违法处理个人信息高额罚款制度的理解与适用

2022-05-26 03:58
华东政法大学学报 2022年3期
关键词:高额网信罚款

孙 莹

违法处理个人信息高额罚款制度是保障自然人个人信息权益、维护公共利益和社会秩序、调整失衡的企业和个人力量以及规制互联网竞争生态的需要。由于能够深切触及违法主体,尤其是大型互联网企业的利益,进而对侵害个人信息的行为产生有效威慑,其理应成为加强个人信息保护行政监管的有效法律工具。〔1〕参见孙莹:《大规模侵害个人信息高额罚款研究》,载《中国法学》2020 年第5 期,第109-112 页。《个人信息保护法》(以下简称《个保法》)第66 条规定了不同情形下违法处理个人信息的行政责任,其中第2 款将违法处理个人信息且情节严重行为的罚款金额设定为五千万元以下或者上一年度营业额百分之五以下。较《网络安全法》等法律法规,〔2〕例如,《消费者权益保护法》第56 条规定了在经营者侵害消费者个人信息权益时,由行政机关责令改正,根据情节单处或者并处警告、没收违法所得、处以违法所得一倍以上十倍以下的罚款;没有违法所得的,处以五十万元以下的罚款;情节严重的,责令停业整顿、吊销营业执照。《网络安全法》第64 条规定了网络运营者、网络产品或者服务的提供者侵害个人信息权益时,由行政机关责令改正,根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。《个保法》大幅提高了行政罚款金额,表明在违法处理个人信息且情节严重的情况下,违法主体将承担更为严厉的行政责任。《个保法》是个人信息保护领域的基本法,该条关于违法处理个人信息高额罚款的规定,将会是我国个人信息保护行政执法领域的重要法律依据,本文将从适用情形、处罚对象、执法主体及其管辖权、与其他法律责任的关系等方面,对《个保法》第66 条第2 款的理解与适用提出一些看法。

一、违法处理个人信息高额罚款制度的适用情形

根据《个保法》第66条第2款的规定,高额罚款适用于违反个人信息保护法的规定处理个人信息,或不履行个人信息保护法规定的个人信息保护义务,且情节严重的情形。简而言之,即实施了违法处理个人信息的行为且情节严重。根据立法逻辑,判断是否适用该条款首先应当判断是否符合违法处理个人信息行为的构成要件,其次需要认定是否属于“情节严重”。

(一)构成违法处理个人信息行为的主客观要件

传统行政法多秉持“客观违法”的一元归责原则,承担行政责任的唯一标准是该行为客观上违法,而无须考察行政相对人的主观心态,更无须考察行为人的主观心态是故意或过失。换言之,主观过错并不是应受行政处罚行为的构成要件之一,单纯客观违法即可予以处罚。〔3〕参见汪永清主编:《行政处罚运作原理》,中国政法大学出版社1994 版,第169-170 页;袁曙宏:《论行政处罚的实施》,载《法学研究》1993 年第4 期,第43 页。现在也有观点认为,考虑到行政机关在行政诉讼中的举证责任,如果过多强调处罚的前提在于行政相对人存在主观过错,将加重行政机关的负担。〔4〕参见马怀德:《〈行政处罚法〉修改中的几个争议问题》,载《华东政法大学学报》2020 年第4 期,第11 页。然而,这种一元归责原则不利于实质正义的实现。因此,本文认为将客观要件和主观要件相结合对是否构成违法处理个人信息行为进行判断更为妥当。

就客观要件而言,《个保法》结合对个人信息处理活动的规定,从个人信息处理的事前、事中、事后三个环节详尽规定了违法处理个人信息行为的表现形式,此处不予赘述。就主观要件而言,2021年修订的《行政处罚法》 第33 条第2 款〔5〕《行政处罚法》 第33 条第2 款规定:“当事人有证据足以证明没有主观过错的,不予行政处罚。法律、行政法规另有规定的,从其规定。”已经规定没有主观过错的,不予行政处罚,但该规定较为原则。作为排除适用行政处罚的条件,该条文并未从正面明确行政处罚决定作出时,是否应区分“故意”“重大过失”“一般过失”,以及如果区分应该如何配置不同处罚程度的责任。就违法处理个人信息高额罚款制度的适用情形而言,本文认为应当综合考虑个人信息处理者的主观心理状态。刑法中的行为人主观心理态度包括认识因素和意志因素,但较刑法而言,行政法中行为人的认识因素有其特殊性。就行为犯而言,由于行政责任的成立并不以产生实际的损害结果为前提,因此行为人的认识因素既不要求行为人明知或应知会产生特定的损害结果,也不要求行为人明知或应知自己在行政法上的法定义务,而是要求行为人明知或应知违反行政法上义务的构成要件事实即可。〔6〕参见江必新:《论应受行政处罚行为的构成要件》,载《法律适用》1996 年第6 期,第4-6 页。以发生在事前和事中环节的违法处理个人信息行为为例,应当要求个人信息处理者的认识因素为明知或应知自己应承担的事前或事中法定义务的构成要件事实,其意志因素为积极追求或放任其发生。例如,《个保法》第13 条、第14 条、第27 条规定了个人信息处理者在处理个人信息前,应当获得个人或者其监护人的明确同意的义务。行为人的认识因素并非其明知或应知自己负有该种义务,而是明知或应知自己在处理个人信息前,如不做出具体的获求个人或其监护人同意的行为则会违反该法定义务。在意志因素上,要求行为人积极追求或放任在处理个人信息前,不向个人或其监护人获求同意的行为的发生。

