●陈可翔
《个人信息保护法》围绕全环节、系统性的个人信息处理规则建立了配套的行政处罚制度,为以行政干预强化个人信息保护完善了法律依据。然而,在具体处罚实践中,针对哪些情形应当(可以)处罚,以及怎样处罚,目前仍未形成统一的标准,部分行政处罚面临过度介入私权纠纷化解、压缩社会自治空间及混淆内部法益构造等质疑,造成行政监管与私人自治边界的模糊。厘清个人信息权益保护为何必须要引入行政处罚制度,以及是否能够引入行政处罚制度等基础性问题对于回应上述质疑,明确行政处罚实施的目标和边界具有决定性影响,关系着行政处罚制度逻辑的确立,以及处罚对象、事由、场景、基准、程序等具体规范的构造。因此,本文从审视个人信息保护中行政处罚的实施基础出发,揭示相较于民法保护模式而言,引入行政责任机制保护个人信息权益的现实需求、目标指向和内在机理,并以此为基础,对相关领域行政处罚的制度逻辑展开讨论,明确行政处罚的组织模式、主要对象、具体场景、裁量尺度、程序规范等,探究个人信息保护行政处罚的规范体系构造。
当前,个人信息保护中实施行政处罚的对象、场景、情节、尺度等均存在较大差异,反映了执法部门对该领域行政处罚的功能定位、目标指向、实施边界等问题认识不一,实践中部分案例面临合法性、正当性质疑。
1.针对普通信息处理者的处罚正当性存疑。《个人信息保护法》第66 条明确规定了行政处罚适用对象为信息处理者,但并未对信息处理者作具体分类和细致规定。学界主要根据现有案例,将实践中作为处罚对象的信息处理者划分为互联网平台和普通信息处理者两种类型。互联网平台无疑是个人信息行政处罚制度实践的核心指向对象,普通信息处理者则主要指除了平台以外,从事传统销售、服务等日常生产经营活动的组织,以及掌握他人信息的个人。后者在实践中往往以非法采集人脸信息、存储个人信息数据、暴露个人隐私等形式侵犯个人信息权益而受到处罚。
如果说带有营利性的平台凭借对信息、技术等资源的占有在平台治理中实际行使公权力,却“没有受到传统与公权行使相匹配的严格审查”,〔1〕陈可翔:《互联网公共治理方式转型的行政行为法回应》,载《法学》2022 年第7 期,第61 页。是在个人信息保护制度体系中引入公法规则的现实动因,那么作为并不掌握技术、资源优势的普通信息处理者与个人的关系相对平等,又何以囿于侵犯个人信息权益引发的私权纠纷而成为行政处罚的对象?这难免使相关行政处罚案例的正当性遭受质疑。例如,江苏省淮安市公安局淮阴分局王营派出所以某乒乓球馆超越维护公共安全所需范围安装图像采集设备,却以未设置显著提示标志为由对其作出行政处罚;江苏省苏州市公安局工业园区分局以赵某某未告知并征得两位家政服务提供者同意,向李某某非法提供两位家政服务提供者的个人信息为由对其作出处罚;江苏省淮安市公安局淮阴分局刘老庄派出所以某餐饮店因正常业务需要,收集会员个人信息,但未制定内部管理制度和操作规程,没有定期对从业人员进行安全教育和培训为由对其作出处罚;江苏省邳州市公安局以某幼儿园在电脑WPS 软件内储存学生姓名、身份证号码等信息,未采取设置单独密码保护、个人专用账户等安全技术保护措施,不能有效防止信息泄露、丢失为由对其作出行政处罚;等等。〔2〕参见江苏省淮安市公安局淮阴公安分局淮阴公(营)行罚决字〔2022〕261 号行政处罚决定书,江苏省苏州市公安局工业园区分局园公(西)行罚决字〔2023〕1822 号行政处罚决定书,江苏省淮安市公安局淮阴公安分局淮阴公(刘)行罚决字〔2023〕29 号行政处罚决定书,江苏省邳州市公安局邳公(东)行罚决字〔2023〕1732 号行政处罚决定书。这些案例普遍存在的问题是普通的企事业单位、个人等信息处理者与信息主体处于相对平等的地位,其囿于上述侵权行为与信息主体形成平等主体间的民事关系,却又缘何成为个人信息保护中行政处罚的对象?这客观上导致个人信息保护制度在实施中背离了对抗数据权力,调和平台与用户不平等关系的规范初衷,引发相关领域行政处罚实施边界的争议。
2.行政处罚情形泛化内含的保护模式冲突。《个人信息保护法》的出台推动了行政处罚实施范围由消费者权益保护、网络安全风险控制等场景向更加复杂的场景拓展。〔3〕以往主要依据《消费者权益保护法》《网络安全法》等其他法律规范对违法采集、使用、泄露消费者个人信息、诱发信息泄露风险等行为作出处罚,其适用范围相对有限。经北大法宝最新检索发现,实践中行政机关以“违法收集存储泄露个人信息”“未经同意处理个人信息”“未采取安全保障措施”“超出信息合理使用范围”“未按照要求处理敏感信息”等为由对不同主体作出处罚的案例分别为160 余宗、130 余宗、50 余宗、20 余宗、40 余宗。尽管在同一案件中往往出现事由叠加,但这足以说明上述事由均已成为典型的个人信息违法处罚情形。
倘若将不同违法情形划分为“侵犯个人在信息处理活动中的权利”和“个人信息处理者未履行义务”两种类型。前一类型主要包含信息处理者未充分保障个人对信息的知情权、决定权、查阅权、复制权、更正权、补充权、删除权及救济权等权利的情形;后一类型主要指信息处理者违反个人信息保护法所设定的各项义务,包括违反作为义务和不作为义务的情形,如没有对个人信息采取相应的加密、去标识化等安全技术措施,未取得个人单独同意公开其处理的个人信息等。
由此带来的问题是,个人在信息处理活动中的权利是否必然为公法权利,信息处理者未履行义务产生的责任又是否必然为公法责任?事实上,《个人信息保护法》包含的私法规则不在少数,其在个人信息保护领域与公法规则形成共治格局,塑造了行政监管与民事救济两种保护模式,侵犯个人信息权利和违反个人信息处理者义务率先触发的可能仅仅是私法保护机制。而在个人可以通过私法保护请求停止妨害或寻求权利救济时,直接将行政处罚实施的场域向侵犯权利、未履行义务等各类情形延伸的公法保护模式必然遭遇正当性、合理性质疑。例如,在上述案例中,倘若经由信息主体向涉案乒乓球馆、餐饮店、幼儿园及个人提起民事救济能够有效督促其停止侵权并获得赔偿,则行政处罚实施缺乏相应的必要性。毕竟对于平等主体而言,私法自治的优势在于其能够让信息主体以其自由意志来决定法律关系的演变,发挥“同意”在个人信息处理各环节中的主导作用,彰显个人尊严和个人的自由发展,以及个人信息权益的主体性。故即便是平台未经同意处理个人信息、超出信息合理使用范围等,经由个人提出异议、沟通协商或寻求民事救济,其能够纠正自身的违法行为,是否对之进行处罚也需要进一步结合客观损害、违法所得、风险评估等其他要素加以考量。也即,公民可以直接就平台未经同意处理其个人信息获得民事救济时,不必然需要行政处罚手段的积极介入。个人信息保护法所确立的公私法融合保护模式并不是“大杂烩”,也不是在公法或私法保护之间进行随意性地选择适用,而是应当尽可能区分两者各自的适用边界。
