收集个人信息,即收集个人信息的目的应与实现产品或服务的功能直接关联。根据《常见类型移动互联网应用程序必要个人信息范围规定》第三条,必要个人信息指保障App基本功能服务正常运行所必需的个人信息,缺少该信息App即无法实现基本功能服务。2022年4月发布的《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求(GB/T 41391-2022)》将于2022年11月1日实施,其对App功能划分与类型判断流程、App收集个人信息基本要求等内容作出了进一步规定。具体内容请参见(《新规重磅来袭,解读机不可失!带你学习
于2021年3月12日发布的《常见类型移动互联网应用程序必要个人信息范围规定》明确网络约车类,基本功能服务为“网络预约出租汽车服务、巡游出租汽车电召服务”,必要个人信息包括:1. 注册用户移动电话号码;2. 乘车人出发地、到达地、位置信息、行踪轨迹;3. 支付时间、支付金额、支付渠道等支付信息(网络预约出租汽车服务)。由此可见,滴滴公司收集的用户剪切板信息、应用列表信息、乘客人脸识别信息、年龄段信息、职业信息、亲情关系信息、司机学历信息等,均非属于网约车类基本服务收集必要个人信息的范围。
此外,值得注意的是,虽然“乘车人出发地、到达地、位置信息”是网络约车类App实现基本功能服务的必要信息,但在“乘客评价代驾服务时、App后台运行时、手机连接桔视记录仪设备时”这些时间节点,都已经超出了网络约车的基本业务运营范围,在这些时间节点持续收集的精准位置(经纬度)信息,实际上并非实现网络约车功能所必需;而打车地址信息与“家”或“公司”等信息结合,还可以推衍出新的信息内涵,而判断相关地址是否是乘客的家或公司,亦不会影响实现约车功能,收集此类信息涉嫌超出了最小必要范围。
此外,以明文形式存储司机身份证号这类敏感个人信息的数据处理行为,容易造成信息泄露进而侵害司机的个人权益。
建议:企业判断所收集的信息是否与业务直接关联、是否具有收集的必要性,不能仅通过信息字段的类型进行判断,而应当通过收集的节点、场景和关联信息等综合判断相关信息结合后可能产生的内涵,以及是否的确为实现产品或服务功能直接关联,是否符合最小必要原则。如发现违法违规收集的情况,应即刻停止收集、并做好删除、销毁或匿名化等工作。对于敏感个人信息,应加密存储,并与其他个人信息隔离存储(如物理隔离),并严格限制访问等处理权限;如需展示(不论是内部还是App等平台展示)的应当采取加掩码等去标识化处理形式。
3. 未履行告知义务
第六:在未明确告知乘客情况下分析乘客出行意图信息539.76亿条、常驻城市信息15.38亿条、异地商务/异地旅游信息3.04亿条。
第八:未准确、清晰说明用户设备信息等19项个人信息处理目的。
《个人信息保护法》第十七条规定个人信息处理者在处理个人信息前,应当向个人告知个人信息的处理目的、处理方式等与个人信息处理活动密切相关的要素,使得个人信息主体对处理活动中与其利益密切相关的事项充分知情。而此类违规行为,侵犯了个人信息知情权,违反了关于个人信息处理者告知义务的规定。
此外,《个人信息保护法》第二十四条规定个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正。滴滴公司分析乘客的出行意图信息、常驻城市信息、异地商务/异地旅游信息等,很可能涉及利用个人信息进行自动化决策,同时也进行了用户画像行为。如在未告知乘客的情况下在后端进行分析,则很可能违反保证决策的透明度和结果公平、公正等义务。
需要注意的是,《互联网信息服务算法推荐管理规定》对算法的透明度、可解释性提出了要求,这意味着企业不仅要告知用户利用算法对信息进行分析,还要尽可能以精确的方式和适当(可被非专业大众理解)的方式做出自动化决策理由解释,以验证企业使用的自动化决策或人工智能手段遵守了法规与政策的要求,保证算法的利用遵循公正公平、公开透明、科学合理和诚实信用等原则,避免对用户产生不良影响。
建议:企业明确告知个人信息的处理目的和处理方式,如涉及自动化决策或利用算法处理个人信息的,应当保持透明度和可解释性。
4. 频繁索取无关权限
第七:在乘客使用顺风车服务时频繁索取无关的“电话权限”。
