摘要: 我国个人信息保护法第68条规定了国家机关的个人信息保护法律责任。在责任主体方面,该条涵盖国家机关和准国家机关的个人信息处理者与个人信息处理活动规制者两种身份,但存在两项缺漏:一是未明确履行个人信息保护职责的部门不依法履职的法律责任,二是未规定对非国家机关违法负直接责任的公职人员应受处分以及对国家机关违法负直接责任的人员应受行政处罚。在适用行为方面,第68条第1款所称的“不履行本法规定的个人信息保护义务”指作为个人信息处理者的国家机关违反该法义务性规定;第2款所称的“玩忽职守、滥用职权、徇私舞弊”彼此独立,其对应于我国刑法第397条第1款和第402条。在责任形式方面,第68条的“责令改正”属于内部行政行为,存在落实不力之虞,需强化内部和外部监督;“处分”指任免机关、单位给予处分和监察机关给予政务处分。违法人员具有党员身份的,还应受到组织处理、党纪处分,涉嫌犯罪的应追究刑事责任。
关键词: 个人信息保护 国家机关 法律责任
一、问题的提出
《中华人民共和国个人信息保护法》(以下简称“《个人信息保护法》”)第68条规定:“国家机关不履行本法规定的个人信息保护义务的,由其上级机关或者履行个人信息保护职责的部门责令改正;对直接负责的主管人员和其他直接责任人员依法给予处分。履行个人信息保护职责的部门的工作人员玩忽职守、滥用职权、徇私舞弊,尚不构成犯罪的,依法给予处分。”该条就国家机关的个人信息保护法律责任作出规定。长期以来,个人信息保护领域的既有法学研究聚焦于私人处理者的民事、行政和刑事责任,[1]除少数例外,[2]对国家机关的个人信息保护法律责任鲜有关注,专题讨论更是暂付阙如。然而,自2021年11月1日《个人信息保护法》生效后,国家机关违反该法的现象时有发生,典型如政务APP过度收集个人信息、[3]行政机关不当公开公民个人信息、[4]防疫部门工作人员传播涉疫个人信息、[5]政务网站安全保障不足致使个人信息泄露,[6]等等。尤其是2022年6月,河南省郑州市对部分村镇银行储户乱赋红码事件引起全社会关注,当地纪委监委随后对多名责任人员给予党纪政纪处分,但仍面临“轻拿轻放、自罚三杯”的舆论质疑,[7]反映出政务大数据迅猛发展的今天,社会公众对国家机关严格依法开展个人信息处理活动以及违法后严格依法追责抱有很高期待。同月发布的《国务院关于加强数字政府建设的指导意见》更是明文要求:“加大对涉及国家秘密、工作秘密、商业秘密、个人隐私和个人信息等数据的保护力度,完善相应问责机制”。在此背景下,系统厘清国家机关的个人信息保护法律责任,既可实现学术推进,亦可回应现实需求。
本文试图填补既有研究的不足,以《个人信息保护法》第68条为切入点,阐明我国法上的国家机关个人信息保护法律责任。从法理上讲,法律责任是指“因特定的法律事实使某主体承担不利后果的法律依据”,[8]包含“何者承担责任”“因何承担责任”以及“如何承担责任”三项基本内容。下文对此逐项展开分析和论述。
二、《个人信息保护法》第68条的责任主体
尽管《个人信息保护法》未详细界定何谓“国家机关”,但其内涵可参照早前立法来理解。在我国民法典和刑法上,“国家机关”是指“国家为实现其政治统治职能和管理职能而设立的国家机构的总称”,[9]具体包括立法、行政、军事、监察、审判、检察机关,也包括党的机关、人民政协、民主党派机关等。其他机关属于《个人信息保护法》上的国家机关当无疑义,但就军事机关是否属于国家机关存在不同看法。有学者持肯定性意见,[10]也有学者依据《中国共产党党和国家机关基层组织工作条例》第41条,认为《个人信息保护法》上的国家机关不包括军事机关。[11]《〕中华人民共和国网络安全法》(以下简称“《网络安全法》”)第78条和《中华人民共和国数据安全法》(以下简称“《数据安全法》”)第54条将军事网络和军事数据明确排除在适用范围之外,《个人信息保护法》无此规定,因为军用网络和数据同民用网络和数据相比具有极强的特殊性,安保措施和要求须另行立法,[12]个人信息保护则无此必要。所以,《个人信息保护法》上的“国家机关”应当包括军事机关。此外,根据《个人信息保护法》第37条,“准国家机关”,即“法律、法规授权的具有管理公共事务职能的组织”,同样适用《个人信息保护法》第68条。笔者曾另文建议将法律、法规授权的提供公共服务的组织和规章授权管理公共事务职能或提供公共服务的组织解释为《个人信息保护法》上“准国家机关”,[13]此不赘言。总之,《个人信息保护法》第68条的适用对象包括国家机关和准国家机关,由此区别于第66条。
《个人信息保护法》第68条两款区分了国家机关作为个人信息处理者和个人信息处理活动规制者的两种身份。任何国家机关都可以成为个人信息处理者,适用第68条第1款,但不是所有国家机关都能成为个人信息处理活动规制者而适用该条第2款。这是因为按照《个人信息保护法》第60条,除各级网信部门外,举凡所监管对象从事个人信息处理活动的县级以上人民政府有关部门皆是“履行个人信息保护职责的部门”,[14]非行政机关的国家机关则不属于《个人信息保护法》所规定的此类部门。
《个人信息保护法》第68条第1款与第2款有所不同。前者就作为个人信息处理者的国家机关不履行个人信息保护义务同时规定了单位责任和个人责任,后者对作为个人信息处理活动规制者的国家机关的工作人员渎职设立了个人责任,但对相应国家机关的违法行为未明文设定责任。当然,这并不表示对履行个人信息保护职责的部门违法不存在追责机制。根据我国行政处罚法第76条,行政机关违法实施行政处罚,由上级行政机关或者有关部门责令改正。我国行政强制法第61、62、64条对行政机关违法实施行政强制也有类似规定。然而,由于《个人信息保护法》第68条第2款没有像第1款那样明文、概括地设立单位责任,难免出现问责漏洞,例如当履行个人信息保护职责的部门不履行或不正确履行《个人信息保护法》第61条第2项规定的“接受、处理与个人信息保护有关的投诉、举报”,就无法按照我国行政处罚法或行政强制法来追责。《个人信息保护法》第68条第2款的这种立法表述沿袭了《网络安全法》第73条、《数据安全法》第50条,都存在只规定个人责任而未明确单位责任的漏洞。事实上,我国法上有大量对监管部门违法同时设立单位和个人责任的规定,例如我国精神卫生法第72条规定:“县级以上人民政府卫生行政部门和其他有关部门未依照本法规定履行精神卫生工作职责,或者滥用职权、玩忽职守、徇私舞弊的,由本级人民政府或者上一级人民政府有关部门责令改正,通报批评,对直接负责的主管人员和其他直接责任人员依法给予警告、记过或者记大过的处分;造成严重后果的,给予降级、撤职或者开除的处分。”[15]要填补《个人信息保护法》第68条第2款未规定违法单位问责的疏漏,有待将来修法增加规定:“履行个人信息保护职责的部门未依照本法规定履行个人信息保护职责的,由其上级机关责令改正”。
