【引言】
2022年7月21日,国家互联网信息办公室对滴滴全球股份有限公司依法做出网络安全审查相关行政处罚的决定:滴滴公司及主管责任人分别收到了80.26亿元的公司罚单和100万元的个人罚单。除了行政处罚,滴滴公司以及相关责任人员是否存在刑事法律风险?类案涉案企业应当如何展开自救?本文将对此进行简要分析。
原创作者 丨周泽群律师、李辰宇
事件脉络
● 滴滴违法违规被罚80.26亿
2022年7月21日
● 滴滴宣布将在美国退市,启动香港上市准备
2021年12月3日
● 滴滴考虑私有化?公司紧急回应:消息不实
2021年7月29日
● 网传滴滴将于7月20日停止服务,滴滴回应
2021年7月17日
● 国家网信办等七部门进驻滴滴出行
2021年7月16日
● 工信部回应滴滴出行APP下架
2021年7月16日
● 滴滴回应25款APP被下架
2021年7月10日
● 国家网信办:下架滴滴出行等25款App
2021年7月9日
● 微信、支付宝下架滴滴出行小程序
2021年7月7日
● 滴滴出行App被下架
2021年7月4日
● “滴滴出行”接受网络安全审查,暂停新用户注册!
2021年7月2日
一、
经查明滴滴公司存在的违法事实
● 违法收集用户手机相册中的截图信息1196.39万条
● 过度收集用户剪切板信息、应用列表信息83.23亿条
● 过度收集乘客人脸识别信息1.07亿条、年龄段信息5350.92万条、职业信息1633.56万条、亲情关系信息138.29万条、“家”和“公司”打车地址信息1.53亿条
● 过度收集乘客评价代驾服务时、App后台运行时、手机连接桔视记录仪设备时的精准位置(经纬度)信息1.67亿条
● 过度收集司机学历信息14.29万条,以明文形式存储司机身份证号信息5780.26万条
● 在未明确告知乘客情况下分析乘客出行意图信息539.76亿条、常驻城市信息15.38亿条、异地商务/异地旅游信息3.04亿条
● 在乘客使用顺风车服务时频繁索取无关的“电话权限”
● 未准确、清晰说明用户设备信息等19项个人信息处理目的
● 滴滴公司存在严重影响国家安全的数据处理活动,以及拒不履行监管部门的明确要求,阳奉阴违、恶意逃避监管等其他违法违规问题。滴滴公司违法违规运营给国家关键信息基础设施安全和数据安全带来严重安全风险隐患。
从上述违法事实看,滴滴公司几乎触犯了我国个人信息保护、网络和数据安全方面的所有合规规定。
二、
滴滴公司存在哪些刑事法律风险
(一)侵犯公民个人信息罪
根据《刑法》第二百五十三条之一:“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。”该条另规定单位可成为侵犯公民个人信息罪的犯罪主体。
根据《行政执法机关移送涉嫌犯罪案件的规定》,行政执法机关向司法机关移送的涉嫌犯罪案件,包括:1、向公安机关移送涉嫌破坏社会主义市场经济秩序罪、妨害社会管理秩序罪等罪以及知识产权领域的违法犯罪案件;2、向监察机关或者人民检察院移送公职人员涉嫌职务犯罪的案件。
侵犯公民个人信息罪属于侵犯公民人身权利、民主权利犯罪,不在上述需要向司法机关移送的案件范围之内,本案理论上可经由行政处罚与刑事追诉“双重评价”。因此滴滴公司除了受到行政处罚外,还可能承担刑事责任。从网信办公布的数据可以看出,滴滴公司违法处理了647.09亿条信息,其中若有相当体量的信息被违法泄露,则极易突破本罪入罪门槛,滴滴公司与直接责任人员将面临刑事追诉风险。
(二)拒不履行信息网络安全管理义务罪
根据《刑法》第二百八十六条之一,网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使用户信息泄露,造成严重后果,或存在其他严重情节的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金。该条另规定单位可成为拒不履行信息网络安全管理义务罪的犯罪主体。
