彭錞:论个人信息保护行政处罚制度——以《个人信息保护法》第66条为中心
彭錞摘要: 在个人信息保护领域,除网信部门外,监管对象处理个人信息的行政机关都具有行政处罚权。由此产生的职能管辖冲突应按《行政处罚法》第25条和一事不再罚原则来协调;地域管辖冲突以多元地域管辖联结点等规则来协调;层级管辖冲突视违法情节轻重来协调。处罚对象是作为个人信息处理者或个人信息处理受托人的组织和自然人,以民事主体身份处理个人信息的国家机关亦可受罚。受罚行为是负有责任能力和条件的主体违反《个人信息保护法》一至五章且不存在违法阻却事由的行为。违法情节可分轻微、较重、拒不改正、严重、特别严重,均应责令改正,并根据过罚相适原则进一步匹配处罚。
关键词: 个人信息保护法 行政处罚 管辖协调 处罚对象与行为 过罚相适
《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)第66条对个人信息保护领域的行政处罚制度作出规定。相较于《全国人民代表大会常务委员会关于维护互联网安全的决定》第4条、《消费者权益保护法》第56条、《网络安全法》第64条等先期规范,《个人信息保护法》第66条有了质的突破。广度上,其打击对象不再限于侵害他人电子邮件等数据资料行为,保护对象亦不再限于消费者,而是涵盖所有违法处理个人信息行为和个人信息主体;深度上,其新增责任人员从业禁止和高额罚款等处罚措施,强化违法威慑。然而,既有研究或聚焦网络安全领域的行政处罚,[1]或论证对严重个人信息侵权行为处以高额罚款的必要性与可行性,[2]或介绍欧美个人信息保护领域的处罚制度。[3]以《个人信息保护法》第66条为切入点,探讨我国个人信息保护行政处罚制度的文献迄今仍付之阙如。本文试图填补此空白,从“谁处罚”“罚什么”“怎么罚”三方面展开初步讨论。
一、谁处罚:处罚主体与管辖协调
(一)处罚主体
《个人信息保护法》第66条规定由“履行个人信息保护职责的部门”实施处罚。根据该法第60条,此类部门包括“国家网信部门”“国务院有关部门”以及“县级以上地方人民政府有关部门”。除网信部门外,还有哪些机构属于“履行个人信息保护职责的部门”?《网络安全法》第8条、《数据安全法》第6条将电信、公安、国安、交通、金融、自然资源、卫生健康、教育、科技部门列为网络安全、数据安全监管部门,但也采用“其他有关机关”和“等”的措辞来表明列举是不穷尽的。事实上,由于个人信息的泛在性,大量部门皆负有个人信息保护职责。例如人社部门依据《人力资源市场暂行条例》第三章监管人力资源服务机构,由此对线上人力资源服务处理个人信息具有监管职责。[4]又如文旅部门是旅游经营活动的监管主体,由此对该类活动中的个人信息保护负有监管职责。[5]简言之,举凡监管对象处理个人信息的机构皆属于“履行个人信息保护职责的部门”。鉴于《个人信息保护法》第61条规定此类部门有权“处理”违法个人信息处理活动,“处理”包括行政处罚,[6]故所有履行个人信息保护职责的部门皆是该领域行政处罚主体。
(二)管辖协调
第一,职能管辖之协调。
具体存在两种情况:其一,同一违法个人信息保护法律的行为,既可由网信部门来处罚,也可由特定行业的主管部门来处罚,遂产生管辖冲突。对此,可依据《行政处罚法》第25条来解决:“两个以上行政机关都有管辖权的,由最先立案的行政机关管辖。对管辖发生争议的,应当协商解决,协商不成的,报请共同的上一级行政机关指定管辖;也可以直接由共同的上一级行政机关指定管辖。”其二,同一行为,既违反个人信息保护法律规范,也触犯其他行政管理领域的规范,构成“想象竞合”,网信部门与行业主管部门都可处罚,遂产生管辖冲突。例如某APP的隐私政策未包括收集使用个人信息的规则,据《APP违法违规收集使用个人信息行为认定方法》第1条应认定为“未公开收集使用规则”。这同时违反《消费者权益保护法》第29条、《电信和互联网用户个人信息保护规定》第8条和《个人信息保护法》第17条。对此,根据《消费者权益保护法》第56条,可由市场监管部门警告、没收违法所得、处以违法所得一倍以上十倍以下的罚款,没有违法所得的,处以50万元以下的罚款,情节严重的,责令停业整顿、吊销营业执照;根据《电信和互联网用户个人信息保护规定》第22条,由电信管理机构警告,可并处1万元以下的罚款;根据《个人信息保护法》第66条,可由网信部门警告、没收违法所得,对违法处理个人信息的应用程序责令暂停或终止服务,拒不改正的并处100万元以下罚款。此类想象竞合带来的管辖争议应按照一事不再罚原则解决,即同类处罚应择一重处,由具有最高处罚幅度的执法部门行使管辖权,不同类处罚应并行适用,由各类处罚的执法部门同时行使管辖权,具体分配通过部门协商来确定。[7]据此,对某APP的违法行为应予如下处罚:首先,市场监管部门、电信主管部门和网信部门均可警告,市场监管部门和网信部门均可没收违法所得、责令停止服务,但只能由其中一个部门实施,具体由先立案的部门执行或通过部门间通报协商确定。