2021年11月1日正式实施的《中华人民共和国个人信息保护法》(以下简称个人信息保护法)是我国第一部专门针对个人信息保护的统领性法律,其与网络安全法、数据安全法等法律一起构成规范性、系统性、完整性的保护体系,共同为公民个人信息权益保护提供切实有力的法律保障。该法所设立的法律责任专章是这部法律的核心内容之一,而其中第六十六条规定的违法处理个人信息的行政责任规则,又是个人信息保护法责任规范体系的核心条款,该条款的有效实施直接决定了该法的权威性和威慑力。第六十六条结合其他条款将处理个人信息的收集、存储、加工、共享、转让、揭露、销毁等全流程纳入规制范围;明确了履行个人信息保护职责的部门在不同情形下的处罚权限;将违法行为分为一般行为和情节严重行为两类实施分级处罚,对情节严重的违法企业罚款限额最高可达五千万元以下或者上一年度营业额百分之五以下;规制违法企业的同时也处罚相关责任人员,可在一定期限内对企业高层人员实施禁业限制。这些规定立足本土实践,接轨国际经验,回应社会需求,全面强化了违法处理个人信息行为的行政责任,呈现出很强的时代特点。
一、统筹行政责任规范,提高内在体系协调
个人信息保护法出台以前,个人信息的行政责任在制度安排上存在多方利益衡量,体系构建方面存在薄弱环节。一方面,立法整体水平相对其他责任体系尚不能满足执法实践需要,除网络安全法作为个人信息保护行政处罚的主要依据外,其他相关法律法规大多仅笼统规定了一些原则性内容,在执法过程中难以操作;有些规定在内容上相对全面,但由于法律位阶较低,多为行政规章,法律拘束力不强。另一方面,相关立法过于分散,缺乏上位法统领。违法处理个人信息的行政责任散见于近20余部法律法规和部门规章中。在缺少专项立法统领的情况下,行政规范体系性不强,规范之间存有重叠或缺漏,难以从更高层次对个人信息提供全面保护。规则的缺失也给执法实践造成了困惑,处罚的实现往往需要从大量不同规范中寻求依据,使得执法容易产生局限性,甚至出现治理盲区。
个人信息保护法第六十六条通过对行政责任的整体设计,将现行法律法规中有关违法处理个人信息的行政责任规范统领起来,使原本碎片化的立法有了统一的上位法追寻。从体系构建上,专项立法提高了个人信息保护行政规范的整体法律位阶,并形成自上而下完整的行政责任法律体系。从法律内容上,第六十六条依据违法情形设置类型多样、梯次不同的行政责任,给执法提供了充分的正当性依据,降低了个案的执法难度,有利于处罚的准确性和公正性,也使行政责任条款在为个人信息提供及时有效保护的同时兼具了对社会行为的矫正职能。
二、突出行政责任优势,完善多元治理结构
对个人信息权益的全面保护,必须借助综合性的法律手段,由民法、刑法、行政法从不同的治理层面加以规范,才能实现协同治理。此前行政责任体系居于弱势,间接影响了刑事、民事责任效用的发挥。从刑事责任角度看,由于行政处罚力度不足,依据欠缺,为打击各类非法提供和获取个人信息行为,扼制日益猖獗的数据黑色产业链,作为最严厉制裁规范的刑事责任体系走在了最前列,通过设置“侵害公民个人信息罪”“拒不履行信息网络安全管理义务罪”,对违法处理个人信息行为实施了刑事处罚。然而,刑事立法制裁对象仅包括非法提供、出售、获取个人信息和局部履行信息网络安全管理义务致使用户信息传播、泄露的行为,对于其他不当利用个人信息的行为缺乏规范。更重要的是,刑法作为惩治犯罪的最后手段,理应保持其谦抑性,必要时用于惩治性质非常严重的个人信息犯罪,不能过度介入到民事、行政以及其他还没有特别明确规则的领域,也不应“放低”入刑标准,承担行政处罚的职能,模糊罪与非罪的界限。
