根据网络安全审查结论及发现的问题和线索，国家互联网信息办公室依法对滴滴全球股份有限公司涉嫌违法行为进行立案调查。经查实，滴滴全球股份有限公司违反《网络安全法》《数据安全法》《个人信息保护法》的违法违规行为事实清楚、证据确凿、情节严重、性质恶劣。

 

7月21日，国家互联网信息办公室依据《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等法律法规，对滴滴全球股份有限公司处人民币80.26亿元罚款，对滴滴全球股份有限公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款。

 

消息出来后，一时间引起社会各界的高度关注和激烈探讨。历时一年多的“滴滴大案”虽然已经“靴子落地”，大家心中仍然有诸多困惑，例如“为什么罚单是80.26亿？”、“网络安全审查流程是什么样的？为什么说滴滴对抗调查，阳奉阴违？”……

 

为解答大家的疑惑，我们总结了六大法律问题，并一一进行经验范围内的解答和科普。

 

前文链接：滴滴系列（一）|  滴滴赴美上市的红筹架构探析及延伸思考

 

滴滴系列（二）| 美国SEC关于赴美上市公司的监管要求

 

01为什么网络安全审查办公室进场审查后，由国家互联网信息办公室作出处罚？

 

根据《网络安全审查办法》（2022版）第4条规定：“在中央网络安全和信息化委员会领导下，国家互联网信息办公室会同中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局建立国家网络安全审查工作机制。

 

网络安全审查办公室设在国家互联网信息办公室，负责制定网络安全审查相关制度规范，组织网络安全审查。”

 

因此，根据《网络安全审查办法》规定，网络安全审查办公室是由网信委牵头领导，发改委、工信部、公安部等13个部门组成的执行网络安全审查的办事机构。但由于网络安全涉及网络技术问题，因此，具体的审查工作实际上“委托中国网络安全审查技术与认证中心承担。中国网络安全审查技术与认证中心在网络安全审查办公室的指导下，承担接收申报材料、对申报材料进行形式审查等任务。”

 

而根据《网络安全审查办法》第20条规定：“当事人违反本办法规定的，依照《中华人民共和国网络安全法》、《中华人民共和国数据安全法》的规定处理。”而查阅《中华人民共和国网络安全法》、《中华人民共和国数据安全法》会发现，前述两部法对于执法主体均用模糊的“有关主管部门”一笔带过，并未明确表示执法部门为国家互联网信息办公室。但根据本事件的处罚金额，笔者认为处罚依据应为《中华人民共和国个人信息保护法》第66条，即“有前款规定的违法行为，情节严重的，由省级以上履行个人信息保护职责的部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。”

 

而所谓的“省级以上履行个人信息保护职责的部门”的具体规定则出现在《中华人民共和国个人信息保护法》第60条 “国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照本法和有关法律、行政法规的规定，在各自职责范围内负责个人信息保护和监督管理工作。县级以上地方人民政府有关部门的个人信息保护和监督管理职责，按照国家有关规定确定。前两款规定的部门统称为履行个人信息保护职责的部门。”

 

因此，最终处罚作出主体为国家互联网信息办公室。

 

02公司处罚金额为什么是“80.26亿”？个人处罚金额为什么是“100万元”？

 

根据官方报道，国家互联网信息办公室是依据《个人信息保护法》等法律法规，对滴滴全球股份有限公司处人民币80.26亿元罚款，对滴滴全球股份有限公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款。其中《中华人民共和国个人信息保护法》第66条规定“有前款规定的违法行为，情节严重的，由省级以上履行个人信息保护职责的部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。”

 

根据国家互联网信息办公室有关负责人答记者问中所用表述“滴滴公司违反《网络安全法》《数据安全法》《个人信息保护法》的违法违规行为事实清楚、证据确凿、情节严重、性质恶劣，应当从严从重予以处罚”、“滴滴公司董事长兼CEO程维、总裁柳青，对违法行为负主管责任”、“滴滴公司违法违规行为情节严重，结合网络安全审查情况，应当予以从严从重处罚”可见其处罚力度较高，甚至有可能为顶格处罚。

 

从公开渠道检索发现，滴滴2021年全年实现营收1738.27亿元，按照营业额百分之五计算为86.9135亿，而滴滴事件处罚金额为80.26亿，符合《中华人民共和国个人信息保护法》第66条所述“上一年度营业额百分之五以下罚款”，其未按照顶格处罚不排除是滴滴公司游说的效果；董事长兼CEO程维、总裁柳青各处人民币100万元罚款，符合《中华人民共和国个人信息保护法》第66条所述“对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款”的顶格处罚。

 

03滴滴被审查的可能原因是什么？

 

2021年7月2日晚间，网络安全审查办公室发布《网络安全审查办公室关于对“滴滴出行”启动网络安全审查的公告》，宣布对“滴滴出行”实施网络安全审查。虽然国家互联网信息办公室随即在2021年7月10日发布《网络安全审查办法（修订草案征求意见稿）》，但应确认网络安全审查办公室当时适用的是《网络安全审查办法》（2020年版）。

