中国法律对境外实体的域外适用

在国家网信办发布的答记者问中，滴滴公司被认定为本次案件的违法主体，而其系一家在开曼群岛注册的公司。国家网信办认定滴滴公司对境内各业务线重大事项具有最高决策权，对该集团在中国的数据处理活动拥有实际控制权。这明确了包括《个人信息保护法》在内的中国数据隐私法律的域外效力，其对在中国境外注册的实体也可能适用。

与许多其他赴境外上市的中国科技企业（比如电子商务平台、在线传媒或视频平台）一样，滴滴公司采用了VIE（可变权益实体）结构。此结构有利于实益持有人基于合同对滴滴的运营公司进行实际控制，运营公司是作为纯内资公司在中国境内成立的，这样不会受到外商投资的相关限制（比如某些运输交通业务对外资持股比例有限制）。

滴滴公司有哪些违法违规行为？

国家网信办发布的答记者问中将滴滴公司违反中国数据保护法律的违法事实归纳如下：

• 违法收集用户手机相册中的截图信息。
• 过度收集用户的剪贴板和应用程序列表中的信息。
• 过度收集乘客人脸识别信息以及他们的年龄、职业、亲情关系和地址信息。
• 过度收集乘客评价代驾服务时、App后台运行时、手机连接桔视记录仪设备时的精准位置（经纬度）信息。
• 过度收集司机学历信息，以明文形式存储司机身份证号信息。
• 未经授权分析乘客出行意图以及他们的常驻城市信息和异地商务/异地旅游信息。
• 在乘客使用顺风车服务时频繁索取无关的“电话权限”。
• 未准确、清楚地说明用户设备信息等个人信息的处理目的。

由此可见，国家网信办重视审查滴滴公司收集用户个人信息的适当性和必要性，必须遵循收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息原则。

国家网信办作出的处罚是什么？

国家网信办对滴滴公司作出了如下处罚：

• 对滴滴公司罚款80.26亿元人民币（约12亿美元），约占滴滴公司上一年度总营业额1738.27亿元人民币的4.6%，接近《个人信息保护法》规定的处罚上限，即上一年度营业额的5%。
• 对滴滴公司的首席执行官和总裁各处以100万元人民币的罚款，这是对违反中国《个人信息保护法》的公司负责人的顶格罚款。

此外，在调查期间，滴滴公司的各个App被从应用程序商店下架。滴滴公司App被禁止接受新用户，从而导致了市场份额和收入的损失。

国家网信办在确定处罚金额时考虑了哪些因素？

国家网信办在作出该处罚决定时强调，作出从严处罚是基于违法违规行为的严重性。具体而言，国家网信办在确定违法严重性时考虑了如下因素：

• 企业的态度

滴滴公司在收到监管机构的要求后并未停止和纠正其违规行为。

尽管国家网信办的处罚决定中未披露细节，滴滴公司在纽约证交所的上市就在国家网信办发布《网络安全审查办法》（“办法”）草案仅仅几周之前，而滴滴公司境外上市并未寻求中国监管机构的预批准。办法要求，掌握超过100万中国用户个人信息的中国企业赴国外上市，须经国家网信办事先审查和批准。因此，滴滴的行为被视为故意规避中国法律及缺乏合作。

我们将滴滴公司IPO和国家网信办调查按时间顺序归纳如下：