經大賽組委會讨論,陸續發布一些優秀案例評論文章幫助參賽同學學習寫作案例分析。 本期推送張新寶老師《滴滴全球“天價”罰款案解析》,收錄于《中國法治實施報告(2023)》,感謝張新寶老師和《中國法治實施報告(2023)》授權發布。
國家網信辦查明滴滴全球股份有限公司(滴滴公司)存在16項違法處理個人信息的事實,包括違法收集個人信息、過度收集個人信息、超越權限處理個人信息、違法個人信息處理目的等行為。2022年7月21日,國家網信辦對該公司處以80.26億元罰款(上年度營業額5%),并對其董事長兼CEO程維、總裁柳青各處100萬元罰款。
名家評析
滴滴全球“天價”罰款案解析
張新寶
中國人民大學2003网站太阳集团教授
中國法學會網絡與信息法學研究會副會長
這是國家網信辦依據《網絡安全法》《數據安全法》《個人信息保護法》《行政處罰法》等法律對嚴重違法處理個人信息者開出的首單“天價”行政處罰罰單。滴滴公司被處以“天價”罰款,是因為其嚴重違法處理個人信息,且違法行為較長時間内處于持續狀态。這次行政處罰,既有對滴滴公司的“天價”罰款,也有對公司主要負責人個人的“頂格”行政罰款,貫徹了法律規定的“雙罰”制。依據法律規定,行政處罰與刑事責任、民事侵權責任不相互替代。滴滴公司及其相關人員還可能需要承擔其他性質的法律責任。這次“天價”罰款,彰顯了監管部門保護公民個人信息、嚴厲打擊違法處理個人信息行為的執法導向。
一、查明的事實
國家網信辦查明滴滴公司共存在16項違法處理個人信息的事實,包括違法收集個人信息、過度收集個人信息、超越權限處理個人信息、違法個人信息處理目的等,歸納起來主要是8個方面:(1)違法收集用戶手機相冊中的截圖信息1196.39萬條;(2)過度收集用戶剪切闆信息、應用列表信息83.23億條;(3)過度收集乘客人臉識别信息1.07億條、年齡段信息5350.92萬條、職業信息1633.56萬條、親情關系信息138.29萬條、“家”和“公司”打車地址信息1.53億條;)(4)過度收集乘客評價代駕服務時、App後台運行時、手機連接桔視記錄儀設備時的精準位置(經緯度)信息1.67億條;(5)過度收集司機學曆信息14.29萬條,以明文形式存儲司機身份證号信息5780.26萬條;(6)(6)在未明确告知乘客情況下分析乘客出行意圖信息539.76億條、常駐城市信息15.38億條、異地商務/異地旅遊信息3.04億條;(7)在乘客使用順風車服務時頻繁索取無關的“電話權限”;(8)未準确、清晰說明用戶設備信息等19項個人信息處理目的。
二、對持續違法行為的法律适用
《行政處罰法》第37條規定:“實施行政處罰,适用違法行為發生時的法律、法規、規章的規定。但是,作出行政處罰決定時,法律、法規、規章已被修改或者廢止,且新的規定處罰較輕或者不認為是違法的,适用新的規定。”在本案中,适用一個法律責任較重的“新法”來追究滴滴公司的行政責任是否妥當?對此,筆者認為本案應當适用《個人信息保護法》第66條的規定,理由如下。
第一,從本案實際情況來看,滴滴公司違法處理海量個人信息、侵害個人信息權益和國家安全利益的行為自2015年6月至被查出時持續存在。“從舊兼從輕”的法律溯及力原則的法理在于,這種溯及适用規則能夠保證行為主體能夠對自己行為所獲得的法律評價有穩定預期、從而依照法律規定規劃自己的行為。《個人信息保護法》自2021年8月頒布至2021年11月1日起實施,在這段時間裡滴滴公司并未停止自身的違法行為,對其将為此行為承擔高額的行政罰款應有充分的可預期性。