其次,市场监管部门、电信主管部门和网信部门均可罚款,但根据《行政处罚法》第29条,应“按照罚款数额高的规定”由一个机关罚款。关于何为“罚款数额高”,理论上有实际数额高和法定数额高两种见解。[8]本文赞同后一观点,除因其更符合法条文义外,还基于三点理由:其一,解决管辖争议贵在简便高效,若等到各处罚机关分析案情并初步决定罚款数额,再从中选择数额高额的部门来执行处罚,未免过于繁琐;其二,尽管法定罚款数额高不等于实际罚款数额高,但法定额高本身就体现了立法者对特定违法行为危害性的判断,应当优先考虑;其三,以法定罚款额高为标准不会影响实现过罚相适,反而能让有最大量罚空间的处罚机关去确定与违法行为相应的罚款。至于如何“就高”,对固定数额的罚款,可直接适用罚款数额高的规定处罚;对有幅度的罚款,“就高”应先比较罚款上限,适用罚款上限高的规定;没有罚款上限或者罚款上限一致的,适用罚款下限高的规定。据此,前述APP违法行为,无违法所得的,应由市场监管部门处50万元以下罚款;有违法所得的,由市场监管部门处违法所得一倍以上十倍以下罚款;拒不改正的,由网信部门处100万元以下罚款。再次,市场监管部门有权吊销营业执照。
第二,地域管辖之协调。
《行政处罚法》第22条规定,“行政处罚由违法行为发生地的行政机关管辖”。传统理解中,“发生地”区别于准备地、着手地、经过地、结果地,凸显受罚行为的核心要件是违法。[9]但网络空间对行为发生地中心主义带来巨大冲击,因为网络违法行为的发生地难以确定,即便可以确定,也往往不是确定处罚管辖权的最适宜标准。对此,学界提出两种解困方案:“一元化”方案建议在大型网络交易平台所在地设立专门机构集中管辖。[10]且不论这仍有待落实,即便实现,也难以适用于不发生在大型网络交易平台上的个人信息处理违法行为。“多元化”方案则建议扩张地域管辖联结点范围,在违法行为发生地之外增加违法结果发生地、违法行为发现地、行为人住所地。[11]这虽能应对狭义、单一的违法行为发生地难以满足网络空间执法需求的问题,却无法解决多个地域管辖权之间的争议,其所新增的管辖联结点亦难言全面。事实上,网络治理领域的规范不仅早已突破“违法行为发生地”的传统界定,而且比既有研究提供了更为丰富的地域管辖联结点。典型如2011年《互联网文化管理暂行规定》第33条、2017年《互联网信息内容管理行政执法程序规定》第6条和2018年修订的《公安机关办理行政案件程序规定》第11条。结合这些规范,可从如下三点入手,建构一套个人信息保护行政处罚地域管辖协调机制:首先,承认多元地域管辖联结点。具体包括违法主体、违法行为和受害主体三类。其中,违法主体地域管辖联结点包括实施违法行为主体的身份所在地(如信息服务许可地、网站备案地、工商登记地、身份证登记地、户籍所在地)、活动所在地(如主营业地、主要办事机构所在地、实际经营地、经常居住地);违法行为地域管辖联结点包括服务器所在地、网络接入地、终端设备所在地、所使用的网络平台运营者所在地;受害主体地域管辖联结点包括受侵害的个人信息主体之身份所在地(如身份证登记地、户籍所在地、经常居住地)、损害结果地(如信息主体被侵害时所在地、被侵害时使用的网络接入地或设备所在地、因个人信息受侵害而致财产损失的发生地)。其次,以立案时间先后来初步确定地域管辖权归属。针对处理个人信息违法行为,上述任一地域管辖联结点所在行政区域的履行个人信息保护职责的部门都有处罚管辖权,按照《行政处罚法》第25条第1款,应由最先立案的机关行使管辖权。再次,通过管辖协商和指定管辖解决管辖争议。根据前述规则仍无法解决处罚权管辖争议的,应按《行政处罚法》第25条第2款和《国务院关于进一步贯彻实施〈中华人民共和国行政处罚法〉的通知》第7条来处理,有争议的行政机关协商解决,协商不成的,多个行政机关属于同一主管部门的,由共同的上一级主管部门经报请或直接指定管辖;属于不同主管部门,由司法行政部门会同有关单位进行协调,在本级人民政府领导下指定管辖。
第三,层级管辖之协调。
《网络安全法》《数据安全法》对个人信息保护领域处罚机关的行政层级没有规定。《个人信息保护法》有两点安排:其一,第60条将履行个人信息保护职责的部门限定于县级以上至中央政府有关部门,意味着乡镇政府部门不负有个人信息保护职责,亦无此领域的行政处罚权。[12]其二,第66条区分一般和严重个人信息保护违法行为,前者由县、市级履行个人信息保护职责的部门处罚,后者由省级和中央级履行个人信息保护职责的部门处罚。[13]据此,县、市级部门先行发现个人信息保护违法线索或收到相关举报、投诉,认为构成情节严重的违法行为的,应当报请省级或中央级部门管辖或指定管辖;省级或中央级部门先行发现违法线索或收到举报、投诉,认为违法情节不严重的,则可将案件交由县、市级部门管辖。对于全国范围内有重大影响、严重侵害公民个人信息权益、引发群体投诉或者案情复杂的个人信息保护违法行为,应由国家网信部门查处或指定省级网信部门查处。
二、罚什么:应罚行为的构成要件