1.难以缓解行政处罚与社会自治在个人信息保护领域的张力关系。《个人信息保护法》为多元主体共同参与个人信息保护提供了依据,〔4〕《个人信息保护法》第11 条规定,国家建立健全个人信息保护制度,预防和惩治侵害个人信息权益的行为,加强个人信息保护宣传教育,推动形成政府、企业、相关社会组织、公众共同参与个人信息保护的良好环境。并对信息处理者采取必要的安全措施,建立权利行使申请受理和处理机制,制定内部管理制度和操作规程,指定个人信息保护负责人;建立健全合规制度,制定平台规则,对管理服务提供者等义务加以规定,从而塑造了一个相对清晰的自治空间。社会自治的正当性基础或从部分个人信息权利让渡中体现,或从信息处理者的公共义务中证立。
然而,实践中监管部门发现信息处理者存在“未建立数据安全管理制度和操作规程”“未采取去标识化和加密措施”等情形时,往往直接作出警告、罚款、责令暂停提供服务等处罚,以侵权的潜在危险性为依据,直接取缔信息处理者的自治空间,造成自治与他治的边界模糊。对个人信息权益保护而言,“潜在的风险”是否必然成为引入行政监管以平衡不对等权利(权力)义务关系的正当性基础?对社会自治规律而言,自治规范缺位是否意味着自治失灵?作为最严厉的行政监管手段,实施行政处罚是否需以自治场域内个人信息权利束行使乏力为前提?这些疑问折射出行政处罚实施的启动条件不明,以及社会自治语境下行政权力介入信息处理者与个人关系的边界厘定不清。行政处罚在个人信息保护实践中的过早介入,与《个人信息保护法》所预设的共治格局相违背,加剧行政监管与社会自治之间的协调困难。
2.未能正视行政监管与社会自治在个人信息保护中的功效差异。个人信息保护中行政处罚的实施与社会自治的展开分别仰仗于国家行政权与社会公权力的行使,权力结构的分立与共治格局的生成决定了行使两种权力在回应个人信息保护诉求方面存在较大区别。一是,部分信息处理者占有信息、技术等普通私主体所不掌握的资源是社会公权力产生和运行的基础,其凭借专业技术、流程控制等优势,能够更加高效、便捷、准确地回应个人信息保护诉求,应对复杂的个人信息侵权场景。二是,信息处理者往往以满足个人信息流转追求的更大收益为指向,需要兼顾个人信息利用与个人信息保护双重任务,从而在行使权力时并不单纯以个人信息权益保护为价值目标,而是同时强调打通信息壁垒、提升服务效能等,这与行政权介入个人信息保护的单一性目标存在显著差异。三是,以平台为代表的信息处理者可以行使权力,直接对平台内的服务提供者侵犯个人信息权益予以惩戒,而在相同情形下,通过对平台实施行政处罚难以实现上述理想的成效,甚至引发关于处罚对象适格性的质疑。
可见,实践中相关行政处罚试图以行政权的介入,缓解社会自治缺位造成的个人信息保护成效不佳,却忽视了不同性质的权力在实际应用中的功效差异,也造成了权力结构的失衡。尤其是当行政机关通过高额罚款对平台等信息处理者怠于履行自治义务的行为加以处罚时,会出现平台将高额罚款转移由用户承担的情形。
结合个人信息权益的内部结构、不同行政处罚法律依据的价值倾向,以及不同行政处罚措施和尺度的选择适用来看,现有的行政处罚实践尚未理顺个人信息保护内部复杂化的法益构造。
1.不同处罚种类和幅度的选择缺乏明确性。个人信息保护相关法律规范所设定的警告、没收违法所得、责令暂停或者终止提供服务、罚款等不同种类的处罚在实践中均得到广泛应用。然而,究竟何种违法行为要受到何种处罚,其对应的幅度如何确定随即成为备受学界关注的问题。信息处理者多数为大型互联网平台,引领着新兴产业的发展和拥有数量庞大的用户群体,故处罚种类和幅度的选择既要考虑与违法情节相适应,也要兼顾处罚对社会的负面影响。规则的抽象性、概括性规定降低了行政处罚实施的清晰度,其赋予了监管部门充分的自由裁量权,也导致处罚的基准不一,模糊了处罚的介入条件和弱化了其可预期性,造成公益保护与私益救济之间的失衡,背离国家履行个人信息保护义务对法定依据、裁量基准明确性的要求。
2.行政处罚依据选取存在较大分歧。经北大法宝检索发现,从《个人信息保护法》实施到2023年7 月20 日,个人信息行政处罚案件共有1100 余件,其中大多适用了《网络安全法》《数据安全法》《消费者权益保护法》等法律规范,适用《个人信息保护法》的仅有146 件。可见,目前监管部门对相关领域行政处罚依据的选取并无统一标准,面对类似违法情节时,出现在不同法律规范之间进行责任条款的恣意选择适用。〔5〕例如,同样面对幼儿园在电脑软件上存储学生姓名、身份证号等信息时未能采取安全保护措施,江苏省邳州市公安局岔河派出所对其作出处罚所依据的是《网络安全法》(参见江苏省邳州市公安局邳公(岔)行罚决字〔2023〕1450 号行政处罚决定书),而邳公(东)行罚决字〔2023〕1732 号中的处罚依据的是《个人信息保护法》。由此衍生的问题是:其一,《网络安全法》第64 条明确规定监管部门在发现违法行为时可以直接作出罚款,并未赋予网络运营者改正免罚款的空间,《个人信息保护法》第66 条则以信息处理者“拒不改正”作为罚款的前提。两者对处罚尺度的设定不同,而实践中监管部门往往坚持“严罚”的理念,习惯于适用《网络安全法》对相关违法行为进行罚款,引发关于法律适用和监管尺度的争议。其二,《数据安全法》第45 条延续了《网络安全法》的处罚思路,但在罚款数额设计上与《网络安全法》《个人信息保护法》均有所不同,具体适用在实践中常常发生分歧。同时,《数据安全法》所规定的数据安全虽然包含了个人信息安全,但其法律调整的重心主要为安全环境的建构,指向对公共利益的维护,将安全风险作为处罚判定的标准,这与《个人信息保护法》的核心立法目的存在差异。故其在个人信息违法处罚中的过度适用容易忽视个人信息权益保护的实际需求,加剧行政监管与私人自治之间的关系紧张。其三,《消费者权益保护法》第56 条规定了经营者侵害消费者信息权益的行政责任,但与《个人信息保护法》相比,其具体适用须聚焦于消费场域,调整对象覆盖不同类型的普通经营者,并以侵犯消费者合法权益的民事责任为基础,将维护经济社会秩序作为主要的规范目的。然而,两部法律在适用情形和行政责任设定上的区别并未在相关行政处罚实践中得到体现。
