从滴滴公司被罚看数据信息合规治理

2022-07-29

2022年7月21日国家互联网信息办公室对滴滴全球股份有限公司（以下简称：滴滴公司）依法作出行政处罚，滴滴被罚80.26亿元，对滴滴公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款。

这一事件在数据信息安全领域无疑是一重磅消息，同时也是一个标志性事件，它代表着数据野蛮生长时代的结束，以及数据信息安全强监管时代的到来。

一、从国家互联网信息办公室有关负责人回答的记者提问中可以获知以下几点问题

（一）违法事实

滴滴公司共存在8个方面16项违法事实：一是违法收集用户手机相册中的截图信息1196.39万条；二是过度收集用户剪切板信息、应用列表信息83.23亿条；三是过度收集乘客人脸识别信息1.07亿条、年龄段信息5350.92万条、职业信息1633.56万条、亲情关系信息138.29万条、“家”和“公司”打车地址信息1.53亿条；四是过度收集乘客评价代驾服务时、App后台运行时、手机连接桔视记录仪设备时的精准位置(经纬度)信息1.67亿条；五是过度收集司机学历信息14.29万条，以明文形式存储司机身份证号信息5780.26万条；六是在未明确告知乘客情况下分析乘客出行意图信息539.76亿条、常驻城市信息15.38亿条、异地商务/异地旅游信息3.04亿条;七是在乘客使用顺风车服务时频繁索取无关的“电话权限”;八是未准确、清晰说明用户设备信息等19项个人信息处理目的。

（二）处罚法律依据

《网络安全法》、《数据安全法》、《个人信息保护法》、《行政处罚法》等法律法规。

（三）被处罚主体和金额

对滴滴公司董事长兼CEO、总裁进行处罚。对滴滴公司处人民币80.26亿元罚款，对滴滴公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款。

二、滴滴公司违法收集个人信息即违法事实的具体内容对普通民众的教育意义

我国《数据安全法》、《个人信息保护法》规定的数据信息和个人信息的概念分别为：数据是指任何以电子或者其他方式对信息的记录；个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

通常情况下，我们认为个人信息就是身份、住址、账户、电话、人脸等信息，而此次国家网信办对滴滴公司8个方面16项违法事实的处罚，向普通民众阐述了其他我们没有意识到的一些对于网络运营者具有价值的数据信息，对于到底什么是个人信息有了新的认识，比如：手机截图信息、剪切板信息、应用列表信息、亲情关系信息等。对于普通民众来讲，明白这一点可以建立对个人信息全面充分保护的意识，具有法律教育意义。

三、从滴滴公司的发展情况看合规管理的必要性

滴滴公司于2013年1月11日在开曼群岛注册成立。2021年6月30日在纽交所挂牌上市。

2021年7月2日，国家网信办发布公告称，为防范国家数据安全风险，维护国家安全，保障公共利益，依据《中华人民共和国国家安全法》、《中华人民共和国网络安全法》，网络安全审查办公室按照《网络安全审查办法》，对“滴滴出行”实施网络安全审查。为配合网络安全审查工作，防范风险扩大，审查期间“滴滴出行”停止新用户注册。

2021年7月4日，国家网信办发布关于下架“滴滴出行”App的通报，称根据举报，经检测核实，“滴滴出行”App存在严重违法违规收集使用个人信息问题。国家互联网信息办公室依据《中华人民共和国网络安全法》相关规定，通知应用商店下架“滴滴出行”App，要求滴滴出行科技有限公司严格按照法律要求，参照国家有关标准，认真整改存在的问题，切实保障广大用户个人信息安全。

2021年7月9日，国家网信办再次发布通知称，根据举报，经检测核实，“滴滴企业版”等25款App（列表附后）存在严重违法违规收集使用个人信息问题。国家互联网信息办公室依据《中华人民共和国网络安全法》相关规定，通知应用商店下架上述25款App，要求相关运营者严格按照法律要求，参照国家有关标准，认真整改存在的问题，切实保障广大用户个人信息安全。各网站、平台不得为“滴滴出行”和“滴滴企业版”等上述25款已在应用商店下架的App提供访问和下载服务。