虽然《个人信息保护法》没有直接对索取权限作出规定,但《App违法违规收集使用个人信息行为认定方法》《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南》(2020年)等相关规定均明确,用户明确表示不同意后,仍频繁征求用户同意、干扰用户正常使用的行为,属于“未经用户同意收集使用个人信息”的行为。
2020年工业和信息化部发布的《关于开展纵深推进App侵害用户权益专项整治行动的通知》强调对App强制、频繁、过度索取权限的行为进行整治,重点整治频繁弹窗、反复申请与当前服务场景无关权限等行为。工业和信息化部也在近年来的专项整治工作中,对数百家App存在强制、频繁、过度索取权限的违规行为作出通报,责令限期整改[16]。滴滴公司在乘客使用顺风车服务时频繁索取无关的“电话权限”即属于此类重点整治的频繁骚扰用户的行为。
建议:企业定期开展App合规自查,明确业务所必须开启的权限,并征得用户同意,设置权限开关等允许用户撤回同意。如涉及索取无关权限的,应当立刻停止。
(二)不公开的违法违规行为:严重影响国家安全的数据处理活动
网信办负责人在答记者问中表示,在网络安全审查过程中发现,滴滴公司存在严重影响国家安全的数据处理活动,其违法违规运营给国家关键信息基础设施安全和数据安全带来严重安全风险隐患。因涉及国家安全,网信办未公开其具体的违法行为。《国家安全法》第二条规定,国家安全是指国家政权、主权、统一和领土完整、人民福祉、经济社会可持续发展和国家其他重大利益相对处于没有危险和不受内外威胁的状态,以及保障持续安全状态的能力;《网络安全法》明确,任何个人和组织使用网络不得利用网络从事危害国家安全等活动;《数据安全法》规定,在中华人民共和国境外开展数据处理活动,损害中华人民共和国国家安全的,依法追究法律责任。滴滴公司作为《网络安全法》项下的网络运营者,以及《数据安全法》项下的数据处理者,应当依法承担一般网络安全和数据安全保护义务,并且不得从事危害国家安全的活动。
此外,《数据安全法》明确,重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。滴滴公司在运营过程中,很可能处理了大量道路信息等重要数据,甚至是关系国家安全、国民经济命脉、重要民生、重大公共利益等的国家核心数据,应当遵守《数据安全法》的规定,明确数据安全负责人和管理机构,严格落实数据安全保护责任。
根据《网络安全法》第三十一条,关键信息基础设施(“CII”)所涉及的行业和领域包括:公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的行业和领域。2021年9月1日生效的《关键信息基础设施安全保护条例》则在《网络安全法》的基础上,进一步明确,国家对关键信息基础设施实行重点保护,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治危害关键信息基础设施安全的违法犯罪活动。
我们理解,滴滴公司作为网络约车的互联网企业,自身所涉业务落入在上述重要行业和领域(如交通、公共服务),如被主管机构认定为关键信息基础设施运营者(“CIIO”),则应按照CIIO合规要求做好合规工作。除此之外,滴滴公司作为网络运营者或数据处理者有义务了解其他与其存在数据传输活动的合作方企业是否可能被认定为CIIO,并且关注由此类企业传输到滴滴公司的数据类型,以甄别其所应履行合规义务的不同要求和程度。从网信办公开的信息来看,滴滴公司很可能未能切实履行上述义务,对国家安全和数据安全造成了威胁。
五、处理结果警示
(一)处罚决定依据分析
网信办负责人员在答记者问中明确,本次对滴滴公司予以从严从重行政处罚的依据包括以下五大方面:
- 违法行为的性质;
- 违法行为的持续时间;
- 违法行为的危害;
- 违法处理的个人信息数量;
- 违法处理个人信息的情形。
我们将在下文一一分析:
第一,违法行为的性质:存在未履行网络安全、数据安全、个人信息保护义务,且在监管部门责令整改情况下仍未进行全面深入整改,因此被认定为性质极为恶劣
根据滴滴公司曾在赴美上市的《招股说明书》[17]中披露,截至2021年3月31日的12个月,滴滴公司在中国拥有3.77亿年度活跃用户和1300万年度活跃司机,截至2021年3月31日的三个月,拥有1.56亿平均月度活跃用户。[18]在日常经营中,滴滴公司不可避免地会收集、传输、存储和使用“体量大、类型多”的个人信息和敏感个人信息。
