平台“流水”=营业额？5%的罚款在“窥视”

2021-11-18

已于11月1日起生效的《个人信息保护法》（下称“《个信法》”）中规定，对于违法处理个人信息，或处理未履行个人信息保护义务，且情节严重的个人信息处理者，采取“双罚制”：

针对个人信息处理者本身：除有关部门责令改正、没收违法所得外，将并处5000万元以下或上一年度营业额5%以下的罚款，并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销业务许可或者营业执照；

针对个人信息处理者的直接责任人：将被处10万元以上100万元以下罚款，且可能被禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。

这一规定，使得不少互联网平台打了个寒噤。

如今是流量为王的时代，抓住了C端，也就掌握了“流量密码”。

为了抢占流量，越来越多的互联网平台模糊“自营”与“撮合”的平台责任边界，既扮演“裁判员”又扮演“运动员”。而灵活用工平台（下称“灵工平台”）作为个人信息处理者的典型代表，在运营过程中会涉及大量灵工人员的个人信息（包括身份证、人脸识别数据等敏感个人信息）。在这种情况下，若是面临全年营业额5%的处罚，无疑会给新兴行业的互联网平台带来强烈冲击。

对此，我们以灵工平台为例，从分析“流水”与营业额之间的关系入手，探究互联网平台“流水”之困，明确互联网平台履行个人信息安全合规义务、避免高额罚金的破解路径。

【文章结构速览】

一、《个信法》明确：违法处理个人信息，最高可罚5000万元/上一年度营业额的5%！

我们将《个信法》与《GDPR》中有关个人信息处理者法律责任的规定作了横向对比，如下图所示（具体内容详见后附表格）：

由上图我们可以分析得出以下结论：

《个信法》与《GDPR》均实行两级处罚制，并针对个人信息处理者的严重违规行为规定了与上一财年“营业额”相关的处罚规则，其处罚之严厉足以引起每一位个人信息处理者的关注；但《个信法》对于处罚措施的区分维度在于情节严重与否，对违法行为本身并未做细致区分；而《GDPR》则是以违法行为本身入手，以行为危害性作为区分标准。

相较于《GDPR》，《个信法》大幅提高了罚款上限金额和个人信息处理的违法成本；并且我国处罚实行的是“双罚制”规则，除了处罚企业外，相关负责人也将面临个人罚款及“行业禁止令”，处罚更加严厉、处罚维度也更加丰富。

另外，《GDPR》针对“处罚原则”作出了细致的约定，包括监管机关在每个个案中酌情需要考量的因素，以体现行政处罚与违规行为之间的“相称性”；而《个信法》仅规定了处罚措施，具体处罚原则尚未明确。对此我们可以等待有关法律细则的出台，以期明确处罚措施的具体落地。

二、进退两难：平台“流水”=营业额？

对于互联网平台而言，要做C端的生意，则不可避免地需要处理大量的个人信息。这一特性，在灵活用工行业尤为显著。

随着近几年的发展，灵活用工行业内已经演化出多种商业模式，但最常见的还是总包模式1。在总包模式下，用工需求方向灵工平台支付的费用中，已覆盖灵工平台应当向灵工人员支付的服务费成本，即前述服务费实际已经转嫁由用工需求方承担，类似于传统行业“来料加工”下的“成本加成法”定价模式。

在总包模式的承揽法律关系下，灵工平台的“流水”与营业额之间划等号。一旦灵工平台发生违法处理个人信息的行为，在情节严重的情况下将有可能触发高昂罚金。

但一旦当灵工平台未坐实业务实质，与用工需求方及灵工人员之间不存真实的业务联系，对于支付给灵工人员的服务费不享有实质意义上的定价权的情况下，该部分收入应当根据会计准则采用净额法确认收入。这意味着灵工平台的营业额将远远小于平台“流水”。但同时，这将引发税务上的连锁反应：即灵工平台依据服务费总额向用工需求方开具的增值税专用发票，可能面临涉嫌虚开的法律风险。

