7月21日,国家互联网信息办公室公布对滴滴公司行政处罚的决定。国家互联网信息办公室有关负责人就案件相关问题回答了记者提问。在答记者问中,负责人介绍了滴滴公司违法的类型化的行为、违法主体的认定、行政处罚的依据和下一步网络执法的重点方向等四个问题。
这一引起全民关注的网络安全审查大案以对滴滴公司罚款80.26亿,对负有管理责任的滴滴公司董事长兼CEO程维、总裁柳青罚款100万元,暂告一段落。但国家网信办的答记者问却给社会大众尤其是数据行业从业者留有着其它疑问。
我们首先对滴滴被认为违法的行为类型进行一个观察,考察其违法性的来源和可能的回归路径,并且扩展到行政处罚之外讨论这些行为涉嫌刑事犯罪的可能性。
国家网信办在答记者问中将滴滴的违法行为归为八类,而从用词上看,则使用了“违法收集”、“过度收集”、“未告知情况下分析”、“索取无关权限”和“未准确、清晰说明处理目的”五种。
此外,还另行提出“存在严重影响国家安全的数据处理活动”以及“拒不履行监管部门的明确要求”两种。
结合国家网信办答复“对滴滴公司作出网络安全审查相关行政处罚的决定的主要依据是《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等有关规定。”我们可以一窥滴滴的行为与法律法规禁止的类型化的行为的对应关系。
一、过度收集信息的认定与侵犯公民个人信息罪风险
首先,提及的五种行为都是疑似侵害公民个人信息的行为,那么从《个人信息保护法》及相关规定当中去找。
对于出现的最多的“过度收集”,我们可以在《个人信息保护法》第六条找到其身影:
处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。
收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。
这就是个人信息保护中著名的“最小必要原则”在总则中的出现形式。而在分则中,该原则首先体现在一个授权性质的条款中,即非常重要的第十三条:
符合下列情形之一的,个人信息处理者方可处理个人信息:
……
(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;
(三)为履行法定职责或者法定义务所必需;
(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;
……
依照本法其他有关规定,处理个人信息应当取得个人同意,但是有前款第二项至第七项规定情形的,不需取得个人同意。
该条第(三)、第(四)项通常情况下一般的商业主体是使用不上的,最能寄予厚望的就是第(二)项,尤其是第二项前半段。该条款提供了能够广泛适用的授权,免除了海量的、难以以合理成本实现的告知、通知和获取同意的程序,为商业合同的合法、有效履行提供了重要的通路和保证。但是,受限于最小必要原则,以及“必须”一词可能具有的严苛含义——缺少则合同主要目的不能实现,如果行政、司法机关取此含义,则该条该项能够提供的授权范围就会遭到严重限缩,在面临行政监管或司法追诉时,保护效果将相当有限。毕竟,仅仅实现合同主要目的的服务质量,在市场竞争当中通常是不具有竞争力的。如果“为订立、履行个人作为一方当事人的合同所必需”的范围不能适当扩大到一些“几乎必要”的服务质量提升的部分,那么信息安全固然得到了较好/过好的保护,但信息的利用却受到了不合理的限制。
滴滴案中,被指“过度收集”的有“剪切板信息、应用列表信息”、“人脸识别信息、年龄段信息、职业信息、亲情关系信息、‘家’和‘公司’打车地址信息”、“精准位置(经纬度)信息”及“司机学历信息”四类。其中,第一类的内容情况不明,但第二类(除亲情关系信息、“家”和“公司”打车地址信息)第三类及第四类信息均属于的公民个人信息,滴滴公司真正需要的辩解是:将这些信息的使用目的“为订立、履行个人作为一方当事人的合同所”联系起来,且其紧密程度,需要在行政机关、司法机关对“必需”的理解之内。进一步考虑到我国刑事法律为上述敏感的公民个人信息提供保护,“过度收集”将破坏《个人信息保护法》第十三条第(二)款提供的合法性,令未经个人信息主体授权的个人信息收集变为“以其他方法非法获取”,可能触犯刑法第二百五十三条之一规定的侵犯公民个人信息罪。
二、违法收集信息的方式对违法行为性质的影响