2022年7月21日，根据网络安全审查结论及发现的问题和线索，国家互联网信息办公室依法对滴滴全球股份有限公司涉嫌违法行为进行立案调查。经查实，滴滴全球股份有限公司违反《网络安全法》、《数据安全法》、《个人信息保护法》的违法违规行为事实清楚、证据确凿、情节严重、性质恶劣。国家互联网信息办公室依据《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等法律法规，对滴滴全球股份有限公司处人民币80.26亿元罚款，对滴滴全球股份有限公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款。

从上市到退市时间不到一年且受到重罚，为什么？值得深思！

从国家互联网信息办公室有关负责人回答记者提问可以看出，滴滴公司有制定企业内部制度规范对境内各业务线落实负责监督管理，且是通过滴滴信息与数据安全委员会及其下设的个人信息保护委员会、数据安全委员会，参与网约车、顺风车等业务线相关行为的决策指导、监督管理。由此可知滴滴公司有一套从上到下的管理体系，但是滴滴公司未按照相关法律法规规定和监管部门要求，履行网络安全、数据安全、个人信息保护义务，置国家网络安全、数据安全于不顾，给国家网络安全、数据安全带来严重的风险隐患，且在监管部门责令改正的情况下，仍未进行全面深入整改，性质极为恶劣。也就是说滴滴公司之前的管理体系没有将相关法律法规规定和监管部门要求的网络安全、数据安全、个人信息保护义务落实到管理体系中，即没有建立真正的合规管理体系。因此对于这样一个企业建立数据信息合规管理体系的重要性及未建立真正合规管理带来的法律后果清晰可见。

四、从滴滴公司收集个人信息看数据信息的价值

随着全球数字化发展潮流，数据信息不仅是企业资源，同时也是企业资产、资本。数据信息将会作为企业的核心资产之一，是企业价值的重要组成部分，会辅助公司业务发展，之后无疑也将会成为企业交易、质押、证券化的探寻发展方向。那么《网络安全法》、《数据安全法》、《个人信息保护法》规定的数据信息安全保护义务的履行会越来越重要，这些法律中规定的法律责任就是企业的法律风险。从滴滴被罚事件中我们可以看出监管部门对数据信息监管的决心和力度，一定会不断加强对网络安全、数据安全、个人信息的保护力度和执法力度。

监管部门特别是网信部门依据《互联网信息内容管理行政执法程序规定》《网络安全法》《数据安全法》《个人信息保护法》规定的约谈、责令改正、警告、通报批评、罚款、责令暂停相关业务、停业整顿、关闭网站、下架、处理责任人等处置处罚措施都是积极有效打击危害国家网络安全、数据安全、侵害公民个人信息等违法行为处罚措施和方法。

从滴滴公司违法事实看，其收集个人信息数量之多令人咋舌，作为一个在美国纽交所上市的收集中国公民个人信息的企业来讲，其处理海量信息不仅涉及国家安全还涉及个人信息安全。《网络安全法》第三十七条规定关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；而从滴滴发展的时间路线看滴滴2021年6月30日在纽交所上市，7月2日即上市后短短两天就由国家网络安全审查办公室对其进行审查，可见其未依法履行相关的安全评估义务。另外2021年7月2日《数据安全法》、《个人信息保护法》均未颁布施行。

五、从滴滴公司看数据信息处理行为违法后应当承担的法律责任

从滴滴公司被处罚主体和处罚金额上看，此次处罚是依据《个人信息保护法》进行处罚的，即采用了双罚制，对企业主体依据上一年度营业额的百分比进行处罚，对直接负责的主管人员和其他直接责任人员顶格处罚100万。（《个人信息保护法》第六十六条 违反本法规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务的，由履行个人信息保护职责的部门责令改正，给予警告，没收违法所得，对违法处理个人信息的应用程序，责令暂停或者终止提供服务；拒不改正的，并处一百万元以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。有前款规定的违法行为，情节严重的，由省级以上履行个人信息保护职责的部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。）