 

根据《网络安全审查办法》（2020年版）第2条规定：“关键信息基础设施运营者采购网络产品和服务，影响或可能影响国家安全的，应当按照本办法进行网络安全审查。”可以看出，网络安全审查办公室应该是将滴滴视为“关键信息基础设施运营者”，并认为滴滴“采购网络产品和服务，影响或可能影响国家安全”，进而主动发起网络安全审查。

 

那么延伸思考的问题有二：

 

01滴滴为什么属于“关键信息基础设施运营者”？

 

根据《关键信息基础设施安全保护条例》第2条规定：“本条例所称关键信息基础设施，是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。” 《网络安全审查办法》（2020年版）第20条进一步规定：“本办法中关键信息基础设施运营者是指经关键信息基础设施保护工作部门认定的运营者。”因此，结合滴滴的行业属性，笔者认为网络安全审查办公室应该是将滴滴认定为交通领域的关键信息基础设施的运营者。

 

02滴滴采购的网络产品和服务，怎么就“影响或可能影响国家安全”？

 

根据《网络安全审查办法》（2020年版）第9条规定：“网络安全审查重点评估采购网络产品和服务可能带来的国家安全风险，主要考虑以下因素：

 

（一）产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏，以及重要数据被窃取、泄露、毁损的风险；……（五）其他可能危害关键信息基础设施安全和国家安全的因素。”笔者认为，网络安全审查办公室大概率是以滴滴采购网络产品和服务可能导致“重要数据被窃取、泄露、毁损”为由，对其启动的网络安全审查。具体理由为：2020年11月23日美国证券交易委员会公司财务部（Corporation Finance Securities and Exchange Commission）在美国证券交易委员会（下称“SEC”）官网发布《中国发行人的信息披露考虑因素》一文，对中国公司赴美上市的整体披露事项，特别是网络安全事项做了较为详细的规定。2021年6月30日滴滴正式在美国纽交所低调上市，因上市需要，滴滴必然需要向美国SEC披露相关的网络安全数据，这将可能导致滴滴向外国政府部门披露大量中国交通领域的大量数据，“影响或可能影响国家安全”。于是在滴滴上市的第二天，也就是2021年7月2日，网络安全审查办公室立刻启动对滴滴的网络安全审查。

 

04滴滴的调查结果与发起审查的动因是否一致？

 

根据官方报道披露，滴滴被处罚的原因在于其存在违法违规收集个人信息的问题，具体包括：

 

· 违法收集用户手机相册中的截图信息1196.39万条；

 

· 过度收集用户剪切板信息、应用列表信息83.23亿条；

 

· 过度收集乘客人脸识别信息1.07亿条、年龄段信息5350.92万条、职业信息1633.56万条、亲情关系信息138.29万条、“家”和“公司”打车地址信息1.53亿条；

 

· 过度收集乘客评价代驾服务时、App后台运行时、手机连接桔视记录仪设备时的精准位置（经纬度）信息1.67亿条；

 

· 过度收集司机学历信息14.29万条，以明文形式存储司机身份证号信息5780.26万条；

 

· 在未明确告知乘客情况下分析乘客出行意图信息539.76亿条、常驻城市信息15.38亿条、异地商务/异地旅游信息3.04亿条；

 

· 在乘客使用顺风车服务时频繁索取无关的“电话权限”；

 

· 未准确、清晰说明用户设备信息等19项个人信息处理目的。

 

可以看出，滴滴的调查结果和发起审查的动因是不一致的。结合本文第三问可以看出，根据《网络安全审查办法》（2020年版）的规定，网络安全审查办公室当时应该是将滴滴视为“关键信息基础设施运营者”，认为滴滴“采购网络产品和服务，影响或可能影响国家安全”，进而主动发起网络安全审查。而最终的调查结果是滴滴本身存在违规收集个人信息的问题，而非因“采购网络产品和服务”而导致“存在重要数据被窃取、泄露、毁损的风险”。

 

实际上，笔者认为网络安全审查办公室应该一开始就奔着滴滴可能违规收集个人信息的查处动因启动的网络安全审查，但苦于《网络安全审查办法》（2020年版）并未赋予其查处依据，只能转而先将滴滴视为“关键信息基础设施运营者”，以滴滴“采购网络产品和服务，影响或可能影响国家安全”为由发起网络安全审查。笔者的该点推论来自于网络安全审查办公室在2021年7月2日启动对滴滴的网络安全审查时，紧接着在一周后，国家互联网信息办公室迅速发布《网络安全审查办法（修订草案征求意见稿）》，增加了“数据处理者开展数据处理活动，影响或者可能影响国家安全的，应当按照本办法进行网络安全审查”，最终生效的《网络安全审查办法》修改为“网络平台运营者开展数据处理活动，影响或者可能影响国家安全的，应当按照本办法进行网络安全审查”，最终赋予了网络安全审查办公室对于“网络平台运营者开展数据处理活动”的审查权，随后生效的还包括《网络安全法》《个人信息保护法》等。

 