对于“违法收集”行为而言,其违法性的来源,既与被收集的信息储存的位置有关,也与信息内容即信息的法律属性有关。如果相册内截图信息是公民个人信息的,则同前述。如果不是公民个人信息的,则又存在两种情形:一是在用户未授权、未受通知且无感知的情况下擅自获取截图信息。由于截图信息亦属于存储在计算机信息系统内的“以电子或者其他方式对信息的记录”,即符合《数据安全法》第三条对“数据”的定义,是《刑法》第二百八十五条第二款非法获取计算机系统数据罪所保护的对象。实施此类行为不但触犯行政禁令,还可能需要承担刑事责任。
二是与“频繁索取无关的‘电话权限’”的行为类似,被监管机关认为违法的是超过提供服务所必要的范围索取数据和功能的使用权限,且在用户授权的情况下使用对应权限。此种行为与现行的推荐性国家标准和行业标准相违背,但是仅从《网络安全法》《数据安全法》和《个人信息保护法》的角度出发,除去如《数据安全法》第八条 开展数据处理活动,应当遵守法律、法规,尊重社会公德和伦理,遵守商业道德和职业道德,诚实守信,履行数据安全保护义务,承担社会责任,不得危害国家安全、公共利益,不得损害个人、组织的合法权益 等进行原则性规定的条款,认定该类行为属于“违法”的具体依据,并不十分明显和充分,更不易涉嫌刑事犯罪。
三、超范围使用用户信息及概括授权的效果疑问
下一个违法行为是“在未明确告知乘客情况下分析乘客出行意图信息、常驻城市信息、异地商务/异地旅游信息”。笔者本人亦曾亲身体会:每周固定时间笔者均赴某大学教授刑事司法实务相关课程,下课后打车回家。某次打开滴滴APP时,APP突然询问是否是要打车至家里的地址。滴滴公司进行此项分析,可能意图是减少用户操作,提升用户体验。但此项功能的实现必须对用户的历史用车情况进行分析,不可避免地要使用公民个人信息,包括用车的行踪轨迹、用车的交易记录等敏感个人信息。《个人信息保护法》第二十九条的规定:处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。数据企业通常会概括地为“提升服务质量”、“提升用户体验”获取使用敏感个人信息的权利,但是,这种概括获取授权能否满足法律规定的“单独同意”的要求,是具有疑问的。企业固然可以辩称已就“提升用户体验”单独获得信息主体的同意,但是“提升用户体验”并不是一个指向具体敏感个人信息,具有具体使用目的和使用方法的事项,而是不确定多数种可能的事项的集合,如果行政机关或司法机关采取更严格的解释标准,就可能得出如滴滴案的结论:认为“在未明确告知乘客情况下分析乘客出行意图信息、常驻城市信息、异地商务/异地旅游信息”等行为不能认为获得了“单独同意”,属于违法。
第八类被认定的违法行为是“未准确、清晰说明用户设备信息等19项个人信息处理目的”。该项行为违反的法律规定是明确的,即《个人信息保护法》第十七条
个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:
(一)个人信息处理者的名称或者姓名和联系方式;(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;(三)个人行使本法规定权利的方式和程序;(四)法律、行政法规规定应当告知的其他事项。
前款规定事项发生变更的,应当将变更部分告知个人。
个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的,处理规则应当公开,并且便于查阅和保存。
违反该条款带来的主要后果是《个人信息保护法》第十四条第一款对个人信息主体的授权的有效性的规定将得不到满足。基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。继而数据处理者无法以“取得个人的同意”(这个最主要的合法性来源)为由使用个人信息。
四、下一步执法工作重点方向与拒不履行信息网络安全管理义务罪的适用
最后,答记者问中特别提出的另外两个行为也很值得研究。首先是“存在严重影响国家安全的数据处理活动”,但同时答记者问也说明“滴滴公司违法违规运营给国家关键信息基础设施安全和数据安全带来严重安全风险隐患。因涉及国家安全,依法不公开。”国家关键信息基础设施的认定是一个犹抱琵琶半遮面的过程,其关键细节不为社会大众所知且通常亦无知晓之必要。因为能够有资格、有分量被认定为“关基”的单位一般均已通过专门渠道对相关认定和要求有充分了解。本文就此项也就不再展开。
