《论个人信息保护行政处罚制度.docx》由会员分享,可在线阅读,更多相关《论个人信息保护行政处罚制度.docx(30页珍藏版)》请在第一文库网上搜索。
1、论个人信息保护行政处罚制度中华人民共和国个人信息保护法(以下简称个人信息保护法)第66条对个人信息保护领域的行政处罚制度作出规定。相较于全国人民代表大会常务委员会关于维护互联网安全的决定第4条、消费者权益保护法第56条、网络安全法第64条等先期规范,个人信息保护法第66条有了质的突破。广度上,其打击对象不再限于侵害他人电子邮件等数据资料行为,保护对象亦不再限于消费者,而是涵盖所有违法处理个人信息行为和个人信息主体;深度上,其新增责任人员从业禁止和高额罚款等处罚措施,强化违法威慑。然而,既有研究或聚焦网络安全领域的行政处罚,或论证对严重个人信息侵权行为处以高额罚款的必要性与可行性,或介绍欧美个人
2、信息保护领域的处罚制度。以个人信息保护法第66条为切入点,探讨我国个人信息保护行政处罚制度的文献迄今仍付之阙如。本文试图填补此空白,从“谁处罚” “罚什么” “怎么罚”三方面展开初步讨论。一、谁处罚:处罚主体与管辖协调(一)处罚主体个人信息保护法第66条规定由“履行个人信息保护职责的部门”实施处罚。根据该法第60条,此类部门包括“国家网信部门” “国务院有关部门”以及“县级以上地方人民政府有关部门“。除网信部门外,还有哪些机构属于“履行个人信息保护职责的部门”?网络安全法第8条、数据安全法第6条将电信、公安、国安、交通、金融、自然资源、卫生健康、教育、科技部门列为网络安全、数据安全监管部门,但
3、也采用“其他有关机关”和“等”的措辞来表明列举是不穷尽的。事实上,由于个人信息的泛在性,大量部门皆负有个人信息保护职责。例如人社部门依据人力资源市场暂行条例第三章监管人力资源服务机构,由此对线上人力资源服务处理个人信息具有监管职责。又如文旅部门是旅游经营活动的监管主体,由此对该类活动中的个人信息保护负有监管职责。简言之,举凡监管对象处理个人信息的机构皆属于“履行个人信息保护职责的部门”。鉴于个人信息保护法第61条规定此类部门有权“处理”违法个人信息处理活动,“处理”包括行政处罚,故所有履行个人信息保护职责的部门皆是该领域行政处制主体。(二)管辖协调第一,职能管辖之协调。具体存在两种情况:其一,
4、同一违法个人信息保护法律的行为,既可由网信部门来处罚,也可由特定行业的主管部门来处罚,遂产生管辖冲突。对此,可依据行政处罚法第25条来解决:“两个以上行政机关都有管辖权的,由最先立案的行政机关管辖。对管辖发生争议的,应当协商解决,协商不成的,报请共同的上一级行政机关指定管辖;也可以直接由共同的上一级行政机关指定管辖。”其二,同一行为,既违反个人信息保护法律规范,也触犯其他行政管理领域的规范,构成“想象竞合”,网信部门与行业主管部门都可处罚,遂产生管辖冲突。例如某APP的隐私政策未包括收集使用个人信息的规则,据APP违法违规收集使用个人信息行为认定方法第1条应认定为“未公开收集使用规则”。这同时
5、违反消费者权益保护法第29条、电信和互联网用户个人信息保护规定第8条和个人信息保护法第17条。对此,根据消费者权益保护法第56条,可由市场监管部门警告、没收违法所得、处以违法所得一倍以上十倍以下的罚款,没有违法所得的,处以50万元以下的罚款,情节严的,责令停业整顿、吊销营业执照;根据电信和互联网用户个人信息保护规定第22条,由电信管理机构警告,可并处1万元以下的罚款;根据个人信息保护法第66条,可由网信部门警告、没收违法所得,对违法处理个人信息的应用程序责令暂停或终止服务,拒不改正的并处100万元以下罚款。此类想象竞合带来的管辖争议应按照一事不再罚原则解罚幅度的执法部门行使管辖权,不同类处罚应
