本文长约6300字,阅读需时16分钟
本文来源:教授加,北大法宝法律法规库
作者:张新宝,中国人民大学法学院教授
核心观点
1.7月21日国家互联网信息办公室(以下简称国家网信办)对滴滴全球股份有限公司(以下简称滴滴公司)处以80.26亿元罚款并对其董事长兼CEO程维、总裁柳青各处100万元罚款,这是国家网信办依据《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等法律法规对严重违法处理个人信息开出的首单“天价”行政处罚罚单。
2.滴滴公司之所以被处以“天价”罚款,是因为其行为严重违法处理个人信息,且违法行为较长时间内处于持续状态。
3.本次行政处罚,既有对滴滴公司的“天价”罚款,也有对公司主要负责人个人的“顶格”行政罚款,贯彻了法律规定的“双罚”制。
4.依据法律规定,行政处罚与刑事责任、民事侵权责任不相互替代。违法处理个人信息者在受到行政处罚的同时,可能还要受到刑事处罚;侵害个人信息造成损害的,还要承担民事侵权责任,也可能成为相关公益诉讼的被告。
一、案件事实
国家网信办查明滴滴公司共存在16项违法处理个人信息的事实,包括违法收集个人信息、过度收集个人信息、超越权限处理个人信息、违法个人信息处理目的等,归纳起来主要是8个方面:
1.违法收集用户手机相册中的截图信息1196.39万条;
2.过度收集用户剪切板信息、应用列表信息83.23亿条;
3.过度收集乘客人脸识别信息1.07亿条、年龄段信息5350.92万条、职业信息1633.56万条、亲情关系信息138.29万条、“家”和“公司”打车地址信息1.53亿条;
4.过度收集乘客评价代驾服务时、App后台运行时、手机连接桔视记录仪设备时的精准位置(经纬度)信息1.67亿条;
5.过度收集司机学历信息14.29万条,以明文形式存储司机身份证号信息5780.26万条;
6.在未明确告知乘客情况下分析乘客出行意图信息539.76亿条、常驻城市信息15.38亿条、异地商务/异地旅游信息3.04亿条;
7.在乘客使用顺风车服务时频繁索取无关的“电话权限”;
8.未准确、清晰说明用户设备信息等19项个人信息处理目的。
二、处罚依据的法律规定
对滴滴公司及其主管人员处以高额行政罚款的法律依据是《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等法律法规的规定。具体来看,《网络安全法》《数据安全法》《个人信息保护法》都有就违法处理个人信息(数据)的行为处以罚款的行政责任的规定。《行政处罚法》第29条规定:“对当事人的同一个违法行为,不得给予两次以上罚款的行政处罚。同一个违法行为违反多个法律规范应当给予罚款处罚的,按照罚款数额高的规定处罚。”从本案最终确定的“天价”罚款金额来看,本案确定罚款金额时适用的规定主要是《个人信息保护法》第66条。
通过梳理我国现行法关于违法处理个人信息行为的行政罚款的规定发现,我国就此行政罚款数额上限的确定采取了两种规定方式。一是直接规定具体数额,如《网络安全法》中的“一百万元以下”、《数据安全法》中的“两百万元以下”以及《个人信息保护法》中的“五千万元以下”等;二是《个人信息保护法》新增的以上一年度营业额的百分比为处罚上限标准,即《个人信息保护法》第66条规定的“上一年度营业额的百分之五”。经查,滴滴公司2021年度公布的营业额为1738.3亿元,根据行政处罚“不重复处罚”“就高不就低”的规定来看,依据《个人信息保护法》第66条可对滴滴公司处以的罚款上限为86.9亿元。实际处罚80.26亿元,接近于法定罚款的的上限。
网络安全法
第五十九条 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
(网络安全法第五十九条至第六十九条依据网络运营者的违法行为类型分别规定了包含不同标准的罚款在内的行政处罚。与本案有关的规定中,对单位设置的最高罚款上限为100万元,对主要负责的个人为10万元。其余规定此处不一一列举。)
数据安全法
第四十五条 开展数据处理活动的组织、个人不履行本法第二十七条、第二十九条、第三十条规定的数据安全保护义务的,由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;拒不改正或者造成大量数据泄露等严重后果的,处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。