值得一般大众尤其是数据运营企业重点关注的是“拒不履行监管部门的明确要求,阳奉阴违、恶意逃避监管等其他违法违规问题”《刑法修正案(十一)》新增了第二百八十六条之一的拒不履行信息网络安全管理义务罪:
网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列情形之一的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金:
(一)致使违法信息大量传播的;(二)致使用户信息泄露,造成严重后果的;(三)致使刑事案件证据灭失,情节严重的;(四)有其他严重情节的。
单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照前款的规定处罚。
有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。
按照答记者问的表述:“滴滴公司未按照相关法律法规规定和监管部门要求,履行网络安全、数据安全、个人信息保护义务,置国家网络安全、数据安全于不顾,给国家网络安全、数据安全带来严重的风险隐患,且在监管部门责令改正情况下,仍未进行全面深入整改”可以知道国家网信办明确认为滴滴公司存在“不履行法律、行政法规规定的信息网络安全管理义务”的情形,且满足“经监管部门责令采取改正措施而拒不改正”的行政前置条件,于是问题集中在其行为是否造成了足以达到犯罪程度的后果。国家网信办未指明本案是否存在“致使用户信息泄露,造成严重后果的”的情形,则我们就需要将目光集中到本案是否属于“有其他严重情节的”。
答记者问对滴滴此项违法行为造成后果的描述是“给国家关键信息基础设施安全和数据安全带来严重安全风险隐患”、“给国家网络安全、数据安全带来严重的风险隐患”。从最高人民法院 最高人民检察院《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》第六条 拒不履行信息网络安全管理义务,具有下列情形之一的,应当认定为刑法第二百八十六条之一第一款第四项规定的“有其他严重情节”:(一)对绝大多数用户日志未留存或者未落实真实身份信息认证义务的;(二)二年内经多次责令改正拒不改正的;(三)致使信息网络服务被主要用于违法犯罪的;(四)致使信息网络服务、网络设施被用于实施网络攻击,严重影响生产、生活的;(五)致使信息网络服务被用于实施危害国家安全犯罪、恐怖活动犯罪、黑社会性质组织犯罪、贪污贿赂犯罪或者其他重大犯罪的;(六)致使国家机关或者通信、能源、交通、水利、金融、教育、医疗等领域提供公共服务的信息网络受到破坏,严重影响生产、生活的;(七)其他严重违反信息网络安全管理义务的情形。上看,滴滴公司违法行为的后果难以归入上述第(一)至(六)项,只能考虑兜底的第(七)项其它。那么,国家网信办虽然是承担信息网络安全监管职责的部门,明确属于该解释第二条规定中的“监管部门”,但是据此只能认定网信办下达整改指令属于“监管部门责令采取改正措施”,却不能认为网信办能够认定拒不履行其整改指令的行为造成的后果是否属于“其他严重违反信息网络安全管理义务的情形”。因为对于《刑法》第二百八十六条之一的条文内容进行有权解释,是专属于全国人大、全国人大常委会的立法解释权、最高人民法院、最高人民检察院的司法解释权。国家网信办对后果严重与否的意见,仅具有行政上的意义,不具有刑事司法上的权威。
实际上,国家网信办对滴滴案进行处罚的通知及答记者问发出后,受到了社会极大关注。公众发出的众多声音中一个强音就是询问本案是否涉嫌刑事犯罪?从目前披露的情况看,涉及国家安全的犯罪因依法不公开难以判断,超范围收集和使用受刑法保护的敏感个人信息可能确实涉嫌侵犯公民个人信息罪,而在是否构成拒不履行信息网络安全管理义务罪的问题上,国家网信办的沉默也许恰好是合适的,因为这需要立法机关或司法机关才能进行有权威性的答复。但按照国家网信办的表态“网信部门将依法加大网络安全、数据安全、个人信息保护等领域执法力度,通过执法约谈、责令改正、警告、通报批评、罚款、责令暂停相关业务、停业整顿、关闭网站、下架、处理责任人等处置处罚措施,依法打击危害国家网络安全、数据安全、侵害公民个人信息等违法行为,切实维护国家网络安全、数据安全和社会公共利益,有力保障广大人民群众合法权益。”未来对侵犯公民个人信息罪的打击力度,无疑还会进一步加强;同时拒不履行信息网络安全管理义务罪这一罪名,也可能逐渐被激活,成为督促数据企业履行法律义务和社会责任的一根长鞭。