再如,《个保法》第24 条第1 款规定,个人信息处理者利用个人信息进行自动化决策时,负有不得对个人实行不合理的价格差别对待的义务。行为人的认识因素并非其明知或应知自己负有该种禁止性义务,而是明知或应知自己在利用个人信息进行自动化决策时,如果对个人实行不合理的价格差别对待则会违反该义务。在意志因素上,要求行为人积极追求或放任在利用个人信息进行自动化决策时,对个人实行不合理的价格差别对待的行为的发生。由此,通过综合考察个人信息处理者的主观状态,可使执法者基于行为人主观上的过错程度适配相当的行政处罚。

(二)“情节严重”的认定

在个人信息保护方面,《网络安全法》《数据安全法》也规定了对情节严重的侵害个人信息行为给予加重处罚,但对情节严重的参考因素和认定标准并未进一步释明。“应受行政处罚行为得以参照犯罪论体系进行判定,源于对法律保留、比例原则和人格尊严等宪法价值的遵循。”〔7〕李晴:《犯罪论体系对应受行政处罚行为的可参照性》,载《法学》2022 年第4 期,第36 页。因此,建议可以参照刑事领域的相关解释,在未来的实施细则中进一步明确违法处理个人信息“情节严重”的情形,以防范乃至避免高额罚款制度被任意地扩大解释与适用。在此需要说明的是,对行政处罚语境下违法处理个人信息“情节严重”的理解,并非只是简单地套用刑法关于侵犯公民个人信息罪有关“情节严重”“情节特别严重”的规定,而应理解刑法上该罪所保护的法益,尊重已有刑法个人信息保护体系,最终形成符合法秩序统一理念的“行政法—刑法”有机联动的个人信息分级保护框架。

我国《刑法》第253 条之一规定了“侵犯公民个人信息罪”,并规定了“情节严重”和“情节特别严重”两个加重处罚情节。最高人民法院、最高人民检察院联合发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)第5 条列举了“情节严重”的9 种情形和“情节特别严重”的3 种情形,以上12 种情形可以从“行为加重”和“结果加重”两个角度加以分类,主要考虑的因素包括信息类型和数量、违法所得数额、信息用途、主体身份、前科情况等。对同一行为而言,认定为行政违法行为的标准要低于认定为犯罪行为的标准。因此可以参考《解释》第5 条有关“情节严重”和“情节特别严重”的标准,降低其中行为加重和结果加重的程度,从而制定作为行政违法行为的“情节严重”和“情节特别严重”标准。在借鉴刑法已有规定,认定何为此处的“情节严重”时需注意:《解释》和《个保法》对敏感个人信息的内涵和分类有所不同。《解释》第5 条第1 款第3 项和第4 项区分了两种敏感个人信息,并规定了不同的入罪标准。一种是行踪轨迹信息、通信内容、征信信息、财产信息等高度敏感个人信息,另一种是住宿信息、通信记录、健康生理信息、交易信息等次级敏感个人信息。〔8〕参见周加海等:《〈关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释〉的理解与适用》,载《人民司法(应用)》2017 年第19 期,第34 页。《个保法》第28 条则将敏感个人信息解释为“一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息”。本文认为,所谓个人信息的敏感性,归根结底取决于该信息在特定社会环境下体现了何种程度的人格价值和经济价值。因此“敏感个人信息”的内涵,本质上是处于动态变化中的。因此从《个保法》的范畴出发,可以借鉴《解释》中高度敏感个人信息和次级敏感个人信息的分类标准,采取概括而非列举的方式,以便为未来敏感个人信息内涵的变化留下空间。本文以违法向他人出售或提供公民个人信息的行为为例进行说明,作为行政违法行为的“情节严重”,从“行为加重”的角度可以设定为3 种:(1)出售或者提供行踪轨迹信息,被他人用于违法行为的;(2)知道或者应当知道他人利用个人信息实施违法行为,向其出售或者提供的;(3)二年内曾因违法处理个人信息受过行政处罚,又非法获取、出售或者提供个人信息的。从“结果加重”的角度,可以将“情节严重”设定为5 种:(1)非法获取、出售或者提供高度敏感个人信息三十条以上的;(2)非法获取、出售或者提供次级敏感个人信息三百条以上的;(3)非法获取、出售或者提供第一项、第二项规定以外的个人信息三千条以上的;(4)违法所得三千元以上的;(5)将在履行职责或者提供服务过程中获得的个人信息出售或者提供给他人,数量或者数额达到第一项至第四项规定标准一半以上的。

此外,虽然《个保法》等法律中没有规定“情节特别严重”的情形,但现实可能会发生因违法处理个人信息行为导致人身伤害或较为严重的经济损失和社会影响等结果。因此本文主张在后续的实施细则中参照《解释》第5 条,在“情节严重”的基础上增加“情节特别严重”的规定。《数据安全法》第45 条规定了“违反国家核心数据管理制度,危害国家主权、安全和发展利益的,由有关主管部门处二百万元以上一千万元以下罚款”,可以将该条款作为情节特别严重的情形之一。综合而言,“情节特别严重”可以包括以下四种情形:(1)造成被害人轻伤以上后果的;(2)造成较大经济损失或者较坏社会影响的;(3)违反国家核心数据管理制度,危害国家主权、安全和发展利益的;(4)数量或者数额达到前款规定标准五倍以上的。