第二,本案中滴滴公司的違法行為具有持續性,無法進行區分評價。持續性的違法行為很難作區分評價,前後依次發生的違法行為間存在着密切的聯系:在《個人信息保護法》生效前違法收集的個人信息,在《個人信息保護法》生效後被繼續違法加工、售賣;在《個人信息保護法》生效前實施的違法處理個人信息行為,其危害後果可能實際發生于《個人信息保護法》施行以後。而作為整體評價的持續的違法行為的發生時間,應确定為該行為終止時。《行政處罰法》第36條規定:“違法行為有連續或者繼續狀态的,從行為終了之日起計算。”因此,本案應适用《個人信息保護法》第66條對滴滴公司自2015年7月至被查出時的違法處理個人信息行為施以行政處罰
三、“天價”處罰的執法政策導向
《網絡安全法》《數據安全法》和《個人信息保護法》都對違法處理個人信息(數據)的行為規定了罰款的行政責任。《行政處罰法》第29條規定:“對當事人的同一個違法行為,不得給予兩次以上罰款的行政處罰。同一個違法行為違反多個法律規範應當給予罰款處罰的,按照罰款數額高的規定處罰。”從本案最終确定的“天價”罰款金額來看,确定罰款金額适用的主要是《個人信息保護法》第66條。
我國法律就違法處理個人信息行政罰款數額上限的确定,采取了兩種方式:一是直接規定具體數額,如《網絡安全法》中的“一百萬元以下”、《數據安全法》中的“兩百萬元以下”以及《個人信息保護法》中的“五千萬元以下”等;二是《個人信息保護法》新增的以上一年度營業額的百分比為處罰上限标準,即《個人信息保護法》第66條規定的“上一年度營業額的百分之五”。滴滴公司2021年度公布的營業額為1738.3億元,按照行政處罰“不重複處罰”“就高不就低”的規定,依據《個人信息保護法》第66條可對滴滴公司處以的罰款上限為86.9億元。實際處罰80.26億元,接近法定罰款的上限。網信辦對滴滴全球處以法定罰款上限的“天價”罰款,彰顯了從嚴治理嚴重違法處理個人信息的執法政策導向。
四、落實“雙罰制”的治理效果
自《網絡安全法》開始,我國就對違法處理個人信息的行為引入了對實施違法行為的單位與個人(包括直接負責的主管人員和其他直接責任人員)都處以行政處罰的雙罰制。《個人信息保護法》深化了單位和個人的行政處罰雙罰制,考慮到不同形式的行政責任對不同違法主體的勸誡、規制效果差異,我國的“雙罰制”對單位和個人設置了不同類别的行政責任。
針對違法處理個人信息的單位,《個人信息保護法》注重多種行政處罰方式的綜合适用,除了《網絡安全法》規定的“責令改正”“警告”“沒收違法所得”“罰款”“責令暫停相關業務”“責令停業整頓”“吊銷營業執照”“吊銷相關業務許可證”等責任形式外,針對當下各類應用程序(App)違法處理個人信息的行為,《個人信息保護法》增加規定了“責令暫停或者終止提供服務”,這與我國當前加強規範應用程序處理活動的政策導向相一緻。針對違法單位的直接負責的主管人員和其他責任人員,除承擔罰款責任外,《個人信息保護法》增加規定了處罰機關可以決定“禁止其在一定期限内擔任相關企業的董事、監事、高級管理人員和個人信息保護負責人”。正是基于“雙罰制”規定,國家網信辦在對滴滴公司處以“天價”罰款的同時,也對滴滴全球股份有限公司董事長兼CEO程維、總裁柳青各處人民币100萬元罰款。
對違法企業和相關負責人實施“雙罰制”均處以高額罰款,更有利于治理違法處理個人信息的行為,遏制個人在企業決策、執行過程中的違法沖動,促進企業合規運作和個人依法履行職責。
【極速引證】張新寶:《滴滴全球“天價”罰款案解析》,江必新主編:《中國法治實施報告(2023)》,人民法院出版社2023年版。