3.因承担行政责任而影响民事侵权的救济。个人信息权益包含人格尊严、信息安全、隐私权益、财产权益等不同法益,故在相关行政处罚实践中,行政责任与民事责任往往并存,而如何协调两种责任的关系是一个颇为复杂的问题。由于承担行政责任提高了互联网平台等信息处理者的经营成本,削弱了其承担民事侵权责任的能力和意愿,故对带有营利性的信息处理者作出高额罚款、没收违法所得、停业整顿、吊销业务许可、吊销营业执照等处罚,势必影响被侵权的信息主体向其主张承担相应的民事责任。监管部门习惯于采用高额罚款、没收违法所得等处罚手段,很大程度上桎梏了被侵权人相关民事权利的救济。“已经被罚款为何还要民事赔偿”成为大多数信息处理者拒绝进一步履行民事责任的常见理由。此外,没收违法所得与赔偿被侵权人损失应如何协调始终是目前普遍引发纠纷的现实难题。这本质上仍然关乎公法保障与私法自治、秩序建构与权利救济之间的价值平衡和边界厘定,其同样要求监管部门在选择不同种类和幅度的行政处罚时妥善把握好个人信息权益国家保护的尺度。
个人信息保护中行政处罚的实施基础旨在回答为什么必须通过行政处罚来保障个人信息权益的问题。面对相关行政处罚实施面临的质疑,只有先尝试对这一基础性问题作出解答,才能进一步确立处罚实施的目标和边界。
通过民事保护工具和社会自治机制无法实现对“持续性不平等关系”的有效调整,体现了行政处罚对象和场景的特殊性。
1.民法难以调整信息处理者与信息主体之间潜在的不平等关系。信息处理者与信息主体之间既存在平等主体之间的人身和财产关系,如数据交易、授权同意、服务供给、侵权补偿等,也存在不平等的支配与被支配的关系,如行政机关、互联网平台及高校、行业协会等主体利用其主导地位处理个人信息等,对于不同关系产生的纠纷,法律责任机制选择势必有所差异。一方面,行政机关、高校、行业协会等主体在收集利用个人信息中的支配地位来源于行政权或自治权,其在法定职责范围内行使行政权处理个人信息的活动不属于民法调整和行政处罚可以介入的范畴,主要由行政机关层级监督或内部监督机制加以调整。相反,高校、行业协会等主体基于自治权开展的信息处理活动倘若对个人信息权益产生影响,虽然囿于自治权内含的公行政属性导致个人难以通过民事保护获得救济,但可以基于政府对各项公共事业的管理职能而引入行政处罚制度加以调整。另一方面,伴随互联网对现实世界的深度改造,每一个个体都已置身于数字场景当中,互联网平台不断加大对个人信息的攫取和利用,并反过来影响甚至重塑个人的生活方式。在这场数字浪潮下,一种以技术、信息等资源占有和控制为基础的平台权力正在持续生长膨胀,进而侵袭和压制着个人自治的空间。面对平台与用户之间的不平等关系,传统以个人自我保护为机理的民事救济手段早已捉襟见肘,行政监管及处罚手段的应用必须在个人信息保护及秩序建构中发挥重要的规制作用,这也是个人信息保护制度的目标所在。
可见,排除传统公共行政部门依行政权收集个人信息的场景,信息处理者与信息主体是否存在不平等关系及民事保护机制的失灵是行政处罚介入与否的重要判断标准。个人与信息处理者之间是平等的民事关系,还是不对称权力结构下的信息处理关系,将在侵权赔偿或行政处罚的选择适用中起决定作用。其核心的界分标准在于信息处理者是否行使了公权力,包括是否存在行使公权力的客观危险性,造成个人主观权利诉求表达的障碍。从基本权利保护的视角来看,这有利于将个人信息权利的效力对象限定于实际行使公权力的信息处理者,〔6〕参见李海平:《个人信息国家保护义务理论的反思与重塑》,载《法学研究》2023 年第1 期,第87 页。防止其效力向普通信息处理者及私人自治场域外溢。
2.依托社会自治难以实现对不平等关系的自我调节。行业协会、平台等社会主体基于秩序建构和服务供给的公共任务而负有自我规制、自我调节的现实需要和法定义务。其行使的社会公权力对传统国家权力结构的冲击及其对个人信息权益的实质影响,要求个人信息保护从单纯聚焦“个人—国家”二方关系向“个人—个人信息处理者—国家”三方关系转型,关注信息处理者的自治优势、功用和成效,立足个人信息权益的实现途径和复杂的互动场景,明晰监管部门与信息处理者之间的功能分域。
然而,诸多信息处理者本身便是营利性主体,其围绕个人信息保护开展社会自治不可避免面临关于私人机构参与公共事务治理的担忧,毕竟“算法媒体平台天然的逐利属性决定了其掌握的私权力会逐渐膨胀”。〔7〕孙逸啸:《网络平台自我规制的规制:从权力生成到权力调适——以算法媒体平台为视角》,载《电子政务》 2021 年第12期,第69 页。即便是带有公益性的行业协会,也难以避免因行业发展需要而带有特定的价值倾向。这客观上造成信息处理者怠于履行自治义务,甚至利用技术手段逃避行政监管,导致不平等关系自我调节机制的失灵。此时,迫切需要通过实施行政处罚实现对违法处理个人信息的非难及督促自治机制的运行。这表明,个人信息保护中行政处罚的实施应密切关注社会自治的实际成效,其目的不仅在于负面评价,还强调促进社会自治回归正轨,继续发挥其自身优势,这无疑与以寻求事后救济为目标的私法保护机制存在价值功能上的差异。
对信息处理者违法行为实施行政处罚还指向规避个人信息处理中的不特定公共风险,其旨在建构一种稳定的公法秩序,以实现对个人信息处理活动的全过程监控。
1.个人信息的公共性、流通性及不特定个人信息处理风险决定了规避风险是行政处罚的重要目标。个人信息只有在分享和流通中才能实现价值最大化。共享往往与公共风险共存,随着网民群体扩张、信息业务拓展、安全隐患滋生等,此类风险还表现出明显的不特定性。一是,风险源存在不特定性,个人很难针对风险进行提前预防;二是,风险指向群体面临不特定性,个人信息处理活动的规模性、广泛性、持续性将风险引向动态扩张的用户群,平台之间的信息共享客观上加剧了风险的联动效应,影响个体对风险的感知和防御;三是,风险危害后果具有不确定性,个体难以对风险可能导致的后果形成清晰预判,造成个体主张权利的迟缓甚至未行使相关权利。可见,个人信息处理的不特定性风险无法依靠个体性、分散化的判断和救济得到有效控制。此时,依托行政处罚的实施对信息处理者已经或可能引发风险的行为进行预判、防控和震慑,无疑是最具成效的方式。因此,如何对个人信息处理活动进行精细化分析,针对不同公共风险的源头、群体、危害展开场景化治理是行政处罚实施的关键性命题。
2.以公共风险规制为导向,行政处罚实施重在建构一套稳定的公法秩序。民事保护模式主要依赖于公民在受到信息侵权时的积极维权与诉讼救济,其缺点在于只聚焦个体利益,倚重事后救济及效率低下,在前置保护与应急防控方面难有作为。相比之下,《个人信息保护法》确立的个人信息处理规则及其配套的行政处罚制度实际上旨在赋予监管部门法定职权,以建构一套公法秩序,致力于从源头上遏制风险及对违法侵权行为的事中控制,实现个人信息国家保护秩序的构建。在这套秩序中,公共利益是不可或缺的目的,知情权、决定权、查阅权等个人在信息处理活动中的权利保护是基础,应以“公共性”为标准限定行政权介入个人信息保护的法律领域,将行政处罚实施的场景划定在信息处理者依不同性质的权力侵犯个人信息权利束或危及公共利益的范围内。