应受行政处罚行为的构成要件决定“罚不罚”。学界对此素有争论,形成要件说和阶层说。[14]本文选取三阶层说作为分析框架,因其可涵盖要件说无法容纳的违法阻却事由。
(一)该当性
应受行政处罚行为之该当性是指其符合法律、法规、规章规定的违法行为的事实特征。以下从处罚对象和处罚行为两方面阐述《个人信息保护法》第66条确立的构成要件。
首先,关于处罚对象。《个人信息保护法》第66条没有明确哪些主体应罚,但其第二至五章设定的个人信息处理规则、义务以及个人在个人信息处理活动中的权利均指向个人信息处理者,而根据第21条,个人信息处理受托人也须实现《个人信息保护法》合规。因此,作为个人信息处理者或个人信息处理受托人的组织、个人违反《个人信息保护法》,
应依据第66条处罚。
关于应受处罚的组织。法人和非法人组织违反《个人信息保护法》都应受罚,但作为机关法人的国家机关能否被处罚?[15]比较法上,以罚款为例,欧盟层面,根据《关于欧盟各类官方机构处理个人数据的条例》(European Union Data Protection Regulation, Regulation (EU) 2018/1725, 简称EUDPR)第66条第3项,欧盟数据保护监察专员(European Data Protection Supervisor)有权对欧盟公权机构(Union institution or body)处以单次不超过5万欧元、每年不超过50万欧元的行政罚款。欧盟成员国层面,GDPR《一般数据保护条例》第83条第7款做了留白处理,规定“成员国可制定规则来确定是否以及在什么情况下对其境内设立的公权机构和组织施加行政罚款”。[16]各成员国有三类做法。一是规定公权机构免予行政罚款,如奥地利、比利时、克罗地亚、芬兰、德国、列支敦士登等。二是规定公权机构和非公权机构在行政罚款方面没有区别,如挪威、葡萄牙等。三是规定特定条件下行政罚款适用于公权机构,具体又分两种情形:一种是限定对公权机构行政罚款的最高额,例如波兰将上限设定为10万兹罗提(约23300欧元)、罗马尼亚为20万列伊(约42000欧元)、捷克为1000万捷克克朗(约39万欧元)、丹麦为1600万丹麦克朗(约合210万欧元)、希腊为1000万欧元。这些罚款上限均低于非公权机构的罚款。另一种则是限定公权机构在特定情形下可被行政罚款,例如爱尔兰规定公权机构只有在以经济实体(undertaking)身份违规处理个人数据时才面临罚款,比利时规定公权机构在市场上提供产品和服务时才可被罚款。[17]上述做法各有道理:对公权机构罚款的理由在于其和非公权机构都是个人数据控制者或处理者,应一视同仁;豁免的理由在于对公权机构罚款,无非是公共财政左口袋出、右口袋进,不仅徒增成本,还会影响公务正常运转;特定条件下处罚公权机构的理由则是罚款确有阻遏作用,设置较低的罚款上限可避免处罚过度,而限定公权机构只有在提供市场服务或参与市场竞争时才可被罚款,则是为了避免其获得不正当竞争优势。反观我国,国家机关原则上不受行政处罚,但当其以民事主体身份处理个人信息,例如在购买办公用品时基于个人同意或订立、履行合同所必需而收集个人信息,若违反《个人信息保护法》,则可成为行政处罚的对象。[18]此外,国家机关处理个人信息违法应按照《个人信息保护法》第68条来处理。
关于应受处罚的个人。其一,个人独立受罚,即自然人作为个人信息处理者或个人信息处理受托人违法而受罚。例如某律师以个人身份接受客户委托处理家事纠纷,若客户没有清晰、具体地指示收集哪些及如何收集个人信息,而是由律师自行确定,则律师是个人信息处理者;若客户具体指示,律师只是遵嘱而行,则律师是个人信息处理受托人。无论哪种情形,律师违反《个人信息保护法》均应受罚。又如作为组织雇员的自然人,若超越组织授权处理个人信息,则构成个人信息处理者,违法的应自己独立受罚。其二,个人连带受罚,即自然人因所在单位违法而受罚。《个人信息保护法》第66条设立了双罚制,规定单位违法受罚的,直接负责的主管人员和其他直接责任人员也受罚。这意味着雇员在单位授权范围内按指示处理个人信息,雇员并非个人信息处理者或个人信息处理受托人,出现违法行为由作为个人信息处理者的组织受罚,但雇员仍要连带受罚。中国法上,单个自然人可成立个体工商户、个人独资企业和一人有限责任公司,如何连带处罚须分情况讨论。个体工商户在《民法典》中被规定于第一编第二章“自然人”,其本质是自然人而非企业组织,[19]故不适用双罚制,不能在处罚个体工商户后再连带处罚设立个体工商户的个人,否则会两次处罚一个法律主体的一个违法行为,违反一事不再罚原则,但可连带处罚个体工商户雇佣的其他直接责任人员。根据《民法典》第56条,对个体工商户的罚款应由个体工商户设立者的个人财产来承担。个人独资企业据《民法典》第102条属于非法人组织,《行政处罚法》第2条将非法人组织定为处罚对象,故双罚制,处罚企业的同时还可处罚设立企业的自然人。据《民法典》第104条,对个人独资企业的罚款首先由企业财产承担,不足的部分由设立人的个人财产承担补充责任。一人有限责任公司属于营利法人,适用双罚制,处罚公司时可连带处罚设立人。对公司的罚款以公司财产承担,但根据《公司法》第63条,公司股东不能证明公司财产独立于股东自己财产的,应以股东个人财产对罚款承担连带责任。