违反国家核心数据管理制度,危害国家主权、安全和发展利益的,由有关主管部门处二百万元以上一千万元以下罚款,并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依法追究刑事责任。
个人信息保护法
第六十六条 违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
值得讨论的是,本案滴滴公司实施的违法处理个人信息的行为主要发生在《个人信息保护法》施行前,可否适用该法的规定。
《行政处罚法》第37条规定:“实施行政处罚,适用违法行为发生时的法律、法规、规章的规定。但是,作出行政处罚决定时,法律、法规、规章已被修改或者废止,且新的规定处罚较轻或者不认为是违法的,适用新的规定。”在本案中,适用一个法律责任较重的“新法”来追究滴滴公司的行政责任是否妥当?对此,笔者认为本案应当适用《个人信息保护法》第66条的规定,理由如下。
第一,本案中《个人信息保护法》的规定对于滴滴公司的违法行为而言,不属于讨论法律溯及适用意义上的“新法”。从本案实际情况来看,滴滴公司违法处理海量个人信息、侵害个人信息权益和国家安全利益的行为自2015年6月至今持续存在。“从旧兼从轻”的法律溯及力原则的法理在于,这种溯及适用规则能够保证行为主体能够对自己行为所获得的法律评价有稳定预期、从而依照法律规定规划自己的行为。《个人信息保护法》自2021年8月颁布至2021年11月施行之日起,滴滴公司并未停止自身的违法行为,对其将为此行为承担高额的行政罚款应有充分的预期。
第二,本案中滴滴公司的违法行为具有持续性,无法进行区分评价。持续性的违法行为很难作区分评价,前后依次发生的违法行为间存在着密切的联系:在《个人信息保护法》前违法收集的个人信息,在《个人信息保护法》后被继续违法加工、售卖;在《个人信息保护法》前实施的违法处理个人信息行为,其危害后果可能实际发生于《个人信息保护法》施行以后。而作为整体评价的持续的违法行为的发生时间,应确定为该行为终止时。《行政处罚法》第36条亦有规定:“违法行为有连续或者继续状态的,从行为终了之日起计算。”是故,本案应适用《个人信息保护法》第66条对滴滴公司自2015年7月至今的违法处理个人信息行为施以行政处罚。
三、公司和个人双罚制
自《网络安全法》开始,我国就对违法处理个人信息的行为引入了对实施违法行为的单位与个人(包括直接负责的主管人员和其他直接责任人员)都处以行政处罚的双罚制。《个人信息保护法》深化了单位和个人的行政处罚双罚制,考虑到不同形式的行政责任对不同违法主体的劝诫、规制效果差异,我国的“双罚制”对单位和个人设置了不同类别的行政责任。
针对违法处理个人信息的单位,《个人信息保护法》注重多种行政处罚方式的综合适用,除了《网络安全法》规定的“责令改正”“警告”“没收违法所得”“罚款”“责令暂停相关业务”“责令停业整顿”“吊销营业执照”“吊销相关业务许可证”等责任形式外,针对当下各类应用程序(App)违法处理个人信息的行为,《个人信息保护法》增加规定了“责令暂停或者终止提供服务”,这与我国当前加强规范应用程序处理活动的政策导向相一致。针对违法单位的直接负责的主管人员和其他责任人员,除承担罚款责任外,《个人信息保护法》增加规定了处罚机关可以决定“禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人”。
正是基于“双罚制”规定,国家网信办在对滴滴公司处以“天价”罚款的同时,也对滴滴全球股份有限公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款。
四、“天价”处罚与顶格处罚
(一)“天价”处罚的条文形成
《行政处罚法》第5条规定,设定行政处罚必须以事实为依据,与违法行为的事实、性质、情节以及社会危害程度相当。《个人信息保护法》第66条在进行罚款金额的设定时,应考虑到罚款的有效性、成比例性和劝诫性:有效性指罚款应当切实得到实行;成比例性指个案的罚款金额应当结合主体种类、行为和情节加以确定;劝诫性指罚款金额应当足以警告和惩罚违法主体的违法行为。
基于有效性的要求,罚款的数额不能设置过高以至于相对人无法支付,因此《个人信息保护法》为罚款设置了数额上限。基于成比例性的要求,罚款的具体金额应当与违法处理个人信息行为的危害性相当,因此《个人信息保护法》将违法处理个人信息行为区分为一般的违法行为和“情节严重的”违法行为,对两者设置不同的罚款标准。基于劝诫性的要求,考虑到对于滴滴公司这类年营收逾千亿的公司而言,以大多数数据企业为规制对象设立的罚款数额标准(五千万元以下)难以对其起到惩治作用,《个人信息保护法》设立了以年营业额的百分之五作为罚款上限的处罚标准。正是基于这一计算标准,才使本案超80亿的“天价”罚款成为可能。
