滴滴被罰80.26億:是否會受刑事處罰探究
7月21日,網信辦公布對滴滴的處罰公告,很多人關心滴滴及總裁是否還會受刑事處罰,并且還有部分行業人士認為處罰依據不足。在此,結合相關法律法規分析,淺談個人理解,以供大家討論。
圖片來源:網信辦公眾號
一、滴滴董事長、總裁是否會受刑事處罰?
以我個人判斷,本次處罰公告中提及的滴滴公司及其董事長兼CEO程維、總裁柳青大概率不會再受到刑事處罰,可能會以最高檢正在改革試點的“合規不起訴”制度開展合規考察和合規監管,并可能已經作出刑事合規不起訴的決定,行政機關才做出今天公告中的行政處罰。以下是基于現有法律分析的幾點理由。
1.滴滴被網絡安全審查,作為有巨大影響力的案件,除了行政部門,司法機關肯定知曉本案并可能同步參與調查。如果涉及刑事犯罪,是必須向司法機關移交案件的
根據《行政處罰法》第二十七條規定“違法行為涉嫌犯罪的,行政機關應當及時將案件移送司法機關,依法追究刑事責任。對依法不需要追究刑事責任或者免予刑事處罰,但應當給予行政處罰的,司法機關應當及時將案件移送有關行政機關。”并且該條第二款規定“行政處罰實施機關與司法機關之間應當加強協調配合,建立健全案件移送制度,加強證據材料移交、接收銜接,完善案件處理信息通報機制。”第八十二條規定“行政機關對應當依法移交司法機關追究刑事責任的案件不移交,以行政處罰代替刑事處罰,由上級行政機關或者有關機關責令改正,對直接負責的主管人員和其他直接責任人員依法給予處分;情節嚴重構成犯罪的,依法追究刑事責任。”根據《行政執法機關移送涉嫌犯罪案件的規定》第三條“行政執法機關在依法查處違法行為過程中,發現違法事實涉及的金額、違法事實的情節、違法事實造成的后果等,根據刑法關于破壞社會主義市場經濟秩序罪、妨害社會管理秩序罪等罪的規定和最高人民法院、最高人民檢察院關于破壞社會主義市場經濟秩序罪、妨害社會管理秩序罪等罪的司法解釋以及最高人民檢察院、公安部關于經濟犯罪案件的追訴標準等規定,涉嫌構成犯罪,依法需要追究刑事責任的,必須依照本規定向公安機關移送。”
由此可見,若相關部門認為涉及刑事犯罪,是必須向司法機關移交案件的,如果應當移交而不移交本案,行政機關本身可能會受到處分。我相信,滴滴這個全民關注,國家重點督辦的案件,相關部門不會犯此程序錯誤。因此只有一個可能,本案經過多個相關部門判斷,最終決定不予刑事處罰,而只給予行政處罰。
圖片來源:網信辦官網
2.行政處罰應在司法機關對是否進行刑事處罰判斷后才能做出,本案刑事判斷應該已初步結束
根據《中共中央辦公廳、國務院辦公廳轉發國務院法制辦等部門<關于加強行政執法與刑事司法銜接工作的意見>的通知》第一條規定“行政執法機關在執法檢查時,發現違法行為明顯涉嫌犯罪的,應當及時向公安機關通報,接到通報后,公安機關應當立即派人進行調查,并依法作出立案或者不予立案的決定。”;第三款規定“行政執法機關在移送案件時已經作出行政處罰決定的,應當將行政處罰決定書一并抄送公安機關、人民檢察院;未作出行政處罰決定的,原則上應當在公安機關決定不予立案或者撤銷案件、人民檢察院作出不起訴決定、人民法院作出無罪判決或者免予刑事處罰后,再決定是否給予行政處罰。”
因此,按照法定程序,刑事判斷在前,行政判斷在后。滴滴案件至少是在司法機關決定不刑事起訴后,行政機關才進行的行政處罰并公告。若已經或者可能會進行刑事處罰,則不會對 CEO程維、 總裁柳青進行罰款100萬元的行政處罰。根據滴滴微博聲明,滴滴可能已經正在進行“合規不起訴”的整改。
圖片來源:滴滴微博
3.人大釋義規定:盡量避免先適用行政處罰后又必須適用刑罰的情況發生。
在全國人大網站對“行政處罰與刑罰能否折抵”的法律釋義與問答中認為“行政處罰法規定的行政處罰折抵刑罰的問題是需要在特定條件下才會發生的,這一特定條件是: 首先,這一行政違法行為同時違反了行政法律規范和刑事法律規范,根據這兩個法律規范的規定都要給予處罰; 第二,行政機關不認為這一行為觸犯了刑律而認為只觸犯了行政法律規范,因而對這一違法行為依照行政法律規范給予行政處罰,而后又發現該行為觸犯了刑律,司法機關需要給予刑事處罰;第三,行政機關對違法行為人作出了行政拘留或者罰款的行政處罰,且這一處罰決定已經開始執行。只有以上幾種情況同時具備,行政處罰與刑罰折抵的情況才會發生。 ”