其次,关于处罚行为。《个人信息保护法》第66条列举了“违反本法规定处理个人信息”和“处理个人信息未履行本法规定的个人信息保护义务”两种受罚行为。二者如何区分?一种解释认为前者指向违反《个人信息保护法》第二章“个人信息处理规则”的处理活动,后者指向违反第五章“个人信息处理者的义务”的行为。[20]另一种解释认为前者指向“处理行为本身的违法性”,后者指向“因处理个人信息而附随的积极义务之违反”。[21]第一种解释会遗漏《个人信息保护法》第三、四章,第二种解释较为模糊,例如很难把进行自动化决策的信息处理者未提供不针对信息主体个人特征的选项这一违法行为非此即彼地归类。诚然,《个人信息保护法》第66条区分两种受罚行为在立法技术上值得商榷,统一表述为“处理个人信息违反本法规定”本可更加简明。但为了全面、准确和高效地适用现行法,本文建议:第一,将“违反本法规定处理个人信息”解释为违反《个人信息保护法》第一至三章的行为,因为第二、三章都是在规定个人信息处理规则,前者涉及所有处理行为,后者聚焦跨境提供行为,第一章规定个人信息处理基本原则,可作为兜底性规范;第二,将“处理个人信息未履行本法规定的个人信息保护义务”解释为违反《个人信息保护法》第四、五章的行为,因为两章皆是在规定狭义的个人信息保护义务,前者聚焦信息处理者满足信息主体权利的义务,后者涉及信息处理者安保措施、合规审计、影响评估等义务。[22]如此既能全面覆盖《个人信息保护法》,也可更简便、清晰地将违法行为归类。
(二)违法性
应受行政处罚行为之违法性是指“符合法律规范所描述的客观行为侵犯了行政法益”。[23]“通过利益权衡,将虽然符合构成要件但不具有实质违法性的行为予以排除,这就是违法阻却事由”。[24]民法、刑法上的违法阻却事由包括正当防卫、紧急避险、不可抗力、被害人承诺、自损行为、义务冲突等。[25]根据《行政处罚法》第33条第1款,若个人信息处理行为符合该当性构成违法,但因情节轻微、及时改正且无危害后果,实质上没有损害法律所保护的利益,即构成违法阻却事由,不予处罚;若违法行为首次发生且危害后果轻微并及时改正的,也构成违法阻却事由,由行政机关裁量决定是否处罚。例如2021年11月2日发布的《吉林省人力资源和社会保障厅包容审慎监管执法“四张清单”》就规定:人力资源服务机构在业务活动中收集个人信息,首次出现因非主观故意未按规定采取保密措施导致泄露,情节轻微,在未造成较大社会影响或危害后果,用人单位主动配合调查和接受教育,并在规定时限完成整改的前提下,免于处罚。
(三)有责性
应受行政处罚行为之有责性是指作为谴责对象的行为必须能为行为人意志控制,包括责任能力和责任条件。前者指行为人是否属于无责任能力人,后者指行为人是否有主观过错。关于责任能力,《行政处罚法》第30、31条规定不满十四周岁的未成年人以及精神病人、智力残疾人在不能辨认或控制自己行为时违法的,不予处罚。关于责任条件,《行政处罚法》第33条第2款规定:“当事人有证据证明没有主观过错的,不予行政处罚。”此项规定标志着《行政处罚法》从客观归责原则走向责任主义,[26]将行为人主观过错纳入行政违法行为的构成要件,只不过为避免过分影响行政效率,在过错要件的认定方法上选择了推定责任。因此,若行为人能够证明自己处理个人信息违反《个人信息保护法》没有过错,就不存在有责性,应不予处罚。此外须做两点澄清:第一,《个人信息保护法》第66条规定了责令改正,这并非行政处罚,而是旨在消除违法行为危害后果、恢复行政管理秩序的行政处理,[27]不适用过错推定。这就如同《个人信息保护法》第69条对个人信息侵权损害赔偿责任也设定了过错推定原则,但并不适用于作为人格权的个人信息权益之绝对权保护请求权——即便侵害个人信息权益者毫无过错,也应停止侵害、排除妨碍或消除危险。[28]同理,行为人违反《个人信息保护法》,本质上是对国家建构的法秩序之破坏,[29]不一定给信息主体造成损害,例如处理者不按该法第52条要求指定个人信息保护负责人。此时若处理者能自证无过错,则可免于处罚,但行政机关仍应责令改正,以消除危险。第二,有责性欠缺仅意味着行为人不必承担行政处罚责任,而非任何责任。据《行政处罚法》第30条、第31条,十四周岁以下的未成年人或精神病人、智力残疾人违反《个人信息保护法》仍须承担被“管教”或“看管和治疗”的责任,第33条第3款规定因有责性或违法性欠缺而不受处罚者需接受教育。
三、怎么罚:情节认定与措施匹配
