根据网络安全审查结论及发现的问题和线索，国家互联网信息办公室依法对滴滴全球股份有限公司涉嫌违法行为进行立案调查。经查实，滴滴全球股份有限公司违反《网络安全法》、《数据安全法》、《个人信息保护法》的违法违规行为事实清楚、证据确凿、情节严重、性质恶劣。

　　7月21日，国家互联网信息办公室依据《网络安全法》、《数据安全法》、《个人信息保护法》、《行政处罚法》等法律法规，对滴滴全球股份有限公司处人民币80.26亿元罚款，对滴滴全球股份有限公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款。

　　滴滴公司因为数据安全问题被依法查处，80.26亿元的处罚金额是我国目前就数据违法行为的最高处罚金额，可谓“天价罚单”。

　　滴滴公司表示：“2022年国内网约车板块中（收购快的、Uber中国）价值463亿元的商誉可能会被全部计提减值。”

　　在业务上，滴滴网约车“基本盘”被蚕食、面临近500亿的商誉暴雷，社区团购、国际化等烧掉超过两百亿的新业务毫无斩获、被悄然放弃。

　　在资本市场上，滴滴较股价最高点已经跌去九成，退市与否以及退市后如何收拾集体诉讼等残局仍不明朗。

　　由此看来，国家对于数据安全的重视达到了一个前所未有的高度，立法进一步健全，监管进一步完善。滴滴公司被处罚可以说是一个信号：对于数据安全的高压态势也将会是一种新常态。网信部门当然会依法加大相关领域的执法力度。所以，滴滴公司绝不是最后一个因为数据安全问题被行政处罚的公司。

　　网络游戏APP和滴滴打车等滴滴系APP一样，基于运行、推广等需求，对于数据的收集更是不可或缺。在网络游戏领域，数据安全带来的风险也绝对不容小觑。如果处理不当，亦不排除涉嫌刑事犯罪的风险，所以网络游戏数据合规，特别是刑事合规，就成为必然选项。

　　一、数据安全监管现状

　　在立法上，随着2017年6月《网络安全法》开始实施、2021年9月《数据安全法》生效、2021年11月《个人信息保护法》的落地。数据安全立法上的“三驾马车”均已到位。从法律文本的名称就可以看出，每一部法律在调整对象上侧重是有所不同的。

　　与此同时，结合我国对于数据安全的一般性规定以及个别领域的专项规定，以及《刑法》中对于数据安全相关犯罪（例如，侵犯公民个人信息罪）的规定。我国数据安全立法的格局已经基本形成。

　　在监管部门设置上，针对网络游戏APP，除了国家网信办，工信部、公安局，像市场监督管理局、APP专项治理工作组以及国际计算机病毒应急处理中心均具有对网络游戏的监管职能。如此全方位、多角度的监管部门设置，为数据安全的执法提供了硬件基础。

　　二、“非必要收集信息”是滴滴公司被处罚的根本原因

　　在国家互联网信息办公室有关负责人就案件相关问题回答了记者提问中明确：“滴滴公司共存在16项违法事实，归纳起来主要是8个方面。一是违法收集用户手机相册中的截图信息1196.39万条；二是过度收集用户剪切板信息、应用列表信息83.23亿条；三是过度收集乘客人脸识别信息1.07亿条、年龄段信息5350.92万条、职业信息1633.56万条、亲情关系信息138.29万条、“家”和“公司”打车地址信息1.53亿条；四是过度收集乘客评价代驾服务时、App后台运行时、手机连接桔视记录仪设备时的精准位置（经纬度）信息1.67亿条；五是过度收集司机学历信息14.29万条，以明文形式存储司机身份证号信息5780.26万条；六是在未明确告知乘客情况下分析乘客出行意图信息539.76亿条、常驻城市信息15.38亿条、异地商务/异地旅游信息3.04亿条；七是在乘客使用顺风车服务时频繁索取无关的“电话权限”；八是未准确、清晰说明用户设备信息等19项个人信息处理目的。”

　　然而，根据《网络安全法》第四十一条：“网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。

　　网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。”

　　根据《个人信息保护法》第六条：“收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。”

　　对于“用户手机相册中的截图信息”，无论是滴滴公司的用户协议上的约定，还是收集的必要性上都排除了这类信息，对该类信息进行收集属于违法收集。对于“剪切板信息”、“人脸识别信息”这类信息，在滴滴公司APP运营中确实需要进行收集，但是要在必要的限度内收集、使用。任意的扩大化，属于过度收集。当然，不弹窗提示、不明确提醒，“偷偷摸摸”地收集信息，当然也是违法的。

　　很显然，滴滴公司不仅没有按照“合法”、“正当”、“必要”的原则去收集信息，而且基本的“明示”原则也并未遵守。动辄上亿条的信息“过度”收集可谓是骇人听闻。

　　三、侵犯公民个人信息罪的刑事风险

　　滴滴公司是否会进一步被追究刑事责任呢？

　　从执法程序上来讲，行政机关如果发现案件应当追究刑事责任应当依法移送，即“刑事判断在前，行政判断在后”，目前并未有消息证明案件移送公安机关立案侦查，就说明大概率对于滴滴公司的追究已经告一段落了。

