新經濟與法|靈工平臺該如何避免5%營業額的頂格處罰

高亞平團隊

2021-11-12 14:49 來源:澎湃新聞

字號
10月6日,愛爾蘭數據保護委員會(Data Protection Commission,下稱“DPC”)提議歐盟向Facebook開出罰單,基于其違反合法、公平和透明的數據處理原則,未做到透明的信息、溝通與形式,以及未按照《通用數據保護條例》(General Data Protection Regulation,下稱“《GDPR》”)規定向數據主體提供的信息,應對其處理2800萬至3600萬歐元(約人民幣2.08億至2.68億)罰款。
DPC對此特別指出,這一罰款金額并未超過中《GDPR》中針對個人信息處理者嚴重違規行為所制定的最高上限處罰[即處以最高2000萬歐元或全球年營業額4%(以較高者為準)的行政罰款]的處罰規定。
無獨有偶,中國于今年11月1日起生效的《個人信息保護法》(下稱“《個信法》”)中規定,對于違法處理個人信息,或處理未履行個人信息保護義務,且情節嚴重的個人信息處理者,采取“雙罰制”:
針對個人信息處理者本身,除有關部門責令改正、沒收違法所得外,將并處5000萬元以下或上一年度營業額5%以下的罰款,并可以責令暫停相關業務或者停業整頓、通報有關主管部門吊銷業務許可或者營業執照。
針對個人信息處理者的直接責任人,則將被處10萬元以上100萬元以下罰款,且可能被禁止其在一定期限內擔任相關企業的董事、監事、高級管理人員和個人信息保護負責人。
與《GDPR》相比,《個信法》的處罰金額更高、處罰維度更多。而靈活用工平臺(下稱“靈工平臺”)作為個人信息處理者的典型代表,在運營過程中會涉及大量靈工人員的個人信息(包括身份證、人臉識別數據等敏感個人信息)。若是面臨全年營業額5%的處罰,無疑會給這個新興行業帶來強烈沖擊。
對此,我們梳理了《個信法》針對違規處理個人信息等違法行為的處罰細則,并與《GDPR》作比對,分析靈工平臺“流水”與營業額之間的關系,探究靈工平臺的流水之殤,明確靈工平臺履行個人信息安全合規義務、避免高額罰金的破解路徑。
《個信法》明確:違法處理個人信息,最高可罰5000萬元/上一年度營業額的5%我們將《個信法》與《GDPR》中有關個人信息處理者法律責任的規定作了橫向對比,如下圖所示(具體內容詳見后附表格):
我們通過對比分析,可以得出以下結論:
(1) 《個信法》與《GDPR》均實行兩級處罰制,并針對個人信息處理者的嚴重違規行為規定了與上一財年“營業額”相關的處罰規則,其處罰之嚴厲足以引起每一位個人信息處理者的關注;但《個信法》對于處罰措施的區分維度在于情節嚴重與否,對違法行為本身并未做細致區分;而《GDPR》則是以違法行為本身入手,以行為危害性作為區分標準。
(2) 相較于《GDPR》,《個信法》大幅提高了罰款上限金額和個人信息處理的違法成本;并且中國處罰實行的是“雙罰制”規則,除了處罰企業外,相關負責人也將面臨個人罰款及“行業禁止令”,處罰更加嚴厲、處罰維度也更加豐富。
(3) 另外,《GDPR》針對“處罰原則”作出了細致約定,包括監管機關在每個個案中酌情需要考量的因素,以體現行政處罰與違規行為之間的“相稱性”;而《個信法》僅規定了處罰措施,具體處罰原則尚未明確。對此我們可以等待有關法律細則的出臺,以期明確處罰措施的具體落地。
從上文的梳理比對中可以看出,《個信法》對于個人信息行為違法處理行為的處罰力度之大、處罰維度之多、處罰措施之嚴格,這為每日均需處理大量個人信息的靈工平臺敲響了警鐘。
進退兩難:靈工平臺“流水”=營業額?
隨著近幾年的發展,靈活用工行業內已經演化出多種商業模式,但最常見的靈活用工運營模式還是總包模式,即靈工平臺承攬(總包)用工需求方的業務,并就此向用工需求方收取相應服務費并開具對應增值稅專用發票;其后向靈工人員(包括但不限于自然人及自然人注冊成立的個體工商戶等相關法律主體)進行眾包,經驗收通過后,向靈工人員支付對應服務費(下稱“總包模式”)。