《网络安全法》第六章、《数据安全法》第六章以及GDPR第83条均针对不同违法行为设置不同处罚。《个人信息保护法》设定行政处罚的方式发生重大变化,其第66条并未区分不同违法行为配以不同处罚,而是根据违法情节来决定处罚。客观来讲,这有一定道理,比如在违反个人信息处理者义务和侵犯个人信息权利主体之间并不存在天然的轻重之别。但第66条对如何认定违法情节未加解释,对怎样量罚亦语焉不详。因此,有必要进一步探讨该条中的违法情节和匹配措施,为精准判定“罚多重”提供标准。
(一)情节认定
《个人信息保护法》第66条明文设定了三种违法情节。一般情节应按前述个人信息保护领域应受行政处罚行为的三阶层构成要件来认定,这里对后两种情节稍作展开。如何认定“拒不改正”?在行政处罚领域,这是一项常见的情节,《网络安全法》第59-62、68、69条和《数据安全法》第45条都有涉及,可分两步认定:第一,履行个人信息保护职责的部门作出并送达责令改正决定书。第二,相对人收到责令改正决定书后,未在规定期限内按要求停止违法行为、消除违法后果或履行法定义务。有学者认为应考虑相对人是否具有采取相应改正措施的能力,对确因资源、技术等条件限制,没有或者一时难以达到监管部门要求的,不认定为“拒不改正”。[30]这一见解难以成立,因为相对人至少可以暂停个人信息处理,这并无资源、技术等条件限制。[31]所以,拒不改正必然基于有违法性认识的主观故意。
如何认定“情节严重”?先期司法解释和比较法例可资参考。2017年两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第5-6条就《刑法》第253条之一规定的“侵犯公民个人信息罪”列出情节严重和特别严重的数种情形。GDPR第83条第2款列举了十一项决定应否罚款及金额的考量因素。这些本土和域外规范在认定个人信息处理违法情节严重时主要考虑三类因素:一是违法行为,包括主观过错程度、是否滥用职权、持续时长、是否将个人信息用于非法活动、侵害个人信息的性质和数量、侵害个人信息主体的身份和数量;二是违法主体,
包括前期和后期行为,前者指违法主体事前是否因个人信息违法而受处罚、是否遵守监管措施、自首或配合执法调查,后者指违法主体事后是否主动采取措施减轻损害;三是违法后果,包括是否获取经济利益、是否造成严重私益或公益损害。据此,有下列情形之一的即可认定为《个人信息保护法》第66条第2款所言的“情节严重”:(1)个人信息违法行为出于故意、属于滥用职权、持续时间较长、将个人信息用于违法甚至犯罪活动、侵害敏感或私密个人信息、侵害个人信息数量较大、侵害未成年人个人信息、侵害个人信息主体数量较大;(2)个人信息违法主体事前一定时间内曾因个人信息违法受到刑罚或较重/多次行政处罚、不遵守责令改正决定之外的监管机构决定、阻挠执法调查、事后未主动采取措施尽量减轻损害;(3)个人信息违法行为获得较大经济收益、对私益或公益造成较大损害。之所以建议上述情形择一即可构成“情节严重”,除能提高认定效率外,主要是因为《个人信息保护法》第66条第2款设置了巨大的量罚空间,罚款下限为100万(拒不改正情节的最高额),上限为5000万或上一年度营业额5%,完全可以容纳内部差异极大的不同严重情节,上述各项情形叠加可进一步构成“情节特别严重”。同时,这也不会造成处罚过重,因为可依据《行政处罚法》第32条从轻或减轻处罚,比如故意违法收集少量个人信息且未造成重大损害的,按照上述标准构成情节严重,但只要主动消除或减轻违法行为危害后果的,便可从轻或减轻处罚。
结合以上分析,可将《个人信息保护法》第66条规定的三种违法情节细化扩展至五种:情节轻微,即行为符合个人信息保护领域应受处罚行为三阶层构成要件,但具有主观状态属于过失、侵害个人信息或个人信息主体数量较少、没有违法所得等情形;情节较重,即行为符合个人信息保护领域应受处罚行为三阶层构成要件,具有主观状态属于重大过失、侵害个人信息或个人信息主体达到一定数量、有违法所得等情形的;拒不改正,即违法情节轻微或较重,经履行个人信息保护职责的部门责令改正而不按照要求改正的;情节严重,即具有上述一种严重违法情形的;情节特别严重,即有上述多种严重违法情形的。
(二)措施匹配
《个人信息保护法》第66条规定的多种行政措施中,如前所言,责令改正并非行政处罚,既可与处罚同时作出,亦可单独适用。当个人信息处理行为符合前文已述的该当性标准,但不具有违法性或有责性时,不予处罚,但仍应责令改正。除此以外,处理个人信息违反《个人信息保护法》的,均应在责令改正的基础上予以处罚。
针对一般情节,第66条第1款第一分句设定了警告、没收违法所得、责令暂停或终止违法处理个人信息的应用程序服务三种处罚。上文细化的情节轻微和情节较重,前者可适用警告,后者可单处或并处另外两种处罚。