二、违法处理个人信息高额罚款“双罚制”的处罚对象

传统行政处罚理论认为,针对单位的行政处罚,并不牵涉单位直接负责的主管人员或其他直接责任人员。但随着市场经济的发展,诸多单位主体日益深入公共空间并彼此交融,部分单位的违法行为将造成极大的社会风险。因此在我国行政处罚领域,“双罚制”理论开始得到越来越多的运用,在处罚单位的同时,一并处罚单位直接负责的主管人员或其他直接责任人员,将行政处罚的威力穿透违法责任主体,直达行为人。〔9〕参见谭冰霖:《单位行政违法双罚制的规范建构》,载《法学》2020 年第8 期,第127 页。虽然新修订的《行政处罚法》没有单独规定单位违法的双罚制,但我国《网络安全法》第64 条和《数据安全法》第45 条对违法处理个人信息行为规定了双罚制,《个保法》第66条第2 款也规定,对其直接负责的主管人员或其他直接责任人员“处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人”,这充分说明我国个人信息保护行政监管执法领域已经完全认可“双罚制”。

(一)对单位“直接负责的主管人员和直接责任人”的行政处罚

对于高额罚款“双罚制”的构成要件,《个保法》第66 条第2 款的立法思路体现为,作为个人信息处理者的单位和“直接负责的主管人员或其他直接责任人员”受行政处罚的违法前提要件一致,同时“直接负责的主管人员或其他直接责任人员”的行政处罚不需要其他附加条件。

我国《网络安全法》《数据安全法》《个保法》对实施侵害个人信息违法单位的自然人的处罚范围相同,都限于直接负责的主管人员和直接责任人,也都区分不同情节下自然人承担不同的行政责任,〔10〕《数据安全法》将自然人承担行政责任的情节区分为一般情况和拒不改正或造成大量数据泄露等严重后果两种。这种情节上的区分有助于形成行政责任划分的不同梯度,符合违法行为与行政责任、行政处罚相适应的原则。需注意的是,三部法律罚款的设定方式均采数据数值式,但罚款金额上限不断提高。《网络安全法》规定罚款为1 万元以上10 万元以下;《数据安全法》则规定,对于拒不改正或者造成大量数据泄露等严重后果的,罚款为5 万元以上20 万元以下;《个保法》进一步提高了罚款金额的上限,规定情节严重的,罚款金额为10 万元以上100 万元以下。可以发现,从《网络安全法》到《个保法》,罚款金额上限从10 万元提高到了100 万元。我国现行法律对单位违法行为中自然人的罚款额度最高为50 万元,〔11〕例如,《固体废物污染环境防治法》第108 条、《反恐怖主义法》第83 条。与现行法律规定的罚款上限相比,《个保法》中将自然人罚款上限设定为100 万元,体现了高额罚款的特征。这种趋势体现了立法者愈加强调侵害个人信息的社会危害性,加大在单位违法行为中对自然人的处罚力度。

在此需要特别指出的是,《个保法》第52 条规定了个人信息保护负责人制度,规定了处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动及采取的措施等进行监督。我国的“个人信息保护负责人”与欧盟《通用数据保护条例》中的“数据保护官”功能相似,但是,对于“个人信息保护负责人”在个人信息处理者中具体处于何种地位、承担哪些具体职责及法律责任并未予以细化规定。因此,在违法处理个人信息的双罚制法律适用过程中,是否将“个人信息保护负责人”纳入“直接负责的主管人员或其他直接责任人员”涵摄的范围,还有待进一步探讨。

(二)作为高额罚款执法重点的大型网络平台企业

行政处罚的执法实践中,大型网络平台企业是违法处理个人信息造成严重后果的主要侵害人。在未来制定违法处理个人信息高额罚款的实施细则中,应当细化对大型网络平台企业及其“直接负责的主管人员和直接责任人”的高额罚款处罚规定。

数字革命使得大型网络平台企业相对自然人越发取得技术上的绝对优势。大型网络平台企业凭借其资本与日益迭代更新的人工智能及算法,可以更加便捷地实施个人信息收集与利用行为,而且,资本的逐利性会力图使个人信息的商业价值性得到最大程度展现。〔12〕参见孙莹:《大规模侵害个人信息高额罚款研究》,载《中国法学》2020 年第5 期,第108 页。大型网络平台企业的以上特点使得其符合“准公共服务产品提供者”的身份,个人信息则成为大型网络平台企业业务的重要组成部分,一旦其实施违法处理个人信息行为(包括不履行个人信息保护义务),不仅会侵害众多的个人信息权益,也会对网络市场的公平性和国家网络安全产生直接影响。因此大型网络平台企业及其“直接负责的主管人员和直接责任人”对于个人信息保护应当承担更多的义务,如果其不履行个人信息保护的特定义务,则应属于高额罚款的处罚对象。