《个人信息保护法》第68条第1款也存在疏漏。我国监察法覆盖“所有行使公权力的公职人员”(监察法第1条),具体包括:“(一)中国共产党机关、人民代表大会及其常务委员会机关、人民政府、监察委员会、人民法院、人民检察院、中国人民政治协商会议各级委员会机关、民主党派机关和工商业联合会机关的公务员,以及参照《中华人民共和国公务员法》管理的人员;(二)法律、法规授权或者受国家机关依法委托管理公共事务的组织中从事公务的人员;(三)国有企业管理人员;(四)公办的教育、科研、文化、医疗卫生、体育等单位中从事管理的人员;(五)基层群众性自治组织中从事管理的人员;(六)其他依法履行公职的人员”(监察法第15条)。我国公职人员政务处分法第2条第3款亦规定:“本法所称公职人员,是指《中华人民共和国监察法》第十五条规定的人员。”上述六类人员中,只有第一类和第二类中的法律、法规授权管理公共事务的组织中从事公务的人员属于《个人信息保护法》上的国家机关和准国家机关工作人员,其余人员则不属于第68条第1款的责任主体。由此就产生一个问题:那些在受国家机关依法委托管理公共事务的组织中从事公务的人员、国有企业管理人员、公办的科教文卫体等单位中从事管理的人员、基层群众性自治组织中从事管理的人员以及其他依法履行公职的人员,虽然所属单位不是国家机关,但若其对单位违反《个人信息保护法》负有直接责任,则既应根据该法第66条受到罚款或从业禁止的行政处罚,也应基于其公职人员身份依据我国监察法和公职人员政务处分法给予处分。而国家机关工作人员对其单位违反《个人信息保护法》负有直接责任时,则不适用该法第66条的行政处罚,只适用第68条规定的处分。两相比较,同为行使公权力的公职人员且都对单位违反《个人信息保护法》负有直接责任,只不过因为所属单位性质不同,非国家机关的公职人员就要比国家机关的公职人员额外面临行政处罚,二者行为性质相同却责任形式不一,且国家机关公职人员获得“优待”,难言平等和公平。事实上,这个问题在《网络安全法》和《数据安全法》中同样存在,根源就在于国家机关公职人员、非国家机关公职人员和非公职人员三类责任个人中,理论上前两者应平等对待,立法上却将后两者等同视之。进言之,在这三部法律中,公职人员与非公职人员相同行为的法律责任也存在鸿沟,没有给对单位违法负直接责任的公职人员设定行政处罚,非公职人员才面临行政处罚。从应然角度讲,公职人员和非公职人员都应配置行政处罚这种责任形式,因为对所在单位违法负直接责任的公职人员个人没有理由因为行使的是公权力而免于行政处罚;[16]而相较于非公职人员,公职人员还应额外配置处分这种责任形式,因为公职人员行使公权力理应符合更高标准和更严要求。要弥补这项立法疏漏,就《个人信息保护法》而言,建议未来修法时,在第66条两款最后均加上一句“具有公职人员身份的,应依法给予处分”,将第68条第1款最后一句调整为“对直接负责的主管人员和其他直接责任人员依法给予行政处罚和处分”。
三、《个人信息保护法》第68条的适用行为
《个人信息保护法》第68条第1款针对“国家机关不履行本法规定的个人信息保护义务”的行为设定法律责任。对此,学界存在三种理解。广义说认为这里的“个人信息保护义务”既包括消极义务,也包括积极义务。前者指个人信息权益的防御权功能,要求国家机关处理个人信息遵循合法正当、知情同意、比例原则、目的明确与目的限制等原则;后者指个人信息权益的客观法功能,要求国家机关主动创造和维护有利于实现个人信息保护的制度环境,尤其是要强化制度性保障、组织与程序保障以及履行侵害防止义务。[17]中义说认为“不履行本法规定的个人信息保护义务”既包括国家机关违反《个人信息保护法》第二章第三节的特别规定,也包括违反该法其他有关个人信息保护义务的规定,例如未履行第8条有关保证个人信息质量的义务、第9条有关采取必要措施保障个人信息安全的义务等。[18]狭义说则认为“不履行本法规定的个人信息保护义务”仅指违反《个人信息保护法》第五章“个人信息处理者的义务”的行为,理由是这一表述在该法中另一次出现是第66条第1款规定对“违反本法规定处理个人信息”和“处理个人信息未履行本法规定的个人信息保护义务”给予行政处罚。比较两个法条,不难发现第68条第1款不含第66条第1款所含的“违反本法规定处理个人信息”,这表示第68条第1款只适用于“国家机关没有履行《个人信息保护法》所规定的保护个人信息安全的义务”,“如未采取必要的措施防止未经授权的访问以及个人信息泄露、篡改、丢失,在个人信息泄露后没有立即采取补救措施并履行通知履行个人信息保护职责的部门和个人的义务等”。“至于国家机关违反《个人信息保护法》的规定处理个人信息的活动”,则“无须专门加以规定,因为,《个人信息保护法》第二章第三节已经对国家机关处理个人信息作出了专门的规定。”[19]
从广义至中义再到狭义,三种既有观点将《个人信息保护法》第68条第1款所针对的违法行为分别解释为违反该法所有义务性规定的行为、违反该法个人信息处理义务规定的行为、违反该法第五章特定义务的行为。三种观点皆存在缺陷。(1)广义说主张第68条第1款设定的责任机制适用于国家机关违反个人信息积极保护义务的行为,包括不履行制度性保障、组织与程序保障以及侵害防止义务,意味着国家机关不依法调查处理侵害个人信息权益的行为,也要按照第1款问责。可问题是:这实际上是不履行个人信息保护职责,应按照该条第2款问责。如果第68条第1款所称的“个人信息保护义务”包含第61条列举的“个人信息保护职责”,那么第68条第2款就会成为赘文,因为其“依法给予处分”的含义已为第1款第二个分句所表达,而不履行个人信息保护职责构成犯罪应依法追究刑事责任的含义也已为第71条所表达。事实上,第68条第2款直到《中华人民共和国个人信息保护法(草案)》三审稿才加上,足见其绝非赘文,而是有独立于第1款的意义,即专门对履行个人信息保护职责的部门不履行职责设定法律责任,第1款则不针对此类违法行为。(2)中义说排除国家机关不履行个人信息保护职责的行为,比广义说更符合《个人信息保护法》第68条的内部结构,但却忽略了第66条第1款对“违反本法规定处理个人信息”和“处理个人信息未履行本法规定的个人信息保护义务”作出的区分,将二者混为一谈。(3)狭义说尊重了这种区分,却会导致国家机关违法处理个人信息的行为,尤其是违反第二章第三节特别规定的行为无法适用第68条第1款,《个人信息保护法》上也找不到其他合适的条文来对国家机关的此类行为问责,将使国家机关个人信息保护法律责任体系出现重大漏洞。可见,三种既有观点要么不符合体系解释的要求,要么不符合目的解释的要求,均非对第68条第1款的恰切理解。
