山雨欲来风满楼：从滴滴出行APP被下架说起

发布日期：

2021-08-05

前言

2021年7月9日，国家互联网信息办公室（简称'国家网信办'）发布通报，因存在严重违法违规收集使用个人信息问题，将'滴滴企业版'等25款滴滴旗下应用悉数下架。而这也是自6月30日滴滴出行在纽约证券交易所（简称'纽交所'）上市的不到10天里，滴滴受到的第四次处罚。事情因何而起？处罚的依据又是什么？这会给未来其他企业的运营带来什么影响？一时间众说纷纭，各种猜测层出不穷。本文从法律角度对本次对滴滴的处罚历程、处罚涉及法律规定、以及带来启示三个角度进行简要分析，以飨读者。

一、10天内四次处罚：

2021年6月30日｜

滴滴正式在纽交所挂牌上市，代码为'DIDI'。从公开递交招股书到正式上市仅仅用了20天，滴滴创造了今年以来中国互联网公司在美募资的最快纪录。

2021年7月2日｜

网络安全审查办公室依据《中华人民共和国国家安全法》（简称'国安法'）、《中华人民共和国网络安全法》（简称'网安法'）及《网络安全审查办法》（简称'审查办法''）对'滴滴出行'启动网络安全审查的公告。同时宣布，为配合网络安全审查工作，防范风险扩大，审查期间'滴滴出行'停止新用户注册。

2021年7月4日｜

国家网信办发布公告称，根据举报，经检测核实，'滴滴出行'APP存在严重违法违规收集使用个人信息问题，依据《中华人民共和国网络安全法》相关规定，通知应用商店下架滴滴出行App。

2021年7月7日｜

国家市场监督管理总局（简称'国家市监总局'）通报对互联网领域二十二起违法实施经营者集中案作出行政处罚决定，其中八起涉及滴滴，滴滴共计被处以400万元的罚款。

2021年7月9日｜

国家网信办发布公告，因存在严重违法违规收集使用个人信息问题，将包括'滴滴企业版'、'滴滴车主'在内的25款滴滴旗下应用全部下架。

二、做错了什么？

处罚公告中没具体描述太多违规情节。7月4日和7月9日网信办公告描述错误行为是“严重违法违规收集使用个人信息”，处罚依据国安法相关规定，处罚初步措施是应用商店下架滴滴出行App。

大家出门都要叫车，大多数人都坐过滴滴，大概也都对滴滴使用我们个人信息点过“同意”。对滴滴使用我们乘客信息提供服务觉得也正常。但笔者注意到媒体有过以下报道，细想一下，未必觉得都正常：

2015年7月18日，滴滴媒体研究院，联合新华网新媒体中心，发布了一份《高温天部委加班大比拼》,描述到：“本周最热的两天，13日和14日，气温直冲40℃，来自公安部、监察部、民政部、司法部、财政部、人力资源和社会保障部、国土资源部、环境保护部、住房和城乡建设部、交通运输部、水利部、农业部、商务部、文化部、卫生计生委、人民银行、审计署等部委的滴滴快的出租车、快车、专车使用数据，勾勒出以下图景：加班最狠——国土资源部…24小时无休——公安部…”

回过头来看，这些报道在当时不一定引起我们注意。但是现在从国家安全角度来看，使用收集的这些信息在媒体中发布是否合理合法，是否属于为乘客提供服务所必须，国家和民众都得打个问号。

2017年，滴滴上线桔视行车记录仪。那一年，在发生了多起安全事故后，民间舆论对滴滴产生了很多责难。滴滴也上线了过去阻力极大的桔视，对行车过程全程录音录像，而且所有司机必须安装，否则将失去出车资格。去年10月，在桔视上线3周年之后，滴滴地图事业部总经理柴华，在中国测绘学会年会上公布了一组数据：滴滴地图基础数据准确率已经超过95%，而且每天新增轨迹数据超108TB。这些轨迹数据和场景，具备海量、连续、高质量的特点。此外，5.5亿乘客，每天还会上报数十万量级的路况事件。1000多万滴滴车辆，每天通过桔视，成为滴滴的街景实时测绘车。滴滴名副其实地成为了中国轨迹和场景海量数据的持有人。数据管理失误带来的风险也不言自明。