现有个人信息保护领域的法律并未无本文所称的“大型网络平台企业”的定义,因此需要进一步予以说明。欧盟《数字市场法》中对“守门人”及其义务的规定在此具有借鉴和启发意义。欧盟《数字市场法》重点关注大型网络平台企业的影响力,并明确规定了大型网络平台的定义及其个人信息保护的“守门人”义务。〔13〕欧盟《数字市场法》将大型网络平台企业定义为核心平台服务者(Core рlatform service),核心平台服务内容包括网上中介服务、在线搜索引擎、在线社交网络服务、视频分享平台服务、广告服务、号码独立的人际沟通服务、操作系统、云计算服务等。特定的核心平台服务者将被认定为“守门人”(Gatekeeрer)。参见刘颖:《我国〈个人信息保护法〉中的“守门人”条款》,载《北方法学》2021年第6 期,第76-77 页。《数字市场法》通过市场影响力加企业规模的方式规定了“守门人”的定义,并授权欧盟委员会可以根据市场和技术发展定期调整“守门人”的数值阈值。〔14〕市场影响力包括对内部市场有重大影响、经营一项核心平台业务、具有稳固和持久的行业地位三项。企业规模则包括:1.所属企业在过去三个财政年度的欧洲经济区年营业额等于或超过65 亿欧元,或所属企业在过去一个财政年度的平均市值或等值公平市场价值至少达到650 亿欧元,并在至少三个成员国提供核心平台服务;2.它提供的核心平台服务的月活跃终端用户超过4500万,或者它位于联盟内,上一财政年度在联盟内建立的年活跃企业用户超过1 万人;3.在过去三个财政年度中每年都达到了第2 项的门槛。参见欧盟《数字市场法》第3 条。通过规定“守门人”具体应遵守的积极义务和禁止性义务,〔15〕参见欧盟《数字市场法》第5 条、第6 条;张新宝:《互联网生态“守门人”个人信息保护特别义务设置研究》,载《比较法研究》2021 年第3 期,第20 页。意图削弱和遏制“守门人”对个人用户和其他企业产生的优势地位。对此,《个保法》第58 条将具有特定个人信息保护义务的主体限定为提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,这一概念正契合了本文所说的大型网络平台企业。在具体认定上,可以采用市场影响力加企业规模的综合认定方式,而企业规模的具体数值则可参考我国对信息技术服务业中的大型企业的规模认定,以年度营业额超过1 亿元为标准。〔16〕参见孙莹:《大规模侵害个人信息高额罚款研究》,载《中国法学》2020 年第5 期,第123 页。

三、违法处理个人信息高额罚款执法主体的确定

《个保法》第66 条第2 款将高额罚款执法主体限定为省级以上履行个人信息保护职责的部门。通过梳理发现,高额罚款执法主体层级的限定在《个保法》整个起草过程中经历了从无到有的变化。〔17〕在2020 年10 月《个保法》第一次审议草案中,第62 条第2 款规定,“有前款规定的违法行为,情节严重的,由履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款”,该草案对高额罚款的执法主体仅规定为履行个人信息保护职责的部门。在2021 年4 月《个保法》第二次审议草案中,第65 条第2 款直接沿袭了第一次审议草案第62 条第2 款的规定,同样未限定高额罚款执法主体的层级。目前仍无明确信息说明将高额罚款执法主体层级限定为省级以上这一修改出现的具体时间,但根据全国人大常委会公报的内容进行推测,这一修改可能出现在两个时间节点,即2021 年7 月28日和2021 年8 月17 日。〔18〕2021 年7 月28 日,宪法和法律委员会召开会议,对《个保法》进行审议,同一天,法制工作委员会也召开会议,邀请部分全国人大代表、专家学者以及基层立法联系点、地方有关部门、企业等方面的代表就《个保法》草案进行评估。这两个会议对《个保法》草案进行修改并形成了《个保法》第三次审议稿。8 月17 日下午,全国人大常委会对《个保法》第三次审议稿进行分组审议,8 月17 日晚,宪法和法律委员会召开会议,逐条研究常委会组成人员的审议意见,并提出新的修改意见。经过7 月28 日和8 月17 日两次修改后,2021 年8 月20 日,全国人大常委会第三十次会议审议并通过了《个保法》。参见江必新:《全国人民代表大会宪法和法律委员会关于〈中华人民共和国个人信息保护法(草案)〉修改情况的汇报》,载《全国人民代表大会常务委员会公报》2021 年第6 号,第1131-1133 页;《全国人民代表大会宪法和法律委员会关于〈中华人民共和国个人信息保护法(草案三次审议稿)〉修改意见的报告》,载《全国人民代表大会常务委员会公报》2021 年第6 号,第1133-1134 页。2021 年8 月20 日公布的《个保法》第66 条第2 款已经修改为,“有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款”。该条款明确将高额罚款执法主体限定为省级以上履行个人信息保护职责的部门。

(一)确定违法处理个人信息高额罚款执法主体的法律依据和标准

根据《个保法》第60 条的规定,所谓履行个人信息保护职责的部门,包括网信部门、国务院中负责个人信息保护和监管的部门、县级以上地方政府中负责个人信息保护和监管的部门。其中,网信部门的范围明确,此处不再赘述,而国务院中负责个人信息保护和监管的部门的范围则较为宽泛。2018年国务院机构改革后,现行的国务院建制除了国务院办公厅之外,还设置有26 个组成部门。显然,这26 个国务院部门均可能在各自职责的范围内涉及个人信息保护和监管,在特定领域都可被解释为“履行个人信息保护职责的部门”,如中国人民银行、发改委、工信部、工商行政管理部门(市场监督管理局)、公安机关等。就县级以上地方政府中负责个人信息保护和监管的部门而言,其范围也同样很宽泛。根据我国法律法规和部门规章的规定,县级以上统计机构,〔19〕参见《统计法》第39 条,《统计执法监督检查办法》第46 条,《新闻出版统计管理办法》第28 条、第35 条。县级以上测绘地理信息主管部门,〔20〕参见《测绘法》第65 条,《地图管理条例》第35 条、第47 条。县级以上卫生行政部门、卫生健康主管部门、卫生计生行政部门,〔21〕参见《结核病防治管理办法》第35 条、《基本医疗卫生与健康促进法》第102 条、《涉及人的生物医学研究伦理审查办法》第46 条。县级以上旅游行政管理部门,〔22〕参见《旅行社条例实施细则》第65 条。县级以上建设(房地产)主管部门〔23〕参见《房地产经纪管理办法》第25 条、第37 条。等都具有针对侵害个人信息行为的行政处罚权。

