前沿 | 彭錞：论个人信息保护行政处罚制度——以《个人信息保护法》第66条为中心

以下文章来源于行政法学研究编辑部 ，作者彭錞

行政法学研究编辑部.

《行政法学研究》创刊于1993年，是中华人民共和国教育部主管、中国政法大学主办的国内首家部门法杂志，是中文社会科学引文索引（CSSCI）来源期刊、全国中文核心期刊。

彭錞

北京大学法学院助理教授

本文为“蓟门决策”精编节选版。如体验完整版，请点击文末“阅读原文”。

《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）第66条对个人信息保护领域的行政处罚制度作出规定。相较于《全国人民代表大会常务委员会关于维护互联网安全的决定》第4条、《消费者权益保护法》第56条、《网络安全法》第64条等先期规范，《个人信息保护法》第66条有了质的突破。广度上，其打击对象不再限于侵害他人电子邮件等数据资料行为，保护对象亦不再限于消费者，而是涵盖所有违法处理个人信息行为和个人信息主体；深度上，其新增责任人员从业禁止和高额罚款等处罚措施，强化违法威慑。然而，既有研究或聚焦网络安全领域的行政处罚，或论证对严重个人信息侵权行为处以高额罚款的必要性与可行性，或介绍欧美个人信息保护领域的处罚制度。以《个人信息保护法》第66条为切入点，探讨我国个人信息保护行政处罚制度的文献迄今仍付之阙如。本文试图填补此空白，从“谁处罚”“罚什么”“怎么罚”三方面展开初步讨论。

1

1

1

谁处罚：处罚主体与管辖协调

（一）处罚主体

《个人信息保护法》第66条规定由“履行个人信息保护职责的部门”实施处罚。根据该法第60条，此类部门包括“国家网信部门”“国务院有关部门”以及“县级以上地方人民政府有关部门”。鉴于《个人信息保护法》第61条规定此类部门有权“处理”违法个人信息处理活动，“处理”包括行政处罚，故所有履行个人信息保护职责的部门皆是该领域行政处罚主体。

（二）管辖协调

第一，职能管辖之协调。具体存在两种情况：其一，同一违法个人信息保护法律的行为，既可由网信部门来处罚，也可由特定行业的主管部门来处罚，遂产生管辖冲突。对此，可依据《行政处罚法》第25条来解决。其二，同一行为，既违反个人信息保护法律规范，也触犯其他行政管理领域的规范，构成“想象竞合”，网信部门与行业主管部门都可处罚，遂产生管辖冲突。此类想象竞合带来的管辖争议应按照一事不再罚原则解决，即同类处罚应择一重处，由具有最高处罚幅度的执法部门行使管辖权，不同类处罚应并行适用，由各类处罚的执法部门同时行使管辖权，具体分配通过部门协商来确定。

第二，地域管辖之协调。可从如下三点入手，建构一套个人信息保护行政处罚地域管辖协调机制：首先，承认多元地域管辖联结点。其次，以立案时间先后来初步确定地域管辖权归属。再次，通过管辖协商和指定管辖解决管辖争议。

第三，层级管辖之协调。县、市级部门先行发现个人信息保护违法线索或收到相关举报、投诉，认为构成情节严重的违法行为的，应当报请省级或中央级部门管辖或指定管辖；省级或中央级部门先行发现违法线索或收到举报、投诉，认为违法情节不严重的，则可将案件交由县、市级部门管辖。对于全国范围内有重大影响、严重侵害公民个人信息权益、引发群体投诉或者案情复杂的个人信息保护违法行为，应由国家网信部门查处或指定省级网信部门查处。

1

2

1

罚什么：应罚行为的构成要件

应受行政处罚行为的构成要件决定“罚不罚”。学界对此素有争论，形成要件说和阶层说。本文选取三阶层说作为分析框架，因其可涵盖要件说无法容纳的违法阻却事由。

（一）该当性

首先，关于处罚对象。作为个人信息处理者或个人信息处理受托人的组织、个人违反《个人信息保护法》，应依据第66条处罚。国家机关原则上不受行政处罚，但当其以民事主体身份处理个人信息，若违反《个人信息保护法》，则可成为行政处罚的对象。此外，国家机关处理个人信息违法应按照《个人信息保护法》第68条来处理。

