新经济与法｜灵工平台该如何避免5%营业额的顶格处罚

10月6日，爱尔兰数据保护委员会（Data Protection Commission，下称“DPC”）提议欧盟向Facebook开出罚单，基于其违反合法、公平和透明的数据处理原则，未做到透明的信息、沟通与形式，以及未按照《通用数据保护条例》（General Data Protection Regulation，下称“《GDPR》”）规定向数据主体提供的信息，应对其处理2800万至3600万欧元（约人民币2.08亿至2.68亿）罚款。

DPC对此特别指出，这一罚款金额并未超过中《GDPR》中针对个人信息处理者严重违规行为所制定的最高上限处罚[即处以最高2000万欧元或全球年营业额4%（以较高者为准）的行政罚款]的处罚规定。

无独有偶，中国于今年11月1日起生效的《个人信息保护法》（下称“《个信法》”）中规定，对于违法处理个人信息，或处理未履行个人信息保护义务，且情节严重的个人信息处理者，采取“双罚制”：

针对个人信息处理者本身，除有关部门责令改正、没收违法所得外，将并处5000万元以下或上一年度营业额5%以下的罚款，并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销业务许可或者营业执照。

针对个人信息处理者的直接责任人，则将被处10万元以上100万元以下罚款，且可能被禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。

与《GDPR》相比，《个信法》的处罚金额更高、处罚维度更多。而灵活用工平台（下称“灵工平台”）作为个人信息处理者的典型代表，在运营过程中会涉及大量灵工人员的个人信息（包括身份证、人脸识别数据等敏感个人信息）。若是面临全年营业额5%的处罚，无疑会给这个新兴行业带来强烈冲击。

对此，我们梳理了《个信法》针对违规处理个人信息等违法行为的处罚细则，并与《GDPR》作比对，分析灵工平台“流水”与营业额之间的关系，探究灵工平台的流水之殇，明确灵工平台履行个人信息安全合规义务、避免高额罚金的破解路径。

《个信法》明确：违法处理个人信息，最高可罚5000万元/上一年度营业额的5%

我们将《个信法》与《GDPR》中有关个人信息处理者法律责任的规定作了横向对比，如下图所示（具体内容详见后附表格）：

我们通过对比分析，可以得出以下结论：

（1） 《个信法》与《GDPR》均实行两级处罚制，并针对个人信息处理者的严重违规行为规定了与上一财年“营业额”相关的处罚规则，其处罚之严厉足以引起每一位个人信息处理者的关注；但《个信法》对于处罚措施的区分维度在于情节严重与否，对违法行为本身并未做细致区分；而《GDPR》则是以违法行为本身入手，以行为危害性作为区分标准。

（2） 相较于《GDPR》，《个信法》大幅提高了罚款上限金额和个人信息处理的违法成本；并且中国处罚实行的是“双罚制”规则，除了处罚企业外，相关负责人也将面临个人罚款及“行业禁止令”，处罚更加严厉、处罚维度也更加丰富。

（3） 另外，《GDPR》针对“处罚原则”作出了细致约定，包括监管机关在每个个案中酌情需要考量的因素，以体现行政处罚与违规行为之间的“相称性”；而《个信法》仅规定了处罚措施，具体处罚原则尚未明确。对此我们可以等待有关法律细则的出台，以期明确处罚措施的具体落地。

从上文的梳理比对中可以看出，《个信法》对于个人信息行为违法处理行为的处罚力度之大、处罚维度之多、处罚措施之严格，这为每日均需处理大量个人信息的灵工平台敲响了警钟。

进退两难：灵工平台“流水”=营业额？

随着近几年的发展，灵活用工行业内已经演化出多种商业模式，但最常见的灵活用工运营模式还是总包模式，即灵工平台承揽（总包）用工需求方的业务，并就此向用工需求方收取相应服务费并开具对应增值税专用发票；其后向灵工人员(包括但不限于自然人及自然人注册成立的个体工商户等相关法律主体)进行众包，经验收通过后，向灵工人员支付对应服务费（下称“总包模式”）。

