2022年7月21日，国家互联网信息办公室对滴滴全球股份有限公司(“滴滴”)依法作出网络安全审查相关行政处罚，处人民币80.26亿元罚款。同日，《国家互联网信息办公室有关负责人就对滴滴全球股份有限公司依法作出网络安全审查相关行政处罚的决定答记者问》(“《答记者问》”)发布。参考该《答记者问》，滴滴事件中，如下问题值得探讨：

网络安全审查并未直接、单独导致滴滴受到本次处罚，本次处罚针对滴滴在网络安全、数据安全及个人信息保护三方面的多项违法违规行为。《答记者问》说明，国家互联网信息办公室根据网络安全审查结论及审查中发现的问题和线索，依据《网络安全法》《数据安全法》及《个人信息保护法》对滴滴涉嫌违法行为立案调查并作出处罚。

虽然罚款数额的具体计算方式暂未公开，但根据《答记者问》，本次行政处罚被认为具有特殊性、违法违规情节严重，并处以高额罚款的原因可能包括：

(1)多方面违规，同时违反网络安全、数据安全、个人信息保护义务；

(2)涉及国家安全，给国家数据安全、网络安全带来隐患，但具体情形未公开；

(3)个人信息保护方面，存在以下情形：

• 通过违法手段收集用户个人信息，严重侵害其隐私、个人信息权益；

  
  

• 违法处理的个人信息数量巨大(647.09亿)、性质敏感(包括人脸识别信息、精准位置信息、身份证号等)；

  
  

• 涉及多个App，涵盖过度收集、强制收集、未尽告知义务等多种违法情形(共16项，8个方面)。

《个人信息保护法》针对达到情节严重标准的违法行为，设置了上一年度营业额5%的罚款，可能是网信办对滴滴处以高额罚款的重要影响因素。根据滴滴年报，其2021年的年度营业额为272.77亿美元。

根据《答记者问》，网信部门将加大网络安全、数据安全、个人信息保护等领域执法力度，并加大典型案例曝光力度，形成强大声势和有力震慑。根据该口径，网信部门在前述领域的下一步执法中可能会严厉查处一批典型案例。2022年6月24日，国家网信办网络安全审查办公室即宣布了对知网启动网络安全审查。

关于网络安全审查，《答记者问》明确指出滴滴存在恶意逃避监管情况。结合近期网络安全审查活动有可能相对密集化的监管趋势，我们建议企业注意主动判断自身是否负有申报网络安全审查的义务，并在认为存在涉及网络安全审查的可能时，及时与监管沟通，明确是否负有申报义务。

拟赴国外上市的企业，需尤其关注。《网络安全审查办法》对该类企业的影响请参见：《网络安全审查办法》终于落地，企业境外上市到底受何影响？

滴滴事件始于网络安全审查，但最终导致了网信部门对滴滴网络与数据合规状况的全面检查与高额罚款，再次体现了网络安全与数据合规逐步进入全面、严格监管时代。我们建议企业在相关合规工作中，注意如下要点：

(1)重视个人信息保护合规，《个人信息保护法》以企业上一年度营业额为罚款计算基数，相比常见的以违法所得为基准，对企业影响更大；

(2)重视网络与数据领域的国家安全风险，加深理解并切实遵守相关监管要求，包括但不限于网络安全审查申报义务、数据出境限制、重要数据处理风险评估等；

(3)关注外部合规环境，根据法律法规发展、网络与数据安全局势变化及监管趋势，及时调整合规策略，适时与监管沟通；

(4)及时、有规划地提升网络安全与数据合规水平，建立有效的合规管理体系，以预防、发现并及时处置不合规情况。

根据网络安全审查结论及发现的问题和线索，国家互联网信息办公室依法对滴滴全球股份有限公司涉嫌违法行为进行立案调查。经查实，滴滴全球股份有限公司违反《网络安全法》《数据安全法》《个人信息保护法》的违法违规行为事实清楚、证据确凿、情节严重、性质恶劣。

7月21日，国家互联网信息办公室依据《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等法律法规，对滴滴全球股份有限公司处人民币80.26亿元罚款，对滴滴全球股份有限公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款。 

7月21日，国家互联网信息办公室公布对滴滴全球股份有限公司（以下简称“滴滴公司”）依法作出网络安全审查相关行政处罚的决定。国家互联网信息办公室有关负责人就案件相关问题回答了记者提问。

一、问：请简要介绍案件的背景和调查经过？

答：2021年7月，为防范国家数据安全风险，维护国家安全，保障公共利益，依据《国家安全法》《网络安全法》，网络安全审查办公室按照《网络安全审查办法》对滴滴公司实施网络安全审查。

根据网络安全审查结论及发现的问题和线索，国家互联网信息办公室依法对滴滴公司涉嫌违法行为进行立案调查。期间，国家互联网信息办公室进行了调查询问、技术取证，责令滴滴公司提交了相关证据材料，对本案证据材料深入核查分析，并充分听取滴滴公司意见，保障滴滴公司合法权利。经查实，滴滴公司违反《网络安全法》《数据安全法》《个人信息保护法》的违法违规行为事实清楚、证据确凿、情节严重、性质恶劣，应当从严从重予以处罚。

