在《个人信息保护法》精心设计的法律责任体系当中,行政处罚占据着极为重要的一极。其第66条规定:“违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。”第71条前句规定:“违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;”为全面梳理和总结个人信息保护行政处罚的实践样态,特对个人信息保护法行政处罚案例予以综述。

依据《个人信息保护法》的行政处罚案例的样本来源和简要说明

在“北大法宝”官网的“行政处罚”主页的检索栏中设置“全文”选项对“个人信息保护法”进行“精确”检索,共得到行政处罚文书686篇(截止时间2024年3月16日18点)。此外,样本来源仅限于行政处罚案例文书,不包括工信部和各省级通信管理局所通报的样本。

表1:个人信息保护行政处罚案例一览表(以上信息为法宝数据)

依据《个人信息保护法》的行政处罚的条件分析

《个人信息保护法》第66条规定的进行行政处罚的前提条件为“违反本法规定处理个人信息”或者“处理个人信息未履行本法规定的个人信息保护义务”两种情形。就这两种情形的区分,有学者认为前者指向违反《个人信息保护法》第二章(个人信息处理规则)的处理活动,后者指向违反第五章(个人信息处理者的义务)的行为。[1]但是这种解释只形式性地顾及了《个人信息保护法》第二章和第五章,反而忽略了《个人信息保护法》第三章(个人信息跨境提供的规则)和第四章(个人在个人信息处理活动中的权利)。在实践中,因“不履行个人信息安全保护义务”被处罚的有445件,因“不履行个人信息保护义务”被处罚的有70件,这两种情形涉及信息主体拒不履行应有义务,占依据《个人信息保护法》做出的行政处罚的大多数。因“处理个人信息未告知并征得个人同意”被处罚的有12件;因“非法获取、出售、向他人提供个人信息”被处罚的有9件;因“不履行网络信息安全管理义务”被处罚的有1件。整体来看,绝大多数案例属于“处理个人信息未履行本法规定的个人信息保护义务”的情形。因此,如何通过解释论的方法将违法行为进行类型化阐释以便执法适用成为学界未来努力的方向之一。

依据《个人信息保护法》的行政处罚的主体分析

《个人信息保护法》第66条规定的行政处罚主体为“履行个人信息保护职责的部门”、“省级以上履行个人信息保护职责的部门”。而“履行个人信息保护职责的部门”可根据《个人信息保护法》第60条确定为“国家网信部门”、“国务院有关部门”、“县级以上地方人民政府有关部门”三种。由于信息时代的“信息泛在”,使得大量部门皆负有个人信息保护职责,所以个人信息保护行政处罚呈现出多主体性,其广度进一步拓宽。在实践中,作为“国家网信部门”的国家互联网信息办公室做出了2件行政处罚,即对滴滴全球股份有限公司和知网(CNKI)作出的网络安全审查相关的行政处罚。此外,焦作市互联网信息办公室还对易网无限(河南)网络科技有限公司作出了1件行政处罚。作为“国务院有关部门”的公安部和国家市场监督管理总局没有检索到相关行政处罚实例。作为“县级以上地方人民政府有关部门”的“公安局/分局”作出了673件行政处罚,作为“县级以上地方人民政府有关部门”的“市场监督管理局”作出了10件行政处罚。

依据《个人信息保护法》的行政处罚的对象分析

《个人信息保护法》第66条隐含行政处罚的对象为“处理个人信息的主体”。“个人信息处理者”是个人信息处理行为的发生主体和根本要素,假如“个人信息处理者”出现缺位情形,由个人信息处理行为引发的法律关系便无从谈起。“个人信息处理者”作为“主体”意味着其在个人信息法律关系中的占有主体的、主导的、主动的地位。根据《个人信息保护法》第73条的规定,个人信息处理者是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。因此,《个人信息保护法》第66条所规定的行政处罚的对象应当包括“组织”和“个人”,其中“个人”尤指“直接负责的主管人员和其他直接责任人员”。在实践中,行政处罚对象为机构的有632件,行政处罚对象为个人的有54件。整体而言,对机构的处罚仍然占据处罚总量的大多数。

值得注意的是,根据《个人信息保护法》第21条的规定,个人信息处理受托人也应纳入行政处罚对象的范围。因此就个人信息处理行为所体现的法律关系的角度来讲,“处理个人信息的主体”又可分为“一般性的个人信息处理者”和“受委托处理个人信息者”,根据文义和体系解释即参照《个人信息保护法》第二至五章的具体规定更能验证这一结论。在“北大法宝”官网的“行政处罚”主页的检索栏中设置“全文”选项对“个人信息保护法”进行“精确”检索,再在“全文”选项对“委托”进行“精确”的“结果中检索”,共得到10份行政处罚文书。经查阅,这10篇文书中所提及的“委托”均为当事人“委托”代理人,并未出现个人信息处理行为的委托。

依据《个人信息保护法》的行政处罚的措施分析

《行政处罚法》第9条规定的行政处罚的种类包括警告、通报批评;罚款、没收违法所得、没收非法财物;暂扣许可证件、降低资质等级、吊销许可证件;限制开展生产经营活动、责令停产停业、责令关闭、限制从业;行政拘留;法律、行政法规规定的其他行政处罚。《个人信息保护法》第66条规定的行政措施包括责令改正,给予警告,没收违法所得;责令暂停或者终止提供服务;罚款;责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;职业禁止。(其中,责令改正不属于行政处罚措施)

表2:违法情节和行政措施对应表

在实践中,处罚措施为“警告、通报批评”的有584件,处罚措施为“罚款、没收违法所得、没收非法财物”的有242件,处罚措施为“暂扣许可证件、降低资质等级、吊销许可”的有12件,处罚措施为“限制开展生产经营活动、责令停产停业、责令关闭、限制从业”的有1处,处罚措施为“行政拘留”的有10件,处罚措施为“法律、行政法规规定的其他行政处罚”的有26件。经查阅,这26件的处罚措施多为“责令限期改正/整改”,对行政处罚措施的类型化梳理和分类还有待进一步的精细化研究。

[1] 参见程啸:《个人信息保护法理解与适用》,中国法制出版社2021年版,第487-488页。

撰稿 | 郭小伟,清华大学智能法治研究院实习生

选题&指导 | 刘云

编辑 | 沈廖佳

注:本公众号原创文章的著作权均归属于清华大学智能法治研究院,需转载者请在本公众号后台留言或者发送申请至computational_law@tsinghua.edu.cn,申请需注明拟转载公众号/网站名称、主理者基本信息、拟转载的文章标题等基本信息。

声明:本文来自清华大学智能法治研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。