滴滴全球股份有限公司的80.26亿“天价”罚单的事实与法律
正是基于“双罚制”规定,国家网信办在对滴滴公司处以“天价”罚款的同时,也对滴滴全球股份有限公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款。
四、“天价”处罚与顶格处罚
(一)“天价”处罚的条文形成
《行政处罚法》第5条规定,设定行政处罚必须以事实为依据,与违法行为的事实、性质、情节以及社会危害程度相当。《个人信息保护法》第66条在进行罚款金额的设定时,应考虑到罚款的有效性、成比例性和劝诫性:有效性指罚款应当切实得到实行;成比例性指个案的罚款金额应当结合主体种类、行为和情节加以确定;劝诫性指罚款金额应当足以警告和惩罚违法主体的违法行为。
基于有效性的要求,罚款的数额不能设置过高以至于相对人无法支付,因此《个人信息保护法》为罚款设置了数额上限。基于成比例性的要求,罚款的具体金额应当与违法处理个人信息行为的危害性相当,因此《个人信息保护法》将违法处理个人信息行为区分为一般的违法行为和“情节严重的”违法行为,对两者设置不同的罚款标准。基于劝诫性的要求,考虑到对于滴滴公司这类年营收逾千亿的公司而言,以大多数数据企业为规制对象设立的罚款数额标准(五千万元以下)难以对其起到惩治作用,《个人信息保护法》设立了以年营业额的百分之五作为罚款上限的处罚标准。正是基于这一计算标准,才使本案超80亿的“天价”罚款成为可能。
(二)“天价”处罚与顶格处罚在本案中的司法适用
本案中,国家互联网信息办公室之所以处以滴滴公司80.26亿的“天价”罚款、对负责人员处以100万元的顶格处罚,是由于其行为严重侵害个人信息权益、严重损害国家信息安全。
罚款的数额应与违法行为的危害性成比例。就违法处理个人信息的行为而言,法律通常从以下方面判断违法行为是否达到“情节严重”的程度,即(1)客观方面,主要包括处理信息的目的、处理的信息是否敏感、影响信息主体的数量、违法行为的持续时间等;(2)主观方面,主要包括违法的性质是故意还是过失、事后是否采取了为减轻损害发生的行动、为减轻损害和监管机关的合作程度、是否被警告或调查后仍然继续为违法行为等;(3)造成的损害结果的严重程度,是否影响到医疗、教育、养老、国家安全等关键领域等。
在具体标准上,《网络安全法》《个人信息保护法》等关于行政处罚的规定未设置具体标准,参考《刑法》关于“侵害公民个人信息罪”规定的“情节严重”“情节特别严重”两个加重处罚情节,我们可以类比得出情节严重的部分认定要素:如从违法处理信息的数量看,将违法处理敏感个人信息达30条、处理次级敏感信息达300条、处理非敏感信息达3000条以上的认定为“情节严重”;从违法行为的持续时间来看,将持续违法处理个人信息在6个月以上的认定为“情节严重”;从违法的主观状态考虑,将已被警告、调查后仍继续违法处理个人信息的认定为“情节严重”;从违法的损害结果看,将危害国家主权、安全和发展利益的认定为“情节严重”。
以上这些认定要素的具体标准具有参考的意义,科学、严谨的标准有赖于相关部门在积累实践经验的基础上研讨制定。但不可否认的是,以前述标准确立的一个具有参考意义的“情节严重”的违法处理个人信息行为为参照,本案中滴滴公司的行为可谓弗如远甚:从违法处理个人信息的数量来看,滴滴公司违法处理的个人信息以百亿计,其中不乏逾千万条人脸信息等敏感个人信息;从违法行为的持续时间来看,滴滴公司自2015年7月至调查结果公布约7年的时间持续实施违法行为;从违法的主观状态看,滴滴公司无视监管部门要求,违反信息安全义务,强制收集用户个人信息,主观状态为故意而非过失;从违法的损害来看,滴滴公司行为不仅严重侵害个人信息权益,而且其将大量行程信息运往境外的行为严重损害国家安全利益。