6、并行适用,由各类处罚的执法部门同时行使管辖权,具体分配通过部门协商来确定。据此,对某APP的违法行为应予如下处罚:首先,市场监管部门、电信主管部门和网信部门均可警告,市场监管部门和网信部门均可没收违法所得、责令停止服务,但只能由其中一个部门实施,具体由先立案的部门执行或通过部门间通报协商确定。其次,市场监管部门、电信主管部门和网信部门均可罚款,但根据行政处罚法第29条,应“按照罚款数额高的规定”由一个机关罚款。关于何为“罚款数额高”,理论上有实际数额高和法定数额高两种见解。本文赞同后一观点,除因其更符合法条文义外,还基于三点理由:其一,解决管辖争议贵在简便高效,若等到各处罚机关分析案情并初步决
7、定罚款数额,再从中选择数额高额的部门来执行处罚,未免过于繁琐;其二,尽管法定罚款数额高不等于实际罚款数额高,但法定额高本身就体现了立法者对特定违法行为危害性的判断,应当优先考虑;其三,以法定罚款额高为标准不会影响实现过罚相适,反而能让有最大量罚空间的处罚机关去确定与违法行为相应的罚款。至于如何“就高”,对固定数额的罚款,可直接适用罚款数额高的规定处罚;对有幅度的罚款,“就高”应先比较罚款上限,适用罚款上限高的规定;没有罚款上限或者罚款上限一致的,适用罚款下限高的规定。据此,前述APP违法行为,无违法所得的,应由市场监管部门处50万元以下罚款;有违法所得的,由市场监管部门处违法所得一倍以上十倍以
8、下罚款;拒不改正的,由网信部门处100万元以下罚款。再次,市场监管部门有权吊销营业执照。即同类处罚应择处,由具有最高处第二,地域管辖之协调。行政处罚法第22条规定,“行政处罚由违法行为发生地的行政机关管辖”。传统理解中,“发生地”区别于准备地、着手地、经过地、结果地,凸显受罚行为的核心要件是违法。但网络空间对行为发生地中心主义带来巨大冲击,因为网络违法行为的发生地难以确定,即便可以确定,也往往不是确定处罚管辖权的最适宜标准。对此,学界提出两种解困方案:“一元化”方案建议在大型网络交易平台所在地设立专门机构集中管辖。且不论这仍有待落实,即便实现,也难以适用于不发生在大型网络交易平台上的个人信息处
9、理违法行为。“多元化”方案则建议扩张地域管辖联结点范围,在违法行为发生地之外增加违法结果发生地、违法行为发现地、行为人住所地。这虽能应对狭义、单一的违法行为发生地难以满足网络空间执法需求的问题,却无法解决多个地域管辖权之间的争议,其所新增的管辖联结点亦难言全面。事实上,网络治理领域的规范不仅早已突破“违法行为发生地”的传统界定,而且比既有研究提供了更为丰富的地域管辖联结点。典型如2011年互联网文化管理暂行规定第33条、2017年互联网信息内容管理行政执法程序规定第6条和2018年修订的公安机关办理行政案件程序规定第11条。结合这些规范,可从如下三点入手,建构一套个人信息保护行政处罚地域管辖协
10、调机制:首先,承认多元地域管辖联结点。具体包括违法主体、违法行为和受害主体三类。其中,违法主体地域管辖联结点包括实施违法行为主体的身份所在地(如信息服务许可地、网站备案地、工商登记地、身份证登记地、户籍所在地)、活动所在地(如主营业地、主要办事机构所在地、实际经营地、经常居住地);违法行为地域管辖联结点包括服务器所在地、网络接入地、终端设备所在地、所使用的网络平台运营者所在地;受害主体地域管辖联结点包括受侵害的个人信息主体之身份所在地(如身份证登记地、户籍所在地、经常居住地)、损害结果地(如信息主体被侵害时所在地、被侵害时使用的网络接入地或设备所在地、因个人信息受侵害而致财产损失的发生地)。其