六、从滴滴事件看企业数据信息合规管理的必要性

2018年11月2日，《中央企业合规管理指引》对合规做出了定义，即合规是指企业及员工的经营管理行为符合法律法规、监管规定、行业准则和企业章程、规章制度及国际条约规则等。大量的事实证明合规管理在于其提前治理的益处，不仅可以帮助企业减少违法、违规的行为，还能避免遭受越来越严苛的刑事责任或监管处罚，也能避免企业声誉受损而带来预料不到的其他损失。

随着市场环境的发展变化，在市场竞争中不管多大的企业，特别是一些走出去的企业，合规管理将是企业可持续发展运行的内在基本要求，未做合规管理其经营发展大厦随时可能出现危机，因此合规治理将成为企业核心竞争力之一，滴滴事件足以让我们认识到这一点。因此，加强企业合规管理十分重要也势在必行。

七、数据信息合规管理的体系建设及步骤

2017年ISO19600:2014《合规管理体系指南》，制定了GB/T 35770—2017《合规管理体系指南》。2021年ISO发布了ISO37301:2021《合规管理体系要求及使用指南》。在此背景下，为了满足我国各类组织的需求以及与国际规则保持同步，已经针对 GB/T 35770—2017《合规管理体系指南》进行修改发布了征求意见稿。在上述一系列指南框架下，随着2021年国家及相关部门在数据信息领域的立法动态，我们认为企业进行数据信息合规管理主要有以下内容：

1.诊断合规现状

企业开展合规体系建设，首先要搞清楚当下的合规管理水平怎么样，充分了解公司经营管理现状，识别企业法律义务身份，比如在数据信息合规领域，首先应当识别其在数据信息领域属于履行关键基础设施法律义务主体还是数据信息处理的义务主体。

2.梳理合规义务

根据企业业务范围，对标相关法律规定梳理企业应当履行的法律义务，包括法律法规、行业监管规定、行业准则和企业章程、规章制度甚至国际条约规则等。这一点很重要，只有全面梳理了企业的合规义务，才知道去承担什么、遵循什么。

3.评估合规风险

合规义务因有规定是普遍客观存在的，而企业的合规风险则因为企业的业务类型、经营管理方式方法以及企业的目标愿景，企业文化的不同则是个性及主观的，所以需要全面认真识别企业合规管理风险，切不可生搬硬套企业已经成熟的合规方案，而是应当针对企业自身进行分析评估，从而确定合规风险。

4.制定合规应对措施

根据企业自身的风险评估，对标法律法规等规定的义务，结合自身制定应对措施。

5.成立专门合规管理团队

合规管理体系建设一般以项目的形式进行，所以光有常态的合规组织体系是不够的。在短时间内建立企业的合规管理体系，需要一批有经验的专业人员相助。

6.开展合规培训

这是普及合规文化的重要方式，通过培训，让全员知道合规管理的重要性和必要性，知道违规的代价，以此提升全员的合规意识。合规体系建设项目启动会也是合规培训的一项重要内容，需要认真对待。

7.制定合规管理体系的建设方案

根据外部要求和合规现状诊断结果，制定合规管理体系建设方案，明确合规管理的目标、方针、总体规划、详细计划等内容。方案中包括如何搭建合规管理组织体系、如何在现有管理组织架构基础上优化合规管理、如何制定完善合规制度以及合规管理手册、宣贯合规手册的方式方法等。

8.合规管理体系方案的落地执行，这一步非常关键

很多合规项目都是“虎头蛇尾”，忽视落地，企业看似有一系列方案层面的制定组织，但落到实处却很难，往往是纸上谈兵，导致的结果就是轰轰烈烈启动的合规管理项目在一系列方案出台后被束之高阁。因此，合规管理体系建设不是建在纸上和电脑里，而是建在全体员工的脑海里、潜意识里。 

本文作者：  

声明：

本文由德恒律师事务所律师原创，仅代表作者本人观点，不得视为德恒律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容，请注明出处。