可以发现,在我国的法律法规和部门规章中,对违法处理个人信息行为具有行政处罚权的执法主体十分广泛。在众多的执法主体中,如何明确高额罚款的执法主体就成为亟待解决的问题。《个保法》第66 条根据违法行为的情节轻重实施分级处罚制度,即区分为一般情节与情节严重。对本条第1 款中针对一般违法行为的执法主体即履行个人信息保护职责的部门之范围的理解,应包含前述所有主体,但对本条第2 款针对情节严重的违法行为的执法主体则应做限缩解释。遵循行政法定原则,《个保法》第66 条为高额罚款执法主体的选择提供了法律依据和标准(表1)。

表1 违法处理个人信息高额罚款执法主体的法定标准

根据标准一,高额罚款的执法主体本身并非违法行为人的主管部门,而上文中列举的信息产业主管部门、征信业监督管理部门及其派出机构、中国人民银行或其分支机构、银保监会及其派出机构等部门均为具体行业的主管部门,因此以上部门不能成为高额罚款的执法主体。通过排除法,剩下市场监督管理部门、公安机关、国家安全机关、网信部门四个部门可供选择。

根据标准二,高额罚款的执法主体应具有责令改正、警告、没收违法所得、责令暂停相关业务、停业整顿、罚款、从业禁止等行政处罚权,但没有吊销相关业务许可或者吊销营业执照的处罚权。《治安管理处罚法》第10 条规定,公安机关有吊销公安机关发放的许可证的处罚权。依据有关法规和规章的规定,公安部计算机管理监察部门负责计算机信息系统安全专用产品销售许可证的发放,〔24〕参见《计算机信息系统安全保护条例》第16 条,《计算机信息系统安全专用产品检测和销售许可证管理办法》第5 条,《计算机病毒防治管理办法》第19 条。因此公安机关不符合标准二。根据《国家安全法》和《反间谍法》的规定,国家安全机关有搜查、没收和行政拘留的职权,但并无责令改正、警告、责令暂停相关业务、停业整顿等职权,因此国家安全机关同样不符合标准二。至此,符合我国现行法律规定的违法处理个人信息高额罚款的执法主体,只有市场监督管理部门和网信部门。

根据标准三,高额罚款的执法主体的行政罚款金额可达一百万元(一般情况),也可达五千万元以下或者上一年度营业额百分之五以下(情节严重)。目前法律对该标准的适用主体存在模糊之处。例如,根据《电子商务法》第79 条规定,“电子商务经营者违反法律、行政法规有关个人信息保护的规定,或者不履行本法第三十条和有关法律、行政法规规定的网络安全保障义务的,依照《中华人民共和国网络安全法》等法律、行政法规的规定处罚”。但《网络安全法》第64 条却规定,侵害个人信息行为的“由有关主管部门责令改正”。所以两部法律都没有明确规定高额罚款究竟应该是由市场监督管理部门还是由网信部门实施。

本文认为,省级以上网信部门作为违法处理个人信息高额罚款执法主体具有充分的合理性,详见下文的分析。

(二)省级以上网信部门作为违法处理个人信息高额罚款执法主体的合理性

如上所述,通过对《个保法》第66 条的分析,可以将侵害个人信息高额罚款的执法主体锁定在市场监督管理部门和网信部门二者之间。如何最终明确高额罚款的执法主体,则需要站在推进国家机构职能优化协同高效的立场,具体根据执法主体的定位加以判断。

1.网信部门更符合高额罚款执法主体的定位

网信部门作为违法处理个人信息的高额罚款执法主体,符合推进国家机构职能优化协同高效的要求。《中共中央关于深化党和国家机构改革的决定》提出,国家机构职能优化协同高效是推进国家治理体系和国家治理能力现代化的基本原则之一。所谓优化就是科学合理、权责一致。高额罚款执法主体的确定要遵从科学合理和权责一致,并“坚持一类事项原则上由一个部门统筹、一件事情原则上由一个部门负责,避免政出多门、责任不明、推诿扯皮”。〔25〕王晓晖:《坚持优化协同高效推进党和国家机构改革》,载《人民日报》2018 年3 月19 日,第8 版。高额罚款执法主体本身的职责不应仅限于罚款,因为高额罚款执法主体的定位应是负责违法处理个人信息行为预警、调查、事实认定、提出处理意见和作出行政处罚等一系列行政活动的机关,并且它还能够打通党政机关之间界限,既增强党的领导力,又提升政府的执行力。

从该定位出发,与市场监督管理部门相比,网信部门更适合成为违法处理个人信息高额罚款的执法主体。其一,网信部门本身产生的时间较短,仍处在发展的过程中,其法律地位和职权相对模糊,但这也使得网信部门具有较强的可塑性,有利于破旧立新。市场监督管理部门的职能决定了其本身更侧重维护市场公平而非维护个人信息保护和网络安全,而后两者恰恰是设立网信部门的目标。其二,市场监督管理部门在政府序列中没有直接对应的党的机构,因此不利于打通党政机关之间界限。而网信部门不仅存在于政府序列中,即国家网信办,还有对应的党的机构,即中央网信办,两者合署办公。同时,国家网信办和中央网信办又受中共中央网络安全和信息化委员会领导,由此可见,由网信部门作为高额罚款执法主体更有利于直接加强党对网络安全领域工作的领导作用。