要准确理解《个人信息保护法》第68条第1款,须对其追根溯源。从《网络安全法》到《数据安全法》,再到《个人信息保护法》,国家机关法律责任的规定既一脉相承,又有所变化。《网络安全法》第72条规定:“国家机关政务网络的运营者不履行本法规定的网络安全保护义务的,由其上级机关或者有关机关责令改正;对直接负责的主管人员和其他直接责任人员依法给予处分。”第73条规定:“网信部门和有关部门违反本法第三十条规定,将在履行网络安全保护职责中获取的信息用于其他用途的,对直接负责的主管人员和其他直接责任人员依法给予处分。网信部门和有关部门的工作人员玩忽职守、滥用职权、徇私舞弊,尚不构成犯罪的,依法给予处分。”《数据安全法》第49条规定:“国家机关不履行本法规定的数据安全保护义务的,对直接负责的主管人员和其他直接责任人员依法给予处分。”第50条规定:“履行数据安全监管职责的国家工作人员玩忽职守、滥用职权、徇私舞弊的,依法给予处分。”从《网络安全法》到《数据安全法》,不变的是均给国家机关、履行监管职责的部门及其工作人员配置了法律责任,变化主要有三点:一是《网络安全法》对国家机关不履行网络安全保护义务同时规定了单位和个人的法律责任,即所谓“双罚制”,而《数据安全法》对国家机关不履行数据安全保护义务仅规定了个人责任,即所谓“单罚制”;二是《数据安全法》不再像《网络安全法》那样单列“将在履行网络安全保护职责中获取的信息用于其他用途的,对直接负责的主管人员和其他直接责任人员依法给予处分”,因为此类行为和责任可归入“不履行数据安全保护义务”的“对直接负责的主管人员和其他直接责任人员依法给予处分”;三是对相关工作人员玩忽职守、滥用职权或徇私舞弊,《数据安全法》删除了《网络安全法》“尚不构成犯罪的”之条件,径直规定依法给予处分。相较于这两部先在立法,《个人信息保护法》就国家机关法律责任的规定有两大变化:一是将此前多个条文整合为一个条文,二是没有沿袭《数据安全法》的“单罚制”,而恢复《网络安全法》的“双罚制”。与此同时,《个人信息保护法》第68条第1款延续了《网络安全法》第72条和《数据安全法》第49条的表述,把国家机关法律责任条款的适用行为统一表述为“不履行本法规定的某某义务”。然而,这种表述在前两部法律中有着更为广泛的意涵。《网络安全法》第9条明确:“网络运营者开展经营和服务活动,必须遵守法律、行政法规,尊重社会公德,遵守商业道德,诚实信用,履行网络安全保护义务,接受政府和社会的监督,承担社会责任。”《数据安全法》第8条要求:“开展数据处理活动,应当遵守法律、法规,尊重社会公德和伦理,遵守商业道德和职业道德,诚实守信,履行数据安全保护义务,承担社会责任,不得危害国家安全、公共利益,不得损害个人、组织的合法权益。”所以,当《网络安全法》第72条把适用行为界定为“国家机关政务网络的运营者不履行本法规定的网络安全保护义务”,《数据安全法》第49条把适用行为界定为“国家机关不履行本法规定的数据安全保护义务”时,“不履行本法规定的某某义务”指的是两部法律关于网络运营者和数据处理者(不包括二者的监管部门)的全部义务性规定。与此不同,《个人信息保护法》并无关于“个人信息保护义务”的一般性规定,仅有的两次提及该术语是在第66条第1款和第68条第1款,前者区分并举“违反本法规定处理个人信息”和“处理个人信息未履行本法规定的个人信息保护义务”,后者仅提及“不履行本法规定的个人信息保护义务”,从体系解释的角度出发,容易给人一种国家机关“违反本法规定处理个人信息”不适用第68条第1款的印象。但实际上,根据权威解释,该款的立法本意是明确国家机关“同样应当遵循本法规定个人信息处理的原则和规则,响应个人行使权利的请求,采取必要措施保证所处理的个人信息的安全”,只是考虑到国家机关的运行资金来源于财政,故未规定罚款,而是规定了责令改正的责任形式。[20]这表示第68条第1款应适用于作为个人信息处理者的国家机关违反《个人信息保护法》全部义务性规定,而不只限于违反第五章规定的行为。可见,由于《个人信息保护法》的起草者简单重复两部在先法律同一主题条文的立法表述,而未能注意到《网络安全法》和《数据安全法》同《个人信息保护法》相关条文的细微差异,忽视了相同表述在不同法律中有不同含义,反倒会造成违背立法本意而过度限缩第68条第1款适用范围的后果。这种立法语言和立法目的之间的错位颇令人遗憾,实属辞不达意甚至以文害义。
但上述困境依然可以通过法解释获得突破,其中关键就在于进一步细致区分第66条第1款和第68条第1款:前者规定的是“处理个人信息未履行本法规定的个人信息保护义务”,后者规定的是“不履行本法规定的个人信息保护义务”,少了“处理个人信息”的前缀。第66条第1款区分“违反本法规定处理个人信息”和“处理个人信息未履行本法规定的个人信息保护义务”,可以理解为前者指向处理行为本身不合法,大致包括违反《个人信息保护法》第一至三章规定的行为,后者指向处理行为本身合法但未履行相应的附随义务,比如不尊重《个人信息保护法》第四章列举的个人信息主体权利或不履行该法第五章规定的处理者义务。[21]而第68条第1款不再以“处理个人信息”修饰“不履行本法规定的个人信息保护义务”,故可将该表述解释为不限于不履行个人信息处理附随义务,而是涵括个人信息处理行为本身违法的情形,由此全面覆盖作为个人信息处理者的国家机关违反《个人信息保护法》义务性规定的行为。在此意义上,第68条第1款的适用行为实际等同于第67条所称的“本法规定的违法行为”。
《个人信息保护法》第68条第2款针对作为个人信息处理活动规制者的国家机关的工作人员“玩忽职守、滥用职权、徇私舞弊”设定法律责任。对此,学界存在两种理解。一种观点认为这里有三种行为:玩忽职守指严重不负责任,不履行或者不认真、正确履行职责;滥用职权指超越职权、违法决定、处理其无权处理的事项或者违反规定处理公务;徇私舞弊指为个人私利或亲友私情,故意违背事实和法律,伪造材料、隐瞒情况、弄虚作假或者包庇违法行为人,应当处理的不处理或者应当从重处理的从轻处理甚至不处理。[22]另一种观点认为这里只有两种行为,徇私舞弊不是一种独立的行为,而是指徇个人私利或亲友私情而玩忽职守、滥用职权。[23]此理解显然受到我国刑法第397条[24]的影响。刑法学通说认为该条所称的寻衅滋事并非独立罪名,而是玩忽职守、滥用职权的法定刑升格情节。[25]持“三行为说”的学者则认为《个人信息保护法》第68条第2款“将徇私舞弊与玩忽职守和滥用职权并列,应当认为其可成为独立的违法行为表现”。[26]两种观点的争议焦点其实在于国家机关工作人员不构成犯罪的渎职行为形态是否应与渎职犯罪行为一致。