二、问：滴滴公司存在哪些违法违规行为？

答：经查明，滴滴公司共存在16项违法事实，归纳起来主要是8个方面。一是违法收集用户手机相册中的截图信息1196.39万条；二是过度收集用户剪切板信息、应用列表信息83.23亿条；三是过度收集乘客人脸识别信息1.07亿条、年龄段信息5350.92万条、职业信息1633.56万条、亲情关系信息138.29万条、“家”和“公司”打车地址信息1.53亿条；四是过度收集乘客评价代驾服务时、App后台运行时、手机连接桔视记录仪设备时的精准位置（经纬度）信息1.67亿条；五是过度收集司机学历信息14.29万条，以明文形式存储司机身份证号信息5780.26万条；六是在未明确告知乘客情况下分析乘客出行意图信息539.76亿条、常驻城市信息15.38亿条、异地商务/异地旅游信息3.04亿条；七是在乘客使用顺风车服务时频繁索取无关的“电话权限”；八是未准确、清晰说明用户设备信息等19项个人信息处理目的。

此前，网络安全审查还发现，滴滴公司存在严重影响国家安全的数据处理活动，以及拒不履行监管部门的明确要求，阳奉阴违、恶意逃避监管等其他违法违规问题。滴滴公司违法违规运营给国家关键信息基础设施安全和数据安全带来严重安全风险隐患。因涉及国家安全，依法不公开。

三、问：本案的违法主体是如何认定的？

答：滴滴公司成立于2013年1月，相关境内业务线主要包括网约车、顺风车、两轮车、造车等，相关产品包括滴滴出行App、滴滴车主App、滴滴顺风车App、滴滴企业版App等41款App。

滴滴公司对境内各业务线重大事项具有最高决策权，制定的企业内部制度规范对境内各业务线全部适用，且对落实情况负监督管理责任。该公司通过滴滴信息与数据安全委员会及其下设的个人信息保护委员会、数据安全委员会，参与网约车、顺风车等业务线相关行为的决策指导、监督管理，各业务线违法行为是在该公司统一决策和部署下的具体落实。据此，本案违法行为主体认定为滴滴公司。

滴滴公司董事长兼CEO程维、总裁柳青，对违法行为负主管责任。

四、问：对滴滴公司作出网络安全审查相关行政处罚的决定的主要依据是什么？

答：此次对滴滴公司的网络安全审查相关行政处罚，与一般的行政处罚不同，具有特殊性。滴滴公司违法违规行为情节严重，结合网络安全审查情况，应当予以从严从重处罚。一是从违法行为的性质看，滴滴公司未按照相关法律法规规定和监管部门要求，履行网络安全、数据安全、个人信息保护义务，置国家网络安全、数据安全于不顾，给国家网络安全、数据安全带来严重的风险隐患，且在监管部门责令改正情况下，仍未进行全面深入整改，性质极为恶劣。二是从违法行为的持续时间看，滴滴公司相关违法行为最早开始于2015年6月，持续至今，时间长达7年，持续违反2017年6月实施的《网络安全法》、2021年9月实施的《数据安全法》和2021年11月实施的《个人信息保护法》。三是从违法行为的危害看，滴滴公司通过违法手段收集用户剪切板信息、相册中的截图信息、亲情关系信息等个人信息，严重侵犯用户隐私，严重侵害用户个人信息权益。四是从违法处理个人信息的数量看，滴滴公司违法处理个人信息达647.09亿条，数量巨大，其中包括人脸识别信息、精准位置信息、身份证号等多类敏感个人信息。五是从违法处理个人信息的情形看，滴滴公司违法行为涉及多个App，涵盖过度收集个人信息、强制收集敏感个人信息、App频繁索权、未尽个人信息处理告知义务、未尽网络安全数据安全保护义务等多种情形。

综合考虑滴滴公司违法行为的性质、持续时间、危害及情形，对滴滴公司作出网络安全审查相关行政处罚的决定的主要依据是《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等有关规定。

五、问：下一步网络执法的重点方向和领域有哪些？

答：近年来，国家不断加强对网络安全、数据安全、个人信息的保护力度，先后颁布了《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》《网络安全审查办法》《数据出境安全评估办法》等法律法规。网信部门将依法加大网络安全、数据安全、个人信息保护等领域执法力度，通过执法约谈、责令改正、警告、通报批评、罚款、责令暂停相关业务、停业整顿、关闭网站、下架、处理责任人等处置处罚措施，依法打击危害国家网络安全、数据安全、侵害公民个人信息等违法行为，切实维护国家网络安全、数据安全和社会公共利益，有力保障广大人民群众合法权益。同时，加大典型案例曝光力度，形成强大声势和有力震慑，做到查处一案、警示一片，教育引导互联网企业依法合规运营，促进企业健康规范有序发展。