2.应在网信部门和其他部门之间建立完善的联合执法机制

明确网信部门作为违法处理个人信息高额罚款的执法主体,并不意味着排斥国务院中负责个人信息保护和监管的部门、县级以上地方政府中负责个人信息保护和监管的部门。应该建立以网信办为牵头单位,其他部门共同参与的联合执法机制。

尽管本文主张将网信部门作为高额罚款的执法主体,但并不因此否认市场监督管理部门和其他部门享有除高额罚款以外的其他行政执法权。由于社会治理事项本身的复杂性和内部联系性,各部门之间存在管理事务和职权交叉是难以避免的。侵害个人信息的行为人往往是大型网络平台,所涉及的违法行为还可能同时包括运营资质审批、不正当市场竞争等问题,可能涉及多部门的管辖领域,因此客观上也需要多部门联合执法。例如,在2021 年针对“滴滴出行”的网络安全审查中,除国家网信办外,还有公安部、国家安全部、自然资源部、交通运输部、税务总局、市场监管总局六部门联合参与。国家层面也明确了国家网信办与国家发改委等11 个部门建立网络安全审查工作机制。〔26〕参见《网络安全审查办法》第4 条。因此,在明确网信部门为高额罚款执法主体的基础上,需要建立针对侵害个人信息行为的有效协同的联合执法机制。在这一机制中,网信部门作为牵头单位负责联合调查的组织协调工作,其他部门根据各自管辖领域和执法权限参与其中,进而实现统筹协调,各司其职。

此外,高额罚款执法主体的确定要实现履职到位、流程顺畅。确立网信部门作为高额罚款执法主体的地位并建立联合执法机制,两者的最终目标是实现对侵害个人信息行为的高效处理,提高行政体制的运行效率“也要靠简化中间层次、减少管理层级、加强流程公开透明等”。〔27〕王晓晖:《坚持优化协同高效推进党和国家机构改革》,载《人民日报》2018 年3 月19 日,第8 版。因此,明确网信部门的高额罚款执法主体地位后,还要解决网信部门的层级管辖和地域管辖问题。

3.省级以上网信部门均享有违法处理个人信息的高额罚款执法权

我国的网信部门以行政层级为标准划分为中央和地方共四级,即中央网信部门、省级网信部门、地市级网信部门和县级网信部门。本文主张将省级以上网信部门作为违法处理个人信息高额罚款的执法主体。

由于我国互联网发展呈现多中心分布的特征,明确省级以上网信部门作为高额罚款执法主体可以兼顾执法的有效性和统一性。第一,如果仅将高额罚款执法权赋予中央网信部门,则导致执法权层级设定过高、执法力量过度集中,不利于对各地发生的违法处理个人信息行为及时做出反应,影响执法的有效性。第二,如果将高额罚款处罚权赋予地市级和县级网信部门,则执法层级设定过低、执法力量过于分散,不利于对违法处理个人信息行为确定统一执法标准。一则基层执法机关缺乏足够的执法力量调查大型互联网企业复杂的违法处理个人信息行为,二则各地方在产业发展中容易存在地方保护主义。我国地市级和县级政府数量众多,各地方容易将高额罚款作为地方保护的工具,或对本地区违法处理个人信息行为消极执法,或对其他地区违法处理个人信息行为过度执法。〔28〕参见马怀德:《地方保护主义的成因和解决之道》,载《政法论坛》2003 年第6 期,第157 页。一旦将高额罚款执法权下放至地市级和县级网信部门,中央将难以监督众多地方网信部门的高额罚款行为,不利于法制统一。第三,省级以上网信部门有较强的执法能力,有利于执法资源的相对集中。通过对中国互联网前100 名企业进行统计可以发现,90%的企业登记地都位于直辖市或省会城市。〔29〕其具体分布情况为:北京38 家、上海18 家、广州7 家、深圳6 家、杭州4 家、南京3 家、济南3 家、成都3 家、武汉2 家、无锡2 家、福州2 家,天津、苏州、长沙、芜湖、合肥、贵阳、重庆和哈尔滨各1 家。关于这100 家互联网企业的名称,参见《中国互联网企业综合实力研究报告(2020)》,来源:httрs://хw.qq.com/amрhtml/20201102A09F7Q00,2021 年7 月28 日访问。关于这100 家互联网企业的城市分布,参见《中国互联网百强企业城市分布》,来源:httрs://www.sohu.com/a/433068954_760428,2021 年7 月28 日访问。省级网信部门所在地也都位于直辖市或省会城市,这样在调查和处理企业违法行为时就能减少中间过程的损耗,节约执法资源。第四,将执法主体层级限定在省级以上网信部门有利于实现对高额罚款执法权的有效监督。由于省级网信部门的数量有限,国家网信部门可以对32 个省级网信部门实施有效监管。并且,省级网信部门的级别相对较高,受到的监督更多,客观上更能够约束其滥用执法权的冲动。因此,鉴于我国违法处理个人信息高额罚款制度仍处于初步实践阶段,为了兼顾执法有效性和法制统一性,将高额罚款处罚权限定在省级以上网信部门具有充分的合理性。

(三)国家网信部门和省级网信部门的层级管辖

省级以上网信部门包括国家网信部门和省级网信部门,因此有必要对两级网信部门的管辖权限进行讨论。随着国家加大对大型网络平台企业的审查,相关案件的执法情况可以为两级网信部门的管辖权划分提供实践参照(表2)。