要回答这个问题,同样须对此类规定追根溯源。在我国法上,将玩忽职守、滥用职权和徇私舞弊三者并列规定首见于1988年1月公布的《中华人民共和国水法》第50条:“水行政主管部门或者其他主管部门以及水工程管理单位的工作人员玩忽职守、滥用职权、徇私舞弊的,由其所在单位或者上级主管机关给予行政处分;对公共财产、国家和人民利益造成重大损失的,依照刑法规定追究刑事责任。”从立法史的角度看,这种立法表述有一个演变过程。1987年1月公布的《海关法》第56条曾规定:“海关工作人员滥用职权,故意刁难、拖延监管、查验的,给予行政处分;徇私舞弊、玩忽职守或者放纵走私的,根据情节轻重,给予行政处分或者依法追究刑事责任。”此时,滥用职权仅面临行政处分,徇私舞弊、玩忽职守才可能导致刑事责任。之所以如此,是因为当时有效的我国1979年刑法没有提及滥用职权,只是在第187条规定“国家工作人员由于玩忽职守,致使公共财产、国家和人民利益遭受重大损失的,处五年以下有期徒刑或者拘役”,在第188条规定“司法工作人员徇私舞弊,对明知是无罪的人而使他受追诉、对明知是有罪的人而故意包庇不使他受追诉,或者故意颠倒黑白做枉法裁判的,处五年以下有期徒刑、拘役或者剥夺政治权利;情节特别严重的,处五年以上有期徒刑”。当然,海关工作人员并不属于刑法第188条的特定适用对象——司法工作人员,但我国海关法第56条仍然规定海关工作人员徇私舞弊可追究刑事责任,是因为当时我国法上已有参照适用的先例。我国1984年专利法第66条曾规定:“专利局工作人员及有关国家工作人员徇私舞弊的,由专利局或者有关主管机关给予行政处分;情节严重的,比照刑法第一百八十八条规定追究刑事责任。”至于专利局、海关等部门的非司法国家工作人员的何种行为可以参照司法工作人员构陷无辜、包庇有罪、枉法裁判的行为,我国专利法、海关法并无详细说明,但非司法国家工作人员徇私舞弊应受处分,情节严重的追究刑事责任,自此被写入法律。1987年8月,最高人民检察院发布的《关于正确认定和处理玩忽职守罪若干意见(试行)》将滥用职权作为第187条玩忽职守罪的具体表现形式加以规定。由此,我国水法第50条所并列规定的玩忽职守、滥用职权、徇私舞弊三种行为就都有了明确的刑法条文相对应。其中,玩忽职守和滥用职权对应刑法第187条,徇私舞弊对应刑法第188条。
在我国1997年刑法把滥用职权从玩忽职守中抽离出来单设罪名后,类似水法第50条的法条所列举的滥用职权和玩忽职守对应的就是1997年刑法第397条第1款,而作为一项独立违法行为的徇私舞弊,所对应的就不再是第397条第2款所指的作为玩忽职守、滥用职权加重情节的徇私舞弊,而应是刑法上独立的犯罪行为。然而,1997年刑法第399条把1979年刑法第188条规定的司法工作人员徇私舞弊罪改为徇私枉法罪,新增了第401条司法工作人员徇私舞弊减刑、假释、暂予监外执行罪,使原有的行刑对应关系在法条字面上不复存在。更重要的是,非司法国家工作人员的哪些行为可参照类比于司法工作人员的徇私枉法行为或者徇私舞弊减刑、假释、暂予监外执行,从而构成应受处分的徇私舞弊,并无权威、清晰的答案。就本文讨论的《个人信息保护法》第68条第2款而言,其所规定的徇私舞弊,作为一项独立的违法行为,理应对应1997年刑法新增的第402条:“行政执法人员徇私舞弊,对依法应当移交司法机关追究刑事责任的不移交,情节严重的,处三年以下有期徒刑或者拘役;造成严重后果的,处三年以上七年以下有期徒刑。”[27]理由有二:(1)《个人信息保护法》第68条第2款所指向的“履行个人信息保护职责的部门的工作人员”正是1997年刑法第402条所言的“行政执法人员”,即“在具有行政执法权的行政机关中从事公务的人员”。[28](2)《个人信息保护法》第64条第2款明确:“履行个人信息保护职责的部门在履行职责中,发现违法处理个人信息涉嫌犯罪的,应当及时移送公安机关依法处理。”这恰好对应刑法第402条。据此,履行个人信息保护职责的部门的工作人员在履行职责过程中,发现违法处理个人信息涉嫌犯罪,徇私舞弊不及时移送或不移送,构成应受处分的违法行为;徇私舞弊不移送且情节严重或造成严重后果的,构成徇私舞弊不移交刑事案件罪。
综上,《个人信息保护法》第68条第2款列举的三项违法行为彼此独立,分别对应我国现行刑法第397条第1款和第402条。具体内容上,根据《个人信息保护法》第61条,履行个人信息保护职责的部门共有六项职责,参照刑法规定,其工作人员玩忽职守是指主观上出于疏忽大意或过于自信的过失,不履行或不正确履行这六项职责;滥用职权是指在履行这六项职责过程中出于主观故意而违反法定权限和程序使用权力;徇私舞弊则是指发现违法处理个人信息涉嫌犯罪但不及时移送或不移送公安机关依法处理。[29]
四、《个人信息保护法》第68条的责任形式
《个人信息保护法》第68条针对三种责任主体设定了三种责任形式。第1款第一句规定作为个人信息处理者的国家机关违反《个人信息保护法》由上级机关或者履行个人信息保护职责的部门责令改正。对此有四点值得说明:(1)对行政机关而言,上级机关既包括“条条”的上级主管部门,也包括“块块”的本级人民政府;对立法、军事、监察、审判、检察机关以及党的各级机关、人民政协、民主党派机关而言,上级机关指具有指导或领导关系的部门;对准国家机关而言,上级机关指其主管单位。(2)如前所述,根据《个人信息保护法》第60条,履行个人信息保护职责的部门既包括各级网信部门,也包括所监管对象从事处理个人信息活动的县级以上人民政府有关部门。而第68条第1款中的“履行个人信息保护职责的部门”,应仅指各级网信部门,因为如果是其他部门,则可归入该款中的“上级机关”。有学者指出:“规定由上级机关责令改正,是基于层级监督权;而由履行个人信息保护职责的部门责令改正,是基于个人信息处理监管权。将二者并列,逻辑上存在问题,实践中也难以协调两种监督的关系。”[30]相形之下,我国反垄断法第51条就没有这个问题。[31]然而,在我国条块分割的体制下,地方政府职能部门面临“两个婆婆”的双重领导可谓普遍现象,层级监督和领域监管相叠加亦是常态。[32]由是观之,《个人信息保护法》第68条第1款第一句并列层级监督权和专业领域监督权,并无逻辑冲突。[33]至于协调困难,基于层级监督的原理,作为履行个人信息保护职责的部门,网信办只能对级别低于自身的国家机关实施责令改正,当上级网信部门和上级机关均有权责令改正时,应由先立案的部门管辖。(3)特定领域中,除上级机关和网信部门外,监察机关也有权对违反个人信息保护法定义务的国家机关责令改正。例如依据《社会救助暂行办法》第66条,违反该办法规定泄露在工作中知悉的公民个人信息并造成后果的,由上级行政机关或者监察机关责令改正。