网信办相关负责人答记者问时透露,滴滴公司“未按照相关法律法规规定和监管部门要求履行网络安全、数据安全、个人信息保护义务”“给国家网络安全、数据安全带来严重的风险隐患”“监管部门责令改正,仍未进行全面深入整改”。以上表述措辞严厉,强调滴滴公司相关违规行为“性质极其恶劣”,即便滴滴公司并未泄露违规收集的海量用户信息,也可能被认定为符合本罪中“造成严重后果”“存在其他严重情节”等构成要件。因此,滴滴公司的违规行为在理论上存在构成拒不履行信息网络安全管理义务罪的风险。
值得注意的是,拒不履行信息网络安全管理义务罪在《刑法》中所属“妨害社会管理秩序罪”一章。根据《行政执法机关移送涉嫌犯罪案件的规定》第三条之规定,行政执法机关在依法查处违法行为的过程中,违法事实涉嫌构成妨害社会管理秩序罪,依法需要追究刑事责任的,应当向公安机关移送。本案中网信办自行完成对滴滴公司违法行为的调查,并独立作出行政处罚,而未将该案移送公安机关。笔者据此认为:本案中滴滴公司相应违规行为未来被以拒不履行信息网络安全管理义务罪追诉的风险较低。
(三)危害国家安全相关犯罪
早在2015年滴滴就发布了一份分析文章,通过大数据监测国家各部委的出行规律,但当年并未引起社会大众的高度关注。结合本次滴滴公司受罚,如果滴滴公司非法获取国家保密单位地址等国家秘密,并且在赴境外上市过程中存在大量敏感个人信息、国家秘密被境外组织获取等严重情形的,那么相关行为还可能构成危害国家安全的犯罪。由于我国刑法并未对危害国家安全犯罪做出单位犯罪的规定,因此相关的刑事责任将由具体的责任人而非滴滴公司承担,当然一切均以公安或者国安机关的调查结论为准。
三、
类案涉案企业
可启动企业合规程序展开自救
2021年6月3日,最高检等九部委联合印发了《关于建立涉案企业合规第三方监督评估机制的指导意见(试行)》(“《指导意见》”),积极推动企业合规改革试点。根据该《指导意见》,对于符合条件的涉案企业(以及实控人、经营管理人员、关键技术人员),可适用第三方机制进行合规整改,有效惩治预防企业违法犯罪,并争取合规不起诉的理想结果。类案涉案企业在接受办案机关调查时,可以按照以下路径启动企业合规程序展开自救:
(一)认罪认罚,积极配合调查,承诺建立或者完善企业合规制度,明确表达愿意适用第三方机制
此四要素系《指导意见》中规定的涉企犯罪案件适用第三方机制的前提。涉案企业或责任人作为合规不起诉的受益者,一定要积极主动地向办案机关释放出强烈的“改过自新、回馈社会”的信号,同时通过向检察机关展示企业所取得的经营成果(如知识产权、营收、纳税、慈善捐赠的情况,获得的荣誉等等),证明企业具有挽救的价值,争取获得合规整改的机会。
(二)提交合规整改计划并严格执行,通过合规考察
涉案企业应当向第三方组织提交合规计划,因此涉案企业需要组建复合型的合规团队或顾问,根据行业特点以及行业所必须遵守的法律、法规等识别企业的合规风险,针对合规风险制定相应的准则、制度等并严格执行、持续改进,从而在企业内部建立合规文化,预防再次犯罪。考察期满后,如通过第三方组织的考察,检察院可能会根据合规考察的结果作出不起诉决定。
结 语
从2019年墨迹天气IPO被否,到“运满满”“货车帮”“BOSS直聘”等接受网络安全审查,再到滴滴退市、被处罚,无不表明国家对于网络和数据安全的监管愈发严格,滴滴事件不是起点,也绝不是终点。近年来,国家先后颁布了《网络安全法》《数据安全法》《个人信息保护法》等法律法规,不断加强对网络安全、数据安全、个人信息的保护力度,滴滴公司及主要负责人被处以巨额罚款,显示出国家依法打击违法犯罪行为,切实维护国家网络安全、数据安全和社会公共利益的决心。数据出境是国内互联网大厂境外上市(特别是赴美上市)时须面对的重点合规问题,针对日益频繁的数据跨境活动,国家互联网信息办公室还特别出台了《数据出境安全评估办法》(将于2022年9月1日起施行),对数据跨境安全管理作出了本土制度探索。
滴滴公司的教训再次给互联网企业敲响了网络数据安全的警钟,无论互联网大厂还是企业高管个人,都应当遵守法律、法规,积极主动接受监管,保护国家核心利益不受损害。
作者声明
文章内容不属于正式法律意见或建议,仅系作者个人观点,不代表所在单位。