关于应受处罚的个人。其一，个人独立受罚，即自然人作为个人信息处理者或个人信息处理受托人违法而受罚。其二，个人连带受罚，即自然人因所在单位违法而受罚。中国法上，单个自然人可成立个体工商户、个人独资企业和一人有限责任公司，如何连带处罚须分情况讨论。根据《民法典》第56条，对个体工商户的罚款应由个体工商户设立者的个人财产来承担。据《民法典》第104条，对个人独资企业的罚款首先由企业财产承担，不足的部分由设立人的个人财产承担补充责任。一人有限责任公司属于营利法人，适用双罚制，处罚公司时可连带处罚设立人。对公司的罚款以公司财产承担，但根据《公司法》第63条，公司股东不能证明公司财产独立于股东自己财产的，应以股东个人财产对罚款承担连带责任。

其次，关于处罚行为。《个人信息保护法》第66条列举了“违反本法规定处理个人信息”和“处理个人信息未履行本法规定的个人信息保护义务”两种受罚行为。本文建议：第一，将“违反本法规定处理个人信息”解释为违反《个人信息保护法》第一至三章的行为，因为第二、三章都是在规定个人信息处理规则，前者涉及所有处理行为，后者聚焦跨境提供行为，第一章规定个人信息处理基本原则，可作为兜底性规范；第二，将“处理个人信息未履行本法规定的个人信息保护义务”解释为违反《个人信息保护法》第四、五章的行为，因为两章皆是在规定狭义的个人信息保护义务，前者聚焦信息处理者满足信息主体权利的义务，后者涉及信息处理者安保措施、合规审计、影响评估等义务。如此既能全面覆盖《个人信息保护法》，也可更简便、清晰地将违法行为归类。

（二）违法性

应受行政处罚行为之违法性是指“符合法律规范所描述的客观行为侵犯了行政法益”。“通过利益权衡，将虽然符合构成要件但不具有实质违法性的行为予以排除，这就是违法阻却事由”。根据《行政处罚法》第33条第1款，若个人信息处理行为符合该当性构成违法，但因情节轻微、及时改正且无危害后果，实质上没有损害法律所保护的利益，即构成违法阻却事由，不予处罚；若违法行为首次发生且危害后果轻微并及时改正的，也构成违法阻却事由，由行政机关裁量决定是否处罚。

（三）有责性

应受行政处罚行为之有责性是指作为谴责对象的行为必须能为行为人意志控制，包括责任能力和责任条件。前者指行为人是否属于无责任能力人，后者指行为人是否有主观过错。因此，若行为人能够证明自己处理个人信息违反《个人信息保护法》没有过错，就不存在有责性，应不予处罚。此外须做两点澄清：第一，《个人信息保护法》第66条规定了责令改正，这并非行政处罚，而是旨在消除违法行为危害后果、恢复行政管理秩序的行政处理，不适用过错推定。这就如同《个人信息保护法》第69条对个人信息侵权损害赔偿责任也设定了过错推定原则，但并不适用于作为人格权的个人信息权益之绝对权保护请求权——即便侵害个人信息权益者毫无过错，也应停止侵害、排除妨碍或消除危险。同理，行为人违反《个人信息保护法》，本质上是对国家建构的法秩序之破坏，不一定给信息主体造成损害，例如处理者不按该法第52条要求指定个人信息保护负责人。此时若处理者能自证无过错，则可免于处罚，但行政机关仍应责令改正，以消除危险。第二，有责性欠缺仅意味着行为人不必承担行政处罚责任，而非任何责任。据《行政处罚法》第30条、第31条，十四周岁以下的未成年人或精神病人、智力残疾人违反《个人信息保护法》仍须承担被“管教”或“看管和治疗”的责任，第33条第3款规定因有责性或违法性欠缺而不受处罚者需接受教育。

1

3

1

怎么罚：情节认定与措施匹配

《网络安全法》第六章、《数据安全法》第六章以及GDPR第83条均针对不同违法行为设置不同处罚。《个人信息保护法》设定行政处罚的方式发生重大变化，其第66条并未区分不同违法行为配以不同处罚，而是根据违法情节来决定处罚。但第66条对如何认定违法情节未加解释，对怎样量罚亦语焉不详。因此，有必要进一步探讨该条中的违法情节和匹配措施，为精准判定“罚多重”提供标准。