(4)《个人信息保护法》第68条的责令改正不同于该法第66条的责令改正,前者是国家机关内部的责任追究机制,性质上属于内部行政行为;[34]后者是国家机关对外的追责机制,[35]性质上并非行政处罚,而是旨在消除违法行为危害后果、恢复行政管理秩序的行政处理。[36]现行法上,作为内部监督措施,责令改正从调查处理到决定作出并无明确的程序性规定,监督机关怠于履职也缺乏问责机制。[37]《个人信息保护法》实施一年多来,尽管如本文开头所言,国家机关违反该法的现象时有发生,但还未见任何国家机关因此被责令改正的公开报道。这与我国1993年反不正当竞争法第30条的实施情况颇为相似,该条规定政府及其所属部门实施行政垄断的由上级机关责令改正。现实中,该项规定很大程度上被“束之高阁”,一方面是由于上级机关的执法专业能力不足,[38]另一方面是因为“上级部门在下级部门与其他地方企业发生争议时很难保持中立……很多地方的上级部门都是利益分享者,在这种情况下,执法效果就会大打折扣”。[39]我国2008年反垄断法第51条规定“反垄断执法机构可以向有关上级机关提出依法处理的建议”,以期加强反行政垄断执法力度,但依旧成效不彰。[40]由此,有必要思考如何确保《个人信息保护法》第68条第1款第一句不重蹈反行政垄断执法的“覆辙”。总体来讲,可有两条思路。
其一,强化内部监督,具体包括行政监督和党内监督。行政监督包括两种方式。(1)由地方政府、网信部门牵头开展针对国家机关的个人信息保护专项检查。这方面已有一些地方实践,如四川省成都市政府下设的政务服务管理和网络理政办公室对该市政府网站与政务新媒体展开季度抽查,2022年第二季度共排查出不符合公开要求的个人信息1.5万余条,督促相关单位采取删除、撤回和去标识化等方式处理;[41]又如江苏省宿迁市委网信办开展“网安2021”专项行动,对全市400余家党政机关、企事业单位进行深度“体检”,重点关注存储公民个人信息相关数据的系统,下发整改通知书48份。[42](2)除上级网信部门对下级国家机关责令改正外,同级网信部门对本地国家机关落实《个人信息保护法》的情况理应更为了解,可发出整改建议,借由行政协助督促本地国家机关合规。党内监督是指上级党组织根据《中国共产党党章》第44条、《中国共产党问责条例》第5、7、8条以及《中国共产党纪律处分条例》第7、9条,对违反《个人信息保护法》的国家机关党组展开问责,具体方式包括责令作出书面检查或进行通报批评直至改组、解散。需要明确的是,网信部门也是党的工作机关,因为2018年《国务院关于机构设置的通知》(国发〔2018〕6号)明确“国家互联网信息办公室与中央网络安全和信息化委员会办公室,一个机构两块牌子,列入中共中央直属机构序列”。故网信部门除依据《个人信息保护法》第68条展开行政监督外,还可依据《中国共产党问责条例》第9条启动问责调查程序。
其二,强化外部监督,具体有四种方式。(1)行政公益诉讼。《个人信息保护法》第70条规定:“个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。”学界就该条是否包含行政公益诉讼有不同意见。[43]但实践早已走在理论争议之前。2021年,最高人民检察院发布了11件个人信息保护公益诉讼典型案例,有6件属于行政公益诉讼案件,其中“江西省乐安县人民检察院督促规范政府信息公开行政公益诉讼案”要旨明确:“针对行政机关在履行政府信息公开职能时泄露不应公开的公民个人信息的情形,检察机关通过制发诉前检察建议,依法督促行政机关履职整改。”全国已有多地检察院提起个人信息保护行政公益诉讼。[44]在这方面,社会组织的角色有待激活。(2)行政复议或行政诉讼。根据我国行政复议法第6条第11项和行政诉讼法第12条第12项,行政机关侵害个人信息权益的,当事人有权提起行政复议或行政诉讼。如果造成损害,受害人还可申请国家赔偿,适用违法归责原则。[45](3)民事诉讼和行政处罚,前提是国家机关以民事主体身份违法处理个人信息。国家机关处理个人信息有多重合法性基础,规范依据不限于《个人信息保护法》第34条,也包括该法第13条,其中取得个人同意以及为订立、履行个人作为一方当事人的合同所必需的情形下,国家机关实际上可以民事主体的身份处理个人信息。[46]若其有违法的处理行为,则可成为民事侵权之诉的适格被告,适用《个人信息保护法》第69条确立的过错推定原则和损害赔偿标准。学界对《个人信息保护法》第66条规定的行政处罚不适用于行使公权力的国家机关已有共识,[47]但作为民事主体处理个人信息的国家机关仍可被行政处罚。我国1996年行政处罚法第3条规定对“公民、法人或者其他组织违反行政管理秩序的行为”给予行政处罚。传统上,一般认为“公民、法人或者其他组织”不包括行政机关或其他国家机关,行政处罚的对象只能是行政管理的对象。[48]但国家机关也可以是行政管理的对象。例如《财政票据管理办法》第42条规定单位在非经营活动中违反规定印制财政票据、转让或出借财政票据的,由县级以上财政部门责令改正并给予警告,处以1000元以下罚款。实践中已出现行政机关据此被处罚的案例。例如2020年1月30日,新疆阿克苏地区财政局就因苏市喀拉塔勒镇政府违规使用票据行为较多而作出阿地财办监〔2020〕1号处罚决定,对镇政府罚款1000元。我国新修订的行政处罚法第2条规定:“行政处罚是指行政机关依法对违反行政管理秩序的公民、法人或者其他组织,以减损权益或者增加义务的方式予以惩戒的行为。”该规定并未明确排除国家机关作为行政处罚对象,因为根据我国民法典第97条,机关法人可以从事为履行职能所需要的民事活动,成为行政处罚对象没有法理障碍。[49]因此,国家机关原则上不受行政处罚,但当其以民事主体身份处理个人信息,例如在购买办公设备时基于个人同意或订立、履行合同所必需而收集个人信息,若违反《个人信息保护法》,则依然可成为行政处罚的对象。当然,《个人信息保护法》第66条列举的处罚措施中,罚款适用于以民事主体身份处理个人信息违法的国家机关,而责令停业整顿、吊销业务许可或营业执照、责任人员从业禁止不适用于国家机关,除非是经依法授权提供公共服务的企业违法(这类企业按照《个人信息保护法》第37条属于“准国家机关”)。(4)刑事追责。我国刑法第253条之一将“违反国家有关规定,向他人出售或者提供公民个人信息;将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人以及窃取或者以其他方法非法获取公民个人信息,情节严重的”规定为单位犯罪,明确对单位判处罚金。刑法学界对国家机关能否构成单位犯罪主体素有争议,[50]1997年刑法修订时也有不同意见,[51]但刑法第30条最终将国家机关纳入单位犯罪主体范围。[52]现实中,尽管颇为罕见,但确有国家机关被法院判决构成单位犯罪。[53]因此,国家机关违反我国刑法第253条之一,理应被追究刑事责任。[54]
