滴滴被罚80.26亿：是否会受刑事处罚探究

7月21日，网信办公布对滴滴的处罚公告，很多人关心滴滴及总裁是否还会受刑事处罚，并且还有部分行业人士认为处罚依据不足。在此，结合相关法律法规分析，浅谈个人理解，以供大家讨论。

图片来源：网信办公众号

一、滴滴董事长、总裁是否会受刑事处罚？

以我个人判断，本次处罚公告中提及的滴滴公司及其董事长兼CEO程维、总裁柳青大概率不会再受到刑事处罚，可能会以最高检正在改革试点的“合规不起诉”制度开展合规考察和合规监管，并可能已经作出刑事合规不起诉的决定，行政机关才做出今天公告中的行政处罚。以下是基于现有法律分析的几点理由。

1.滴滴被网络安全审查，作为有巨大影响力的案件，除了行政部门，司法机关肯定知晓本案并可能同步参与调查。如果涉及刑事犯罪，是必须向司法机关移交案件的

根据《行政处罚法》第二十七条规定“违法行为涉嫌犯罪的，行政机关应当及时将案件移送司法机关，依法追究刑事责任。对依法不需要追究刑事责任或者免予刑事处罚，但应当给予行政处罚的，司法机关应当及时将案件移送有关行政机关。”并且该条第二款规定“行政处罚实施机关与司法机关之间应当加强协调配合，建立健全案件移送制度，加强证据材料移交、接收衔接，完善案件处理信息通报机制。”第八十二条规定“行政机关对应当依法移交司法机关追究刑事责任的案件不移交，以行政处罚代替刑事处罚，由上级行政机关或者有关机关责令改正，对直接负责的主管人员和其他直接责任人员依法给予处分；情节严重构成犯罪的，依法追究刑事责任。”根据《行政执法机关移送涉嫌犯罪案件的规定》第三条“行政执法机关在依法查处违法行为过程中，发现违法事实涉及的金额、违法事实的情节、违法事实造成的后果等，根据刑法关于破坏社会主义市场经济秩序罪、妨害社会管理秩序罪等罪的规定和最高人民法院、最高人民检察院关于破坏社会主义市场经济秩序罪、妨害社会管理秩序罪等罪的司法解释以及最高人民检察院、公安部关于经济犯罪案件的追诉标准等规定，涉嫌构成犯罪，依法需要追究刑事责任的，必须依照本规定向公安机关移送。”

由此可见，若相关部门认为涉及刑事犯罪，是必须向司法机关移交案件的，如果应当移交而不移交本案，行政机关本身可能会受到处分。我相信，滴滴这个全民关注，国家重点督办的案件，相关部门不会犯此程序错误。因此只有一个可能，本案经过多个相关部门判断，最终决定不予刑事处罚，而只给予行政处罚。

图片来源：网信办官网

2.行政处罚应在司法机关对是否进行刑事处罚判断后才能做出，本案刑事判断应该已初步结束

根据《中共中央办公厅、国务院办公厅转发国务院法制办等部门<关于加强行政执法与刑事司法衔接工作的意见>的通知》第一条规定“行政执法机关在执法检查时，发现违法行为明显涉嫌犯罪的，应当及时向公安机关通报，接到通报后，公安机关应当立即派人进行调查，并依法作出立案或者不予立案的决定。”；第三款规定“行政执法机关在移送案件时已经作出行政处罚决定的，应当将行政处罚决定书一并抄送公安机关、人民检察院；未作出行政处罚决定的，原则上应当在公安机关决定不予立案或者撤销案件、人民检察院作出不起诉决定、人民法院作出无罪判决或者免予刑事处罚后，再决定是否给予行政处罚。”

因此，按照法定程序，刑事判断在前，行政判断在后。滴滴案件至少是在司法机关决定不刑事起诉后，行政机关才进行的行政处罚并公告。若已经或者可能会进行刑事处罚，则不会对 CEO程维、总裁柳青进行罚款100万元的行政处罚。根据滴滴微博声明，滴滴可能已经正在进行“合规不起诉”的整改。

图片来源：滴滴微博

3.人大释义规定：尽量避免先适用行政处罚后又必须适用刑罚的情况发生。

在全国人大网站对“行政处罚与刑罚能否折抵”的法律释义与问答中认为“行政处罚法规定的行政处罚折抵刑罚的问题是需要在特定条件下才会发生的，这一特定条件是：首先，这一行政违法行为同时违反了行政法律规范和刑事法律规范，根据这两个法律规范的规定都要给予处罚；第二，行政机关不认为这一行为触犯了刑律而认为只触犯了行政法律规范，因而对这一违法行为依照行政法律规范给予行政处罚，而后又发现该行为触犯了刑律，司法机关需要给予刑事处罚；第三，行政机关对违法行为人作出了行政拘留或者罚款的行政处罚，且这一处罚决定已经开始执行。只有以上几种情况同时具备，行政处罚与刑罚折抵的情况才会发生。 ”

