2021年6月30日，滴滴在美国纳斯达克低调上市，在本次IPO中，滴滴发行价格定为14美元，上市首日，滴滴股价高开27%，市值一度突破800亿美元。就在滴滴上市第三天，网络安全审查办公室就开出对“滴滴出行”启动网络安全审查的公告，并告知为配合网络安全审查工作，防范风险扩大，审查期间“滴滴出行”停止新用户注册。

紧接着，7月4日，网络安全审查办公室发出通报，“滴滴出行”App存在严重违法违规收集使用个人信息问题，通知应用商店下架“滴滴出行”App，要求滴滴出行科技有限公司严格按照法律要求，参照国家有关标准，认真整改存在的问题，切实保障广大用户个人信息安全。这不仅再次警醒广大大数据公司加强数据合规管理已经成为各国合规管理体系的重点领域。

2019年7月，美国司法部、联邦贸易委员会（FTC）以Facebook侵犯消费者隐私处以50亿美元的罚款，并接受（FTC）进一步监管，要求Facebook设立独立委员会来加强对隐私数据使用的监管。美国证交会(SEC)就Facebook未能充分披露滥用数据风险，要求该公司向SEC缴纳1亿美元的罚款。

那么本次滴滴存在违规收集个人信息的问题，可能面临的相关责任以及应如何进行数据保护的合规计划呢。

1. 可能承担相应的民事侵权责任

2021年1月1日正式施行的《民法典》首次将个人信息纳入其保护范围，根据《民法典》第一千零三十四条规定，除自然人的姓名、身份证号、住址、电话号码等信息外，健康信息、行踪信息等也属于个人信息的范围。第一千零三十五条明确规定，处理个人信息的，应当遵循合法、正当、必要原则。同时，第一千零三十八条 信息处理者不得泄露或者篡改其收集、存储的个人信息；未经自然人同意，不得向他人非法提供其个人信息，确保其收集、存储的个人信息安全，防止信息泄露、篡改、丢失。因此，对于违法违规收集个人信息或非法向他人提供个人信息的，可能会面临相应的民事侵权责任。

2. 可能受到相应的行政处罚

《网络安全法》要求网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。作为网络运营者、网络产品或者服务的提供者不履行网络运营安全和网络信息安全义务的，有关主管部门责令改正，可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款；情节严重的，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。

从《网络安全法》的行政处罚来看，即使顶格罚款一百万元及责令整改，对滴滴公司影响不大。从6月10日通过的《数据安全法》来看，可能面临最高一千万的罚款，当然该法9月1日才生效。

但是如果最后认定为情节严重，将面临暂停相关业务，甚至关闭网站等后果。情节严重指《网络安全法》规定的以下几种情形：第二十六条开展网络安全认证、检测、风险评估等活动，向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息的；第六十一条网络运营者违反本法第二十四条第一款规定，未要求用户提供真实身份信息，或者对不提供真实身份信息的用户提供相关服务的；第六十四条网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定，侵害个人信息依法得到保护的权利的；第六十六条关键信息基础设施的运营者违反本法第三十七条规定，在境外存储网络数据，或者向境外提供网络数据的；第六十八条网络运营者违反本法第四十七条规定，对法律、行政法规禁止发布或者传输的信息未停止传输、采取消除等处置措施、保存有关记录的。

本次滴滴存在数据合规的问题必然会面临相应的行政责任，是否可以参照（FTC）与Facebook达成的和解协议，对其进行高额罚款并责令整改，我们继续关注。

3. 可能面临的刑事责任

《网络安全法》第七十四条，对违反本法规定，构成犯罪的，依法追究刑事责任。对此，我国《刑法》设立了多项与大数公司违法违规行为密切相关的罪名。如《刑法》第二百五十三条侵犯公民个人信息罪规定，违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金;情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。同时，《刑法》第二百八十六条之一规定了网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正的，具有相关严重情形的处三年以下有期徒刑、拘役或者管制，并处或者单处罚金。根据两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》情节严重主要指出售或者提供行踪轨迹信息，被他人用于犯罪的；知道或者应当知道他人利用公民个人信息实施犯罪，向其出售或者提供的；非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的；非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的；非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等以外的公民个人信息五千条以上的；等等。

由于目前还没有对滴滴具体违法违规行为进行披露，暂不能认定是否构成刑事犯罪，但是《刑法》第二百八十六条作为侵犯公民信息的兜底犯罪条款，一旦公司未能有效整改，面临相应刑事处罚就成为必然。

可见，我国相关法律对大数据公司信息安全保护科以严厉的监管和处罚，在国家安全和公民个人信息保护面前，大数据公司只有加强自身合规体系的建设，堵塞制度的漏洞，营造一个健康的网络环境，才能实现企业的持续发展。因此，大数据公司为加强数据保护制定有效的合规计划尤为重要。

☞第一，紧紧围绕《国家安全法》《网络安全法》《数据安全法》《刑法》等法律的规定，确保数据来源合法合规。做到收集公民个人信息应当征得被收集者的同意，避免过度采集个人信息。企业收集的个人信息应当于相关产品与服务的使用高度关联，无关信息尽量不收集。不得窃取或者以其他非法方式获取数据。

☞第二，加强对个人信息的安全保护，对数据形成常态化、全流程安全保护。对于合法收集的个人信息，分为“去标识化处理”的数据和可以用于恢复识别个人信息的部分分开存储，便于后续处理个人信息是不再重复识别个人。在信息传输过程中，采取严格的加密措施，对访问权限设置合理的访问权限。对用户信息使用与授权及时进行更正或删除。[1]根据《数据安全法》的相关规定，对数据进行分类存储后，重要的数据应当将风险评估报告报送主管部门。

☞第三，严格按照相关规定向他人提供公民个人信息。一方面要明确告知被收集者向他人提供信息的原因，并征得同意与授权。另一方面所提供的信息必须基于接收方合法使用的目的，并对相关信息进行匿名化处理。为此，大数据公司应当制定企业内部关于个人信息保护的合规制度，要求员工签署保护个人信息的合规承诺或行为准则，定期或不定期开展数据安全培训、数据安全事件演练以及多样化的数据安全教育，以巩固企业内部员工的数据安全意识与能力，同时清晰界定企业与员工在信息保护方面的责任。同时，对于重要数据处境的，应现行判断处境数据是否与国家安全、经济发展、公共利益相关，及时咨询主管部门以保证数据出具的合规性。

☞第四，加强数据安全事件的应急响应规范。根据《数据安全法》第二十九规定，开展数据处理活动应当加强风险监测，发现数据安全缺陷、漏洞等风险时，应当立即采取补救措施；发生数据安全事件时，应当立即采取处置措施，按照规定及时告知用户并向有关主管部门报告。

从网络安全审查到滴滴APP下架，因数据保护的问题对刚刚上市的滴滴公司可谓晴天霹雳的打击，广大股民的利益如何在这场数据合规整改中得到保护，目前不得而知，我们将继续关注。

[1] 陈瑞华：《企业合规基本理论》第二版，法律出版社，第176页。

来源：微信公众号“豫章律师事务所”