《个人信息保护法》第68条第1款第二句规定对作为个人信息处理者的国家机关违反《个人信息保护法》的行为直接负责的主管人员和其他直接责任人员给予处分。对此有四点值得说明:(1)将国家机关违法处理个人信息法律责任所连带的个人限定于“直接负责的主管人员和其他直接责任人员”,是承继我国刑法31条规定的单位犯罪双罚制之范围。因此,可参照刑法来解释《个人信息保护法》的相关表述。根据2000年《全国法院审理金融犯罪案件工作座谈会纪要》,所谓“直接负责的主管人员”,是指在国家机关违反《个人信息保护法》的行为中起决定、批准、授意、纵容、指挥等作用的人员,一般是单位的主管负责人,包括法定代表人;所谓“其他直接责任人员”,是指在国家机关的上述违法行为中具体实施并起较大作用的人员,包括单位的经营管理人员,也包括聘任、雇佣的职工。须强调的是,即便行为人本身具有相关管理职责,但因不作为或失职而确对国家机关违反《个人信息保护法》的行为不知情或有失管束的,不宜认定为“直接负责的主管人员”,尽管其不依法履职仍应被追责。[55](2)对责任人员的处分包括两种类型。依据我国监察法第11、45条和公职人员政务处分法第2、7、10、16、17条,任免机关、单位有权对此类责任人员给予处分,监察机关可对其给予政务处分,二者都包括警告、记过、记大过、降级、撤职和开除;对同一违法行为,不得重复给予政务处分和处分。此即《个人信息保护法》第68条第1款第二句所言的“处分”。当然,这并未穷尽该条所指责任人员的全部责任形式。如果该违法人员属于国家机关中担任领导职务的党员干部或国家机关中非党员领导干部、不担任领导职务的干部以及国企中担任领导职务的人员,则还可依据《中国共产党组织处理规定(试行)》第3、5、7、8条进行组织处理,包括停职检查、调整职务、责令辞职、免职、降职,组织处理与政务处分或处分可同时使用。如果违法人员是党员,还可依据《中国共产党纪律处分条例》第7、8条和第四章予以党纪处分,包括警告、严重警告、撤销党内职务、留党察看、开除党籍。(3)若国家机关因违反我国刑法第253条之一面临刑事追诉,相关责任个人同样应依法承担刑事责任。(4)有必要区分国家机关违法犯罪和国家机关所属个人违法犯罪,构成前者要求单位存在违法犯罪的整体意志,盗用或冒用单位名义、未经单位决策机构批准或者违法犯罪与履职无关的,应按照《个人信息保护法》第66、69、71条对相关个人予以追责。
《个人信息保护法》第68条第2款规定履行个人信息保护职责的部门的工作人员渎职应予处分。对此有四点值得说明:(1)前已述及,该条存在未规定违法单位问责的疏漏。除未来修法确立内部监督机制外,眼下至少还有两条通过外部监督填补漏洞的途径。一是针对履行个人信息保护职责的部门不依法履职提起行政公益诉讼。例如早在2018年,最高人民检察院就将“浙江省宁波市‘骚扰电话’整治公益诉讼案”作为公益诉讼典型案例予以发布。该案中,当地检察院向不依法履职的宁波市通信管理部门发出检察建议,要求其采取有效措施制止违法使用个人信息扰民的现象。二是依据我国行政复议法第6条第9项或行政诉讼法第12条第6项,对不依法履职的负有个人信息保护职责的行政机关提起行政复议或行政诉讼。(2)《个人信息保护法》第68条第2款的“处分”,应按前文详述的该条第1款作相同理解。(3)履行个人信息保护职责的部门的工作人员渎职构成犯罪的,应按我国刑法第397条追究刑事责任。(4)该条中“尚不构成犯罪的”这一表述实属赘语,因为《个人信息保护法》第71条已经明确“违反本法规定……构成犯罪的,依法追究刑事责任”,更何况即便渎职已经构成犯罪,行政责任和刑事责任也完全可以并处,不是只有“尚不构成犯罪的”渎职行为才给予处分。建议将来修法时删除这一表述,以同《数据安全法》第50条接轨。
五、结语
综上,在规范层面,尽管略有疏漏,我国法上关于国家机关个人信息保护法律责任的规定不可谓不严密。在这张“法网”中,《个人信息保护法》68条无疑居于中心地位,但此外还有一系列国家立法和党内法规,给作为个人信息处理者和个人信息处理活动规制者的国家机关及其工作人员违反《个人信息保护法》设定了行政、民事、刑事法律责任以及党内责任。然而,法网虽密,贵在落实,否则沦为具文。相较于欧盟针对公权机关违法处理个人数据积极执法,[56]我国个人信息保护法对国家机关的相关违法行为很大程度上还处于“存而不用”的状态。以前文所述的郑州违法赋红码事件为例,其处理结果之所以引起舆论反弹,从法律责任的角度看,至少有三点原因:一是将相关责任人员利用健康码限制村镇银行储户通行自由的行为界定为“违反《河南省新冠肺炎疫情防控健康码管理办法》及健康码赋码转码规则”,而只字未提当时已生效半年多的《个人信息保护法》。二是作出赋红码决定的是郑州市新冠肺炎疫情防控指挥部社会管控指导部部长和副部长,执行者包括该部健康码管理组组长,该决定不大可能出于个人之私利,而更可能体现单位意志。在性质上,郑州市新冠肺炎疫情防控指挥部属于当地政府的议事协调机构,[57]且没有法律、行政法规或地方人大的明确授权,不具备独立的行政主体地位,其行为当归责于郑州市政府。[58]所以,按照《个人信息保护法》第68条第1款第一句,违法赋红码行为应由上级的河南省政府或河南省网信部门责令郑州市政府改正。三是对违法行为直接负责的主管人员郑州市新冠肺炎疫情防控指挥部社会管控指导部部长和副部长分别给予撤销党内职务、政务撤职处分和党内严重警告、政务降级处分,依据是《中国共产党纪律处分条例》第27条和《公职人员政务处分法》第39条,表明其滥用职权的行为情节较重。而根据2012年《最高人民法院、最高人民检察院关于办理渎职刑事案件适用法律若干问题的解释(一)》第1条第1款第3项,国家机关工作人员滥用职权“造成恶劣社会影响的”,应当认定为构成刑法第397条规定的滥用职权罪。2020年《最高人民法院、最高人民检察院、公安部、司法部关于依法惩治妨害新型冠状病毒感染肺炎疫情防控违法犯罪的意见》也明确:“在疫情防控工作中,负有组织、协调、指挥、灾害调查、控制、医疗救治、信息传递、交通运输、物资保障等职责的国家机关工作人员,滥用职权或者玩忽职守,致使公共财产、国家和人民利益遭受重大损失的,依照刑法第三百九十七条的规定,以滥用职权罪或者玩忽职守罪定罪处罚。”据此,对违法赋红码直接负责的主管人员涉嫌滥用职权罪,除党纪政纪处分外,还应受到刑事追责。这起国家机关及其工作人员侵害公民个人信息权益的事件,给全社会敲响了警钟,昭示着以《个人信息保护法》68条为中心的国家机关个人信息保护法律责任体系亟待继续完善、有效落实。
