编者按:
《中华人民共和国民法典》已于2021年1月1日起施行,作为新中国第一部以“法典”命名的法律,民法典具有里程碑式的意义,被誉为“社会生活的百科全书”。民法典聚焦现实社会的热点、难点,内容丰富鲜活,每一个条文都关乎社会生活的方方面面和我们每个人的衣食住行,规范了各类民事主体的人身关系和财产关系,从基本原则到具体法条、从公民权利到市场经济、从私人生活到人格权利、从出生到死亡,民法典影响着我们每个人的生活。
为了让读者进一步了解《中华人民共和国民法典》的新变化,我们特地开设了栏目,邀请到北京京师(合肥)律师事务所主任朱政律师。他将结合民法典并以各地刚刚审判的第一案为例,为大家进行细致地解读。
一、案件回顾
2022年7月21日,国家互联网信息办公室对滴滴全球股份有限公司(以下简称“滴滴公司”)依法作出网络安全审查相关行政处罚决定,对滴滴公司处人民币80.26亿元罚款,对滴滴公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款。从处罚金额来看,滴滴公司此次处罚无疑是《数据安全法》《个人信息保护法》施行之后截止目前的最大罚单,滴滴公司因网络安全被处罚的事件再次把企业数据合规推上了风口浪尖。
二、滴滴公司的违法事实包括哪些?
从上述通报中不难看出,滴滴公司共存在八个方面共十六项违法事实:一是违法收集用户手机相册中的截图信息1196.39万条;二是过度收集用户剪切板信息、应用列表信息83.23亿条;三是过度收集乘客人脸识别信息1.07亿条、年龄段信息5350.92万条、职业信息1633.56万条、亲情关系信息138.29万条、“家”和“公司”打车地址信息1.53亿条;四是过度收集乘客评价代驾服务时、App后台运行时、手机连接桔视记录仪设备时的精准位置(经纬度)信息1.67亿条;五是过度收集司机学历信息14.29万条,以明文形式存储司机身份证号信息5780.26万条;六是在未明确告知乘客情况下分析乘客出行意图信息539.76亿条、常驻城市信息15.38亿条、异地商务/异地旅游信息3.04亿条;七是在乘客使用顺风车服务时频繁索取无关的“电话权限”;八是未准确、清晰说明用户设备信息等19项个人信息处理目的。
《民法典》第一千零三十四条明确规定,“自然人的个人信息受法律保护。”该法第一千零三十五条还规定了个人信息处理的原则和条件,确立了处理个人信息应遵守“合法、正当、必要”的基本原则。滴滴公司的上述行为,明显违背了《民法典》的基本规定。
三、对滴滴公司违法行为的处罚依据有哪些?
80.26亿元的巨额罚单是怎么算出来的呢?《个人信息保护法》第六十六条明确规定,“反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的”处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。对情节严重的,“由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。”
滴滴公司在纽交所上市,目前查询到滴滴公司2021年总营收为1738.3亿元。我们基本可推定滴滴80.26亿的天价罚款是依据其上一年度营业额5%计算而来的。由此可推知:《个人信息保护法》的实行,相较于《网络安全法》与《数据安全法》的处罚力度不是一个等量级别的;同时,依据案件背景,由于滴滴公司的阳奉阴违,拒不履行监管,严重危害国家数据安全,才会适用该法进行顶格处罚。
四、什么是企业数据合规
滴滴公司被处罚的原因是其企业数据不合规。要想弄懂什么是企业数据合规,首先要认识企业数据合规里的“数据”。这里的数据,绝非仅指狭义上的存放在数据库里或电子表格里的数据,它是广义上的企业在生产经营过程中涉及到的一切数据。从数据对象上,既有客户的,也有企业员工的,还有第三方的;从数据形态上,既有静态的,也有动态的;从数据结构上,既有结构化的,也有非结构化的;从数据内容上,既有原始的,也有加工过的;从数据存储上,既有落地的,也有流动的。除了传统的个人信息外,像客户行为、应用日志、视频录像、位置信息、电话录音等等,都应属于数据合规关注的数据范畴。从数字化转型发展的长远来看,笔者认为,数据合规远远不止个人信息防护和数据安全这些我们已经知悉的内容,数据文化、数据分类、数据存储、数据安全、数据共享、数据跨境等内容,也都属于广义数据合规的范畴。
伴随着《个人信息保护法》《网络安全法》《数据安全法》等多部法律法规的相继出台,我国信息及数据安全领域的基础法律框架已然形成,相应的,对企业数据合规也有了法律层面的清晰要求。在大合规背景下,对于企业来说,数据合规必然会面临更大的外部监管压力。滴滴被罚事件,警示着有关单位和个人在收集、存储、使用、加工、传输、提供、公开数据资源时,都应当依法建立健全数据安全管理制度,采取相应技术措施保障数据安全,在顺应数据安全保护的新形势下调整经营、治理理念,尽早对内部的数据管理现状进行梳理,找出潜在的风险点,区分整改优先级别,构建自身数据安全合规体系、落地合规制度,以促进数据的依法有序使用。
(未完待续)
作者简介:朱政,执业律师,北京京师(合肥)律师事务所主任,国家高级经济师。最高人民检察院和省级人民检察院民事、行政诉讼监督案件咨询专家,第八届中华全国律师协会破产与重整专业委员会委员、第九届中华全国律师协会公司法专业委员会委员,第八届、第九届安徽省律师协会常务理事、纪律委员会常务副主任,安徽省高级人民法院、安徽省司法厅确定的安徽律师调解员,安徽省商会调解员,安徽省《民法典》讲师团成员。
