对滴滴是顶格处罚,严厉程度超过欧美
上海格联律师事务所高级合伙人,全国律协网络与高新技术委员会委员
2022年7月21日,国家互联网信息办公室对滴滴全球股份有限公司依法作出网络安全审查相关行政处罚的决定。国家互联网信息办公室依据《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等法律法规,对滴滴全球股份有限公司处人民币80.26亿元罚款,对滴滴全球股份有限公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款。
对此,滴滴出行通过官方微博回应称,诚恳接受,坚决服从,严格按照处罚决定和相关法律法规要求,全面深入自查,积极配合监管,认真完成整改。
可以说,这个处罚已经是现行数据安全法律框架内的顶格处罚。
如果根据《网络安全法》中第六章“法律责任”的规定,对于公司的直接罚款最高是100万以下,对于相关责任人的罚款最高也是10万元以下。
如果依据《数据安全法》中第六章“法律责任”的规定,对于公司的直接罚款最高是1000万以下,对于相关责任人的罚款根据不同情形分为不同标准,最高一档为10万元以上100万元以下。
可以看出,如果根据《网络安全法》及《数据安全法》的规定,对于滴滴公司如此情节严重的违法行为,处罚力度将明显不足。
这时,《个人信息保护法》登场。
根据《个人信息保护法》第七章“法律责任”中的规定,对于情节严重的违法行为,可以对于个人信息处理者处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
滴滴出行 资料图
根据我们在网络公开信息上的检索,滴滴公司在2021年的全年总营收为1738.3亿元,百分之五大约为86.9亿元,我们认为最后的处罚金额即是参考了这一数据。
需要注意的是,这里的标准是以全年营业额为依据,而非净利润。因为像滴滴公司这样类似的许多互联网企业往往每年净利润是亏损状态,如果用净利润这一标准那将无从适用。
做个对比,欧盟所实行的数据保护相关法规即《通用数据保护条例》(“GDPR”)中,对于严重性的违法行为,罚款上限是2000万欧元,或者在承诺的情况下,最高为上一个财政年度全球全年营业收入的4%(两者中取数额大者)。由此可见,从比例上来看,我国对于严重的数据违法行为的处罚严厉程度甚至要超过欧美。
综上所述,对于滴滴公司的处罚金额已经是接近顶格,对于相关责任人也是直接顶格的100万,可见本次处罚的力度。
本次对滴滴公司的处罚作为一个典型案例,体现了国家对于加强网络安全、数据安全、个人信息保护的重视程度和保护力度。由本案例也可以看出,我国对于危害国家网络安全、数据安全、及侵害公民个人信息的违法行为整体趋势上将越来越重视,管控也会越来越严格。
这次的处罚案例也是对于作为数据处理者的其他相关企业一个警示和有力威慑,督促其应该更为严格地执行国家相关网络安全、数据安全合规、个人信息保护的要求。
我们建议,作为数据处理者的有关企业需要尽早尽快得主动全面梳理其数据相关业务、建立完善数据合规体系,对于不合法不合规的数据处理行为,需尽早尽快整改,做到依法合规运营。
微信扫码关注该文公众号作者