(二)“天价”处罚与顶格处罚在本案中的司法适用
本案中,国家互联网信息办公室之所以处以滴滴公司80.26亿的“天价”罚款、对负责人员处以100万元的顶格处罚,是由于其行为严重侵害个人信息权益、严重损害国家信息安全。
罚款的数额应与违法行为的危害性成比例。就违法处理个人信息的行为而言,法律通常从以下方面判断违法行为是否达到“情节严重”的程度,即(1)客观方面,主要包括处理信息的目的、处理的信息是否敏感、影响信息主体的数量、违法行为的持续时间等;(2)主观方面,主要包括违法的性质是故意还是过失、事后是否采取了为减轻损害发生的行动、为减轻损害和监管机关的合作程度、是否被警告或调查后仍然继续为违法行为等;(3)造成的损害结果的严重程度,是否影响到医疗、教育、养老、国家安全等关键领域等。
在具体标准上,《网络安全法》《个人信息保护法》等关于行政处罚的规定未设置具体标准,参考《刑法》关于“侵害公民个人信息罪”规定的“情节严重”“情节特别严重”两个加重处罚情节,我们可以类比得出情节严重的部分认定要素:如从违法处理信息的数量看,将违法处理敏感个人信息达30条、处理次级敏感信息达300条、处理非敏感信息达3000条以上的认定为“情节严重”;从违法行为的持续时间来看,将持续违法处理个人信息在6个月以上的认定为“情节严重”;从违法的主观状态考虑,将已被警告、调查后仍继续违法处理个人信息的认定为“情节严重”;从违法的损害结果看,将危害国家主权、安全和发展利益的认定为“情节严重”。
以上这些认定要素的具体标准具有参考的意义,科学、严谨的标准有赖于相关部门在积累实践经验的基础上研讨制定。但不可否认的是,以前述标准确立的一个具有参考意义的“情节严重”的违法处理个人信息行为为参照,本案中滴滴公司的行为可谓弗如远甚:从违法处理个人信息的数量来看,滴滴公司违法处理的个人信息以百亿计,其中不乏逾千万条人脸信息等敏感个人信息;从违法行为的持续时间来看,滴滴公司自2015年7月至调查结果公布约7年的时间持续实施违法行为;从违法的主观状态看,滴滴公司无视监管部门要求,违反信息安全义务,强制收集用户个人信息,主观状态为故意而非过失;从违法的损害来看,滴滴公司行为不仅严重侵害个人信息权益,而且其将大量行程信息运往境外的行为严重损害国家安全利益。
综上种种调查事实表明,滴滴公司违法处理个人信息的行为不仅符合《个人信息保护法》第66条“情节严重”的要求,应适用第2款较重的处罚责任;而且考虑到其行为的严重危害性,应在第2款确定的处罚区间内对单位采取较重的处罚(约等于上一年度营业额的5%),对负责个人处以顶格处罚(100万元)。
五、行政处罚与其他法律责任的关系
本案的“天价”处罚并不意味着滴滴公司违法处理个人信息行为法律责任的结束。“天价”罚款仅是行政责任的一种,未来滴滴公司及其主管人员将面临其他形式的行政责任、民事责任乃至刑事责任。
《个人信息保护法》第七章专门规定了违法处理个人信息的法律责任。依其规定,违法处理个人信息行为可能承担:(1)以损害赔偿为主要内容的民事侵权责任;(2)包含责令改正,给予警告,没收违法所得,高额罚款,停业整顿,吊销营业执照在内的行政责任;(3)根据《刑法》的有关规定承担刑事责任。此外,针对违法处理个人信息行为侵害社会公共利益的情形,《个人信息保护法》第70条特别规定了人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以向人民法院提起公益诉讼,要求行为人承担一系列行为及赔偿责任。综合本案案情看,未来滴滴公司可能为其违法处理个人信息的行为承担民事责任、其他形式的行政责任乃至刑事责任,并可能面临公益诉讼纠纷。
因同一违法行为承担复数种类法律责任是现代法律体系被人为划分为不同法律部门的结果,承担来自不同法律部门的法律责任不构成对当事人的重复处罚。《民法典》第187条规定:“民事主体因同一行为应当承担民事责任、行政责任和刑事责任的,承担行政责任或者刑事责任不影响承担民事责任;民事主体的财产不足以支付的,优先用于承担民事责任。”这一规定不仅明确了民事责任、行政责任和刑事责任彼此间不相互替代的关系,还确定了不同种类的法律责任承担序位:基于国不与民争利的思想,民事主体的财产不足以支付全部责任的,优先用于承担民事责任,填补受害人损害。
