彭錞:论个人信息保护行政处罚制度——以《个人信息保护法》第66条为中心

选择字号:   本文共阅读 152 次 更新时间:2022-09-21 23:43:42

进入专题: 个人信息保护法   行政处罚  

彭錞  

   摘要:  在个人信息保护领域,除网信部门外,监管对象处理个人信息的行政机关都具有行政处罚权。由此产生的职能管辖冲突应按《行政处罚法》第25条和一事不再罚原则来协调;地域管辖冲突以多元地域管辖联结点等规则来协调;层级管辖冲突视违法情节轻重来协调。处罚对象是作为个人信息处理者或个人信息处理受托人的组织和自然人,以民事主体身份处理个人信息的国家机关亦可受罚。受罚行为是负有责任能力和条件的主体违反《个人信息保护法》一至五章且不存在违法阻却事由的行为。违法情节可分轻微、较重、拒不改正、严重、特别严重,均应责令改正,并根据过罚相适原则进一步匹配处罚。

   关键词:  个人信息保护法 行政处罚 管辖协调 处罚对象与行为 过罚相适

  

   《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)第66条对个人信息保护领域的行政处罚制度作出规定。相较于《全国人民代表大会常务委员会关于维护互联网安全的决定》第4条、《消费者权益保护法》第56条、《网络安全法》第64条等先期规范,《个人信息保护法》第66条有了质的突破。广度上,其打击对象不再限于侵害他人电子邮件等数据资料行为,保护对象亦不再限于消费者,而是涵盖所有违法处理个人信息行为和个人信息主体;深度上,其新增责任人员从业禁止和高额罚款等处罚措施,强化违法威慑。然而,既有研究或聚焦网络安全领域的行政处罚,[1]或论证对严重个人信息侵权行为处以高额罚款的必要性与可行性,[2]或介绍欧美个人信息保护领域的处罚制度。[3]以《个人信息保护法》第66条为切入点,探讨我国个人信息保护行政处罚制度的文献迄今仍付之阙如。本文试图填补此空白,从“谁处罚”“罚什么”“怎么罚”三方面展开初步讨论。

  

   一、谁处罚:处罚主体与管辖协调

  

   (一)处罚主体

  

   《个人信息保护法》第66条规定由“履行个人信息保护职责的部门”实施处罚。根据该法第60条,此类部门包括“国家网信部门”“国务院有关部门”以及“县级以上地方人民政府有关部门”。除网信部门外,还有哪些机构属于“履行个人信息保护职责的部门”?《网络安全法》第8条、《数据安全法》第6条将电信、公安、国安、交通、金融、自然资源、卫生健康、教育、科技部门列为网络安全、数据安全监管部门,但也采用“其他有关机关”和“等”的措辞来表明列举是不穷尽的。事实上,由于个人信息的泛在性,大量部门皆负有个人信息保护职责。例如人社部门依据《人力资源市场暂行条例》第三章监管人力资源服务机构,由此对线上人力资源服务处理个人信息具有监管职责。[4]又如文旅部门是旅游经营活动的监管主体,由此对该类活动中的个人信息保护负有监管职责。[5]简言之,举凡监管对象处理个人信息的机构皆属于“履行个人信息保护职责的部门”。鉴于《个人信息保护法》第61条规定此类部门有权“处理”违法个人信息处理活动,“处理”包括行政处罚,[6]故所有履行个人信息保护职责的部门皆是该领域行政处罚主体。

  

   (二)管辖协调

  

   第一,职能管辖之协调。

  