同时，全国人大还认为 “行政处罚法规定，违法行为构成犯罪的，行政机关必须将案件移送司法机关，依法追究刑事责任。根据这一规定，行政机关在查处行政违法行为时，应当认真对违法行为进行分析，力求准确判断违法行为是否构成犯罪，对于确须给予刑事处罚的，应及早移送司法机关，以尽量避免这种先适用行政处罚后又必须适用刑罚的情况发生。”

因此，在行政处罚后又进行刑事处罚的一般只发生在未能及时发现刑事犯罪事实或者专业判断能力不足的情况下，而这种情形基本不会出现在本案中。在本次公告中，CEO程维、总裁柳青被行政处罚，他们应该是松了一口气，至少说明在刑事上，他们大概率不会受到处罚了。不过，本次处罚提到的滴滴违法违规业务中其他没受到行政处罚的高管，是否会受到刑事处罚，则存在不确定性。从公告严厉的措辞角度来看，公告提到违法行为持续至今，说明前期合规整改是不成功的，滴滴还需要继续进行合规整改，否则仍有被刑事起诉之危险。

二、何为“合规不起诉”制度？

近年来，最高检提出并持续落实“对企业负责人涉经营类犯罪，依法能不捕的不捕、能不诉的不诉、能不判实刑的提出适用缓刑建议”的检察政策。同时，为防止在落实中一宽了之、一放了之，自2020年起陆续开展涉案企业合规改革试点：在拟依法不捕、不诉或者提出轻缓量刑建议的同时，督促涉案企业作出合规承诺、落实合规整改，做实既“厚爱”又“严管”。

最高人民检察院于2020年3月开始在上海、江苏、山东、广东等6个基层检察院开启“企业合规不起诉”的改革试点。

2021年4月，最高人民检察院发布了《关于开展企业合规改革试点工作方案》，启动了第二期“企业合规改革”试点工作，涉及北京、辽宁、上海、江苏、浙江、福建、山东、湖北、湖南、广东等十个省（直辖市），对涉案企业的刑事案件，在依法从宽处理的同时，督促其合规承诺，积极整改。2021年6月3日，最高人民检察院与司法部、财政部等9部门联合发布了《关于建立涉案企业合规第三方评估机制的指导意见（试行）》，并公布了4起企业合规的指导案例。按照上述文件，适用企业合规不起诉的案件，既包括公司、企业等实施的经济犯罪、职务犯罪案件，也包括公司、企业实际控制人、经营管理人员、关键技术人员等实施的与生产经营活动密切相关的犯罪案件；不起诉的内容，包括“合规不批捕”“合规不起诉”“合规从宽量刑建议”“合规从宽处罚建议（行政处罚建议）”。企业合规对于涉案企业而言成为一项非常有力度的从宽处罚情节。经过两年的试点，涉案企业合规改革试点取得积极成效。

2022年4月，最高人民检察院会同全国工商联等九部门，深入总结两年来检察机关涉案企业合规改革试点工作情况，印发《涉案企业合规建设、评估和审查办法（试行）》（以下简称《办法》）并正式“官宣”——涉案企业合规改革试点在全国检察机关全面推开。《办法》明确涉案企业整改的3个重点：合规建设、合规评估、合规审查，并做出了详细规定。

三、违反“法不溯及既往”？

有人提出滴滴是于2021年7月2日被国家网络安全审查办公室启动网络安全审查，而《个人信息保护法》是之后才颁布，因此应该遵循“法不溯及既往”的原则，不能依据《个人信息保护法》对其进行处罚。在此，需要说明的是，该观点未能看清楚公告中说明的处罚行为的日期，公告称“滴滴公司相关违法行为最早开始于2015年6月，持续至今，时间长达7年，持续违反2017年6月实施的《网络安全法》、2021年9月实施的《数据安全法》和2021年11月实施的《个人信息保护法》”，也就是说，本次处罚是对滴滴持续至今的违法行为的处罚，而不仅仅只是对启动网络安全审查之前的违法行为进行处罚，因此并不违反“法不溯及既往”的原则。

四、罚款80.26亿元怎么算出来的？

根据个保法，按照21年营业额5%进行的处罚。根据滴滴公布的财报，滴滴2021年度营业收入总额1738亿元，其中，国内业务收入占比92%，为1605.21亿元，而1605.21×5%=80.26。至于个人罚款，法律规定最高100万元，已然顶格处罚。

还有一点应当注意，罚款是并处，根据本条规定，应该同时要求责令改正、没收违法所得。《行政处罚法》第二十八条也规定“行政机关实施行政处罚时，应当责令当事人改正或者限期改正违法行为。当事人有违法所得，除依法应当退赔的外，应当予以没收。”个人猜测，在本次公告做出行政处罚前，就已经对滴滴责令改正了，全国人大常委会主编的《中华人民共和国行政处罚法释义》一书，第100页指出：“所谓实施行政处罚时，包括行政处罚的启动、调查取证、决定等全过程。”，因此责令改正可以不与罚款同时做出。而“没收违法所得”也未在公告中看到，个人猜测因数据违规产生的违法所得难以计算，网信办本着“宽严相济”“既严管又厚爱”的精神，不再没收违法所得，以顶格罚款涵盖之。

