滴滴全球股份有限公司的80.26亿“天价”罚单的事实与法律
有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
值得讨论的是,本案滴滴公司实施的违法处理个人信息的行为主要发生在《个人信息保护法》施行前,可否适用该法的规定。
《行政处罚法》第37条规定:“实施行政处罚,适用违法行为发生时的法律、法规、规章的规定。但是,作出行政处罚决定时,法律、法规、规章已被修改或者废止,且新的规定处罚较轻或者不认为是违法的,适用新的规定。”在本案中,适用一个法律责任较重的“新法”来追究滴滴公司的行政责任是否妥当?对此,笔者认为本案应当适用《个人信息保护法》第66条的规定,理由如下。
第一,本案中《个人信息保护法》的规定对于滴滴公司的违法行为而言,不属于讨论法律溯及适用意义上的“新法”。从本案实际情况来看,滴滴公司违法处理海量个人信息、侵害个人信息权益和国家安全利益的行为自2015年6月至今持续存在。“从旧兼从轻”的法律溯及力原则的法理在于,这种溯及适用规则能够保证行为主体能够对自己行为所获得的法律评价有稳定预期、从而依照法律规定规划自己的行为。《个人信息保护法》自2021年8月颁布至2021年11月施行之日起,滴滴公司并未停止自身的违法行为,对其将为此行为承担高额的行政罚款应有充分的预期。
第二,本案中滴滴公司的违法行为具有持续性,无法进行区分评价。持续性的违法行为很难作区分评价,前后依次发生的违法行为间存在着密切的联系:在《个人信息保护法》前违法收集的个人信息,在《个人信息保护法》后被继续违法加工、售卖;在《个人信息保护法》前实施的违法处理个人信息行为,其危害后果可能实际发生于《个人信息保护法》施行以后。而作为整体评价的持续的违法行为的发生时间,应确定为该行为终止时。《行政处罚法》第36条亦有规定:“违法行为有连续或者继续状态的,从行为终了之日起计算。”是故,本案应适用《个人信息保护法》第66条对滴滴公司自2015年7月至今的违法处理个人信息行为施以行政处罚。
三、公司和个人双罚制
自《网络安全法》开始,我国就对违法处理个人信息的行为引入了对实施违法行为的单位与个人(包括直接负责的主管人员和其他直接责任人员)都处以行政处罚的双罚制。《个人信息保护法》深化了单位和个人的行政处罚双罚制,考虑到不同形式的行政责任对不同违法主体的劝诫、规制效果差异,我国的“双罚制”对单位和个人设置了不同类别的行政责任。
针对违法处理个人信息的单位,《个人信息保护法》注重多种行政处罚方式的综合适用,除了《网络安全法》规定的“责令改正”“警告”“没收违法所得”“罚款”“责令暂停相关业务”“责令停业整顿”“吊销营业执照”“吊销相关业务许可证”等责任形式外,针对当下各类应用程序(App)违法处理个人信息的行为,《个人信息保护法》增加规定了“责令暂停或者终止提供服务”,这与我国当前加强规范应用程序处理活动的政策导向相一致。针对违法单位的直接负责的主管人员和其他责任人员,除承担罚款责任外,《个人信息保护法》增加规定了处罚机关可以决定“禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人”。