11、次,以立案时间先后来初步确定地域管辖权归属。针对处理个人信息违法行为,上述任一地域管辖联结点所在行政区域的履行个人信息保护职责的部门都有处罚管辖权,按照行政处罚法第25条第1款,应由最先立案的机关行使管辖权。再次,通过管辖协商和指定管辖解决管辖争议。根据前述规则仍无法解决处罚权管辖争议的,应按行政处罚法第25条第2款和国务院关于进一步贯彻实施中华人民共和国行政处罚法的通知第7条来处理,有争议的行政机关协商解决,协商不成的,多个行政机关属于同一主管部门的,由共同的上一级主管部门经报请或直接指定管辖;属于不同主管部门,由司法行政部门会同有关单位进行协调,在本级人民政府领导下指定管辖。第三,层级管辖
12、之协调。网络安全法数据安全法对个人信息保护领域处罚机关的行政层级没有规定。个人信息保护法有两点安排:其一,第60条将履行个人信息保护职责的部门限定于县级以上至中央政府有关部门,意味着乡镇政府部门不负有个人信息保护职责,亦无此领域的行政处罚权。其二,第66条区分一般和严重个人信息保护违法行为,前者由县、市级履行个人信息保护职责的部门处罚,后者由省级和中央级履行个人信息保护职责的部门处罚。据此,县、市级部门先行发现个人信息保护违法线索或违法行为的,应当报请省级或中央级部门管辖或指定管辖;省级或中央级部门先行发现违法线索或收到举报、投诉,认为违法情节不严重的,则可将案件交由县、市级部门管辖。对于全国
13、范围内有重大影响、严重侵害公民个人信息权益、引发群体投诉或者案情复杂的个人信息保护违法行为,应由国家网信部门查处或指定省级网信部门查处。收到相关举报、投诉,认为构成情节严重的二、罚什么:应罚行为的构成要件应受行政处罚行为的构成要件决定“罚不罚”。学界对此素有争论,形成要件说和阶层说。本文选取三阶层说作为分析框架,因其可涵盖要件说无法容纳的违法阻却事由。(-)该当性应受行政处罚行为之该当性是指其符合法律、法规、规章规定的违法行为的事实特征。以下从处罚对象和处罚行为两方面阐述个人信息保护法第66条确立的构成要件。首先,关于处罚对象。个人信息保护法第66条没有明确哪些主体应罚,但其第二至五章设定的个
14、人信息处理规则、义务以及个人在个人信息处理活动中的权利均指向个人信息处理者,而根据第21条,个人信息处理受托人也须实现个人信息保护法合规。因此,作为个人信息处理者或个人信息处理受托人的组织、个人违反个人信息保护法,应依据第66条处罚。关于应受处罚的组织。法人和非法人组织违反个人信息保护法都应受罚,但作为机关法人的国家机关能否被处罚?比较法上,以罚款为例,欧盟层面,根据关于欧盟各类官方机构处理个人数据的条例( European Union Data Protect ionRegu1 at i on, Regulation (EU) 2018/1725,简称EUDPR)第66条第3项,欧盟数据保护监 察专员 (European Data ProtectionSupervisor )有权对欧盟公权机构(Unioninstitution or body )处以单次不超过5万欧元、每年不超过50万欧元的行政罚款。欧盟成员国层面,GDPR一般数据保护条例第83条第7款做了留白处理,规定“成员国可制定规则来确定是否以及在什么情况下对其境内设立的公权机构和组织施加行政罚款”。各成员国有三类做法。一是规定公权机构免予行政罚款,如奥地利、比利时、克罗地亚、芬兰、德国、列支敦士