除个人信息外,滴滴公司还很可能掌握重要数据甚至国家核心数据等。根据《招股说明书》中披露的信息,滴滴公司在地图导航系统中使用了高清晰测绘技术,确保了厘米级的精确度,并在拼车业务中使用了实时地图数据,确保提供最优路线。所以,我们理解,滴滴公司在经营中同样会处理地图数据,获取实时地理或道路信息,与地图进行实时比对,从而构成测绘行为。根据全国信息安全标准化技术委员会于2022年1月13日发布的《信息安全技术 重要数据识别指南》(征求意见稿)第5条规定,“对于满足一定精度要求的地理信息”、或是“反映重点目标、重要场所物理安全保护情况或未公开地理目标的位置,可能被恐怖分子、犯罪分子利用实施破坏,如反映重点安保单位、重要生产企业、国家重要资产(如铁路、输油管道)的施工图、内部结构、安防等情况的数据,以及未公开的专用公路、未公开的机场等的信息”均属于重要数据。不当处理该等重要数据将可能影响国家安全。为了规制不合规的测绘行为,保护国家测绘成果,近几年,在《中华人民共和国测绘法》的基础上,国家不断出台测绘相关法律要求。如2021年6月7日,自然资源部印发《测绘资质管理办法》和《测绘资质分类分级标准》,严格限制测绘资质、测绘数据采集方式、测绘数据使用及出境等。我们理解,滴滴公司开展《数据安全法》第二条、第三条项下的数据处理活动,并且作为重要数据的处理者,应当按照《数据安全法》第二十七条、第三十条、第三十一条规定,承担重要数据处理者的增强合规义务,包括但不限于落实数据安全保护责任、定期开展风险评估、将在境内收集和产生的重要数据存储于境内,确需向境外提供的,应当通过国家网信部门组织的安全评估等义务。然而,根据美国《外国公司问责法案》,赴美上市的中国公司需要满足特定的信息披露要求,滴滴公司于2021年6月30日在未通过网信办安全审查的情况下,前往美国纳斯达克上市,此举可能造成涉及国家安全的重要数据传出境外,很可能会对数据安全、网络安全甚至国家安全造成严重威胁和风险隐患,触碰了法律及监管红线[19]。
此外,根据《网络安全法》第五十六条、《个人信息保护法》第六十四条以及《数据安全法》第四十四条规定,主管部门在履行监管职责时,发现数据处理者的处理活动存在较大安全风险的,可以对有关组织和个人进行约谈,并要求整改,消除隐患。个人信息和数据处理者应当按照要求采取措施进行整改。从2021年7月开始,网信办认为“滴滴出行”和“滴滴企业版”App存在严重违法违规收集使用个人信息问题,通知应用商店下架该App、暂停新用户注册,要求滴滴公司认真整改。
网信办负责人在答记者问中明确提到滴滴公司在监管部门责令改正情况下,仍未进行全面深入整改,构成性质极为恶劣的情形。
第二,违法行为持续时间长——处理行为持续性
网信办负责人在答记者问中表示,滴滴公司的违法行为自2015年6月开始至今持续长达7年。根据我们在网信办官方网站上检索到的信息,早在2015年7月,“滴滴快的”等专车平台被北京市网信办等其他8部门约谈,8部门明确指出滴滴公司等专车平台涉嫌违规发送商业性短消息(垃圾短信)和发布广告等行为,同时要求其停止发送商业性短信息(垃圾短信)等行为并限期整改。
根据《行政处罚法》第三十六条第二款的规定,违法行为有连续或者继续状态的,行政处罚的时效期限从行为终了之日起算。根据《个人信息保护法》,“处理”包含“收集、存储、使用、加工、传输、提供、公开、删除等”多种行为,其中存储、使用等行为均具有持续性,即如滴滴公司在2015年违法收集相关的信息存储至今,意味着违法处理信息的行为是一直持续的,截至行政处罚作出时,滴滴公司的前违法行为未曾终了。如在发现违法行为后,滴滴公司仍未能按照监管部门要求或相关法律法规的规定进行自查自纠,及时改正违法行为,则很可能被认定为违法行为有连续或者继续状态。
第三,违法行为的危害:严重侵害用户个人信息权益
如前所述,滴滴公司违法收集用户相册中的截图信息1196.39万条,过度收集剪切板信息、亲情关系信息138.29万条的行为,违反了《个人信息保护法》的相关规定,势必造成对用户个人隐私及个人信息权益的严重侵害,具体分析见本文第四部分违规事项分析。
第四,违法处理个人信息数量巨大