民事权益保护只是个人信息权益保护内含的诸多利益诉求中的一项,故单纯的民事保护模式缺乏法益保护的适配性,不能实现对个人信息权益的全方位保护。相反,行政处罚的实施能够在个人信息保护中促进多元利益诉求协调。
1.民事保护模式无法调和多重利益诉求的潜在矛盾。个人信息权益实际上呈现为一个复杂的法益集合体,对其进行保护具体表现为对动态利益诉求和静态利益诉求的回应。所谓动态利益诉求,既包括在个人信息聚集、流通、共享环境下所呈现出来的保护数字法益的客观需要,如基于个人信息流通而期待的公共服务优化、福利待遇提高、经济效益增长等,也包括在个人信息处理中推动既有法益内容的拓展,如回应个人信息保护对个人自决、人格尊严、网络安全等核心权益及其实现形式革新提出的新要求。所谓静态利益诉求,则指向个人信息内含的相对稳定的隐私权、财产权等民事权益的保护。面向强大的信息处理者,不同法益均面临各种潜在风险,不同利益诉求迫切需要得到全方位的回应。然而,传统民法手段更多只关注个人信息处理中民事权益的保护,强调维持个人对信息的自决和控制,以及建构一种个人信息排他使用的私法秩序。其不仅忽视了个人信息基于交互共享而产生的公共价值,以及对主动防御新型公共风险的现实需要,而且过度前置化的适用也会加剧其挤压行政机关利用专业优势,制定技术标准以积极回应信息主体其他利益诉求的能动空间。
2.行政处罚的有效实施能够对多元利益诉求加以调和。首先,个人信息保护行政处罚制度设计的初衷就是要对应信息处理规则和个人在信息处理中的权利,通过联结行政责任,抵御信息处理者的不当干预,防控公共风险,实现对个人自治、人格尊严、网络安全等不同法益的统筹兼顾,以及对新型诉求的及时回应。其次,个人信息保护行政处罚实施同样要受到合理原则的调整,遵循必要性、衡量性等要求,在对信息处理者进行处罚时进行利益衡量,防止处罚尺度过大而桎梏个人信息流通及新兴产业的发展,从而保持不同法益之间的平衡。再次,行政处罚的实施虽然以追究信息处理者的行政责任为出发点,但其与民事权益保护及民事责任的承担并不冲突。一是,行政处罚有助于避免现实损害的发生,对个人信息的民事权益产生间接保护的功用;二是,在实施行政处罚的同时,有现实损害发生的,可以同步激活民事侵权责任追究机制,行政处罚的责任认定也可作为侵权责任认定的参照;三是,当受到侵害的主体不特定且范围较广时,可积极申请行政处罚手段的介入。这就要求行政处罚在制度建构和具体运行中既要协调处理好多元利益诉求的关系,也要注重不同法益的位阶,并结合不同的利益考量和违法侵权场景,对行政处罚实施的依据、主体、事项、尺度等进行精细化设计。
立足个人信息保护中行政处罚的实施基础,应从现实语境、原则、框架思路等方面进一步对行政处罚的制度构造展开讨论,确立其指引具体规则体系完善的内在机理。
1.互联网公域变迁构成个人信息保护行政处罚制度建设的时代语境。网民群体发展、公域与私域融合、平台经济崛起、数字技术应用等互联网公域生成发展的重要表征,凸显了数据共享和流通对促进公域变迁的支撑作用。个人信息被收集后聚合形成大数据,构成大数据的重要来源。海量的个人信息被广泛收集和利用,脱离个人的绝对性、独占性、排他性控制,逐渐展现公共性、交互性、流通性特征,产生了巨大的公共价值和经济效益,进而引发公法对个人信息保护的关注。互联网公域变迁是个人信息领域行政处罚制度得以生成和运行的前提,脱离了网络公共秩序建构、数字公共服务供给、新型经济形态发展等语境,个人信息权益保护的多元需求便无法在行政处罚制度建构中得到体现和回应。只有在互联网公域语境下审视个人信息保护问题,才能立足国家和行业协会、平台等凭借公权力收集利用个人信息的复杂场景,统筹个人信息的公共价值,防止个人信息保护陷入纯粹以绝对控制权为基础的私法自治场域,〔8〕参见杨芳:《个人信息自决权理论及其检讨——兼论个人信息保护法之保护客体》, 载《比较法研究》2015 年第 6 期,第29 页。保证行政处罚制度建设以“公共性”为标准厘定自身介入个人信息保护的边界。
互联网公域变迁语境下的个人信息保护行政处罚制度建设,一是,要正视个人信息对于促进平台经济发展、公共秩序建构的价值,协调个人信息保护与利用之间的关系,避免给信息处理者设定过于繁重的义务和严苛的处罚后果,甚至将监管义务转移给平台承担,增加其运营成本,降低其谋求创新的积极性。二是,要重视对行政处罚社会效果的评估,保障处罚措施合乎比例,防止对信息处理者的处罚过于严厉而“造成效力外溢”,〔9〕陈可翔:《互联网公域治理变革与行政法发展》,上海三联书店2022 年版,第177 页。变相损害信息主体的其他权益,如平台将高额罚款通过提高服务收费转嫁给用户,或者停业整顿、吊销执照对用户相关权益产生负面影响。三是,要遵循公权力结构从政府向社会延伸的趋势,聚焦多元主体凭借公权力主导个人信息采集利用的复杂场景,为不对等的权力关系及私法难以调整的社会关系提供调节机制,当然也包含对权力主体不作为而产生公共风险的情形作出处罚,由此推动自身向大数据测算、算法识别等更加体现场景化、精细化的领域延伸。
2.公共治理变革构成个人信息保护行政处罚制度建设的实践语境。在互联网公域中,技术效能与系统风险并存,日益繁重的公共任务对传统以政府为中心的管理模式提出挑战。对此,政府借助机构调整和社会力量参与实现管理减负,释放市场、社会自治空间,以更好地完成公共任务;行业协会、平台等通过分享治权和自我赋权,激活自身治理能动性,以发挥其专业技术优势;公民新型权利诉求不断扩张,权利诉求表达渠道从政府端口向社会端口迁移,一种由他治与自治共存的公共治理格局,正越发清晰地呈现出来。〔10〕参见石佑启、陈可翔:《合作治理语境下的法治化营商环境建设》,载《法学研究》2021 年第2 期,第176 页。公共治理主体结构、行为类型、互动过程的全方位变革对个人信息保护行政处罚制度建设产生实质影响。
第一,多元主体围绕秩序建构和服务供给等公共事务展开合作,往往也促成个人信息保护的分工,配套的处罚制度应在区分不同主体功能分域和治理优势的基础上确定处罚的对象、场景和边界。一是,须在复杂的共治场景中确立适格的信息处理者及与之匹配的义务;二是,在社会自治维度,如通过推进内部组织建构、行为限度调适、治理过程控制和侵权损害救济能够实现个人信息有效保护,应对处罚保持审慎克制,赋予自治充分的空间,发挥信息处理者的技术优势;三是,合作治理畅通了监管部门与信息处理者沟通的渠道,应进一步为二者在陈述申辩、情节认定、尺度选择等环节的沟通预留通道。
