经大赛组委会讨论,陆续发布一些优秀案例评论文章帮助参赛同学学习写作案例分析。 本期推送张新宝老师《滴滴全球“天价”罚款案解析》,收录于《中国法治实施报告(2023)》,感谢张新宝老师和《中国法治实施报告(2023)》授权发布。
国家网信办查明滴滴全球股份有限公司(滴滴公司)存在16项违法处理个人信息的事实,包括违法收集个人信息、过度收集个人信息、超越权限处理个人信息、违法个人信息处理目的等行为。2022年7月21日,国家网信办对该公司处以80.26亿元罚款(上年度营业额5%),并对其董事长兼CEO程维、总裁柳青各处100万元罚款。
名家评析
滴滴全球“天价”罚款案解析
张新宝
中国人民大学法学院教授
中国法学会网络与信息法学研究会副会长
这是国家网信办依据《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等法律对严重违法处理个人信息者开出的首单“天价”行政处罚罚单。滴滴公司被处以“天价”罚款,是因为其严重违法处理个人信息,且违法行为较长时间内处于持续状态。这次行政处罚,既有对滴滴公司的“天价”罚款,也有对公司主要负责人个人的“顶格”行政罚款,贯彻了法律规定的“双罚”制。依据法律规定,行政处罚与刑事责任、民事侵权责任不相互替代。滴滴公司及其相关人员还可能需要承担其他性质的法律责任。这次“天价”罚款,彰显了监管部门保护公民个人信息、严厉打击违法处理个人信息行为的执法导向。
一、查明的事实
国家网信办查明滴滴公司共存在16项违法处理个人信息的事实,包括违法收集个人信息、过度收集个人信息、超越权限处理个人信息、违法个人信息处理目的等,归纳起来主要是8个方面:(1)违法收集用户手机相册中的截图信息1196.39万条;(2)过度收集用户剪切板信息、应用列表信息83.23亿条;(3)过度收集乘客人脸识别信息1.07亿条、年龄段信息5350.92万条、职业信息1633.56万条、亲情关系信息138.29万条、“家”和“公司”打车地址信息1.53亿条;)(4)过度收集乘客评价代驾服务时、App后台运行时、手机连接桔视记录仪设备时的精准位置(经纬度)信息1.67亿条;(5)过度收集司机学历信息14.29万条,以明文形式存储司机身份证号信息5780.26万条;(6)(6)在未明确告知乘客情况下分析乘客出行意图信息539.76亿条、常驻城市信息15.38亿条、异地商务/异地旅游信息3.04亿条;(7)在乘客使用顺风车服务时频繁索取无关的“电话权限”;(8)未准确、清晰说明用户设备信息等19项个人信息处理目的。
二、对持续违法行为的法律适用
《行政处罚法》第37条规定:“实施行政处罚,适用违法行为发生时的法律、法规、规章的规定。但是,作出行政处罚决定时,法律、法规、规章已被修改或者废止,且新的规定处罚较轻或者不认为是违法的,适用新的规定。”在本案中,适用一个法律责任较重的“新法”来追究滴滴公司的行政责任是否妥当?对此,笔者认为本案应当适用《个人信息保护法》第66条的规定,理由如下。
第一,从本案实际情况来看,滴滴公司违法处理海量个人信息、侵害个人信息权益和国家安全利益的行为自2015年6月至被查出时持续存在。“从旧兼从轻”的法律溯及力原则的法理在于,这种溯及适用规则能够保证行为主体能够对自己行为所获得的法律评价有稳定预期、从而依照法律规定规划自己的行为。《个人信息保护法》自2021年8月颁布至2021年11月1日起实施,在这段时间里滴滴公司并未停止自身的违法行为,对其将为此行为承担高额的行政罚款应有充分的可预期性。
第二,本案中滴滴公司的违法行为具有持续性,无法进行区分评价。持续性的违法行为很难作区分评价,前后依次发生的违法行为间存在着密切的联系:在《个人信息保护法》生效前违法收集的个人信息,在《个人信息保护法》生效后被继续违法加工、售卖;在《个人信息保护法》生效前实施的违法处理个人信息行为,其危害后果可能实际发生于《个人信息保护法》施行以后。而作为整体评价的持续的违法行为的发生时间,应确定为该行为终止时。《行政处罚法》第36条规定:“违法行为有连续或者继续状态的,从行为终了之日起计算。”因此,本案应适用《个人信息保护法》第66条对滴滴公司自2015年7月至被查出时的违法处理个人信息行为施以行政处罚
三、“天价”处罚的执法政策导向
《网络安全法》《数据安全法》和《个人信息保护法》都对违法处理个人信息(数据)的行为规定了罚款的行政责任。《行政处罚法》第29条规定:“对当事人的同一个违法行为,不得给予两次以上罚款的行政处罚。同一个违法行为违反多个法律规范应当给予罚款处罚的,按照罚款数额高的规定处罚。”从本案最终确定的“天价”罚款金额来看,确定罚款金额适用的主要是《个人信息保护法》第66条。
我国法律就违法处理个人信息行政罚款数额上限的确定,采取了两种方式:一是直接规定具体数额,如《网络安全法》中的“一百万元以下”、《数据安全法》中的“两百万元以下”以及《个人信息保护法》中的“五千万元以下”等;二是《个人信息保护法》新增的以上一年度营业额的百分比为处罚上限标准,即《个人信息保护法》第66条规定的“上一年度营业额的百分之五”。滴滴公司2021年度公布的营业额为1738.3亿元,按照行政处罚“不重复处罚”“就高不就低”的规定,依据《个人信息保护法》第66条可对滴滴公司处以的罚款上限为86.9亿元。实际处罚80.26亿元,接近法定罚款的上限。网信办对滴滴全球处以法定罚款上限的“天价”罚款,彰显了从严治理严重违法处理个人信息的执法政策导向。
四、落实“双罚制”的治理效果
自《网络安全法》开始,我国就对违法处理个人信息的行为引入了对实施违法行为的单位与个人(包括直接负责的主管人员和其他直接责任人员)都处以行政处罚的双罚制。《个人信息保护法》深化了单位和个人的行政处罚双罚制,考虑到不同形式的行政责任对不同违法主体的劝诫、规制效果差异,我国的“双罚制”对单位和个人设置了不同类别的行政责任。
针对违法处理个人信息的单位,《个人信息保护法》注重多种行政处罚方式的综合适用,除了《网络安全法》规定的“责令改正”“警告”“没收违法所得”“罚款”“责令暂停相关业务”“责令停业整顿”“吊销营业执照”“吊销相关业务许可证”等责任形式外,针对当下各类应用程序(App)违法处理个人信息的行为,《个人信息保护法》增加规定了“责令暂停或者终止提供服务”,这与我国当前加强规范应用程序处理活动的政策导向相一致。针对违法单位的直接负责的主管人员和其他责任人员,除承担罚款责任外,《个人信息保护法》增加规定了处罚机关可以决定“禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人”。正是基于“双罚制”规定,国家网信办在对滴滴公司处以“天价”罚款的同时,也对滴滴全球股份有限公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款。
对违法企业和相关负责人实施“双罚制”均处以高额罚款,更有利于治理违法处理个人信息的行为,遏制个人在企业决策、执行过程中的违法冲动,促进企业合规运作和个人依法履行职责。
【极速引证】张新宝:《滴滴全球“天价”罚款案解析》,江必新主编:《中国法治实施报告(2023)》,人民法院出版社2023年版。