这似乎导致了一个“进退两难”的局面：

如果进一步：平台“流水”=营业额，那么在处理个人信息方面的违约成本将大大提升。这就需要灵工平台做好个人信息安全的强防守。

如果退一步：平台“流水”≠营业额，虽然在处理个人信息方面的违约成本可能降低（毕竟最高处罚额除上一年度营业额的5%外亦存在“5000万”的固定上限额），但又将面临虚开发票的法律风险。

但实际上，这是一个“伪命题”。

对于灵工平台而言，在总包模式下并无第二条路可选，只能选择坐实业务真实性链路；而避免承担高额罚金的破解之道，即为践行《个信法》规定的个人信息处理者所应承担的义务，做好个人信息安全合规保护。

这一启示在其他互联网平台同样适用。

如果平台想打造平台整体品牌形象，则在行“自营”之名时，亦需要坐实“自营”之实，对应承担商家/服务商对其销售的商品/提供的服务所应承担的法律责任；如果平台想打造健康的交易生态，则应谨守平台本职，不过多的介入交易实质。

在厘清平台定位的基础上，明确平台自身在个人信息处理过程中的角色，恪守《个信法》等法律法规规定，依法处理个人信息，尽责履行个人信息保护义务。

三、主动出击：5%营业额顶格罚的破解之法

对于互联网平台而言，如因违法《个信法》的规定被最高处以上一年度营业额5%的处罚，对于企业的发展将是巨大打击。

而对于各业务板块混同的综合性互联网平台或集团内各主体业务杂糅的集团公司而言，亦将面临风险穿透的风险。一旦出现诸如个人信息泄露等个人信息权益受损事件，其营业额将可能会是各业务板块营业额加总，其处罚基数将极大提升，将对集团整体造成不必要的误伤，可谓是“城门失火殃及池鱼”，极不利于隔离划分集团内各方的自身安全边界（关于集团内个人信息处理者之间的身份混同所可能带来的合规风险，可参阅本团队即将发表的《究竟是“谁”在通过<隐私政策>收集个人信息？》（上）、（下））。

而除行政责任外，互联网平台亦将面临民事责任。根据《个信法》规定，个人信息处理者造成个人信息权益损害的，适用举证责任倒置规则：若个人信息处理者不能证明自己没有过错的，将承担损害赔偿等侵权责任。

上述规定固然严厉，但也能从侧面反映，国家对于个人信息保护的重视程度，以及未来严打违法行为的力度。

与其被动承担可能存在的行政及民事责任，灵工平台企业更应当“主动出击”：

在确保坐实灵活用工实质的基础上，主动建立“个人信息安全合规环”，明确自身作为个人信息处理者的义务，完善企业内部个人信息安全及数据合规体系（如下图所示，具体内容详见本团队撰写的《个人数据“丢失”，平台如何“自证清白”》）： 

（1）内核层：建立内部个人信息安全合规管理制度+设置数据安全或个人信息保护负责人+具备对应认证资质

从制定内部个人信息安全合规管理制度及操作规程入手，申请获得ISO27001信息安全管理体系认证、网络安全等级保护等资质，合理确定个人信息处理的操作权限，并定期对从业人员进行安全教育和培训。

（2）中间层：与中立专业第三方机构建立集合规合作、安全评估及合规审计于一体的全方位合作

与中立专业第三方就个人信息安全合规方面开展的合作为抓手，对内、对外完善个人信息处理流程，对个人信息实行分类管理，采取相应的加密、去标识化等安全技术措施。

（3）外部层：制定完备的隐私政策+对应匹配系统功能设置+制定并组织实施应急预案

同时，将上述流程通过完备的隐私政策及对应匹配的系统设置，辅之以制定并组织实施的个人信息安全事件应急预案，从而对外展示其已充分履行个人信息保护义务。

附：《个信法》与《GDPR》之罚则对比

文中备注:

[1]总包模式是指：灵工平台承揽（总包）用工需求方的业务，并就此向用工需求方收取相应服务费并开具对应增值税专用发票；其后向灵工人员(包括但不限于自然人及自然人注册成立的个体工商户等相关法律主体)进行众包，经验收通过后，向灵工人员支付对应服务费。

本文作者：