（一）情节认定

《个人信息保护法》第66条明文设定了三种违法情节。可将《个人信息保护法》第66条规定的三种违法情节细化扩展至五种：情节轻微，即行为符合个人信息保护领域应受处罚行为三阶层构成要件，但具有主观状态属于过失、侵害个人信息或个人信息主体数量较少、没有违法所得等情形；情节较重，即行为符合个人信息保护领域应受处罚行为三阶层构成要件，具有主观状态属于重大过失、侵害个人信息或个人信息主体达到一定数量、有违法所得等情形的；拒不改正，即违法情节轻微或较重，经履行个人信息保护职责的部门责令改正而不按照要求改正的；情节严重，即具有上述一种严重违法情形的；情节特别严重，即有上述多种严重违法情形的。

（二）措施匹配

《个人信息保护法》第66条规定的多种行政措施中，如前所言，责令改正并非行政处罚，既可与处罚同时作出，亦可单独适用。当个人信息处理行为符合前文已述的该当性标准，但不具有违法性或有责性时，不予处罚，但仍应责令改正。除此以外，处理个人信息违反《个人信息保护法》的，均应在责令改正的基础上予以处罚。

针对一般情节，第66条第1款第一分句设定了警告、没收违法所得、责令暂停或终止违法处理个人信息的应用程序服务三种处罚。上文细化的情节轻微和情节较重，前者可适用警告，后者可单处或并处另外两种处罚。

针对拒不改正情节，第66条第1款第二、三分句设定了单位罚款100万元以下和责任个人罚款1万-10万元两项处罚。其一，基于新法优于旧法的原理，《个人信息保护法》生效后，处罚侵害个人信息权益的行为应适用其第66条，即不管有无违法所得，也无论是否没收违法所得，拒不改正的，一律处以罚款。其二，对责任个人罚款是应当还是可以并处？《个人信息保护法》第66条应理解为应当并罚，因其未使用“可以”的措辞，而且据前文分析，拒不改正足以表明责任个人对于违法状态持续具有主观故意，理应处罚。

针对严重情节，上文细化的情节严重和情节特别严重，前者可对单位适用没收违法所得和罚款，对个人适用罚款；后者可进一步对单位适用责令暂停相关业务或停业整顿、吊销业务许可或营业执照，对个人适用从业禁止。此外还有两个问题值得进一步分析。

第一，如何理解“上一年度营业额”？《个人信息保护法》此规定受GDPR影响，但也存在重要差异。与GDPR相比，《个人信息保护法》第66条既未就处罚对象设置双层结构，也不要求转介参照竞争法，由此可得三点结论：首先，以“上一年度营业额”计算的罚款并不仅适用于我国《反垄断法》上的“经营者”，而是适用于所有处罚对象。其次，不同于GDPR处罚“经济实体”，《个人信息保护法》第66条设定的处罚对象是违法的信息处理者或受托人，无需穿透其独立法律身份，追溯处罚对其有决定性影响的主体。再次，不同于《反垄断法》第46、47条以“上一年度销售额”为计罚基准，《个人信息保护法》第66条以“上一年度营业额”作为基准。

第二，如何理解禁止责任人员“在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人”？“一定期限”不是终身禁入，后者应由法律明文规定，例如《安全生产法》第92条第3款。“一定期限”不宜超过五年，因为《刑法》第37条之一所规定的最长从业禁止期也才五年。“相关企业”应指同一细分领域的企业，否则禁业范围过宽。

1

4

1

结语

本文聚焦《个人信息保护法》第66条，对个人信息保护行政处罚制度展开分析。限于篇幅，在两重意义上，这种分析是初步的。一方面，本文无法就管辖纠纷解决程序、受罚行为具体认定、违法情节竞合、行民衔接、行刑衔接等问题展开；另一方面，本文对违法情节的细化及所匹配的处罚措施仍是粗线条的，大有可完善空间。但本文的初步分析表明：个人信息保护领域行政处罚复杂性高，极易在多头执法体制和巨大量罚空间下，偏离过罚相适的正轨。因此，有必要尽快制订执法指南和裁量基准。

文章来源：《行政法学研究》2022年第4期。因篇幅过长，已省略原文注释。

原标题：《前沿 | 彭錞：论个人信息保护行政处罚制度——以《个人信息保护法》第66条为中心》

阅读原文