重罚滴滴事件疑团重重 科企网安领域踩雷风险激增|伽罗华

撰文: 伽罗华
出版:更新:

经过长达一年的煎熬,内地网约车巨头滴滴全球终于获得大赦。国家互联网信息办公室(网信办)上周宣布向滴滴开出80.26亿元(人民币,下同)的巨额罚单,以结束对其网络安全的调查,当局同时恢复滴滴应用程式(App)功能,为滴滴扫除赴港上市的障碍。滴滴能够死里逃生,在美上市股价由历史低位翻一番。

古谚说得好,“如果问题可以用金钱解决,便不是问题。”问题是,滴滴在网安领域踩雷所付出的代价是否与其违规成正比,而且当局加予滴滴的罪状亦含混其词。没有清晰的指引,便无助科网平台未来免于踩雷的风险,让中外资金对科网股更加敬而远之。

为配得上这巨额罚款,网信办罗列滴滴16宗罪状,可以归纳为8个方向,这里不详列出来,部分罪状的表述应该是合理,例如第1项违法收集用户手机相册中的截图信息1,196.39万条;以及第8项是未准确、清晰说明用户设备信息等19项个人信息处理目的。

然而,其他罪状内容却有很大争议性,而且大多用上“过度”这个敏感词,例如第4项是过度收集乘客评价代驾服务时、App后台运行时、手机连接桔视记录仪设备时的精准位置(经纬度)信息1.67亿条;以及第5项过度收集司机学历信息14.29万条,以明文形式存储司机身份证号信息5,780.26万条。

网信办罗列滴滴16宗罪状,部分内容有很大争议性,当中大多用上“过度”这个敏感词。(资料图片)

“过度”收集难拿揑 滴滴罪状争议大

收集乘客评价代驾服务及司机学历的相关信息,能够方便滴滴监察整体服务质素,这说来应该是合理的,但网信办称你只能收集应该收集,不能收集不应该收集,便可能有理说不清,大大增加日后所有科网平台收集数据的责任风险。

滴滴的罚款额是自去年4月电子商务巨头阿里巴巴后遭重罚182亿元之后最严重个案,也是网络安全违规个案中罚款最高者。由于违反市场垄断都是大型科网平台,罚款额相当可观。据统计,去年中国违反《反垄断法》的罚款数额高达235亿元,主要是阿里及美团同期遭到重罚,但对网安个案能罚上数千万已是天大新闻。

为何滴滴遭到如此重罚?根据网信办总结,滴滴违反《网络安全法》、《数据安全法》、《个人信息保护法》的违法违规行为事实清楚、证据确凿、情节严重、性质恶劣。公司称会积极配合监管,认真完成整改。过去一年,滴滴26款应用App全被下架,并且被禁止吸纳新用户,公司濒临倒闭边缘,如今监管机构只予重罚,已经是网开一面,滴滴自然是“诚恳接受,坚决服从”。

若然细看滴滴的罪状,一个大谜团跃然纸上,就是网信办没有交代是根据那条法规作为罚则的依据,故这笔巨额罚款是如何计算便不清不楚,让以后处理大数据的科网平台更加惶恐不安。

去年4月阿里巴巴遭市场监管总局重罚182.28亿元,相当于其截至2020年3月底止财年营收的3.5%。(资料图片)

反垄断按营收百分比重罚 动辄亿元计

去年4月阿里被指控涉嫌“二选一”的垄断行为,遭市场监管总局依法重罚182.28亿元,相当于其截至2020年3月底止财年营收的3.5%。根据《反垄断法》列明,企业经营者一经认定违规,罚款最高可达上一个财年营收10%,所以大型科网平台一旦违反市场垄断行为,面对重罚动辄以亿元计。

不过,《网络安全法》及《数据安全法》等法规对罚款计算与《反垄断法》不同,罚款额并非与营收挂勾,而是按违法所得处以1至10倍的罚款,但网信办未有披露滴滴实际的违法所得,这是可以理解,去估算因违规收集用户数据涉及的金钱损失是非常困难,更难的是对“过度”的拿揑,简直到了审死官的难度,所以要重罚滴滴,使用上述法案工具不具说服力。

心水清的读者可能发觉,网信办提到滴滴除了违反《网络安全法》及《数据安全法》,还触犯了《个人信息保护法》。没错,后者才是重罚滴滴的真正棺材钉。

根据《个人信息保护法》第7章第66条列明:….有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处5,000万元以下或者上一年度营业额5%以下罚款(以高者为准),并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处10万元以上100万元以下罚款。

滴滴罚款相当于其去年总营收1,738亿元约4.6%,另对公司董事长兼CEO程维、总裁柳青各处罚100万元,完全符合《个人信息保护法》处罚违规企业的权限。既然罚则有法可依,为何网信办不清楚交代今次罚款是如何计算,好让日后科网平台在行事上知所进退?

滴滴去年仓卒上市,结果触动了国家网络安全的逆鳞。(资料图片)

网安法规罚则太轻 信息保护法急上马补位

说来这《个人信息保护法》本身大有来头,这是继《反垄断法》后,中国第二部涉及按营收的百分比进行行政处罚的法律,对个人信息处理者起到巨大的震慑作用,而且立法目的之一就是完善《网络安全法》及《数据安全法》两者处罚过轻的盲点。

《个人信息保护法》的立法计划于2018年9月正式被纳入人大议程,历时近三年,至2021年8月20日,第13届人大常委第30次会议表决通过了《个人信息保护法》,自2021年11月1日起施行。

至此滴滴事件的来龙去脉似乎露出端倪。事缘滴滴去年为赶在中国共产党诞辰纪念日(7月1日)的前一天火速赴美上市,市场曾经传出网信办原先温馨提示滴滴再等一会,背后理由是网络安全问题需要进一步厘清,当时正是国家最高立法机关讨论这项网络安全的重要法规,滴滴仓卒上市,结果触动了国家网络安全的逆鳞。

然而,滴滴长达7年的违规,是在《个人信息保护法》正式立法通过前发生,要动用一个未生效的法规来处理滴滴罚则,监管机构当然不担心滴滴不配合,但也怕节外生枝,这可能是网信办没有详细交代的原因吧。

【财经专栏】大盘漫谈.伽罗华

资深财经传媒人,多年来见证金融市场蜕变,在即食资讯年代,坚持深入调研和理性分析,现以自由人身份从事商业咨询工作。

免责声明︰以上内容仅代表作者的个人立场和观点,不代表香港01的任何立场,香港01亦无法核实上述内容的真实性、准确性和原创性。

另外,以上纯属个人研究分享,并不代表任何第三方机构立场,亦非任何投资建议或劝诱。读者务请运用个人独立思考能力自行作出投资决定。

制裁成双刄剑 专家吁削弱俄创汇能力 而非限制出口|伽罗华李嘉诚伙伴维港投资弃港从星 继2015年后再施资产大挪移|伽罗华欧美核弹级金融制裁 可有绕过SWIFT应对预案?|伽罗华四月纳指表现海啸以来最差 科技股寒冬何时结束|伽罗华全球步入“末路狂奔” 本周科技巨头季绩再成美股焦点| 伽罗华由马斯克自导自演 一场社媒大战揭开美自由保守两派战幔|伽罗华