05滴滴经历了哪些网络安全审查流程，为什么说其“阳奉阴违”？

 

《网络安全法》第35条规定：“关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。”该条款确立了网络产品和服务的安全审查制度。为细化网络产品和服务的安全审查制度，国家互联网信息办公室于2017年发布《网络产品和服务安全审查办法（试行）》，并于2020年和2022年分别修订发布了《网络安全审查办法》（2020版）和《网络安全审查办法》（2022版）（详见附件《<网络安全审查办法>重要修订的各版本比对表》）

 

无论是《网络安全审查办法》（2020版），还是《网络安全审查办法》（2022版），都对网络安全审查流程做了详细规定。结合滴滴事件，让我们一起看下滴滴到底经历了哪些网络安全审查流程：

 

一方面，《网络安全审查办法》（2020版）第5条规定：“运营者采购网络产品和服务的，应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的，应当向网络安全审查办公室申报网络安全审查。” 《网络安全审查办法》（2022版）第7条规定：“掌握超过100万用户个人信息的网络平台运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。”

 

因此，笔者推断滴滴出现“阳奉阴违”、“恶意逃避监管”的首要问题点在于滴滴赴美上市未主动申报网络安全审查。不仅未主动申报网络安全审查，而且是低调筹备上市事宜。

 

另一方面，《网络安全审查办法》规定网络安全审查办公室可以主动发起审查通知，在向当事人发出书面通知之日起30个工作日内完成初步审查，包括形成审查结论建议和将审查结论建议发送网络安全审查工作机制成员单位、相关部门征求意见；情况复杂的，可以延长15个工作日（30日+15日）。网络安全审查工作机制成员单位和相关部门应当自收到审查结论建议之日起15个工作日内书面回复意见，意见不一致的，按照特别审查程序处理，并通知当事人。特别审查程序一般应当在90个工作日内完成，情况复杂的可以延长。

 

按照前述规定，初步审查时间（以情况复杂情况计）为45个工作日，回复意见时间为15个工作日，再加上按照特别审查程序处理的90个工作日，网络安全审查的最长期间应为150个工作日。滴滴事件中，网络安全审查办公室于2021年7月2日正式发布启动调查程序，于2022年7月21日对外发布调查结果，整个调查时间一年有余，显然超过正常的调查时间。可以看出，网络安全审查办公室在调查过程中应当是遇到了较多的阻碍，滴滴公司并未积极配合开展调查工作，以致于网络安全审查办公室不得不延长调查时间，这也正是国家互联网信息办公室有关负责人答记者问所述“……拒不履行监管部门的明确要求，阳奉阴违、恶意逃避监管等其他违法违规问题。滴滴公司违法违规运营给国家关键信息基础设施安全和数据安全带来严重安全风险隐患。”

 

06为什么认定“滴滴全球股份有限公司”为违法主体？

 

根据本文第三问所述，网络安全审查办公室有可能援引《网络安全审查办法》（2020年版）第2条规定，将滴滴视为“关键信息基础设施运营者”。那么，为什么此处“关键信息基础设施运营者”指的是“滴滴全球股份有限公司”，而不是其境内的运营主体呢？

 

根据《关键信息基础设施安全保护条例》第2条规定“本条例所称关键信息基础设施，是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。”第8条规定：“本条例第2条涉及的重要行业和领域的主管部门、监督管理部门是负责关键信息基础设施安全保护工作的部门。”由此可以看出关键信息基础设施保护工作部门主要包括公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的主管、监管部门，换言之，工信部、发改委、中国人民银行、银保监会、证监会等关键信息基础设施的保护部门，前述部门有权认定关键信息基础设施运营者的名单。

 

而正如《网络安全审查办法》（2020年版）第4条所述，国家网络安全审查工作机制正是由“国家互联网信息办公室会同中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局”组建而成，自然地，网络安全审查办公室作为前述部门的办事机构，应有权根据实际审查情况认定“滴滴全球股份有限公司”的违法主体身份。

 

退一步讲，如果网络安全审查办公室援引的是《网络安全审查办法》（2022年版）第2条规定，将滴滴视为“网络平台运营者”。那么，处罚主体是否还是 “滴滴全球股份有限公司”？《网络安全法》第76条第3款规定：“网络运营者，是指网络的所有者、管理者和网络服务提供者。”该条款虽然针对的仅是网络运营者，而非网络平台运营者，但结合《互联网平台分类分级指南（征求意见稿）》的相关定义和分类，大体可以知道网络平台运营者是指网络平台的所有者、管理者和网络服务提供者。而根据国家互联网信息办公室有关负责人答记者问所述“滴滴公司对境内各业务线重大事项具有最高决策权，制定的企业内部制度规范对境内各业务线全部适用，且对落实情况负监督管理责任。该公司通过滴滴信息与数据安全委员会及其下设的个人信息保护委员会、数据安全委员会，参与网约车、顺风车等业务线相关行为的决策指导、监督管理，各业务线违法行为是在该公司统一决策和部署下的具体落实”，因此综合认定为“滴滴全球股份有限公司”为本次处罚的违法主体。