滴滴全球股份有限公司的80.26亿“天价”罚单的事实与法律
对滴滴公司及其主管人员处以高额行政罚款的法律依据是《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等法律法规的规定。具体来看,《网络安全法》《数据安全法》《个人信息保护法》都有就违法处理个人信息(数据)的行为处以罚款的行政责任的规定。《行政处罚法》第29条规定:“对当事人的同一个违法行为,不得给予两次以上罚款的行政处罚。同一个违法行为违反多个法律规范应当给予罚款处罚的,按照罚款数额高的规定处罚。”从本案最终确定的“天价”罚款金额来看,本案确定罚款金额时适用的规定主要是《个人信息保护法》第66条。
通过梳理我国现行法关于违法处理个人信息行为的行政罚款的规定发现,我国就此行政罚款数额上限的确定采取了两种规定方式。一是直接规定具体数额,如《网络安全法》中的“一百万元以下”、《数据安全法》中的“两百万元以下”以及《个人信息保护法》中的“五千万元以下”等;二是《个人信息保护法》新增的以上一年度营业额的百分比为处罚上限标准,即《个人信息保护法》第66条规定的“上一年度营业额的百分之五”。经查,滴滴公司2021年度公布的营业额为1738.3亿元,根据行政处罚“不重复处罚”“就高不就低”的规定来看,依据《个人信息保护法》第66条可对滴滴公司处以的罚款上限为86.9亿元。实际处罚80.26亿元,接近于法定罚款的的上限。
网络安全法
第五十九条 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
(网络安全法第五十九条至第六十九条依据网络运营者的违法行为类型分别规定了包含不同标准的罚款在内的行政处罚。与本案有关的规定中,对单位设置的最高罚款上限为100万元,对主要负责的个人为10万元。其余规定此处不一一列举。)
数据安全法
第四十五条 开展数据处理活动的组织、个人不履行本法第二十七条、第二十九条、第三十条规定的数据安全保护义务的,由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;拒不改正或者造成大量数据泄露等严重后果的,处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。
违反国家核心数据管理制度,危害国家主权、安全和发展利益的,由有关主管部门处二百万元以上一千万元以下罚款,并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依法追究刑事责任。
个人信息保护法
第六十六条 违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