针对拒不改正情节,第66条第1款第二、三分句设定了单位罚款100万元以下和责任个人罚款1万-10万元两项处罚。有两个问题值得说明。其一,罚款是否以没有违法所得为前提?《网络安全法》第64条规定侵害个人信息权益“没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款”。基于新法优于旧法的原理,《个人信息保护法》生效后,处罚侵害个人信息权益的行为应适用其第66条,即不管有无违法所得,也无论是否没收违法所得,拒不改正的,一律处以罚款。其二,对责任个人罚款是应当还是可以并处?从先期相关立法来看,《网络安全法》第64条规定应当并罚,《数据安全法》第45条第一分句则规定可以并罚。《个人信息保护法》第66条应理解为应当并罚,因其未使用“可以”的措辞,而且据前文分析,拒不改正足以表明责任个人对于违法状态持续具有主观故意,理应处罚。
针对严重情节,第66条第2款规定对单位的处罚包括没收违法所得,并处下限为100万、上限为5000万或上一年度营业额5%的罚款,并可以责令暂停相关业务或停业整顿、通报有关主管部门吊销业务许可或营业执照;对责任人的处罚包括罚款10万-100万元,并可以禁止其在一定期限内担任相关企业的董事、监事、高管和个人信息保护负责人。上文细化的情节严重和情节特别严重,前者可对单位适用没收违法所得和罚款,对个人适用罚款;后者可进一步对单位适用责令暂停相关业务或停业整顿、吊销业务许可或营业执照,对个人适用从业禁止。此外还有两个问题值得进一步分析。
第一,如何理解“上一年度营业额”?《个人信息保护法》此规定受GDPR影响,但也存在重要差异。GDPR第83条的罚则包含双层结构:以1或2千万欧元为上限的罚款适用于所有处罚对象,以“上一财政年度全球总营业额”(total worldwide annual turnover of the preceding financial year)2%或4%为上限的罚款则只适用于“经济实体”(undertaking)。根据GDPR鉴于条款第150条(Recital 150),此术语应参照《欧盟运行条约》(TFEU)第101、102条禁止“经济实体”限制市场竞争或滥用市场支配地位的规定来解释。欧盟竞争法上,“经济实体”指“所有从事同一经济活动的主体,无论其法律地位或资金来源”。[32]“同一经济活动”的识别标准是所谓“决定性影响”(decisive influence),即“当一个企业对另一个施加决定性影响,它们便形成同一个经济实体”,[33]“即使子公司具有独立的法人地位,但,当子公司不能独立决定自己的市场行为,而实际上依照母公司发出的指令行事,其行为可归责于母公司”。[34]欧盟法院判例中,判断“决定性影响”的考量因素包括一个企业对另一企业是否控股、是否有人事任免权、是否参与经营等。[35]根据《关于实施条约第81条和第82条制定的竞争规则的(EC)第1/2003号理事会条例》第23条,对违反竞争法行为的罚款上限是违法者上一商业年度总营业额(total turnover in the preceding business year)的10%,当母公司或集团公司在违法行为发生期间对所属子公司拥有且实际行使“决定性影响”权,它们就能被视为一个经济实体,计罚基准就可以是违法子公司所属的母公司或集团公司的年度总营业额,除非母公司或集团公司能够证明子公司违背指令自行从事违法行为。[36]GDPR第83条“上一财政年度全球总营业额”的计罚基准可照此解释。[37]
与GDPR相比,《个人信息保护法》第66条既未就处罚对象设置双层结构,也不要求转介参照竞争法,由此可得三点结论:首先,以“上一年度营业额”计算的罚款并不仅适用于我国《反垄断法》上的“经营者”,[38]而是适用于所有处罚对象。这意味着不从事商品或服务交易的自然人、法人和其他组织,包括国家机关、非营利组织等,也可以此为基准计算罚款。此类主体虽无狭义上的“营业额”,但可将其年收入作为计罚基准。[39]其次,不同于GDPR处罚“经济实体”,《个人信息保护法》第66条设定的处罚对象是违法的信息处理者或受托人,无需穿透其独立法律身份,追溯处罚对其有决定性影响的主体。竞争法之所以要刺破法律地位的面纱,对实质上参与同一经济活动的众多主体统一处罚,目的是要准确反映市场力量构成,威慑以各种形式不当集中市场力量的行为。[40]但《个人信息保护法》没有这方面的考虑。当然,若子公司违法行为是基于母公司或集团公司直接、明确指令,则后者构成实际违法的信息处理者,可将其上一年度营业额作为计罚基准。再次,不同于《反垄断法》第46、47条以“上一年度销售额”为计罚基准,《个人信息保护法》第66条以“上一年度营业额”作为基准。关于“上一年度”和“销售额”如何理解,《反垄断法》无明确规定,多头执法亦尺度不一。为降低个人信息保护领域处罚的不确定性,建议统一标准如下:“上一年度”以处罚决定作出时的上一自然年度为准,因为这较之违法行为发生时点、立案时点、财政年度等更易确定;“营业额”以《企业会计准则第14号——收入》第2条规定的“企业在日常活动中形成的、会导致所有者权益增加的、与所有者投入资本无关的经济利益的总流入”为准,计算范围则应以违法行为相关服务或市场为准。这不仅更符合过罚相适原则,而且切实可行,因为《个人信息保护法》第66条并未像GDPR第83条那样明文规定“全球”营业额,但规定在没收违法所得的基础上并处营业额一定比例的罚款,说明罚款之前必须先确定违法行为相关服务或市场,否则无法认定违法所得。至于具体金额的确定,没有必要如有学者建议的照搬德国做法以估算的平均营业额为基准,[41]而应以违法者实际营业额计罚。
