浅议个人信息保护如何行政处罚

笔者：尹利兵律师

2021年8月20日，第十三届全国人民代表大会常务委员会第三十次会议通过了《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）予以公布，并决定自2021年11月1日起施行。《个人信息保护法》的诞生，标志着我国网络数据法律体系中继《网络安全法》、《数据安全法》之后，具有重要意义的一块拼图终于落定，具有划时代的意义。作为行政法律师的笔者看来，对其感兴趣的主要是如何让法律责任落实，让该法能够成为有牙齿的法律武器。鉴此，笔者下面主要结合自身办案实践，谈谈个人信息保护中的行政处罚相关法律问题。

一、个人信息及权责部门相关概念

根据《个人信息保护法》第四条的规定，所谓个人信息，是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。按照法理分析，所谓个人信息权，是指个人信息本人依法对其个人信息所享有的支配、控制并排除他人侵害的权利。其权利内容具体包括信息决定权、信息保密权、信息查询权、信息更正权、信息封锁权、信息删除权和报酬请求权。这显然，个人信息的权利人，主要是指自然人。

相对而言，个人信息的义务主体，根据该法规定的对应概念，主要是指个人信息处理者。个人信息保护的义务主体具有特殊性，可以是公民、法人或者其他组织，甚至包括个人信息的权利人本人。实践中，常见个人信息处理者的具体类型大致包括：一是网络服务提供者；二是公共机构；三是线下经营主体。

二、谁是履行个人信息保护的职责部门

《个人信息保护法》第60条规定，“履行个人信息保护职责的部门”应当包括“国家网信部门”“国务院有关部门”以及“县级以上地方人民政府有关部门”。除网信部门外，还有哪些机构属于“履行个人信息保护职责的部门”？《网络安全法》第8条、《数据安全法》第6条将电信、公安、国安、交通、金融、自然资源、卫生健康、教育、科技部门列为网络安全、数据安全监管部门，但也采用“其他有关机关”和“等”的措辞来表明列举是不穷尽的。事实上，由于个人信息的泛在性，大量部门皆负有个人信息保护职责。例如人社部门依据《人力资源市场暂行条例》第三章监管人力资源服务机构，由此对线上人力资源服务处理个人信息具有监管职责。又如文旅部门是旅游经营活动的监管主体，由此对该类活动中的个人信息保护负有监管职责。简言之，举凡监管对象处理个人信息的机构皆属于“履行个人信息保护职责的部门”。鉴于《个人信息保护法》第61条规定此类部门有权“处理”违法个人信息处理活动，“处理”包括行政处罚，故所有履行个人信息保护职责的部门皆是该领域行政处罚主体。

三、个人信息保护中应受行政处罚的要件

一般来说，行政处罚行为构成要件包括该当性、违法性和有责性三个基本要件，个人信息保护中应受行政处罚的要件也不外乎此。

应受行政处罚行为之该当性是指其符合法律、法规、规章规定的违法行为的事实特征。根据《个人信息保护法》第66条规定来看，一方面是指存在违法的主体，主要包括应受处罚的个人信息处理者或个人信息处理受托人的组织、个人；另一方面是指客观存在应当处罚的违法行为。

应受行政处罚行为之违法性是指“符合法律规范所描述的客观行为侵犯了行政法益”。根据《行政处罚法》第33条第1款，若个人信息处理行为符合该当性构成违法，但因情节轻微、及时改正且无危害后果，实质上没有损害法律所保护的利益，即构成违法阻却事由，不予处罚；若违法行为首次发生且危害后果轻微并及时改正的，也构成违法阻却事由，由行政机关裁量决定是否处罚。

应受行政处罚行为之有责性是指作为谴责对象的行为必须能为行为人意志控制，包括责任能力和责任条件。前者指行为人是否属于无责任能力人，后者指行为人是否有主观过错。关于责任能力，《行政处罚法》第30、31条规定不满十四周岁的未成年人以及精神病人、智力残疾人在不能辨认或控制自己行为时违法的，不予处罚。关于责任条件，《行政处罚法》第33条第2款规定：“当事人有证据证明没有主观过错的，不予行政处罚。”因此，若行为人能够证明自己处理个人信息违反《个人信息保护法》没有过错，就不存在有责性，应不予处罚。

四、个人信息保护的行政处罚情节和相关措施

《个人信息保护法》设定行政处罚的方式相较于《网络安全法》和《数据安全法》发生了重大变化，其第66条并未区分不同违法行为配以不同处罚措施，而是根据违法情节来决定处罚。该条将三种违法情节细化扩展至五种：一是情节轻微，即行为符合个人信息保护领域应受处罚行为三阶层构成要件，但具有主观状态属于过失、侵害个人信息或个人信息主体数量较少、没有违法所得等情形；二是情节较重，即行为符合个人信息保护领域应受处罚行为三阶层构成要件，具有主观状态属于重大过失、侵害个人信息或个人信息主体达到一定数量、有违法所得等情形的；三是拒不改正，即违法情节轻微或较重，经履行个人信息保护职责的部门责令改正而不按照要求改正的；四是情节严重，即具有上述一种严重违法情形的；五是情节特别严重，即有上述多种严重违法情形的。

《个人信息保护法》第66条规定的多种行政措施中，如前所言，责令改正并非行政处罚，既可与处罚同时作出，亦可单独适用。针对一般情节，第66条第1款第一分句设定了警告、没收违法所得、责令暂停或终止违法处理个人信息的应用程序服务三种处罚。上文细化的情节轻微和情节较重，前者可适用警告，后者可单处或并处另外两种处罚。针对拒不改正情节，第66条第1款第二、三分句设定了单位罚款100万元以下和责任个人罚款1万-10万元两项处罚。

针对严重情节，第66条第2款规定对单位的处罚包括没收违法所得，并处下限为100万、上限为5000万或上一年度营业额5%的罚款，并可以责令暂停相关业务或停业整顿、通报有关主管部门吊销业务许可或营业执照；对责任人的处罚包括罚款10万-100万元，并可以禁止其在一定期限内担任相关企业的董事、监事、高管和个人信息保护负责人。上文细化的情节严重和情节特别严重，前者可对单位适用没收违法所得和罚款，对个人适用罚款；后者可进一步对单位适用责令暂停相关业务或停业整顿、吊销业务许可或营业执照，对个人适用从业禁止。

另外，《个人信息保护法》第67条、68条、69条、70条和71条分别规定，有本法规定的违法行为的，依照有关法律、行政法规的规定记入信用档案，并予以公示。对公职人员违法可给予行政处分，对民事主体可提起民事侵权赔偿之诉追责，以及特别情况可提起公益诉讼，甚至给予治安管理处罚和追究刑事责任。