第二,从倚重刚性监管的行政方式向兼顾包容、效能的治理方式转变,要求保障行政处罚与其他治理方式的统筹协调。个人信息保护行政处罚的实施需兼顾个人信息利用的经济价值。单纯强调秩序建构、风险防控容易过度放大处罚的功用,滋长“以罚代管”的观念,桎梏个人信息的合理利用。行政指导、行政约谈、行政调解等协商型行政方式的广泛应用标志着柔性治理的兴起,为减轻一味借助处罚保护个人信息的负面影响提供了更多有效的治理方案。故配套的行政处罚制度应积极为其他治理方式的适用容留空间,根据个人信息处理各环节的风险和违法情节确定不同治理方式实施的先后位序、结合形式、对接程序等,形成包容性的制度架构。
第三,治理过程交替互动、治理要素频繁更新决定了个人信息处理主体、形式、场景等的多样性、创新性,迫切需要增强处罚制度的回应性。一是,适应多元主体协商互动的治理机理,明确处罚实施中公民权利诉求表达的途径;二是,及时根据信息处理者类型拓展、技术创新、新业态发展等对个人信息保护实践产生的影响,调整关于处罚对象、场景、情节的制度设定;三是,重视信息处理者之间的互操作情形对中小平台自主决定权的影响,在联动的治理网络中增强对违法情形的客观判定。
总体来看,个人信息保护行政处罚基本原则的设定不能脱离秩序行政下行政法基本原则的具体内涵和功能定位,合法、合理、程序正当等原则强调的“限权控权”“合乎比例”等理念不仅应被吸收到其体系内部,而且应得到进一步续造和巩固。从个人信息权益积极保护的原理出发,合法原则须以保护个人信息权益为落脚点,进一步强调处罚目的的合法性,推动具体处罚部门的职权法定,缓解部门之间的职能交叉、政出多门、多头执法;合理原则主要应以满足个人信息权利诉求为导向,突出处罚场景、措施、尺度设定的必要性;程序正当原则应适应传统管理模式下政府权力单向度运作向互动式合作治理逻辑生成转变的客观规律,注重对信息处理者参与过程的规范化,以及将参与对象向更多信息主体、监督评估主体等延伸;等等。除此之外,个人信息保护行政处罚制度还需将价值平衡原则、风险预防原则、辅助监管原则等作为基本原则。
1.确立价值平衡原则,推动多元主体利益关系协调。与合理原则所强调的利益衡量性相区别,价值平衡原则遵循行政法价值取向从“限权控权”向“促进权力与权利的平衡”转向的趋势,〔11〕参见罗豪才等:《现代行政法的平衡理论》(第二辑),北京大学出版社2003 年版,第5 页。指向以回应个人信息保护中不同利益诉求为基础,确立信息处理者、监管部门各自在行政处罚中的权利(权力)义务,推动“个人—信息处理者—国家”整体关系结构的平衡。就个人信息处理中多元价值关系的协调而言,促进从个人、信息处理者到监管部门的权力与权利相平衡,本质上是追求个人信息公共价值及私人价值的平衡。换言之,行政处罚的设定和实施应致力于平衡好个人信息权利与社会公权力、行政监管权,以及信息处理者权利与行政监管权之间的关系,以实现个人信息权益保障、信息处理者自身发展、公共秩序建构的统筹兼顾。
2.明确风险预防原则,发挥监管部门积极保护功能。“在风险社会理论下,风险控制的理念和工具被引入个人信息保护中,形成了‘基于风险的方法’”,〔12〕张涛:《探寻个人信息保护的风险控制路径之维》,载《法学》2022 年第6 期,第58 页。风险预防的重要性自不待言。将风险预防原则作为个人信息保护行政处罚的基本原则,主要面向信息主体难以对个人信息形成有效控制的场景,旨在促进风险规制责任的合理分配,强化风险的社会控制及监管部门的积极保护,以促进个人信息不同法益在信息充分流通情境下的有效实现。应当明确的是,一方面,风险预防原则在《个人信息保护法》中主要体现为积极保护的理念和机制,行政处罚制度应与《个人信息保护法》关于信息处理者、监管部门的保护义务设定相对接,强化对信息处理者自我规制的督促作用,以及对系统性风险的事中、事后监管;另一方面,风险预防原则适用以回应个人信息利益诉求为前提,脱离权利诉求的风险规制犹如“无本之木”,只有面向不同的个人信息处理场景,以更有利于个人信息权益保障为导向,才能准确把握基于风险预防实施处罚的模式、标准、程序等。
3.秉持辅助监管原则,兼顾网络经济新业态发展需要。辅助监管与社会自治是一体两面的关系,其主张发挥行业协会、信息处理者等社会主体的自治优势,减少对信息处理者的刚性束缚,避免囿于过度干预而变相增加其运营负担。个人信息保护行政处罚制度秉持辅助监管原则,既要求从立法层面严格限定行政处罚适用范围,又呼唤从执法层面对实施处罚及采取严厉的处罚手段持审慎的态度。特别是,新兴行业倘若出现过度采集利用个人信息或信息权益保护不足等情形,应避免过度依赖“重罚”手段,导致平台创新的积极性受到影响。
个人信息保护在多元主体合作共治的整体性治理变革中展开,整体主义理念影响着行政处罚法的重塑。〔13〕参见袁雪石:《整体主义、放管结合、高效便民:〈行政处罚法〉修改的“新原则”》,载《华东政法大学学报》2020 年第4 期,第20 页。围绕个人信息保护中处罚实践对不同治理资源的整合利用,迫切需要从宏观、中观、微观层面推动配套制度建构。
1.在宏观层面促进公法与私法,以及硬法与软法的衔接适用。学界普遍赞同将个人信息权益纳入公法、私法融合的框架下予以保护,以弥补私法保护的先天不足。然而,区别于部分学者提出的淡化公法与私法的划分,本文认为,公法私法化、私法公法化虽然已成为不可逆转的趋势,但个人信息内部权益构造的差异决定了公法、私法基于功能定位、调整方式等区别而在个人信息保护中仍应有各自独立的适用空间,应在促进二者良性互动的基础上,发挥其各自的功用。故个人信息保护行政处罚相关制度建设应深入私法保护的场景中,挖掘公法介入的适当空间。私法调整信息主体在完全理性、平等对待之下基于意思自治和民事救济而产生的关系,公法聚焦信息主体囿于资源不对等或系统性风险而难以实现完全理性、自我控制及有效防护的情形,私人协议的约定往往成为判定是否存在不对等关系,是否引入公法保护的重要依据。
以“是否有国家强制力保障实施”为标准界分硬法与软法,行政处罚制度属于典型的硬法,社会组织章程、行业规则、平台规约、技术标准等社会自治规范则属于软法。无论从多元主体分工合作,发挥社会自治优势,还是从提供行业规制、技术指引等角度而言,个人信息保护行政处罚制度都应实现与软法规范的相互衔接。在对软法规范的合法性、可行性进行审查的基础上,相关领域行政处罚制度的建构,可以尝试将信息处理者遵守软法规定作为判定其是否侵犯个人信息权益的重要依据,以推动客观归责原则在处罚情形认定中的落实。