   具体存在两种情况:其一,同一违法个人信息保护法律的行为,既可由网信部门来处罚,也可由特定行业的主管部门来处罚,遂产生管辖冲突。对此,可依据《行政处罚法》第25条来解决:“两个以上行政机关都有管辖权的,由最先立案的行政机关管辖。对管辖发生争议的,应当协商解决,协商不成的,报请共同的上一级行政机关指定管辖;也可以直接由共同的上一级行政机关指定管辖。”其二,同一行为,既违反个人信息保护法律规范,也触犯其他行政管理领域的规范,构成“想象竞合”,网信部门与行业主管部门都可处罚,遂产生管辖冲突。例如某APP的隐私政策未包括收集使用个人信息的规则,据《APP违法违规收集使用个人信息行为认定方法》第1条应认定为“未公开收集使用规则”。这同时违反《消费者权益保护法》第29条、《电信和互联网用户个人信息保护规定》第8条和《个人信息保护法》第17条。对此,根据《消费者权益保护法》第56条,可由市场监管部门警告、没收违法所得、处以违法所得一倍以上十倍以下的罚款,没有违法所得的,处以50万元以下的罚款,情节严重的,责令停业整顿、吊销营业执照;根据《电信和互联网用户个人信息保护规定》第22条,由电信管理机构警告,可并处1万元以下的罚款;根据《个人信息保护法》第66条,可由网信部门警告、没收违法所得,对违法处理个人信息的应用程序责令暂停或终止服务,拒不改正的并处100万元以下罚款。此类想象竞合带来的管辖争议应按照一事不再罚原则解决,即同类处罚应择一重处,由具有最高处罚幅度的执法部门行使管辖权,不同类处罚应并行适用,由各类处罚的执法部门同时行使管辖权,具体分配通过部门协商来确定。[7]据此,对某APP的违法行为应予如下处罚:首先,市场监管部门、电信主管部门和网信部门均可警告,市场监管部门和网信部门均可没收违法所得、责令停止服务,但只能由其中一个部门实施,具体由先立案的部门执行或通过部门间通报协商确定。其次,市场监管部门、电信主管部门和网信部门均可罚款,但根据《行政处罚法》第29条,应“按照罚款数额高的规定”由一个机关罚款。关于何为“罚款数额高”,理论上有实际数额高和法定数额高两种见解。[8]本文赞同后一观点,除因其更符合法条文义外,还基于三点理由:其一,解决管辖争议贵在简便高效,若等到各处罚机关分析案情并初步决定罚款数额,再从中选择数额高额的部门来执行处罚,未免过于繁琐;其二,尽管法定罚款数额高不等于实际罚款数额高,但法定额高本身就体现了立法者对特定违法行为危害性的判断,应当优先考虑;其三,以法定罚款额高为标准不会影响实现过罚相适,反而能让有最大量罚空间的处罚机关去确定与违法行为相应的罚款。至于如何“就高”,对固定数额的罚款,可直接适用罚款数额高的规定处罚;对有幅度的罚款,“就高”应先比较罚款上限,适用罚款上限高的规定;没有罚款上限或者罚款上限一致的,适用罚款下限高的规定。据此,前述APP违法行为,无违法所得的,应由市场监管部门处50万元以下罚款;有违法所得的,由市场监管部门处违法所得一倍以上十倍以下罚款;拒不改正的,由网信部门处100万元以下罚款。再次,市场监管部门有权吊销营业执照。

  

   第二,地域管辖之协调。

  

   《行政处罚法》第22条规定,“行政处罚由违法行为发生地的行政机关管辖”。传统理解中,“发生地”区别于准备地、着手地、经过地、结果地,凸显受罚行为的核心要件是违法。[9]但网络空间对行为发生地中心主义带来巨大冲击,因为网络违法行为的发生地难以确定,即便可以确定,也往往不是确定处罚管辖权的最适宜标准。对此,学界提出两种解困方案:“一元化”方案建议在大型网络交易平台所在地设立专门机构集中管辖。[10]且不论这仍有待落实,即便实现,也难以适用于不发生在大型网络交易平台上的个人信息处理违法行为。“多元化”方案则建议扩张地域管辖联结点范围,在违法行为发生地之外增加违法结果发生地、违法行为发现地、行为人住所地。[11]这虽能应对狭义、单一的违法行为发生地难以满足网络空间执法需求的问题,却无法解决多个地域管辖权之间的争议,其所新增的管辖联结点亦难言全面。事实上,网络治理领域的规范不仅早已突破“违法行为发生地”的传统界定,而且比既有研究提供了更为丰富的地域管辖联结点。典型如2011年《互联网文化管理暂行规定》第33条、2017年《互联网信息内容管理行政执法程序规定》第6条和2018年修订的《公安机关办理行政案件程序规定》第11条。结合这些规范,可从如下三点入手,建构一套个人信息保护行政处罚地域管辖协调机制:首先,承认多元地域管辖联结点。具体包括违法主体、违法行为和受害主体三类。其中,违法主体地域管辖联结点包括实施违法行为主体的身份所在地(如信息服务许可地、网站备案地、工商登记地、身份证登记地、户籍所在地)、活动所在地(如主营业地、主要办事机构所在地、实际经营地、经常居住地);违法行为地域管辖联结点包括服务器所在地、网络接入地、终端设备所在地、所使用的网络平台运营者所在地;受害主体地域管辖联结点包括受侵害的个人信息主体之身份所在地(如身份证登记地、户籍所在地、经常居住地)、损害结果地(如信息主体被侵害时所在地、被侵害时使用的网络接入地或设备所在地、因个人信息受侵害而致财产损失的发生地)。其次,以立案时间先后来初步确定地域管辖权归属。针对处理个人信息违法行为,上述任一地域管辖联结点所在行政区域的履行个人信息保护职责的部门都有处罚管辖权,按照《行政处罚法》第25条第1款,应由最先立案的机关行使管辖权。再次,通过管辖协商和指定管辖解决管辖争议。根据前述规则仍无法解决处罚权管辖争议的,应按《行政处罚法》第25条第2款和《国务院关于进一步贯彻实施〈中华人民共和国行政处罚法〉的通知》第7条来处理,有争议的行政机关协商解决,协商不成的,多个行政机关属于同一主管部门的,由共同的上一级主管部门经报请或直接指定管辖;属于不同主管部门,由司法行政部门会同有关单位进行协调,在本级人民政府领导下指定管辖。