表2 近两年被处罚或审查的大型网络平台企业及执法主体

以上六家企业的登记地分别位于杭州、北京、深圳、天津和南京等省会城市、副省级城市或直辖市,阿里巴巴、美团和腾讯为港股上市企业,其余三家为美股上市企业。六家企业都具有互联网运营资质且用户规模巨大,属于关键信息基础设施运营者,其涉嫌的违法行为包括滥用市场支配地位、侵害个人信息、危害国家网络安全等。由于对它们的审查具有全国政策导向性,所以均由中央级别的执法机关而非地方执法机关进行处理。究其原因,一方面,由于上市是互联网企业获得融资的最主要渠道,一旦企业上市,意味着其获得了更广泛的社会影响力,对于在国外上市的互联网企业,由于东道国可能设置各种针对性审查条件,如果接受这些条件则可能会导致我国个人信息的泄露,威胁国家网络安全;另一方面,关键信息基础设施运营者是指经营公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者泄露数据,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施的企业。因此,由实践可见,上市企业和关键信息基础设施运营者的身份是引发中央级别执法机关进行执法的重要原因。

综上,可以得出国家网信部门和省级网信部门管辖权的区分标准,即该大型网络平台企业是否为上市企业及其是否为关键信息基础设施运营者。如果在大陆或港股上市的企业或关键信息基础设施运营者涉嫌实施违法处理个人信息行为,由国家网信部门负责处理。非上市企业和非关键信息基础设施运营者实施违法处理个人信息行为则由各省级网信部门负责处理。对于已经在国外上市的企业,如涉及违法处理个人信息行为,由国家网信部门负责处理。对于准备在国外上市的企业,则预先由国家网信办的网络安全审查办公室组织对其进行审查,并报中央网络安全和信息化委员会批准后方可在国外上市。〔30〕参见《网络安全审查办法》第13 条。

四、违法处理个人信息高额罚款责任与其他法律责任的关系

(一)违法处理个人信息高额罚款的法条竞合

我国《网络安全法》《数据安全法》《个保法》等法律从各自角度规定了侵害个人信息行为的行政责任,并规定了不同的行政处罚。当同一侵害个人信息的行为触犯数个法律,并应承担多种行政责任时,便有可能产生行政罚款竞合问题。

根据行政法“一事不再罚”的基本原理,同一违法行为不得遭受两次以上同类型的行政处罚。但由于原《行政处罚法》并未规定一个违法行为同时触犯多个法律规定、处罚标准不同的情形应如何处理,导致现实操作中出现许多问题。新修订的《行政处罚法》就此问题明确了罚款“就高”的规则。《行政处罚法》第29 条规定,“对当事人的同一个违法行为,不得给予两次以上罚款的行政处罚。同一个违法行为违反多个法律规范应当给予罚款处罚的,按照罚款数额高的规定处罚”。有文章指出罚款“就高”的具体适用规则,认为“就高”并非以具体执法的罚款数额为标准,而是以法律规范中罚款数额规定为标准;对于有固定数额的罚款,直接适用数额高的规定;对于有幅度的罚款,先比较罚款上限,适用罚款上限高的规定;没有罚款上限或者罚款上限一致的,适用罚款下限高的规定;对于形式上难以比较数额高低的,则需根据案情等实际情况作出判断。〔31〕参见黄海华:《新行政处罚法的若干制度发展》,载《中国法律评论》2021 年第3 期,第57 页。但通过比较具体法条可以发现,将罚款“就高”规则适用于侵害个人信息行为会面临更为复杂的判断过程。假设侵害个人信息的行为同时违反《网络安全法》《数据安全法》《个保法》中的规定,则会发生法条竞合的问题。而三部法律对行政罚款金额的规定各不相同(表3)。

表3 侵害个人信息行为的单位罚款金额的规定

通过比较可以发现,《网络安全法》没有区分情节,而是根据有无违法所得来明确罚款金额,即倍率数据式。《数据安全法》《个保法》则区分情节和后果,根据情节和后果轻重适用不同档的金额,即数值数据式。由于以上条款对罚款金额的确定规则各不相同,因此属于上文罚款“就高”规则中的“形式上难以比较数额高低”的情况。为最终明确三部法律中哪个条款罚款金额最高,则需结合具体案情,查明侵害个人信息行为是否有违法所得、侵害的自然人人数、是否造成严重后果、情节是否严重以及是否危害国家主权、安全和发展利益等因素,选择具体对应的罚款金额条款方可进行比较。

(二)高额罚款行政责任与民事责任、刑事责任的关系

除行政罚款外,违法处理个人信息行为可能因同时违反民事、刑事法律规定,而承担民事赔偿并被科以刑事罚金。在刑事责任上,侵害个人信息行为可能触犯《刑法》 第253 条关于“侵犯公民个人信息罪”和第286 条关于“拒不履行信息网络安全管理义务罪”的规定。在民事责任上,《个保法》第69 条规定“处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任”,该条款明确了侵害个人信息行为需承担民事侵权责任。除自然人提出的民事诉讼外,有关行业组织和检察院也可以提出侵害个人信息的民事公益诉讼,例如《个保法》第70 条和《深圳经济特区数据条例》第98 条都规定了侵害个人信息民事公益诉讼条款。虽然侵害个人信息公益诉讼目前并未规定惩罚性赔偿,但由于我国的立法趋势正倾向于扩大惩罚性赔偿的适用领域,因此可以预见未来的侵害个人信息民事公益诉讼也可能增加惩罚性赔偿的规定。〔32〕参见江帆、朱战威:《惩罚性赔偿:规范演进、社会机理与未来趋势》,载《学术论坛》2019 年第3 期,第65-66 页。如此,侵害个人信息行为的违法主体将同时面临个人损害赔偿、惩罚性赔偿、高额行政罚款和刑事罚金四项赔偿和罚款。因此理解与适用《个保法》第66 条第2 款,就应考虑到当违法主体的财产不足以同时支付民事赔偿、高额行政罚款和刑事罚金时,如何明确高额罚款行政责任与民事责任、刑事责任的关系。

