作者：金茂律师事务所  金文玮 律师

7月21日下午，一条新闻刷屏了朋友圈。国家互联网信息办公室（以下简称“国家网信办”）根据网络安全审查结论及发现的问题和线索，查实滴滴全球股份有限公司（以下简称“滴滴股份”）违反《网络安全法》《数据安全法》《个人信息保护法》的违法违规行为事实清楚、证据确凿、情节严重、性质恶劣，依据《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等法律法规，对滴滴全球股份有限公司处人民币80.26亿元罚款，对滴滴全球股份有限公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款。

80.26亿的罚款金额创下了国家网信办的罚款纪录，也是自数据法“三件套”——《网络安全法》《数据安全法》《个人信息保护法》颁布实施以来，因违反“三件套”而开出的最高额罚单。

此次滴滴股份被处罚，除了以身试法给大家提供了警示以外，这个案例本身也留了很多法律问题供业内分析，根据国家网信办有关负责人就案件的答记者问，可以看到滴滴股份被罚案有以下几个值得关注的法律问题。

一、滴滴股份被罚案是中国数据法“长臂管辖”首案

由于近代旧中国是半殖民地半封建社会，有过部分司法权沦于他国之手的屈辱史，所以新中国成立后，对主权国家的国内法律具有域外效力、长臂管辖等一直持否定的态度（有双边或多边司法协作协议的除外）。但是互联网具有跨境的特点，如果始终否定长臂管辖，并不利于监管的开展与实施，所以中国立法因势导利，《数据安全法》与《个人信息保护法》均规定了对境外的数据处理活动、个人信息处理活动具有管辖权。

滴滴股份于2013年1月11日在开曼群岛注册成立，于2021年6月30日在美国纽约证券交易所上市——从法律上来说是一家境外企业。

所以，这次国家网信办对滴滴股份进行处罚，是中国数据法“长臂管辖”处罚的第一案（是否是中国行政处罚“长臂管辖”第一案有待考证）。从这层意义上来说，80亿的处罚金额反而显得没那么重要了。

二、80.26亿的罚款金额是穿透VIE的结果，行政处罚穿透主体的倾向越来越重

《个人信息保护法》最高罚款金额的规定是第六十六条第二款，违法处理个人信息，或者处理个人信息未履行法律规定的个人信息保护义务，情节严重的，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款，对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。

根据滴滴出行科技有限公司（以下简称“滴滴出行”）2021年度的财报显示，其2021年总营收为人民币1738.3亿元，根据《个人信息保护法》上一年度营业额百分之五的标准来看，罚款80.26亿元并未超过法定的上限。

但是从股权关系上来说，滴滴出行的唯一股东是滴滴出行（北京）网络平台技术有限公司，滴滴出行（北京）网络平台技术有限公司是北京小桔科技有限公司的全资子公司，而北京小桔科技有限公司的股东是程维等五个自然人——滴滴出行与滴滴股份在股权上并无直接的关系。

国家网信办以滴滴出行的营业额作为滴滴股份的营业额作为处罚计算依据，应该是根据二者之间存在的VIE架构做出的，而《行政处罚法》《网络安全法》《数据安全法》《个人信息保护法》中都没有规定行政处罚可以穿透主体——近年来，行政检查与处罚越来越强调穿透主体，不再囿于法人人格独立的局限，无论是反垄断调查与处罚，还是对金融机构的检查与处罚都强调主体穿透，这个变化需要大家引起充分重视。

三、数据法的追溯效力与《个人信息保护法》扩张效力

从国家网信办有关负责人就案件的答记者问来看，国家网信办认为滴滴股份的“相关违法行为最早开始于2015年6月，持续至今，时间长达7年”《网络安全法》自2017年6月1日起施行，《数据安全法》自2021年9月1日起施行，《个人信息保护法》自2021年11月1日起施行，《网络安全审查办法》（新版）自2022年2月15日起施行。

按照时间先后顺序，滴滴股份的违法行为大多都在《数据安全法》与《个人信息保护法》施行之前，从表面上看起来，貌似这两部法律都具有了溯及既往的效力。但根据《行政处罚法》第三十六条第二款的规定，违法行为有连续或者继续状态的，从行为终了之日起计算。所以，国家网信办认为滴滴股份的违法行为具有连续性，且至今仍未终了，适用《数据安全法》与《个人信息保护法》并无问题——违法行为的连续性令《数据安全法》与《个人信息保护法》具有了实际上的溯及力，这会是今后网信办的办案思路。

但有意思的一个问题是：2021年7月国家网信办按照《网络安全审查办法》对滴滴股份进行网络安全审查，依据的还是2020年6月1日施行的旧版《网络安全审查办法》，而旧版《网络安全审查办法》第十九条规定的罚则只是依据《网络安全法》第六十五条规定进行处罚——也就是说不按照《个人信息保护法》规定的营业额5%的标准。

而且即使按照新版《网络安全审查办法》第二十条的罚则也只提到依据《网络安全法》与《数据安全法》的规定处理，没有提及《个人信息保护法》——也就是说，尽管《网络安全审查办法》没有引用为上位法和处罚依据，在网络安全审查时依然会依据《个人信息保护法》做出处罚，这等于《个人信息保护法》扩张了适用的范围。

四、滴滴面临的困境还没结束

根据《个人信息保护法》第七十条的规定“个人信息处理者违反本法规定处理个人信息，侵害众多个人的权益的，人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。”

国家网信办此次的行政处罚认定滴滴股份的多款相关产品违法处理个人信息，人民检察院、消费者组织可以向人民法院提起民事赔偿诉讼。

同时，个人也可以依据《个人信息保护法》第六十九条的规定向滴滴公司（主体有待确认）进行索赔，而且第六十九条规定“个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任”——举证责任倒置的情况下，滴滴公司在民事索赔诉讼中明显会处于不利的境地。