重罰滴滴事件疑團重重 科企網安領域踩雷風險激增|伽羅華

撰文:伽羅華
出版:更新:

經過長達一年的煎熬,內地網約車巨頭滴滴全球終於獲得大赦。國家互聯網信息辦公室(網信辦)上周宣布向滴滴開出80.26億元(人民幣,下同)的巨額罰單,以結束對其網絡安全的調查,當局同時恢復滴滴應用程式(App)功能,為滴滴掃除赴港上市的障礙。滴滴能夠死裏逃生,在美上市股價由歷史低位翻一番。

古諺說得好,「如果問題可以用金錢解決,便不是問題。」問題是,滴滴在網安領域踩雷所付出的代價是否與其違規成正比,而且當局加予滴滴的罪狀亦含混其詞。沒有清晰的指引,便無助科網平台未來免於踩雷的風險,讓中外資金對科網股更加敬而遠之。

為配得上這巨額罰款,網信辦羅列滴滴16宗罪狀,可以歸納為8個方向,這裏不詳列出來,部分罪狀的表述應該是合理,例如第1項違法收集用戶手機相冊中的截圖信息1,196.39萬條;以及第8項是未準確、清晰說明用戶設備信息等19項個人信息處理目的。

然而,其他罪狀內容卻有很大爭議性,而且大多用上「過度」這個敏感詞,例如第4項是過度收集乘客評價代駕服務時、App後台運行時、手機連接桔視記錄儀設備時的精準位置(經緯度)信息1.67億條;以及第5項過度收集司機學歷信息14.29萬條,以明文形式存儲司機身份證號信息5,780.26萬條。

網信辦羅列滴滴16宗罪狀,部分內容有很大爭議性,當中大多用上「過度」這個敏感詞。(資料圖片)

「過度」收集難拿揑 滴滴罪狀爭議大

收集乘客評價代駕服務及司機學歷的相關信息,能夠方便滴滴監察整體服務質素,這說來應該是合理的,但網信辦稱你只能收集應該收集,不能收集不應該收集,便可能有理說不清,大大增加日後所有科網平台收集數據的責任風險。

滴滴的罰款額是自去年4月電子商務巨頭阿里巴巴後遭重罰182億元之後最嚴重個案,也是網絡安全違規個案中罰款最高者。由於違反市場壟斷都是大型科網平台,罰款額相當可觀。據統計,去年中國違反《反壟斷法》的罰款數額高達235億元,主要是阿里及美團同期遭到重罰,但對網安個案能罰上數千萬已是天大新聞。

為何滴滴遭到如此重罰?根據網信辦總結,滴滴違反《網絡安全法》、《數據安全法》、《個人信息保護法》的違法違規行為事實清楚、證據確鑿、情節嚴重、性質惡劣。公司稱會積極配合監管,認真完成整改。過去一年,滴滴26款應用App全被下架,並且被禁止吸納新用戶,公司瀕臨倒閉邊緣,如今監管機構只予重罰,已經是網開一面,滴滴自然是「誠懇接受,堅決服從」。

若然細看滴滴的罪狀,一個大謎團躍然紙上,就是網信辦沒有交代是根據那條法規作為罰則的依據,故這筆巨額罰款是如何計算便不清不楚,讓以後處理大數據的科網平台更加惶恐不安。

去年4月阿里巴巴遭市場監管總局重罰182.28億元,相當於其截至2020年3月底止財年營收的3.5%。(資料圖片)

反壟斷按營收百分比重罰 動輒億元計

去年4月阿里被指控涉嫌「二選一」的壟斷行為,遭市場監管總局依法重罰182.28億元,相當於其截至2020年3月底止財年營收的3.5%。根據《反壟斷法》列明,企業經營者一經認定違規,罰款最高可達上一個財年營收10%,所以大型科網平台一旦違反市場壟斷行為,面對重罰動輒以億元計。

不過,《網絡安全法》及《數據安全法》等法規對罰款計算與《反壟斷法》不同,罰款額並非與營收掛勾,而是按違法所得處以1至10倍的罰款,但網信辦未有披露滴滴實際的違法所得,這是可以理解,去估算因違規收集用戶數據涉及的金錢損失是非常困難,更難的是對「過度」的拿揑,簡直到了審死官的難度,所以要重罰滴滴,使用上述法案工具不具說服力。

心水清的讀者可能發覺,網信辦提到滴滴除了違反《網絡安全法》及《數據安全法》,還觸犯了《個人信息保護法》。沒錯,後者才是重罰滴滴的真正棺材釘。

根據《個人信息保護法》第7章第66條列明:….有前款規定的違法行為,情節嚴重的,由省級以上履行個人信息保護職責的部門責令改正,沒收違法所得,並處5,000萬元以下或者上一年度營業額5%以下罰款(以高者為準),並可以責令暫停相關業務或者停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照;對直接負責的主管人員和其他直接責任人員處10萬元以上100萬元以下罰款。

滴滴罰款相當於其去年總營收1,738億元約4.6%,另對公司董事長兼CEO程維、總裁柳青各處罰100萬元,完全符合《個人信息保護法》處罰違規企業的權限。既然罰則有法可依,為何網信辦不清楚交代今次罰款是如何計算,好讓日後科網平台在行事上知所進退?

滴滴去年倉卒上市,結果觸動了國家網絡安全的逆鱗。(資料圖片)

網安法規罰則太輕 信息保護法急上馬補位

說來這《個人信息保護法》本身大有來頭,這是繼《反壟斷法》後,中國第二部涉及按營收的百分比進行行政處罰的法律,對個人信息處理者起到巨大的震懾作用,而且立法目的之一就是完善《網絡安全法》及《數據安全法》兩者處罰過輕的盲點。

《個人信息保護法》的立法計劃於2018年9月正式被納入人大議程,歷時近三年,至2021年8月20日,第13屆人大常委第30次會議表決通過了《個人信息保護法》,自2021年11月1日起施行。

至此滴滴事件的來龍去脈似乎露出端倪。事緣滴滴去年為趕在中國共產黨誕辰紀念日(7月1日)的前一天火速赴美上市,市場曾經傳出網信辦原先溫馨提示滴滴再等一會,背後理由是網絡安全問題需要進一步釐清,當時正是國家最高立法機關討論這項網絡安全的重要法規,滴滴倉卒上市,結果觸動了國家網絡安全的逆鱗。

然而,滴滴長達7年的違規,是在《個人信息保護法》正式立法通過前發生,要動用一個未生效的法規來處理滴滴罰則,監管機構當然不擔心滴滴不配合,但也怕節外生枝,這可能是網信辦沒有詳細交代的原因吧。

【財經專欄】大盤漫談.伽羅華

資深財經傳媒人,多年來見證金融市場蛻變,在即食資訊年代,堅持深入調研和理性分析,現以自由人身份從事商業諮詢工作。

免責聲明︰以上內容僅代表作者的個人立場和觀點,不代表香港01的任何立場,香港01亦無法核實上述內容的真實性、準確性和原創性。

另外,以上純屬個人研究分享,並不代表任何第三方機構立場,亦非任何投資建議或勸誘。讀者務請運用個人獨立思考能力自行作出投資決定。