2.在中观层面处理好不同法律规范适用的效力位阶关系。在个人信息保护行政处罚实践中,应妥善解决《个人信息保护法》与《行政处罚法》《治安管理处罚法》《消费者权益保护法》《网络安全法》《数据安全法》等法律规范如何选择适用的问题。一是,个人信息保护相关法律规范规定的处罚在设定和实施的实体和程序上一般仍须遵守《行政处罚法》《治安管理处罚法》的相关规定,除非其以法律形式就处罚主体、种类、程序等具体事项出台专门性规定,呈现特别法与一般法的关系。二是,准确把握《个人信息保护法》《消费者权益保护法》《网络安全法》《数据安全法》等法律规范的立法目的差异,结合信息处理者侵害的法益、处罚事由及拟达到的目的,确定具体适用的法律规范,如《消费者权益保护法》相关条款重在保护消费者个人信息权益,其具体适用以存在消费活动为前提;《数据安全法》指向保障数据安全,维护国家主权、安全和发展利益,其重点是维护公共数据安全与数据跨境安全等问题,相关条款的适用场景与《个人信息保护法》的侧重点不同。三是,面向处罚个人信息违法场景竞合的情形,应推动不同法律规范责任条款设计的一致性,规避监管者出于自身利益考量的选择适用。
3.在微观层面推动行政处罚制度设计的场景化、精细化。个人信息保护与利用的价值平衡难题、多元主体合作共治的结构性障碍等将个人信息保护行政处罚的实施置于复杂的环境中。差异化的信息处理者、个人信息类别、技术要求、安全评估主体、发展业态等,都会影响处罚的实施,甚至不同监管部门作出的处罚决定各不相同。由此,相关领域行政处罚制度须结合信息处理者侵犯个人信息权益的不同场景进行更加精细化的设计。一是,以《个人信息保护法》为基础,进一步针对跨境信息保护、敏感信息保护等领域的违法处罚问题分别出台特殊的细化规定,围绕监管部门的“组织”“规定”“指定”“评估”等形成匹配的一整套机制;〔14〕参见蒋红珍:《〈个人信息保护法〉中的行政监管》,载《中国法律评论》2021 年第5 期,第52 页。二是,提升法律授权的明确性,压缩监管部门可以自主决定处罚规则、标准、程序等内容设定的权限,防止行政权僭越立法权,提升立法的可预见性和指引性;三是,围绕各类执法场景,结合不同的违法情形、危害后果及其处罚种类、罚款数额等出台配套的处罚裁量基准,抑制重罚严罚的观念,增强行政处罚的明确性。
构造与个人信息处理规则相匹配的行政处罚规范体系,应适应个人信息保护中行政处罚的制度机理,从组织法、行为法、程序法等维度健全相关规则。
个人信息保护行政处罚实施的有序展开依赖于清晰的组织架构,重在围绕“谁实施处罚”“谁协助处罚”,推进政府内部职权配置及外部功能分域法定化。
1.在政府监管维度确立明确、统一、专业的处罚机关。从法律规定来看,《个人信息保护法》实际上建立了“网信部门统筹协调+有关部门各自监管”的组织模式,有关部门主要从其他法律法规对职权的规定中确定,从而在既有事权划分的基础上为行政机关或公共组织增设个人信息保护职责,形成一个范围极度宽泛的组织架构。从具体实践来看,信息处理者遍及各行各业,“履行个人信息保护职责的部门”也随着行业监管职能的分化而呈现分散化的现状。〔15〕参见邓辉:《我国个人信息保护行政监管的立法选择》,载《交大法学》2020 年第2 期,第143-144 页。这是相关领域行政监管面临职能交叉、多头执法等问题的内因,造成行政处罚实施机关及其适用依据的不明确。尤其是,不同部门囿于部门利益、监管难度、技术水平等方面的差异会影响其对处罚类型、幅度的选择。因此,“所有履行个人信息保护职责的部门皆是该领域行政处罚主体”的观点有待商榷,其将保护职责与处罚职权相混同,为处罚放宽了主体限制,在职权配置层面导致处罚介入的恣意性。
在个人信息保护职责设定之外单独看待行政处罚权配置问题,将处罚权交由统一的行政机关行使,无疑是契合公共治理语境,从主体结构设计层面防止处罚权滥用,提升处罚明确性的有效路径。组织权限配置与行政任务之间呈现“结构—目的”的功能性关系,〔16〕参见[日]大桥洋一:《行政法学的结构性变革》,吕艳萍译,中国人民大学出版社2008 年版,第275 页。为有效规避个人信息保护行政处罚出现“九龙治水”,关键要推进处罚权的集中。一方面,分散化职权配置下,监管部门难以认识和把握个人信息保护任务的特殊性,设置统一的机关更有利于处理技术性事务,对信息处理者违法的情节认定更为专业、客观、公正,这与当前中共中央提出的“一类事项原则上由一个部门统筹、一件事情原则上由一个部门负责”的机构改革精神相一致;另一方面,设置统一的机关并不影响其他机关在其各自业务范围内发挥个人信息保护的功用,可以进一步聚焦对“如何实现专责机关与一般机关之间的统筹协调”的讨论,〔17〕参见高秦伟:《论个人信息保护的专责机关》,载《法学评论》2021 年第6 期,第116 页。促进其与国家网信部门、其他业务部门形成合理细致的分工。
具体而言,行政处罚机关的统一主要聚焦于通过设立专门机关,推进行政调查、行政处罚等权力相对集中。一是,在国家网信部门统筹下,由县级以上人民政府参照数据资源管理局,设立个人信息保护综合管理部门,针对信息处理者违法事实开展调查取证、处罚裁量和部分行政强制等,具体负责本辖区范围内个人信息保护行政执法工作;二是,由专门机关依据相关法律法规和上级部门规定,围绕行政处罚制定行政裁量基准;三是,在专门机关内部建立举报投诉、案件移交、风险评估等机制,畅通其收集信息处理者违法线索的渠道;四是,由其他业务机关负责指导和规范其领域范围内信息处理者的市场准入、企业合规、产业发展、技术标准制定、基础设施建设、数据风险防控等,与专门机关形成明确的分工,并形成执法合作机制,协调彼此的执法需求;五是,专门机关还可以根据执法情况就个人信息保护领域的立法、规范性文件或技术标准、平台规约等提出修改建议;等等。
从提升专门机关执法专业性的角度来看,应进一步在其内部建立专业委员会,吸收本部门以外的法律专家、技术专家及产业发展规划部门的工作人员参与重大疑难案件的讨论,通过合议机制作出决定。同时,集中受理个人信息保护行政处罚、强制等的行政复议申请,对复议案件进行裁决,并指导下级专门机关的执法工作。