根据网信办负责人在答记者问中披露,滴滴公司违法违规处理个人信息的数量多达647.09亿条,数量巨大,且包含人脸识别信息、精准位置信息、身份证号等多类敏感个人信息。如此海量的个人信息一旦泄露或被非法使用,个人信息主体的人身、财产安全必然遭到危害,危害后果不堪设想。虽然网信部门对于违法违规处理个人信息数量的计算依据并未进行披露,但结合对滴滴公司“相关违法行为最早始于2015年6月持续至今”的认定,我们理解,很可能是从2015年起算累计至今的总量。
第五,违法处理个人信息情形众多
滴滴公司违法行为涉及多个滴滴旗下的App,涵盖过度收集个人信息、强制收集敏感个人信息、App频繁索权、未尽个人信息处理告知义务、未尽网络安全、数据安全、个人信息保护义务等多种情形。
网信办自2021年7月启动对滴滴公司的网络安全审查后,随即通知应用商店下架了26款主办单位为小桔科技的App。根据网信办负责人在答记者问中披露的情况,我们推测,这些App或多或少涉及上述违法违规情形。具体分析见本文第四部分违规事项分析。
(二)警示建议
在技术快速更迭且互联网高速发展的时代,滴滴案例已引起全社会的极大关注。与此同时,从滴滴公司受到网络安全审查伊始至网信部门作出行政处罚决定,整个过程也必将为互联网企业,尤其是平台企业合规运营敲响了警钟。因此,我们建议企业不但要引以为戒,还应持续做好合规工作,重点关注以下要点:
- 根据《网络安全法》《数据安全法》《个人信息保护法》的规定,履行合规义务,否则公司、直接负责的主管人员(如董事长、CEO、总裁等)和其他直接责任人员都可能因公司的违法违规行为被处以巨额罚款,同时可能面临被吊销相关业务许可或者吊销营业执照等处罚,也可能承担民事责任和刑事责任。建议企业重视保护个人信息、数据安全和网络安全,尽快并持续开展合规工作,避免触碰监管红线。
- 数据处理行为具有持续性(如存储),违法违规行为的起算时间点可能会被溯及多年以前,如在日常经营中发现违法违规行为,须立即停止、尽快整改,如停止收集、删除销毁违法违规收集的数据、停止向境外传输等等。
- 掌握超过100万人用户个人信息的企业拟赴国外上市的,除需做好全方位合规工作外,还应提前作好主动向网络安全审查办公室申报网络安全审查的准备。
- 如受到监管调查并被责令及时整改,应积极履行监管部门的明确要求,并以最快速度完成整改,避免阳奉阴违、恶意逃避监管要求的行为。
注释:
[1] 网络安全审查办公室关于对“滴滴出行”启动网络安全审查的公告:http://www.cac.gov.cn/2021-07/02/c_1626811521011934.htm
[2] 关于下架“滴滴出行”App的通报:http://www.cac.gov.cn/2021-07/04/c_1627016782176163.htm
[3] 关于下架“滴滴企业版”等25款App的通报:http://www.cac.gov.cn/2021-07/09/c_1627415870012872.htm
[4] 滴滴出行科技有限公司是滴滴全球股份有限公司在中国的实际运营实体之一。具体请参见滴滴公司赴美上市《招股说明书》:https://www.sec.gov/Archives/edgar/data/0001764757/000104746921001227/a2243300z424b4.htm
"We conduct our business primarily through our principal subsidiaries and variable interest entities, including the following principal variable interest entity and its subsidiaries as of the date of this prospectus:
Beijing Xiaoju Science and Technology Co., Ltd., or Xiaoju Technology, a limited liability company incorporated under the laws of the PRC, and its subsidiaries, including DiDi Chuxing Science and Technology Co., Ltd. and Beijing DiDi Chuxing Technology Co., Ltd., to carry out our mobility services."