同時,全國人大還認為 “行政處罰法規定,違法行為構成犯罪的,行政機關必須將案件移送司法機關,依法追究刑事責任。根據這一規定,行政機關在查處行政違法行為時,應當認真對違法行為進行分析,力求準確判斷違法行為是否構成犯罪,對于確須給予刑事處罰的,應及早移送司法機關,以盡量避免這種先適用行政處罰后又必須適用刑罰的情況發生。”
因此,在行政處罰后又進行刑事處罰的一般只發生在未能及時發現刑事犯罪事實或者專業判斷能力不足的情況下,而這種情形基本不會出現在本案中。在本次公告中,CEO程維、總裁柳青被行政處罰,他們應該是松了一口氣,至少說明在刑事上,他們大概率不會受到處罰了。不過,本次處罰提到的滴滴違法違規業務中其他沒受到行政處罰的高管,是否會受到刑事處罰,則存在不確定性。從公告嚴厲的措辭角度來看,公告提到違法行為持續至今,說明前期合規整改是不成功的,滴滴還需要繼續進行合規整改,否則仍有被刑事起訴之危險。
二、何為“合規不起訴”制度?
近年來,最高檢提出并持續落實“對企業負責人涉經營類犯罪,依法能不捕的不捕、能不訴的不訴、能不判實刑的提出適用緩刑建議”的檢察政策。同時,為防止在落實中一寬了之、一放了之,自2020年起陸續開展涉案企業合規改革試點:在擬依法不捕、不訴或者提出輕緩量刑建議的同時,督促涉案企業作出合規承諾、落實合規整改,做實既“厚愛”又“嚴管”。
最高人民檢察院于2020年3月開始在上海、江蘇、山東、廣東等6個基層檢察院開啟“企業合規不起訴”的改革試點。
2021年4月,最高人民檢察院發布了《關于開展企業合規改革試點工作方案》,啟動了第二期“企業合規改革”試點工作,涉及北京、遼寧、上海、江蘇、浙江、福建、山東、湖北、湖南、廣東等十個省(直轄市),對涉案企業的刑事案件,在依法從寬處理的同時,督促其合規承諾,積極整改。2021年6月3日,最高人民檢察院與司法部、財政部等9部門聯合發布了《關于建立涉案企業合規第三方評估機制的指導意見(試行)》,并公布了4起企業合規的指導案例。按照上述文件,適用企業合規不起訴的案件,既包括公司、企業等實施的經濟犯罪、職務犯罪案件,也包括公司、企業實際控制人、經營管理人員、關鍵技術人員等實施的與生產經營活動密切相關的犯罪案件;不起訴的內容,包括“合規不批捕”“合規不起訴”“合規從寬量刑建議”“合規從寬處罰建議(行政處罰建議)”。企業合規對于涉案企業而言成為一項非常有力度的從寬處罰情節。經過兩年的試點,涉案企業合規改革試點取得積極成效。
2022年4月,最高人民檢察院會同全國工商聯等九部門,深入總結兩年來檢察機關涉案企業合規改革試點工作情況,印發《涉案企業合規建設、評估和審查辦法(試行)》(以下簡稱《辦法》)并正式“官宣”——涉案企業合規改革試點在全國檢察機關全面推開。《辦法》明確涉案企業整改的3個重點:合規建設、合規評估、合規審查,并做出了詳細規定。
三、違反“法不溯及既往”?
有人提出滴滴是于2021年7月2日被國家網絡安全審查辦公室啟動網絡安全審查,而《個人信息保護法》是之后才頒布,因此應該遵循“法不溯及既往”的原則,不能依據《個人信息保護法》對其進行處罰。在此,需要說明的是,該觀點未能看清楚公告中說明的處罰行為的日期,公告稱“滴滴公司相關違法行為最早開始于2015年6月,持續至今,時間長達7年,持續違反2017年6月實施的《網絡安全法》、2021年9月實施的《數據安全法》和2021年11月實施的《個人信息保護法》”,也就是說,本次處罰是對滴滴持續至今的違法行為的處罰,而不僅僅只是對啟動網絡安全審查之前的違法行為進行處罰,因此并不違反“法不溯及既往”的原則。
四、罰款80.26億元怎么算出來的?