注释:
[1]参见杨立新:《个人信息处理者侵害个人信息权益的民事责任》,载《国家检察官学院学报》2021年第5期;商希雪:《侵害公民个人信息民事归责路径的类型化分析——以信息安全与信息权利的“二分法”规范体系为视角》,载《法学论坛》2021年第4期;程啸:《侵害个人信息权益的侵权责任》,载《中国法律评论》2021年第5期;孙莹:《大规模侵害个人信息高额罚款研究》,载《中国法学》2020年第5期;彭錞:《论个人信息保护行政处罚制度——以〈个人信息保护法〉第66条为中心》,载《行政法学研究》2022年第4期;高富平、王文祥:《出售或提供公民个人信息入罪的边界——以侵犯公民个人信息罪所保护的法益为视角》,载《政治与法律》2017年第2期;李川:《个人信息犯罪的规制困境与对策完善——从大数据环境下滥用信息问题切入》,载《中国刑事法杂志》2019年第5期。
[2]参见蒋红珍:《〈个人信息保护法〉中的行政监管》,载《中国法律评论》2021年第5期,第57—58页;王锡锌:《行政机关处理个人信息活动的合法性分析框架》,载《比较法研究》2022年第3期,第105—107页。
[3]申佳平、吕骞:《35款APP存在个人信息收集问题“鄂汇办”等多个政务平台被通报》,载人民网,http://it.people.com.cn/ n1/2020/1113/c1009-31930596.html,最后访问日期:2023年1月28日。
[4]江西省乐安县人民检察院督促规范政府信息公开行政公益诉讼案,载正义网,http://www.jcrb.com/jcjgsfalk/dxal/gjc/qinfangong mingerenxinxifanzui/202104/t20210422_2273316.html,最后访问日期:2023年1月27日。
[5]《涟源市通报一起公职人员泄露疫情防控个人信息典型案例》,载新化新闻网,https://www.xhxww.cn/content/2022/04/16/11128037.html,最后访问日期:2023年1月27日;《中共成都市纪委、成都市监委关于3起违反工作纪律典型案例的通报》,载成都市纪委监委微信公众号“清廉蓉城”,https://dujiangyan.ljcd.gov.cn/show-676-9183-1.html,最后访问日期:2023年1月27日。
[6]申佳平:《政务APP责任重大个人信息处理亟需增强“敬畏心”》,载人民网,http://it.people.com.cn/n1/2020/1224/c1009-31977346.html,最后访问日期:2023年1月27日。
[7]刘海美:《胡锡进评郑州通报河南赋红码调查问责结果》,载和讯网,http://news.hexun.com/2022-06-23/206207172.html,最后访问日期:2023年1月28日。
[8]李拥军:《法律责任概念的反思与重构》,载《中国法学》2022年第3期,第239页。
[9]参见最高人民法院民法典贯彻实施工作领导小组主编:《中华人民共和国民法典总则编理解与适用》(上),人民法院出版社2020年版,第489—490页;王爱立主编:《中华人民共和国刑法释义》,法律出版社2021年版,第639页。
[10]周汉华主编:《个人信息保护法条文精解与适用指引》,法律出版社2022年版,第385页。
[11]〕张平主编:《〈中华人民共和国个人信息保护法〉理解适用与案例》,中国法制出版社2021年版,第261页。
[12]杨合庆主编:《中华人民共和国网络安全法解读》,中国法制出版社2017年版,第164页;龙卫球主编:《中华人民共和国数据安全法释义》,中国法制出版社2021年版,第194—195页。
[13]彭錞:《论国家机关处理个人信息的合法性基础》,载《比较法研究》2022年第1期,第163—165页。
[14]彭錞:《论个人信息保护行政处罚制度——以〈个人信息保护法〉第66条为中心》,载《行政法学研究》2022年第4期,第39页。
[15]类似条文还包括我国预备役人员法第60条、军人地位和权益保障法第63条、慈善法第108条、特种设备安全法第94条等。
[16]例如我国居民身份证法第19条就对国家机关和非国家机关工作人员泄露个人信息都规定了罚款和没收违法所得的行政处罚。
[17]龙卫球主编:《中华人民共和国个人信息保护法释义》,中国法制出版社2021年版,第317—318页。
[18]张平主编:《〈中华人民共和国个人信息保护法〉理解适用与案例》,中国法制出版社2021年版,第261—262页。
[19]程啸:《个人信息保护法理解与适用》,中国法制出版社2021年版,第487—488页,第495—496页。
[20]杨合庆主编:《中华人民共和国个人信息保护法释义》,法律出版社2022年版,第166—167页。
[21]彭錞:《论个人信息保护行政处罚制度——以〈个人信息保护法〉第66条为中心》,载《行政法学研究》2022年第4期,第43页。
[22]张平主编:《〈中华人民共和国个人信息保护法〉理解适用与案例》,中国法制出版社2021年版,第263页;周汉华主编:《个人信息保护法条文精解与适用指引》,法律出版社2022年版,第386页;龙卫球主编:《中华人民共和国个人信息保护法释义》,中国法制出版社2021年版,第319—320页。
[23]高飞:《中华人民共和国个人信息保护法解读》,中国法制出版社2022年版,第216页。
[24]该条规定:“国家机关工作人员滥用职权或者玩忽职守,致使公共财产、国家和人民利益遭受重大损失的,处三年以下有期徒刑或者拘役;情节特别严重的,处三年以上七年以下有期徒刑。本法另有规定的,依照规定。国家机关工作人员徇私舞弊,犯前款罪的,处五年以下有期徒刑或者拘役;情节特别严重的,处五年以上十年以下有期徒刑。本法另有规定的,依照规定。”
[25]张明楷:《刑法学》,法律出版社2021年版,第1632页。
[26]张新宝主编:《〈中华人民共和国个人信息保护法〉释义》,人民出版社2021年版,第521页。
[27]同理,我国税收征收管理法第82条中徇私舞弊对应的是1997年刑法第404、405条;进出境动植物检疫法第45条中徇私舞弊对应的是1997年刑法第413条;产品质量法第68条中徇私舞弊对应的是1997年刑法第414条;出境入境管理法第85条中徇私舞弊对应的是1997年刑法第415条;教育法第77条中徇私舞弊对应的是1997年刑法第418条。
[28]王爱立主编:《中华人民共和国刑法条文说明、立法理由及相关规定》,北京大学出版社2021年版,第1543页。