在總包模式下,用工需求方向靈工平臺支付的費用中,已覆蓋靈工平臺應當向靈工人員支付的服務費成本,即前述服務費實際已經轉嫁由用工需求方承擔,類似于傳統行業“來料加工”下的“成本加成法”定價模式。
在總包模式的承攬法律關系下,靈工平臺的“流水”與營業額之間劃等號。一旦靈工平臺發生違法處理個人信息的行為,在情節嚴重的情況下將有可能觸發高昂罰金。
一旦當靈工平臺未坐實業務實質,與用工需求方及靈工人員之間不存真實的業務聯系,對于支付給靈工人員的服務費不享有實質意義上的定價權的情況下,該部分收入應當根據會計準則采用凈額法確認收入。這意味著靈工平臺的營業額將遠遠小于平臺“流水”。但同時,這將引發稅務上的連鎖反應:即靈工平臺依據服務費總額向用工需求方開具的增值稅專用發票,可能面臨涉嫌虛開的法律風險。
這似乎導致了一個“進退兩難”的局面:
如果進一步:平臺“流水”=營業額,那么在處理個人信息方面的違約成本將大大提升。這就需要靈工平臺做好個人信息安全的強防守。
如果退一步:平臺“流水”≠營業額,雖然在處理個人信息方面的違約成本可能降低(畢竟最高處罰額除上一年度營業額的5%外亦存在“5000萬”的固定上限額),但又將面臨虛開發票的法律風險。
但實際上,這是一個“偽命題”。
在總包模式下,靈工平臺并無第二條路可選,只能選擇坐實業務真實性鏈路;而避免承擔高額罰金的破解之道,即為踐行《個信法》規定的個人信息處理者所應承擔的義務,做好個人信息安全合規保護。
結語
對于靈工平臺而言,如因違法《個信法》的規定被最高處以上一年度營業額5%的處罰,對于企業的發展將是巨大打擊。
而對于各業務板塊混同的綜合性靈工平臺或集團內各主體業務雜糅的集團公司而言,亦將面臨風險穿透的風險。一旦出現諸如個人信息泄露等個人信息權益受損事件,其營業額將可能會是各業務板塊營業額加總,其處罰基數將極大提升,將對集團整體造成不必要的誤傷,可謂是“城門失火殃及池魚”,極不利于隔離劃分集團內各方的自身安全邊界。
而除行政責任外,靈工平臺亦將面臨民事責任。根據《個信法》規定,個人信息處理者造成個人信息權益損害的,適用舉證責任倒置規則:若個人信息處理者不能證明自己沒有過錯的,將承擔損害賠償等侵權責任。
上述規定固然嚴厲,但也能從側面反映,國家對于個人信息保護的重視程度,以及未來嚴打違法行為的力度。
與其被動承擔可能存在的行政及民事責任,靈工平臺企業更應當“主動出擊”:
在確保坐實靈活用工實質的基礎上,主動建立“個人信息安全合規環”,明確自身作為個人信息處理者的義務,完善企業內部個人信息安全及數據合規體系(如下圖所示):(1) 內核層:建立內部個人信息安全合規管理制度+設置數據安全或個人信息保護負責人+具備對應認證資質
從制定內部個人信息安全合規管理制度及操作規程入手,申請獲得ISO27001信息安全管理體系認證、網絡安全等級保護等資質,合理確定個人信息處理的操作權限,并定期對從業人員進行安全教育和培訓。
(2) 中間層:與中立專業第三方機構建立集合規合作、安全評估及合規審計于一體的全方位合作
與中立專業第三方就個人信息安全合規方面開展的合作為抓手,對內、對外完善個人信息處理流程,對個人信息實行分類管理,采取相應的加密、去標識化等安全技術措施。
(3) 外部層:制定完備的隱私政策+對應匹配系統功能設置+制定并組織實施應急預案
同時,將上述流程通過完備的隱私政策及對應匹配的系統設置,輔之以制定并組織實施的個人信息安全事件應急預案,從而對外展示其已充分履行個人信息保護義務。
(本文來自澎湃新聞,更多原創資訊請下載“澎湃新聞”APP)
責任編輯:田春玲
校對:丁曉
澎湃新聞報料:4009-20-4009   澎湃新聞,未經授權不得轉載
關鍵詞 >> 新經濟與法,個信法,靈工平臺

相關推薦

評論()

熱新聞

澎湃新聞APP下載

客戶端下載
關于澎湃 在澎湃工作 聯系我們 廣告及合作 版權聲明 隱私政策 友情鏈接 澎湃新聞舉報受理和處置辦法 嚴正聲明
男神插曲女生的完整视频4399-成人A毛片免费观看网站