三、法律要求是什么？

(一) 不得收集使用与服务无关个人信息、不得泄露

网安法第22条规定了网络产品及服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意；

网安法第41条至第43条规定了相关网络运营者收集、使用个人信息所应该遵循的原则和要求。规定了企业应该明示收集、使用信息的目的、方式和范围，并经被收集者同意，不得收集与其提供的服务无关的个人信息；不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息；不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息等要求。

网安法第64条罚则中规定网络运营者、网络产品或者服务的提供者违反第22条、第41条至第43条规定侵害个人信息的，由主管部门责令改正、处以警告、没收违法所得；情节严重的，可以责令停止相关业务、停业整顿、关闭网站、吊销相关业务许可证或营业执照。

“滴滴企业版”等APP的下架要求，在效果上等同于罚则中的“停止相关业务、关闭网站”，属于对于情节较为严重的违规收集使用个人信息面临的处罚措施。

（二）安全审查

前面提到网络安全审查办公室7月2日公告将依据国安法、网安法及审查办法对滴滴启动“网络安全审查”。此次“滴滴出行”被启动网络安全审查的公告，可能是“网络安全审查”第一次如此广泛的普罗大众所知悉，事实上，滴滴是审查办法自2020年6月1日实施以来的首次公开实施网络安全审查的著名企业。我们先来看看这些法律关于网络安全审查规定了什么：

国安法规定了国家建立国家安全审查和监管的制度和机制，对影响或者可能影响国家安全的网络信息技术产品和服务,进行国家安全审查，有效预防和化解国家安全风险^[1]。

国安法和网安法“影响国家安全”和“关键信息基础设施”这两个关键词为网络安全审查的确定了基调。也正是在此基础上，国家网信办联合十二个中央部委共同制定了审查办法，对网络安全审查的适用范围、审查原则、审查的流程进行了更为细化的规定。

自滴滴被启动网络安全审查后，网络上关于触发网络安全审查的原因层出不穷，但依据网安法，网络安全审查的触发条件分两类，一是企业因采购网络产品和服务出现影响国家安全的风险，主动报请审查^[2]，二是第十五条的兜底条款，即网络安全审查工作机制成员单位依照职权启动审查^[3]。滴滴出行此次被网络安全审查属于第二种依职权启动的审查，但很难通过网络安全审查办公室寥寥数语的通报知悉对启动审查的具体原因。

那么，安全审查都可以对什么样的企业主体实行？网安法规定关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当进行安全审查^[4]。审查办法同样规定，关键信息基础设施运营者采购网络产品和服务，影响或可能影响国家安全的，应当进行网络安全审查^[5]。

到底什么是“关键基础设施运营者”，网安法第三十一条规定，“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。”尽管国家网信办曾出台过《关键信息基础设施安全保护条例（征求意见稿）》，但至今尚无正式的文件出台，但根据《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》中的要求，不同行业的主管、监管部门会认定该行业的关键信息基础设施运营者，公司可能会通过其行业主管部门获知其是否被纳入关键信息基础设施运营者^[6]。

而一般来说，当公司所持有的数据足够重要，且数据量足够大时，就很有可能被认定为关键信息基础设施运营者。根据滴滴的招股书披露，2021年第一季度滴滴出行月活用户1.56亿，年活跃用户3.77亿，活跃司机1300万，是中国最大的网约车平台。不难推测，滴滴属于“关键信息基础设施的运营者”，相关部门可以依网安法及审查办法规定的主体要求对其进行网络安全审查。

根据审查办法第十条至第十三条的规定，在启动网络安全审查后，最快需要45个工作日（向运营者发出书面通知之日起30个工作日内完成初步审查，网络安全审查工作机制成员单位和相关关键信息基础设施保护工作部门应当自收到审查结论建议之日起15个工作日内书面回复意见），如果情况特别复杂，可能延长15个工作日。而一旦网络安全审查工作机制成员单位、相关关键信息基础设施保护工作部门意见不一致，会进入特别审查程序，一般在45个工作日内完成，情况复杂的可以适当延长。