[29]王爱立主编:《中华人民共和国刑法条文说明、立法理由及相关规定》,北京大学出版社2021年版,第1523—1524页。
[30]王锡锌:《行政机关处理个人信息活动的合法性分析框架》,载《比较法研究》2022年第3期,第106页。
[31]该条规定:“行政机关和法律、法规授权的具有管理公共事务职能的组织滥用行政权力,实施排除、限制竞争行为的,由上级机关责令改正;对直接负责的主管人员和其他直接责任人员依法给予处分。反垄断执法机构可以向有关上级机关提出依法处理的建议。”
[32]周振超、李安增:《政府管理中的双重领导研究——兼论当代中国的“条块关系”》,载《东岳论丛》2009年第3期,第134页。
[33]我国统计法第38条、《气象设施和气象探测环境保护条例》第23条、《博物馆条例》第43条等都有类似规定。
[34]胡建淼、胡晓军:《行政责令行为法律规范分析及立法规范》,载《浙江大学学报(人文社会科学版)》2013年第1期,第103—104页。
[35]蒋红珍:《〈个人信息保护法〉中的行政监管》,载《中国法律评论》2021年第5期,第57页。
[36]彭錞:《论个人信息保护行政处罚制度——以〈个人信息保护法〉第66条为中心》,载《行政法学研究》2022年第4期,第44页。
[37]刘素梅:《行政层级监督法制化建设存在的问题及其完善路径》,载《湖北社会科学》2014年第12期,第28页。
[38]王晓晔:《依法规范行政性限制竞争行为》,载《法学研究》1998年第3期,第92页。
[39]王健:《行政垄断法律责任追究的困境与解决思路》,载《法治论丛》2010年第1期,第11页。
[40]侯利阳:《〈反垄断法〉不能承受之重:我国反垄断执法五周年回顾与展望》,载《交大法学》2013年第2期,第55—56页,第67页。
[41]成都市政务服务管理和网络理政办公室:《成都市政务服务管理和网络理政办公室关于2022年全市政府网站和政府系统政务新媒体第二季度抽查暨上半年检查情况的通报》,载成都市政府网,http://www.chengdu.gov.cn/chengdu/ztzl/2022-07/27/content_ cd26d92a34eb43f9a17c0c2ac18a6018.shtml,最后访问日期:2023年2月8日。
[42]景雯雯:《宿迁市委网信办聚焦重点领域全力织密个人信息保护安全网》,载中共江苏省委新闻网,http://www.zgjssw.gov.cn/ shixianchuanzhen/suqian/202203/t20220318_7468557.shtml,最后访问日期:2023年2月8日。
[43]持否定观点的如张新宝、赖成宇:《个人信息保护公益诉讼制度的理解与适用》,载《国家检察官学院学报》2021年第5期,第67—68页;持肯定观点的如蒋红珍:《个人信息保护的行政公益诉讼》,载《上海交通大学学报(哲学社会科学版)》2022年第5期,第29—33页。
[44]《2021年苏州市检察机关个人信息保护检察公益诉讼工作报告》,载苏州市人民检察院网,http://sz.jsjc.gov.cn/jianwu/baogao/202111/t20211126_1311339.shtml,最后访问日期:2023年2月9日;《全市首例个人信息保护领域行政公益诉讼案件,确保公民个人信息安全》,载福建省华安县人民检察院网,http://www.fjhuaan.jcy.gov.cn/tpxw/202112/t20211201_3450853.shtml,最后访问日期:2023年2月9日。
[45]尽管我国国家赔偿法第3条所列举的侵犯人身权的行政赔偿范围不包括个人信息权益这种人身权,但按照该法第4条第4项,若行政机关违法处理个人信息造成公民财产损害,则应给予国家赔偿;即便没有财产损害,按照该法第2条的概括性规定,也应对侵犯公民个人信息权益的违法履职行为承担国家赔偿责任。
[46]彭錞:《论国家机关处理个人信息的合法性基础》,载《比较法研究》2022年第1期,第167—174页。
[47]王锡锌:《行政机关处理个人信息活动的合法性分析框架》,载《比较法研究》2022年第3期,第106页;张馨天:《违法处理个人信息的行政罚款责任研究——以〈个人信息保护法〉第66条为中心的考察》,载《中国应用法学》2022年第6期,第160页。
[48]全国人大常委会法制工作委员会国家法与行政法室编著:《〈中华人民共和国行政处罚法〉释义》,法律出版社1996年版,第7页。
[49]袁雪石:《〈中华人民共和国行政处罚法〉释义》,中国法制出版社2021年版,第22页。
[50]持肯定观点的如李希慧:《论单位犯罪的主体》,载《法学论坛》2004年第2期,第70页;持否定观点的如马克昌:《“机关”不宜规定为单位犯罪的主体》,载《现代法学》2007年第5期,第56—58页。
[51]王爱立主编:《中华人民共和国刑法条文说明、立法理由及相关规定》,北京大学出版社2021年版,第86页。
[52]该条明确:“公司、企业、事业单位、机关、团体实施的危害社会的行为,法律规定为单位犯罪的,应当负刑事责任。”
[53]裴显鼎:《国家机关单位犯罪的困境与变革——对190份生效刑事裁判文书的实证研究》,载《法律适用》2021年第12期,第4—7页。
[54]情节严重的标准参见《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》。
[55]王爱立主编:《中华人民共和国刑法条文说明、立法理由及相关规定》,北京大学出版社2021年版,第89页。
[56]据统计,2019年5月至2022年10月间,欧盟各国数据保护机构处罚违反《通用数据保护条例》(GDPR)的各级公权机关共192次。其中,2021年11月25日,荷兰税务海关总署因非法且歧视性处理个人数据被罚款275万欧元。数据来源为https://www.enforcementtracker.com/,最后访问日期:2023年3月7日。
[57]2020年1月21日郑州市人民政府办公厅发布的《郑州市新型冠状病毒感染的肺炎疫情防控工作方案》明确:“成立郑州市新型冠状病毒感染的肺炎疫情防控工作指挥部”,“统一组织领导、指挥协调本市辖区内新型冠状病毒感染的肺炎疫情预防控制、医疗救治、信息收集和督导检查等工作”,“成员由市人民政府相关职能部门主要领导担任”。
[58]李书耘、马火生:《突发公共卫生事件的地方应急指挥机构的法律问题研究》,载《探求》2022年第1期,第58页。
彭錞,法学博士,北京大学法学院助理教授。
来源:《比较法研究》2023年第2期。