在总包模式下，用工需求方向灵工平台支付的费用中，已覆盖灵工平台应当向灵工人员支付的服务费成本，即前述服务费实际已经转嫁由用工需求方承担，类似于传统行业“来料加工”下的“成本加成法”定价模式。

在总包模式的承揽法律关系下，灵工平台的“流水”与营业额之间划等号。一旦灵工平台发生违法处理个人信息的行为，在情节严重的情况下将有可能触发高昂罚金。

一旦当灵工平台未坐实业务实质，与用工需求方及灵工人员之间不存真实的业务联系，对于支付给灵工人员的服务费不享有实质意义上的定价权的情况下，该部分收入应当根据会计准则采用净额法确认收入。这意味着灵工平台的营业额将远远小于平台“流水”。但同时，这将引发税务上的连锁反应：即灵工平台依据服务费总额向用工需求方开具的增值税专用发票，可能面临涉嫌虚开的法律风险。

这似乎导致了一个“进退两难”的局面：

如果进一步：平台“流水”=营业额，那么在处理个人信息方面的违约成本将大大提升。这就需要灵工平台做好个人信息安全的强防守。

如果退一步：平台“流水”≠营业额，虽然在处理个人信息方面的违约成本可能降低（毕竟最高处罚额除上一年度营业额的5%外亦存在“5000万”的固定上限额），但又将面临虚开发票的法律风险。

但实际上，这是一个“伪命题”。

在总包模式下，灵工平台并无第二条路可选，只能选择坐实业务真实性链路；而避免承担高额罚金的破解之道，即为践行《个信法》规定的个人信息处理者所应承担的义务，做好个人信息安全合规保护。

结语

对于灵工平台而言，如因违法《个信法》的规定被最高处以上一年度营业额5%的处罚，对于企业的发展将是巨大打击。

而对于各业务板块混同的综合性灵工平台或集团内各主体业务杂糅的集团公司而言，亦将面临风险穿透的风险。一旦出现诸如个人信息泄露等个人信息权益受损事件，其营业额将可能会是各业务板块营业额加总，其处罚基数将极大提升，将对集团整体造成不必要的误伤，可谓是“城门失火殃及池鱼”，极不利于隔离划分集团内各方的自身安全边界。

而除行政责任外，灵工平台亦将面临民事责任。根据《个信法》规定，个人信息处理者造成个人信息权益损害的，适用举证责任倒置规则：若个人信息处理者不能证明自己没有过错的，将承担损害赔偿等侵权责任。

上述规定固然严厉，但也能从侧面反映，国家对于个人信息保护的重视程度，以及未来严打违法行为的力度。

与其被动承担可能存在的行政及民事责任，灵工平台企业更应当“主动出击”：

在确保坐实灵活用工实质的基础上，主动建立“个人信息安全合规环”，明确自身作为个人信息处理者的义务，完善企业内部个人信息安全及数据合规体系（如下图所示）：

（1） 内核层：建立内部个人信息安全合规管理制度+设置数据安全或个人信息保护负责人+具备对应认证资质

从制定内部个人信息安全合规管理制度及操作规程入手，申请获得ISO27001信息安全管理体系认证、网络安全等级保护等资质，合理确定个人信息处理的操作权限，并定期对从业人员进行安全教育和培训。

（2） 中间层：与中立专业第三方机构建立集合规合作、安全评估及合规审计于一体的全方位合作

与中立专业第三方就个人信息安全合规方面开展的合作为抓手，对内、对外完善个人信息处理流程，对个人信息实行分类管理，采取相应的加密、去标识化等安全技术措施。

（3） 外部层：制定完备的隐私政策+对应匹配系统功能设置+制定并组织实施应急预案

同时，将上述流程通过完备的隐私政策及对应匹配的系统设置，辅之以制定并组织实施的个人信息安全事件应急预案，从而对外展示其已充分履行个人信息保护义务。