2.在社会自治维度明确社会主体协助行政处罚的组织要求。个人信息保护遵循“外部监管+行业自律”的双重保护模式,〔18〕参见高志宏:《隐私、个人信息、数据三元分治的法理逻辑与优化路径》,载《法制与社会发展》2022 年第2 期,第222 页。故相关领域行政处罚的组织构造必然对行业协会、网络平台等社会主体如何发挥自治功用,协助行政处罚实施提出功能分域、组织结构上的要求。个人信息权益行政保护既要关注信息采集利用的技术性,又要观照信息处理者的营利性,立足单纯由行政机关主导行政处罚的天然短板,重视引入社会主体协助的客观需求。一是,是否存在可处罚的情形往往可以借助行业标准、平台规约等社会规范加以判断,行业协会、平台等对信息处理者是否违法处理个人信息的认定具备客观性、专业性优势;二是,《个人信息保护法》第52 条要求特定信息处理者指定个人信息保护负责人,对个人信息处理活动等进行监督,这是个人信息保护组织制度设计向社会主体延伸的重要表现,也是相关领域行政监管与社会自治衔接协同的制度探索和规范依据;三是,引入第三方主体作为信息安全风险、违法后果的评估主体,在行政处罚实施中推进政社分工,提升处罚的中立性、正当性,并在处罚效果的跟踪、督促、评估中发挥作用。
引入社会主体在个人信息保护中协助行政处罚实施,关键在于推动其与专门机关的合作分工。当前,可以尝试进一步细化《个人信息保护法》中关于组织结构的相关规定,协调不同主体之间复杂的组织关系,在对个人信息处理活动进行常态化监管、监督中区分专门机关与社会主体各自的分工。一是,在处罚实施前端,明确规定行业协会、平台及个人信息保护负责人等主体负责数据监控、技术检验、受理投诉、日常反馈、内部调查等事务,在推进内部自治的同时,与专门机关形成联动机制,必要时为专门机关实施处罚移交案件线索、收集证据、提供建议等;二是,在处罚实施中端,由专门机关指定行业协会、平台等作为第三方主体对信息处理者造成的信息安全风险、违法后果、客观损失等进行评估,将评估结果作为处罚决定的客观依据;三是,在处罚实施后端,分别由行业协会、平台、个人信息保护负责人等负责进一步督促信息处理者整改并及时向专门机关反馈整改成效。
以个人信息保护行政处罚组织法定为基础,应进一步健全处罚实施的行为依据,明确实施处罚的对象、情形、尺度等,确保个人信息不同法益保护的目标在处罚实施中得以实现。
1.行政处罚规范依据应恪守明确性、透明性的基本要求。行政处罚介入个人信息处理的事项范围有多大、具体如何操作、阻却事由有哪些及其与民事责任承担的关系等重要问题都应有明确的制度规定,形成透明的操作规则,以指引和规范行政处罚实践。一是,对应当(可以)予以处罚的对象、事由等作出具体规定,明确处罚权介入个人信息保护的范围;二是,结合个人信息处理的特定场景对行政处罚适用规则予以细化,区分减轻、从轻及免于处罚等各类情形,确定具体构成要件;三是,根据个人信息敏感程度、生命周期及跨境处理等,制定分级分类标准,〔19〕参见袁泉、王思庆:《个人信息分类保护制度及其体系研究》,载《江西社会科学》2020 年第7 期,第197 页。并建立不同的违法认定标准,提升处罚精确度;四是,区分差异化的违法场景中个人信息权益受损的不同情况,在行政处罚实施中处理好行政责任与民事责任的关系。
2.以个人信息基本权相对的义务主体为标准确定处罚对象。基本权利的核心功能在于对抗公权力,而非建构普适性客观价值秩序。正如《欧盟一般数据保护条例》通过建立个人信息处理规则赋予公民的个人信息“控制权”,也只有在面向庞大的公权力组织时才能体现其内在价值。〔20〕See Robert C.Post, Data Privacy and Dignitary Privacy: Google Spain, the Right to be Forgotten, and the Construction of the Public Sphere, Duke Law Journal, Vol. 67, No. 5, 2018, p. 981-1072.公权力结构从国家中心范式向国家与社会并举的范式转型,不仅代表着个人信息基本权对信息处理者产生直接效力,还表明其相对的义务主体仅限于实际行使公权力的信息处理者。除了行政机关以外,这里的信息处理主体主要指向高校、行业协会、网络平台等社会主体,一般不包含作为普通信息处理者的企业或个人,否则将影响数据的正常分享,除非有充分证据证明普通信息处理者在个人信息处理中占据绝对的优势地位。当公民在个人信息处理过程中难以主张其自身权益,作出体现自身意愿的选择时,便可认定为其权利被信息处理者所支配。例如,以行业自治、高校自治等为由,未经同意擅自处理个人信息;以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;以维护公共利益或执行公共政策的名义未经同意处理个人信息;信息处理者利用个人信息进行自动化决策却未实现决策的公开透明;个人信息处理者拒绝对个人信息处理规则加以解释说明;处理个人信息达到国家规定数量的信息处理者却未制定内部管理制度和技术标准;等等。也即,信息处理者是否在个人信息收集利用中行使公权力是判断是否可以将其作为处罚对象的核心标准。
3.以场景化规制为导向厘清个人信息保护行政处罚的具体情节。信息处理者侵犯个人信息权益是否应当受到处罚还须深入具体场景中,围绕其他构成要件进行分析。一是,从归责原则来看,个人信息保护行政处罚应遵守《行政处罚法》 第33 条第2 款的规定,“将主观过错单独作为判断标准”,〔21〕黄海华:《新〈行政处罚法〉制度创新的理论解析》,载《行政法学研究》2021 年第6 期,第8 页。注重对信息处理者主观过错的认定,并严格区分故意和过失的不同情形,将之作为责任类型和大小认定的参考要素,如违法后果大致相同,未经同意随意处理个人信息与防护措施设计不健全导致信息泄露的处罚结果应有所差异。二是,主观过错认定应以客观违法情形判定为基础,结合法律规定、行业规范、平台规约、技术标准等分析信息处理者对个人信息保护是否尽到了注意义务,而不能以信息泄露、防护措施不到位、存在安全风险等结果作为判断违法与否的唯一标准。〔22〕如有学者提出,只要信息处理者符合《个人信息保护法》的规定,满足合规要求,即可认定为没有过错。参见周汉华: 《平行还是交叉——个人信息保护与隐私权的关系》, 载《中外法学》 2021 年第5 期,第1183 页。对技术侵权的认定,应立足于现有的技术水平和成本;对公共风险的认定,应结合信息主体具体权益被侵害的风险加以分析,而不是由专门机关进行主观判断。三是,对信息处理者义务的设定应符合分配正义的基本要求,明确规定与“处于优势地位”相匹配的义务条款,防止将民事义务履行情况作为行政处罚介入的判断标准,造成义务设定过于严苛,变相干预信息处理者日常运营,如不能盲目要求平台围绕个人信息可携权行使打造绝对配合的环境,忽视平台自身的竞争优势和发展空间。四是,对未依法确定个人信息保护负责人、防护措施设计不到位、处理信息存在程序瑕疵等情形,且未发生实际违法后果的,可由行业协会、平台先行进行内部监督、自我改正等,赋予社会自治充分的空间,专门机关负责督促整改,对整改结果进行评估,依此再进一步决定是否作出处罚。