  

   第三,层级管辖之协调。

  

   《网络安全法》《数据安全法》对个人信息保护领域处罚机关的行政层级没有规定。《个人信息保护法》有两点安排:其一,第60条将履行个人信息保护职责的部门限定于县级以上至中央政府有关部门,意味着乡镇政府部门不负有个人信息保护职责,亦无此领域的行政处罚权。[12]其二,第66条区分一般和严重个人信息保护违法行为,前者由县、市级履行个人信息保护职责的部门处罚,后者由省级和中央级履行个人信息保护职责的部门处罚。[13]据此,县、市级部门先行发现个人信息保护违法线索或收到相关举报、投诉,认为构成情节严重的违法行为的,应当报请省级或中央级部门管辖或指定管辖;省级或中央级部门先行发现违法线索或收到举报、投诉,认为违法情节不严重的,则可将案件交由县、市级部门管辖。对于全国范围内有重大影响、严重侵害公民个人信息权益、引发群体投诉或者案情复杂的个人信息保护违法行为,应由国家网信部门查处或指定省级网信部门查处。

  

   二、罚什么:应罚行为的构成要件

  

   应受行政处罚行为的构成要件决定“罚不罚”。学界对此素有争论,形成要件说和阶层说。[14]本文选取三阶层说作为分析框架,因其可涵盖要件说无法容纳的违法阻却事由。

  

   (一)该当性

  

   应受行政处罚行为之该当性是指其符合法律、法规、规章规定的违法行为的事实特征。以下从处罚对象和处罚行为两方面阐述《个人信息保护法》第66条确立的构成要件。

  

首先,关于处罚对象。《个人信息保护法》第66条没有明确哪些主体应罚,但其第二至五章设定的个人信息处理规则、义务以及个人在个人信息处理活动中的权利均指向个人信息处理者,而根据第21条,个人信息处理受托人也须实现《个人信息保护法》合规。因此,作为个人信息处理者或个人信息处理受托人的组织、个人违反《个人信息保护法》,(点击此处阅读下一页)

    进入专题: 个人信息保护法   行政处罚  

本文责编:陈冬冬
发信站:爱思想(http://www.aisixiang.com),栏目:天益学术 > 法学 > 宪法学与行政法学
本文链接:http://www.aisixiang.com/data/136667.html

0 推荐

在方框中输入电子邮件地址,多个邮件之间用半角逗号(,)分隔。

爱思想(aisixiang.com)网站为公益纯学术网站,旨在推动学术繁荣、塑造社会精神。
凡本网首发及经作者授权但非首发的所有作品,版权归作者本人所有。网络转载请注明作者、出处并保持完整,纸媒转载请经本网或作者本人书面授权。
凡本网注明“来源:XXX(非爱思想网)”的作品,均转载自其它媒体,转载目的在于分享信息、助推思想传播,并不代表本网赞同其观点和对其真实性负责。若作者或版权人不愿被使用,请来函指出,本网即予改正。
Powered by aisixiang.com Copyright © 2022 by aisixiang.com All Rights Reserved 爱思想 京ICP备12007865号-1 京公网安备11010602120014号.
工业和信息化部备案管理系统