根據個保法,按照21年營業額5%進行的處罰。根據滴滴公布的財報,滴滴2021年度營業收入總額1738億元,其中,國內業務收入占比92%,為1605.21億元,而1605.21×5%=80.26。至于個人罰款,法律規定最高100萬元,已然頂格處罰。
還有一點應當注意,罰款是并處,根據本條規定,應該同時要求責令改正、沒收違法所得。《行政處罰法》第二十八條也規定“行政機關實施行政處罰時,應當責令當事人改正或者限期改正違法行為。當事人有違法所得,除依法應當退賠的外,應當予以沒收。”個人猜測,在本次公告做出行政處罰前,就已經對滴滴責令改正了,全國人大常委會主編的《中華人民共和國行政處罰法釋義》一書,第100頁指出:“所謂實施行政處罰時,包括行政處罰的啟動、調查取證、決定等全過程。”,因此責令改正可以不與罰款同時做出。而“沒收違法所得”也未在公告中看到,個人猜測因數據違規產生的違法所得難以計算,網信辦本著“寬嚴相濟”“既嚴管又厚愛”的精神,不再沒收違法所得,以頂格罰款涵蓋之。
《個人信息保護法》第六十六條
違反本法規定處理個人信息,或者處理個人信息未履行本法規定的個人信息保護義務的,情節嚴重的,由省級以上履行個人信息保護職責的部門責令改正,沒收違法所得,并處五千萬元以下或者上一年度營業額百分之五以下罰款,并可以責令暫停相關業務或者停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照;對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款,并可以決定禁止其在一定期限內擔任相關企業的董事、監事、高級管理人員和個人信息保護負責人。
五、數據合規法律體系
在公告中也提到了除《網絡安全法》《數據安全法》《個人信息保護法》外,已經出臺的還有《關鍵信息基礎設施安全保護條例》《網絡安全審查辦法》《數據出境安全評估辦法》《互聯網信息服務算法推薦管理規定》等法律法規,《網絡安全標準實踐指南——網絡數據分類分級指引》《證券期貨業數據分類分級指引》《工業數據分類分級指南(試行)》《金融數據安全 數據安全分級指南》《信息安全技術 健康醫療數據安全指南》等數據分類分級指引文件,再加上《網絡數據安全管理條例(征求意見稿)》《信息安全技術 重要數據識別指南(征求意見稿)》等正在征求意見的法律法規和國家標準,構成了我國數據合規領域的基本法律體系。
在國家越來越重視數據安全和合規的大背景下,滴滴被罰為所有企業的合規經營敲響了警鐘。公告中所指出來的數據合規問題,很多企業也應該存在相似問題,因此,在今后的經營中需要加強對以上法律的系統學習、培訓和應用,充分認識“合規不起訴”的重要性,使得企業做到合規經營和安心經營。
六、處罰法律依據
1.《網絡安全法》2016.11.7發布 2017.6.1生效
(公告稱:滴滴公司存在嚴重影響國家安全的數據處理活動,以及拒不履行監管部門的明確要求,陽奉陰違、惡意逃避監管等其他違法違規問題。滴滴公司違法違規運營給國家關鍵信息基礎設施安全和數據安全帶來嚴重安全風險隱患)
第十二條 任何個人和組織使用網絡應當遵守憲法法律,遵守公共秩序,尊重社會公德,不得危害網絡安全,不得利用網絡從事危害國家安全......以及侵害他人名譽、隱私、知識產權和其他合法權益等活動。
第三十一條 國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施,在網絡安全等級保護制度的基礎上,實行重點保護。關鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定。
第三十七條 關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要,確需向境外提供的,應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估;法律、行政法規另有規定的,依照其規定。
第四十一條 網絡運營者收集、使用個人信息,應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用信息的目的、方式和范圍,并經被收集者同意。
網絡運營者不得收集與其提供的服務無關的個人信息,不得違反法律、行政法規的規定和雙方的約定收集、使用個人信息,并應當依照法律、行政法規的規定和與用戶的約定,處理其保存的個人信息。
2.《數據安全法》2021.6.10發布 2021.9.1生效