4.以利益平衡为指引建构个人信息保护行政处罚的裁量基准。个人信息保护行政处罚裁量基准建构必须协调“个人—信息处理者—国家”的关系,注重公益与私益及多元主体利益的平衡。一是,除适用《行政处罚法》第30—32 条、第33 条第1 款相关规定以外,应结合获得信息主体谅解、新型技术应用试验期、新兴行业发展需求、第三方过错等情形进一步明确和拓展个人信息保护行政处罚中应当(可以)不予处罚、减轻处罚、从轻处罚的情形;二是,从主观恶性、危害后果、违法所得、拒不改正、情节严重等方面区分不同违法程度,并分别将之与《个人信息保护法》第66 条所设定的警告、没收违法所得、暂停服务、罚款、停业整顿、吊销营业执照等不同处罚种类,以及不同幅度的罚款数额相匹配,综合考虑平台用户实际利益损害、平台合规成本等因素形成清晰的裁量指南,控制专门机关的裁量权;三是,促进个人信息公法、私法保护机制协同,协调好没收违法所得、高额罚款与民事侵权赔偿之间的关系,当信息处理行为同时侵犯了个人信息权益内含的不同法益,信息处理者财产难以同时承担行政责任和民事责任时,应秉持有效回应个人信息主体权利诉求的理念,要求信息处理者优先赔偿信息主体的民事损失。〔23〕参见孙莹:《违法处理个人信息高额罚款制度的理解与适用》,载《华东政法大学学报》2022 年第3 期,第22 页。
个人信息保护行政处罚的程序建构既要遵守处罚的基本程序,又要围绕多元主体的协商互动、分工合作形成覆盖全过程的规范指引,以督促专门机关履行监管义务,以及限制处罚权的恣意行使。
1. 传统行政处罚程序的适用和改造。实施行政处罚的专门机关无疑应参照《行政处罚法》《网信部门行政执法程序规定》等传统的程序规定开展调查取证,告知信息处理者处罚的事由和依据,充分听取其陈述和申辩,保障其救济权利等。此外,实践中高额罚款、没收违法所得、暂停或终止服务、吊销营业执照等处罚措施的广泛应用,以及处罚平台对其用户产生的外溢效力决定了专门机关在作出相关处罚时应告知信息处理者、平台用户及被侵权信息主体等利害关系人有要求听证的权利,即使利害关系人没有提出听证,专门机关也可以根据处罚的社会影响主动组织召开听证会。听证信息应在法定期限内及时通知信息处理者及相关信息主体、平台用户等,可以委托第三方主体作为听证主持人,保障处罚决定能够较为全面地协调不同的利益诉求。同时,信息处理者违法处理个人信息往往会触发数据安全风险、减损不特定主体权益等,故对于涉及重大公共利益或直接关系第三人权益的案件,或者案件涉及民事赔偿、刑事处罚等不同法律关系的,专门机关作出处罚前应交由法制部门进行审核。法制部门可以引入第三方评估主体对处罚之于公共利益、私人利益等带来的影响加以衡量,增强处罚结果的合理性、可操作性。
2.政府内部处罚协同程序的构造。由“国家网信部门统筹、专门机关实施处罚、各业务部门协作”的组织形式要求个人信息保护领域行政处罚的实施须围绕不同部门如何联动形成程序规范。一是,网信部门应建立与专门机关、其他业务部门的统筹协调程序,如针对具有重大社会影响的疑难案件,其可以主动介入处罚过程,对专门机关进行业务指导;在专门机关与其他部门存在分工模糊时,其可以根据最新的政策、法律对分歧进行协调;其应强化与专门机关的协调配合,建立健全案件移送机制,加强证据材料移交、接收的衔接,要求专门机关进行处罚信息通报、备案等。二是,专门机关应围绕处罚涉及的投诉举报、管辖异议、案件受理、意见反馈、风险评估、基础设施建设等建立与网信部门、其他业务部门的沟通衔接程序,如对其他部门移交的线索进行分类登记,达到立案标准的应及时受理案件,未达到立案标准的应及时反馈意见和理由;评估处罚风险、完善技术设施等则应充分征求其他部门的意见等。三是,其他业务部门应围绕产业发展规划、市场准入审批、平台合规审查、技术标准制定、案件线索移送等建立与专门机关的协商告知程序,如相关领域的公共决策或监管方式会影响行政处罚的立案流程、处罚依据、裁量基准的,其应及时与专门机关进行协商,告知具体依据、理由等。
3.政府与社会主体协商合作程序的健全。政府与社会主体在个人信息保护行政处罚实施中的分工合作呈现出一种互动式的治理逻辑,〔24〕参见陈可翔:《互联网互动式治理语境下的行政程序法发展》,载《青海社会科学》2022 年第3 期,第126 页。需要围绕自治与他治互动构建配套的程序规范。一是,行业协会、平台、个人信息保护负责人等主体应就数据监控、投诉举报、纠纷调解、内部惩戒等自治活动建立与专门机关调查取证、立案受理等相衔接的程序规范,如行业协会在数据监控中发现平台违法处理个人信息,应收集整理相关证据,当督促平台整改效果不佳时,将线索和证据一并移交专门机关进行立案调查,平台对内部信息处理者的监督同样适用此程序;行业协会、平台受理投诉举报,若发现涉案金额较大、涉及重大公共利益、被侵权主体范围广等自身难以处理的情况,应将投诉举报一并转递专门机关,专门机关决定立案调查的,应通知其移交线索。二是,行业协会、平台受专门机关委托对违法所得、公共风险、违法后果、客观损失等进行评估,应围绕团队组建、评估周期、信息筛查、结论反馈等形成规范流程,并规定专门机关采纳评估结论的程序,如将评估结论告知信息处理者,允许其提出质疑等,评估结论经向其告知说明后,才能作为处罚依据。三是,专门机关作出处罚后,由行业协会、平台建立专门的考评程序,对信息处理者整改情况进行监督,参照自治章程、平台规约、技术标准等对整改情况进行打分,及时反馈整改成效等。
从调整不平等的权利义务关系、防控不特定的公共风险、协调多元利益诉求等方面能够充分揭示在《个人信息保护法》规范体系下引入行政法律责任机制的必要性,进而证成行政处罚制度相较于民事救济机制的天然优越性和特殊适用性。基于数据、技术、资本等资源优势,信息处理者在个人信息处理中实际行使公权力,并成为衍生和把控信息安全风险,平衡国家与个人、公益与私益关系的关键要素。个人信息保护中行政处罚的实施应正视其特殊性,赋予其一定的自治空间,并结合其权力行使的限度、形式、成效等,确定自身的边界。故配套的处罚制度建设应始终置于互联网公域治理变革的语境之中,坚持以“公共性”为标准划定处罚对象和场景,致力于构建一套稳定的公法秩序,保障个人信息权益的全方位实现。这意味着,处罚制度的整体设计应以调和权利保护、信息共享、产业发展、风险预防的张力为导向,尝试处理好公法与私法、硬法与软法,以及不同法律适用的位阶关系,制定场景化、精细化的法律规则。只有在具体的规范构造中保障处罚的权责明晰和组织法定,处罚对象、情节、基准等的明确性,以及处罚中各项程序的规范化,才能实现个人信息保护领域行政处罚实施的法治化。