1.高额罚款行政责任和民事责任并存时应坚持民事责任优先原则

我国民法理论认为,从对私权利优先保护的角度出发,及时弥补受害人损失为优,所以民事责任的承担优先于行政责任的承担,我国法律也早已确认该原则。〔33〕例如《合伙企业法》第106 条规定,“违反本法规定,应当承担民事赔偿责任和缴纳罚款、罚金,其财产不足以同时支付的,先承担民事赔偿责任”;《消费者权益保护法》第58 条规定,“经营者违反本法规定,应当承担民事赔偿责任和缴纳罚款、罚金,其财产不足以同时支付的,先承担民事赔偿责任”;《民法典》第187 条规定,“民事主体因同一行为应当承担民事责任、行政责任和刑事责任的,承担行政责任或者刑事责任不影响承担民事责任;民事主体的财产不足以支付的,优先用于承担民事责任”。本文认为,在处理侵害个人信息案件中,同样要坚持民事责任优先于行政责任的基本原则。高额罚款的设计初衷是为了给侵害个人信息行为的违法主体施加足够的威慑,最终保护个人信息权益,如果高额罚款的承担优先于民事责任的承担,则属本末倒置。

2.建议创设个人信息保护基金

此外,目前实践中行政机关普遍选择优先执行行政罚款,违法主体大多无力再支付民事赔偿,导致民事责任优先原则难以落实。针对该问题,学界曾提出一些程序上的调整建议,包括将民事赔偿责任纳入行政罚款责任的确定范围、将行为人的民事赔偿能力纳入行政罚款的缓减免事由、将民事赔偿权利人纳入行政罚款执行程序的案外人等。〔34〕参见李明发:《论民事赔偿责任优先原则的适用——我国〈侵权责任法〉第4 条第2 款规定之解读》,载《南京大学学报(哲学·人文科学·社会科学)》2015 年第2 期,第51 页。但这些建议只是在现有的程序法框架内做细微调整,无法真正调和行政处罚与民事赔偿在执行时间上的显著差异。本文认为,针对此问题可以创设一个独立的个人信息保护基金,将行政高额罚款直接纳入其中。该基金独立负责管理和使用高额罚款,一旦违法主体的财产不足以支付民事赔偿,则可根据人民法院的决定,由基金填补民事赔偿不足的部分。这样一方面可以避免延长行政处罚的程序,另一方面能够有效执行民事赔偿。

3.高额罚款行政责任和刑事责任并存时遵从刑事责任优先原则

修订前的《行政处罚法》第22 条规定,“违法行为构成犯罪的,行政机关必须将案件移送司法机关,依法追究刑事责任”。该条文明确了行政责任和刑事责任竞合时刑事责任优先的原则。〔35〕参见胡建淼:《〈行政处罚法〉修订的若干亮点》,载《中国司法》2021 年第5 期,第57 页。由于现实案例中针对单位的罚金金额比较有限,远低于高额罚款的金额,而大型网络平台的财产大多能够足额缴纳罚金,因此行政责任和刑事责任出现竞合时,刑事责任多能得到完全执行,而行政责任只能在刑事责任执行后方可继续执行。

新修订的《行政处罚法》第27 条在此基础上增加一款,即“对依法不需要追究刑事责任或者免予刑事处罚,但应当给予行政处罚的,司法机关应当及时将案件移送有关行政机关”。该款规定表明,一旦侵害个人信息行为不需要追究刑事责任或免予处罚,也不影响其行政责任的承担。具体到本文,司法机关要将案件转交网信部门,后者依然可以对其进行行政处罚。

五、结语

《个保法》第66 条规定了个人信息处理者违反本法规定处理个人信息或者处理个人信息未履行本法规定的个人信息保护义务时需要承担的行政责任,与该法规定的民事责任、行政责任等一起共同构成了较为完善的个人信息保护综合法律责任体系。该条注重多种行政处罚方式的综合适用,深化了单位和个人的行政处罚双罚制,同时延续以往立法,根据违法行为的情节轻重实施分级处罚制度,即区分为一般情节与情节严重。在针对情节严重的处罚上,本条规定处五千万元以下或者上一年度营业额百分之五以下罚款,即实施高额罚款,此举强化了行政执法,可以在一定程度上解决侵害人违法与侵权的低成本问题,并对个人信息处理者形成更强的威慑力。此种宽严相济的做法,充分体现了《个保法》既保护个人信息权益,规范个人信息处理活动,又促进个人信息合理利用的立法思想。但是,本条的规定仍然非常原则,为实现执法的规范化,应在理解该制度实施目标和任务的基础上,在以后的实施中通过细则等形式明确该责任的构成要件、执法主体、执法对象、执法标准和执法程序等内容。

猜你喜欢
高额网信罚款
我刊编辑参加网信工作培训会
浅谈推进网信军民一体化发展
乡村振兴战略背景下的农村高额彩礼治理路径探索
高额收益要谨慎,场外配资需辨明
建设网络强国,习近平在网信工作会上提出这些重大论断(下)
两部委联合发文加强网信领域社会组织建设
英国医生最高获得37.5万英镑的高额加班费
煤质超标企业将处3万元罚款
“罚款通告”与“收款指南”
罚款