[5] 国家互联网信息办公室等七部门进驻滴滴出行科技有限公司开展网络安全审查:http://www.cac.gov.cn/2021-07/16/c_1628023601191804.htm
[6] 国家互联网信息办公室对滴滴全球股份有限公司依法作出网络安全审查相关行政处罚的决定:http://www.cac.gov.cn/2022-07/21/c_1660021534306352.htm
[7] 国家互联网信息办公室对滴滴全球股份有限公司依法作出网络安全审查相关行政处罚的决定:http://www.cac.gov.cn/2022-07/21/c_1660021534306352.htm
[8] 国家互联网信息办公室有关负责人就对滴滴全球股份有限公司依法作出网络安全审查相关行政处罚的决定答记者问:http://www.cac.gov.cn/2022-07/21/c_1660021534364976.htm
[9] https://ir.didiglobal.com/news-and-events/news/news-details/2022/DiDi-Global-Announces-Unaudited-Quarterly-Financial-Results/default.aspx
[10] 如《网络安全法》第七十四条、《数据安全法》第五十二条及《个人信息保护法》第六十九条第一款、第七十一条均作出了明确规定。
[11] 网络安全审查办公室关于对“滴滴出行”启动网络安全审查的公告-中共中央网络安全和信息化委员会办公室,http://www.cac.gov.cn/2021-07/02/c_1626811521011934.htm网络安全审查办公室按照《网络安全审查办法(2020)》,对“滴滴出行”实施网络安全审查。
[12] 《国家安全法》第五十九条 国家建立国家安全审查和监管的制度和机制,对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目,以及其他重大事项和活动,进行国家安全审查,有效预防和化解国家安全风险。
[13] 《网络安全审查办法(2021)》第四条 在中央网络安全和信息化委员会领导下,国家互联网信息办公室会同中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局建立国家网络安全审查工作机制。
[14] 国家互联网信息办公室有关负责人就对滴滴全球股份有限公司依法作出
网络安全审查相关行政处罚的决定答记者问:http://www.cac.gov.cn/2022-07/21/c_1660021534364976.htm
[15]滴滴出行《个人信息保护及隐私政策》(2021年7月8日版本) https://dpubstatic.udache.com/static/dpubimg/098bdef3-fcb3-4ff6-b0f0-c9ed740037a9.pdf
[16] https://www.miit.gov.cn/xwdt/gxdt/sjdt/art/2021/art_7e5c3fa7f29a469fa5a005b08ba8b5d2.html
[17] https://www.sec.gov/Archives/edgar/data/0001764757/000104746921001227/a2243300z424b4.htm
[18] We had 377 million annual active users and 13 million annual active drivers in China for the twelve months ended March 31, 2021, as well as 156 million average monthly active users for the three months ended March 31, 2021. We facilitated 25 million average daily China Mobility transactions for the three months ended March 31, 2021.
[19] 国家互联网信息办公室有关负责人就对滴滴全球股份有限公司依法作出
网络安全审查相关行政处罚的决定答记者问:
http://www.cac.gov.cn/2022-07/21/c_1660021534364976.htm