而安全审查不合格可能面临的后果有哪些呢？如我们通过相关法条予以预测，可能涉及网络产品或服务停用、罚款等^[7]。

四、过往类似案例

滴滴这次遭到处罚的直接原因是违法收集使用个人信息。那么过往有无类似案例，如何处罚？

自2019年1月，国家网信办、工业和信息化部（简称“工信部”）、公安部和国家市场监督管理总局联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》后，正式开启了APP个人信息专项治理的活动，APP个人信息治理呈现九龙治水的局面，各种治理活动层出不穷，但过去典型的APP个人信息治理方式，是遵循着检测-通报-限时整改-时限内整改未完成才会予以下架处理的流程，APP的运营商一般会有“知错能改”的时间空间，举例如下：

【案例一】

2021年4月23日，工信部发布《关于侵害用户权益行为的APP通报（2021年第4批总第13批）》，通报了93款APP未完成整改。并明确要求，上述APP应在4月29日前完成整改落实工作。逾期不整改的，工业和信息化部将依法依规组织开展相关处置工作。

2021年5月13日，工信部发布《关于下架侵害用户权益APP名单的通报》，对于上述93款未完成整改APP中，仍有39款APP未按照工业和信息化部要求完成整改，工信部对其予以下架。

除了国家网信办和工信办的处置措施，检察院也会依职权对违规收集个人信息的APP运营商提出公益诉讼，促使企业对APP进行整改。

【案例二】

2019年5月，浙江省杭州市余杭区人民检察院（简称“余杭区院”）在开展公民个人信息保护专项监督行动中发现，APP强制授权、过度索权、超范围收集个人信息等问题突出，针对辖区内企业开发经营的10余款APP存在违法违规收集用户个人信息的违法行为，并决定通过民事公益诉讼的路径解决这一问题。2019年10月16日，余杭区院对某网络科技有限公司研发的音乐视频教学类APP侵害个人信息的违法行为立案调查。通过走访询问、提取电子数据、同步录像固证等方式，发现该款APP存在强制索取“访问设备上的照片、媒体内容和文件”及手机设备号等权限行为，涉及违法违规获取、存储用户个人信息数量千万条以上。

2020年6月23日，余杭区院依法向杭州互联网法院提起民事公益诉讼，诉请被告某网络科技有限公司停止违法违规收集、储存、使用个人信息并公开赔礼道歉。同年9月9日，法院公开开庭审理本案。

双方当庭达成调解协议：被告立即删除违法违规收集、储存的全部用户个人信息1100万余条；在《法治日报》及案涉APP首页公开赔礼道歉；承诺今后合法合规经营，若存在违反协议约定的行为，将自愿支付50万元违约金用于全国性个人信息保护公益基金的公益支出。

而滴滴出行等APP的下架，是第一次监管部门未给与APP整改的时间，在检测后发现出现违规收集个人信息后直接采取要求下架的处理。除《网络安全法》外，已经进入二次审议的《个人信息保护法》中也规定了对于违法违规处理个人信息可以采取责令暂停业务、停业整顿、吊销营业执照等处罚。保护的执法越来越严，我们可以预见，未来对违规收集个人信息的处理措施会更加趋严，除了滴滴系APP外，会有更多APP及其运营商，因不重视个人信息安全而被采取相应的处罚。

五、滴滴事件对未来的启示

(一) 不仅仅是“关键信息基础设施运营者”

滴滴出行被启动网络安全审查后的第三天，同样依据国安法、网安法和审查办法，网络安全审查办公室启动对“运满满”、“货车帮”、“BOSS直聘”三家纽交所上市企业开始实施网络安全审查。一时间，可能被认定为关键信息基础设施运营者的企业，特别是已经或即将赴国外上市的企业人人自危。这些企业应立即对自身使用或即将采购的网络服务或产品进行合规审查，对于可能存在安全隐患的，及时停用或更换，必要的情况下，及时主动申报安全检查，避免因网络安全审查办公室若启动依职权进行审查而导致企业只能被动应对。