《个人信息保护法》第六十六条

违反本法规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务的，情节严重的，由省级以上履行个人信息保护职责的部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。

五、数据合规法律体系

在公告中也提到了除《网络安全法》《数据安全法》《个人信息保护法》外，已经出台的还有《关键信息基础设施安全保护条例》《网络安全审查办法》《数据出境安全评估办法》《互联网信息服务算法推荐管理规定》等法律法规，《网络安全标准实践指南——网络数据分类分级指引》《证券期货业数据分类分级指引》《工业数据分类分级指南（试行）》《金融数据安全数据安全分级指南》《信息安全技术健康医疗数据安全指南》等数据分类分级指引文件，再加上《网络数据安全管理条例（征求意见稿）》《信息安全技术重要数据识别指南（征求意见稿）》等正在征求意见的法律法规和国家标准，构成了我国数据合规领域的基本法律体系。

在国家越来越重视数据安全和合规的大背景下，滴滴被罚为所有企业的合规经营敲响了警钟。公告中所指出来的数据合规问题，很多企业也应该存在相似问题，因此，在今后的经营中需要加强对以上法律的系统学习、培训和应用，充分认识“合规不起诉”的重要性，使得企业做到合规经营和安心经营。

六、处罚法律依据

1.《网络安全法》2016.11.7发布 2017.6.1生效

（公告称：滴滴公司存在严重影响国家安全的数据处理活动，以及拒不履行监管部门的明确要求，阳奉阴违、恶意逃避监管等其他违法违规问题。滴滴公司违法违规运营给国家关键信息基础设施安全和数据安全带来严重安全风险隐患）

第十二条 任何个人和组织使用网络应当遵守宪法法律，遵守公共秩序，尊重社会公德，不得危害网络安全，不得利用网络从事危害国家安全......以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。

第三十一条 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。

第三十七条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。

第四十一条 网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。

网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。

2.《数据安全法》2021.6.10发布 2021.9.1生效

第四条 维护数据安全，应当坚持总体国家安全观，建立健全数据安全治理体系，提高数据安全保障能力。

第八条 开展数据处理活动，应当遵守法律、法规，尊重社会公德和伦理，遵守商业道德和职业道德，诚实守信，履行数据安全保护义务，承担社会责任，不得危害国家安全、公共利益，不得损害个人、组织的合法权益。

第二十四条 国家建立数据安全审查制度，对影响或者可能影响国家安全的数据处理活动进行国家安全审查。

第二十七条 开展数据处理活动应当依照法律、法规的规定，建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度的基础上，履行上述数据安全保护义务。

重要数据的处理者应当明确数据安全负责人和管理机构，落实数据安全保护责任。

第三十一条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，适用《中华人民共和国网络安全法》的规定；其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部门会同国务院有关部门制定

第四十四条 有关主管部门在履行数据安全监管职责中，发现数据处理活动存在较大安全风险的，可以按照规定的权限和程序对有关组织、个人进行约谈，并要求有关组织、个人采取措施进行整改，消除隐患。

3.《个人信息保护法》2021.08.20发布 2021.11.1生效

第六条 处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。（二是过度收集用户剪切板信息、应用列表信息；五是过度收集司机学历信；七是在乘客使用顺风车服务时频繁索取无关的“电话权限”）

第七条 处理个人信息应当遵循公开、透明原则，公开个人信息处理规则，明示处理的目的、方式和范围。（八是未准确、清晰说明用户设备信息等19项个人信息处理目的）

第十条 任何组织、个人不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息；不得从事危害国家安全、公共利益的个人信息处理活动。

第十四条 基于个人同意处理个人信息的，该同意应当由个人在充分知情的前提下自愿、明确作出。

第十七条个人信息处理者在处理个人信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项：（一）个人信息处理者的名称或者姓名和联系方式；（二）个人信息的处理目的、处理方式，处理的个人信息种类、保存期限；（三）个人行使本法规定权利的方式和程序；（四）法律、行政法规规定应当告知的其他事项。

第二十八条 敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。

第二十九条处理敏感个人信息应当取得个人的单独同意；法律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规定。（一是违法收集相册信息；三是过度收集乘客人脸识别信息、年龄段信息、职业信息、亲情关系信息、“家”和“公司”打车地址信息；四是过度收集乘客精准位置（经纬度）信息；六是在未明确告知乘客情况下分析乘客出行意图信息、常驻城市信息、异地商务/异地旅游信息）

第三十九条 个人信息处理者向中华人民共和国境外提供个人信息的，应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项，并取得个人的单独同意。

第四十条 关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的，应当通过国家网信部门组织的安全评估；法律、行政法规和国家网信部门规定可以不进行安全评估的，从其规定。

附：网信办公告

图片来源：网信办公众号

文章来源：数据合规与交易研究