第二,如何理解禁止责任人员“在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人”?“一定期限”不是终身禁入,后者应由法律明文规定,例如《安全生产法》第92条第3款。“一定期限”不宜超过五年,因为《刑法》第37条之一所规定的最长从业禁止期也才五年。“相关企业”应指同一细分领域的企业,否则禁业范围过宽。
结语
本文聚焦《个人信息保护法》第66条,对个人信息保护行政处罚制度展开分析。限于篇幅,在两重意义上,这种分析是初步的。一方面,本文无法就管辖纠纷解决程序、受罚行为具体认定、违法情节竞合、行民衔接、行刑衔接等问题展开;另一方面,本文对违法情节的细化及所匹配的处罚措施仍是粗线条的,大有可完善空间。但本文的初步分析表明:个人信息保护领域行政处罚复杂性高,极易在多头执法体制和巨大量罚空间下,偏离过罚相适的正轨。因此,有必要尽快制订执法指南和裁量基准。下表所总结的规则或可作为一个待批判的起点:
注释:
[1]参见尹培培:《网络安全行政处罚的归责原则》,载《东方法学》2018年第6期,第49-59页。
[2]参见孙莹:《大规模侵害个人信息高额罚款研究》,载《中国法学》2020年第5期,第106-126页。
[3]王融、黄致韬:《迈向行政规制的个人信息保护:GDPR与CCPA处罚制度比较》,载微信公众号“腾讯研究院”(最后访问时间:2021年12月27日)。
[4]《网络招聘服务管理规定》第21条、36条。
[5]《旅游法》第52条、《旅行社条例实施细则》第65条。
[6]参见孙莹主编:《个人信息保护法条文解读与适用要点》,法律出版社2021年版,第189页。
[7]参见黄先雄、张少波:《“想象竞合”情形下一事不再罚原则的适用机制》,载《中南大学学报》(社会科学版)2020年第2期,第74页。
[8]参见袁雪石:《〈中华人民共和国行政处罚法〉释义》,中国法制出版社2021年版,第201-202页。
[9]参见汪永清编著:《行政处罚法适用手册》,中国方正出版社 1996 年版,第 87 页。
[10]参见王锡锌:《网络交易监管的管辖权配置研究》,载《东方法学》2018年第1期,第153-155页。
[11]参见熊樟林:《行政处罚地域管辖权的设定规则——〈行政处罚法(修订草案)〉第21条评介》,载《中国法律评论》2020年第5期,第38-42页。
[12]个人信息保护行政处罚权能否根据《行政处罚法》第24条交由乡镇人民政府、街道办事处行使,仍有待观察和讨论。
[13]《个人信息保护法》起草过程中,曾有人提出若众多履行个人信息保护职责的部门都有权处以巨额罚款,会给企业造成灭顶之灾,也可能导致地方部门为增加财政收入而罚款,故第66条第2款规定应由省级以上履行个人信息保护职责的部门来罚款。但并非所有针对严重个人信息保护违法行为的处罚措施都只能由省级以上部门作出,因为根据第66条第2款,省级以上部门可通报有关主管部门吊销业务许可或营业执照,有关主管部门不限于省级以上部门。
[14]参见刘晓源、李良万:《应受行政处罚行为构成要件的反思与重构——从“三要件”到“三阶层”》,载《福建江夏学院学报》2017 年第 1 期,第53-63页。
[15]关于个人信息保护领域国家机关的范围,参见彭錞:《论国家机关处理的个人信息跨境流动制度——以〈个人信息保护法〉第36条为切入点》,载《华东政法大学学报》2022年第1期,第36页。
[16]GDPR第58条规定数据保护监管机构有警告、申诫、责令数据控制者或处理者满足数据主体的行权请求、责令合规、临时或有期限地限制或禁止处理等矫正性权力(corrective powers)。这在中国法上属于行政处罚,但在GDPR上不属于。
[17]See Detlev Gabel and Tim Hickman,GDPR Guide to National Implementation:Q17 Administrative Fines,Penalties and Sanctions (13 November 2019),at www.whitecase.com/publications/article/gdpr-guide-national-implementation#q17,last accessed on January 15,2022;Mona Naomi Lintvedt,“Putting a Price on Data Protection Infringement”,International Data Privacy Law,Vol.0,No.00,2021.