　　目前针对滴滴公司以及CEO程维、总裁柳青的行政处罚均已经落实到位，那么再结合滴滴官方在微博上发布的：“积极配合监管，认真完成整改。”的表述，滴滴公司极有可能正在进行着相应合规整改，以图“合规不立案”、“合规不起诉”。

　　从刑事实体上讲，根据《刑法》第二百五十三条之一：“……窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。”

　　如果滴滴公司仅仅是程序上不追究刑事责任，那么CEO程维、总裁柳青作为滴滴公司的“直接负责的主管人员”，是否依旧存在涉涉嫌刑事犯罪的风险呢？答案当然是肯定的。

　　在这里需要关注的就是滴滴公司收集的信息能否定性为“公民个人信息”；滴滴公司的收集行为是否“违反国家规定”；以及滴滴公司的收集信息的行为能否定性为刑法上的“非法获取”行为。

　　（一）关于刑法规定的“公民个人信息”

　　根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条的规定：“刑法第二百五十三条之一规定的公民个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”

　　概言之，刑法所保护的公民个人信息在于是否能够“识别”自然人身份，反映自然人活动情况。这一内涵明显较《个人信息保护法》所规定的“个人信息”的内涵进行了限缩。然而较《网络安全法》中所规定的仅能反映自然人身份的“个人信息”的内涵有所扩大。这样的定位恰恰与每部法律的使命、定位相吻合，相互作用形成了对“个人信息”保护的全包围之势。

　　反观滴滴公司所收集的信息，诸如：“人脸识别信息”，属于生物信息，属于敏感个人信息，当然可以“识别”自然人身份，这样的信息甚至可以间接影响私人财产安全。再例如：“精准位置信息”，更是将自然人活动轨迹暴露无遗。所以，滴滴公司过渡收集的诸如年龄段信息、职业信息、学历信息、亲情关系信息、打车地址信息、精准位置信息均可以锁定公民个人的活动情况，可以定性为刑法保护的“公民个人信息”。

　　（二）关于刑法规定的“违反国家有关规定”

　　根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第二条规定：违反法律、行政法规、部门规章有关公民个人信息保护的规定的，应当认定为刑法第二百五十三条之一规定的“违反国家有关规定”。

　　很显然，这个“违反国家有关规定”已经下探到了部门规章的层面。只要收集信息行为违反了部门规章级别的法规，就属于“违反国家有关规定”。从制定主体上看，《网络安全法》、《数据安全法》，还有《个人信息保护法》这三部法律均由全国人大常委会决议通过并实施，毫无疑问属于法律的范畴。

　　对于常见APP收集信息范围进行了专门规定的《常见类型移动互联网应用程序必要个人信息范围规定》（以下简称《规定》）从制定主体上看，《规定》由国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局，四部门联合制定。根据《立法法》规定，国务院的有关部门是可以在职权范围内，对于相关事项联合制定规章的。再看制定目的，《规定》显然是为了《网络安全法》关于收集信息原则的具体落实出台。因此，该《规定》应当属于部门规章。

　　滴滴公司无论是“违法收集”的行为，还是“过渡收集”的行为无疑不仅是违反了上述三部法律，也违反了部门规章。因此，无疑是“违反国家有关规定”的。

　　（三）关于刑法规定的“非法获取”行为

　　根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第四条规定：违反国家有关规定，通过购买、收受、交换等方式获取公民个人信息，或者在履行职责、提供服务过程中收集公民个人信息的，属于刑法第二百五十三条之一第三款规定的“以其他方法非法获取公民个人信息”。

　　然而通过以上分析，滴滴公司违法、过渡收集信息的行为在违反国家规定的情况下，又同时符合了是在“提供服务过程中收集公民个人信息”的条件。很显然，可以评价为“以其他方法非法获取公民个人信息”。

　　当然也有一些观点认为：根据刑法第二百五十三条之一第三款的规定，“窃取或以其他方法非法获取公民个人信息”，构成侵犯公民个人信息罪。基于对该条文罪状的理解，“以其他方法非法获取”的违法性和危害性程度应等同于“窃取”。

　　诚然，对于一个行为是否构成犯罪，其刑事违法性以及社会危害性均应予以考量。但是，仅就“过渡收集”这一行为来讲，暂且不说收集信息的体量问题，滴滴公司是在未告知、未明确、未提醒的情况下，绕过用户协议和隐私政策，“秘而不宣”地收集用户信息。从这一角度审视，笔者认为其违法性与危害性较之于“窃取”行为也是“有过之而无不及”。

　　因此，基于以上分析，笔者认为滴滴公司的违法、过渡收集信息的行为毫无疑问是可以定性为刑法中的“非法获取”行为。

　　基于以上分析，无论是滴滴公司还是董事长兼CEO程维、总裁柳青实质上都面临刑事风险。公司不同，业务类似，据笔者了解众多的网络游戏公司在数据的收集上有着同样的遭遇和困境。行政处罚的风险，甚至是刑事犯罪的风险都是客观存在的。

　　笔者将在《从滴滴案看网络游戏数据合规（下）》详细解读对网络游戏公司数据安全的合规建议。