从民事责任角度看,虽然民法典、消费者权益保护法和《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》等,通过明确个人信息的定义、处理个人信息原则、个人信息主体权利、个人信息处理者的义务等来宣告个人信息受保护范围,要求侵害个人信息的行为人承担民事责任,但考虑到民事侵权责任的定位是事后救济、损害填补,是在侵害行为已经发生的基础上对受害人进行补偿,而不是从源头上扼制违法行为。同时由于侵害个人信息的行为在技术的隐秘性、受损的不确定性等方面的特点,也决定了当事人会面临举证困难、因果关系难以确定等情况。
个人信息保护法第六十六条通过全面强化行政责任效用,充分利用行政执法优势,通过积极主动地介入并制止尚未造成损害结果的违法行为,打击遏制侵害结果发生,极大地强化了对权利的事前保护。对于其他责任体系而言,行政责任体系的完善帮助实现刑事责任重新定位,即只有在对公民个人信息造成严重危害的情形下才涉及刑事犯罪处罚,使其回归应有的治理顺位。此外,行政处罚结果可以在司法实践中为侵害个人信息的民事责任提供证据支撑,从而使被侵害人能够获得及时赔偿,改善以往相对单一的依靠民事责任和刑事责任追责的局限性,实现多元法律责任机制的协同治理。
三、提高罚款上限,增强法律权威性和震慑力
个人信息保护法第六十六条大幅提高针对情节严重违法行为的罚款上限。从全球范围看,近年来各国对于个人信息违法违规行为的法律责任的规定都呈现出加重趋势。如欧盟《通用数据保护条例》根据数据控制者或处理者违规行为的具体性质、情形,规定了两档行政罚款:针对数据泄露通知、隐私保护影响评估、数据保管等规定相关的违法行为,其行政罚款的上限是1000万欧元或全球营收的2%之中的高者;针对数据处理基本原则、数据处理合法性依据、数据处理的有效同意、特殊数据处理等规定相关的违规行为,行政罚款的处罚上限是2000万欧元或者全球营收的4%之中的高者,具有很强的震慑力。个人信息保护法第六十六条顺应我国人工智能、信息化迅猛发展的时代趋势,借鉴有益的域外立法经验,通过提高针对情节严重违法行为的罚款上限,以高额处罚来纠正、遏制违法行为的发生,实现高效、公正的执法效果。
四、完善行政监管体系,强化多领域协同监管
在个人信息保护法出台以前,法律对于我国个人信息的行政监管主体,一直采用笼统、概括的表述,以“有关主管部门”代指,且在执法实践中对个人信息的监管和保护通常采用条块分割运行模式,由不同部门的行政规章赋予相应行政部门一定的执法权限。个人信息保护法充分考虑到个人信息保护及其监督管理事项本身的层级和复杂多样性,建立了符合数字经济发展背景下的管理和执法方式:通过确立国家网信办—国务院各部门—县级以上网信办总体框架,建立了统一管理和分工协作相结合的管理体制。一方面由国家网信部门作为个人信息保护监管工作的主管机关,担当统筹、协调、指导、监管的统一权威机构,避免执法力量分散、推诿、低效等弊端;另一方面,考虑到个人信息保护工作渗透、融合于各产业领域,存在合理分工的必要性,个人信息保护法结合现有职能定位、权力分配,由国务院主管部门继续行使对个人信息处理活动的监管与执法职权。同时,对我国现有的消费者权益保护法、《电信和互联网用户个人信息保护规定》、《个人信用信息基础数据库管理暂行办法》和《人口健康信息管理办法(试行)》等法律法规对相应主管部门个人信息保护的监管职权予以沿用,既实现对多领域协同监管,又符合立法经济原则,减少立法和法律实施成本,实现了法律效果和社会效果的统一。
责任编辑:为民