[18]为避免下级机关处罚上级机关,建议省级以下的国家机关由上级履行个人信息保护职责的部门处罚,省级及省级以上机关由国家网信办处罚。
[19]2021年10月20日发布的《国家市场监督管理总局对十三届全国人大四次会议第7273号建议的答复》(国市监议[2021]126号)。
[20]参见程啸:《个人信息保护法理解与适用》,中国法制出版社2021年版,第487-488页。
[21]龙卫球主编:《中华人民共和国个人信息保护法释义》,中国法制出版社2021年版,第309页。
[22]《个人信息保护法》第六章第63条规定在履行个人信息保护职责的部门依法询问、调查、检查过程中,当事人负有配合义务,不得拒绝、阻挠,但该法第66条或其他条文并未对违反此义务的行为设定处罚。不履行配合义务可依《治安管理处罚法》第50条处罚;网络运营者阻挠检查的,可依《网络安全法》第69条处罚;阻挠公安机关、国家安全机关依法调查的,可依《数据安全法》第35条处罚。
[23]熊樟林:《行政处罚责任主义立场证立》,载《比较法研究》2020年第3期,第142页。
[24]陈兴良:《违法性的中国语境》,载《清华法学》2015年第4期,第19页。
[25]参见杨立新主编:《侵权责任法》,复旦大学出版社2010年版,第115-132页;张明楷:《刑法原理》(第2版),商务印书馆2017年版,第161-162页。被害人承诺、义务冲突、紧急避险已被《个人信息保护法》第13条第1款第1、3、4项规定为个人信息处理的合法性基础,由此排除构成要件,而非违法阻却事由,据此处理个人信息不具有该当性而非违法性。
[26]参见喻少如、姜文:《论行政处罚的主观要件——以新修订〈行政处罚法〉第三十三条第二款为中心》,载《湖南警察学院学报》2021年第3期,第72页。
[27]参见夏雨:《责令改正之行为性质研究》,载《行政法学研究》2013年第3期,第40-42页。
[28]参见程啸:《个人信息保护法理解与适用》,中国法制出版社2021年版,第507-508、522页。同理,根据《行政处罚法》第28条,当事人有违法所得的,也应退赔。这属于不当得利返还,同样不适用过错推定原则,可作为监管部门责令改正决定的内容。
[29]参见王锡锌:《个人信息权益的三层构造及保护机制》,载《现代法学》2021年第5期,第119页。
[30]参见陈萍、许蕊、曹甜甜:《“责令改正”法律定位与“拒不改正”责任基础》,载《检察日报》2019年11月3日第3版。
[31]参见邱陵:《拒不履行信息网络安全管理义务罪探析》,载《法学杂志》2020年第4期,第70-71页。
[32]Judgment of 23 April 1991 in Höfner and Elser v Macrotron GmbH,C-41/90,EU:C:1991:161,paragraph 21.
[33]European Commission,Guidelines on the Applicability of Article 101 of the Treaty on the Functioning of the European Union to Horizontal Co-operation Agreements[2011]OJ C/11/1.
[34]Judgment of 10 September 2009 in Akzo Nobel NV and Others v Commission,C- 97/08 P,EU:C:2009:536,paragraph 58.
[35]Judgment of 27 January 2021 in The Goldman Sachs Group Inc.v European Commission,C-595/18 P,EU:C:2021:73,paragraph 18.
[36]Judgment of 10 September 2009 in Akzo Nobel NV and Others v Commission,C- 97/08 P,EU:C:2009:536,paragraphs 58,59,62.
[37]Christopher Kuner,Lee A.Bygrave,Christopher Docksey and Laura Drechsler eds.,The EU General Data Protection Regulation (GDPR):A Commentary,Oxford:Oxford University Press,2020,pp.1187-1188.
[38]《反垄断法》第12条定义为“从事商品生产、经营或者提供服务的自然人、法人和其他组织。”
[39]英国信息专员办公室在执法指南征求意见稿中指出:“当处罚对象不具有商业性质并因此没有营业额时,我们将考虑其相关财政状况的同类信息(equivalent information),包括收入、预算或支出。”Information Commissioner's Office,Draft Statutory Guidance on Our Regulatory Action pursuant to Our Obligations under S160 DPA 2018,at http://ifgga768ce6ce9a534c41skkpup0wfbcuo66nb.fhaz.libproxy.ruc.edu.cn/media/about-the-ico/consultations/4019213/statutory-guidance-on-our-regulatory-action-2021-for-consultation.pdf,(last accessed on January 15,2022).
[40]参见许光耀、罗蓉蓉:《论竞争法上当事人的确定》,载《湖南大学学报》(社会科学版)2006年第6期,第113-114页。
[41]参见孙莹:《大规模侵害个人信息高额罚款研究》,载《中国法学》2020年第5期,第122-124页。
作者简介:彭錞,法学博士,北京大学法学院助理教授。
文章来源:《行政法学研究》2022年第4期。