然而，对于数据量并不大，或并非处于关键领域的APP运营者，是否就可以“高枕无忧”了呢？2021年7月10日，国家互联网信息办公室下发关于《网络安全审查办法（修订草案征求意见稿）》（简称“《审查办法草案》”）公开征求意见的通知。在第二条适用主体中，《审查办法草案》相比于《网络安全审查办法》新增“数据处理者开展数据处理活动”纳入网络安全审查的情形，极大地扩大了网络安全审查的适用范围。未来，不仅仅是关键信息基础设施运营者，其他企业在进行数据处理时，也应对其合作的供应商、采购的产品、对数据的处理等进行合规梳理。

此外，《审查办法草案》新增第六条规定“掌握超过100万用户个人信息的运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查”。结合几天前“滴滴出行”、“运满满”、“货车帮”、“BOSS直聘”四个APP被实施网络安全审查，我国监管部门似乎真的要对已经处于灰色地带多年的“小红筹”^[8]实施监管了。考虑到100万用户量对于拟上市企业属于较小的体量，对于未来计划在国外上市的企业进行网络安全审查可能成为必经环节。

(二) 个人信息保护不能停

如果说网络安全审查是数据合规领域的“后起之秀”，那个人信息保护就是数据合规领域的“常青树”，自2019年起，对于个人信息保护的整改整顿从未停歇。滴滴系的APP均因“严重违法违规收集个人信息”被直接下架，也给其他APP运营商敲醒了警钟，对个人信息保护的重视不能再有一丝懈怠。

根据对以往违规APP通报的总结，APP违反个人信息保护，大多集中在个人信息收集使用、个人信息主体权利保障、个人信息收集适用规则公示等相关，如未公示收集使用规则、超范围收集个人信息、收集个人信息未经用户明示同意等。就个人信息的收集与使用，所有的规则都涵盖在《隐私政策》中，APP的个人信息违规，大多也是因为《隐私政策》不合规或实际业务与《隐私政策》约定的不符，因此，不断地完善《隐私政策》是个人信息保护合规的第一步。

不同公司提供的产品和服务不同，隐私政策的内容也不尽相同，好的隐私政策应当结合企业自身的业务，达到企业的商业目的，因此，建议公司结合自身的业务模式、流程起草相应的隐私政策。并且，个人信息保护领域的法律法规更新很快，现在《中华人民共和国数据安全法》已经出台，将于今年9月1日实施。《个人信息保护法》《数据安全管理办法》等多部法律法规、国家标准处于征求意见稿阶段，公司未来应关注行业最新发展，调整隐私政策以适应新的合规要求。

参考文件

[1]《国家安全法》第五十九条规定：“国家建立国家安全审查和监管的制度和机制，对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目，以及其他重大事项和活动，进行国家安全审查，有效预防和化解国家安全风险。”

[2]网安法第五条规定，“运营者采购网络产品和服务的，应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的，应当向网络安全审查办公室申报网络安全审查。”

[3]网安法第十五条规定，“网络安全审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务，由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后，依照本办法的规定进行审查。”

[4]网安法第三十五条规定：“关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。”

[5]审查办法第二条规定，“关键信息基础设施运营者（以下简称运营者）采购网络产品和服务，影响或可能影响国家安全的，应当按照本办法进行网络安全审查。”

[6]《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》第三条（一）规定，组织认定关键信息基础设施。根据党中央和公安部有关规定，公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的主管、监管部门（以下统称保护工作部门）应制定本行业、本领域关键信息基础设施认定规则并报公安部备案。保护工作部门根据认定规则负责组织认定本行业、本领域关键信息基础设施，及时将认定结果通知相关设施运营者并报公安部。

[7]审查办法第十九条的罚则引用了网安法第六十五条的规定：“关键信息基础设施的运营者违反本法第三十五条规定，使用未经安全审查或者安全审查未通过的网络产品或者服务的，由有关主管部门责令停止使用，处采购金额一倍以上十倍以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。”

[8]“小红筹”是指通过采取股权并购或资产并购等方式，将境内企业权益注入到境外资本运作实体中，以实现境外资本运作实体在境外进行私募股权融资或公开发行上市的目的。

原创商事合规团队

上一篇:金融 · 看法丨金融机构展业获取、使用“企业信息”合规架构及要点梳理下一篇:著作权侵权案件处理指南——字体篇