(公告稱:滴滴公司存在嚴重影響國家安全的數據處理活動,以及拒不履行監管部門的明確要求,陽奉陰違、惡意逃避監管等其他違法違規問題。滴滴公司違法違規運營給國家關鍵信息基礎設施安全和數據安全帶來嚴重安全風險隱患)
第四條 維護數據安全,應當堅持總體國家安全觀,建立健全數據安全治理體系,提高數據安全保障能力。
第八條 開展數據處理活動,應當遵守法律、法規,尊重社會公德和倫理,遵守商業道德和職業道德,誠實守信,履行數據安全保護義務,承擔社會責任,不得危害國家安全、公共利益,不得損害個人、組織的合法權益。
第二十四條 國家建立數據安全審查制度,對影響或者可能影響國家安全的數據處理活動進行國家安全審查。
第二十七條 開展數據處理活動應當依照法律、法規的規定,建立健全全流程數據安全管理制度,組織開展數據安全教育培訓,采取相應的技術措施和其他必要措施,保障數據安全。利用互聯網等信息網絡開展數據處理活動,應當在網絡安全等級保護制度的基礎上,履行上述數據安全保護義務。
重要數據的處理者應當明確數據安全負責人和管理機構,落實數據安全保護責任。
第三十一條 關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理,適用《中華人民共和國網絡安全法》的規定;其他數據處理者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理辦法,由國家網信部門會同國務院有關部門制定
第四十四條 有關主管部門在履行數據安全監管職責中,發現數據處理活動存在較大安全風險的,可以按照規定的權限和程序對有關組織、個人進行約談,并要求有關組織、個人采取措施進行整改,消除隱患。
3.《個人信息保護法》2021.08.20發布 2021.11.1生效
第六條 處理個人信息應當具有明確、合理的目的,并應當與處理目的直接相關,采取對個人權益影響最小的方式。收集個人信息,應當限于實現處理目的的最小范圍,不得過度收集個人信息。(二是過度收集用戶剪切板信息、應用列表信息;五是過度收集司機學歷信;七是在乘客使用順風車服務時頻繁索取無關的“電話權限”)
第七條 處理個人信息應當遵循公開、透明原則,公開個人信息處理規則,明示處理的目的、方式和范圍。(八是未準確、清晰說明用戶設備信息等19項個人信息處理目的)
第十條 任何組織、個人不得非法收集、使用、加工、傳輸他人個人信息,不得非法買賣、提供或者公開他人個人信息;不得從事危害國家安全、公共利益的個人信息處理活動。
第十四條 基于個人同意處理個人信息的,該同意應當由個人在充分知情的前提下自愿、明確作出。
第十七條 個人信息處理者在處理個人信息前,應當以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知下列事項:(一)個人信息處理者的名稱或者姓名和聯系方式;(二)個人信息的處理目的、處理方式,處理的個人信息種類、保存期限;(三)個人行使本法規定權利的方式和程序;(四)法律、行政法規規定應當告知的其他事項。
第二十八條 敏感個人信息是一旦泄露或者非法使用,容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息,包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息,以及不滿十四周歲未成年人的個人信息。只有在具有特定的目的和充分的必要性,并采取嚴格保護措施的情形下,個人信息處理者方可處理敏感個人信息。
第二十九條 處理敏感個人信息應當取得個人的單獨同意;法律、行政法規規定處理敏感個人信息應當取得書面同意的,從其規定。(一是違法收集相冊信息;三是過度收集乘客人臉識別信息、年齡段信息、職業信息、親情關系信息、“家”和“公司”打車地址信息;四是過度收集乘客精準位置(經緯度)信息;六是在未明確告知乘客情況下分析乘客出行意圖信息、常駐城市信息、異地商務/異地旅游信息)
第三十九條 個人信息處理者向中華人民共和國境外提供個人信息的,應當向個人告知境外接收方的名稱或者姓名、聯系方式、處理目的、處理方式、個人信息的種類以及個人向境外接收方行使本法規定權利的方式和程序等事項,并取得個人的單獨同意。
第四十條 關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的個人信息處理者,應當將在中華人民共和國境內收集和產生的個人信息存儲在境內。確需向境外提供的,應當通過國家網信部門組織的安全評估;法律、行政法規和國家網信部門規定可以不進行安全評估的,從其規定。
附:網信辦公告
圖片來源:網信辦公眾號
文章來源:數據合規與交易研究
