效能政府的打造需要不断挖掘政府权力运行的时空要素,重点突破,形成有益化学反应,这构成法治政府建设永葆生命力的源泉。
[12]叶必丰教授表示,包括处罚权交由乡镇街道行使在内的执法权下沉到底并非法律授权和行政委托,职权转移制度同样难以支持,其本质属于执法事权的纵向配置,[13]与此表示类似,杨丹博士认为处罚权下放实质是执法权的纵向流转。[26]在法律用语上,管辖权与权限常作同义语使用,管辖权系就主观之观点,指称行政主体或行政机关执行特定行政任务之权利或义务。
省、自治区、直辖市根据当地实际需要,可以决定由乡镇人民政府、街道办事处实施与基层行政管理相关的行政处罚。[24]参见熊樟林:《行政处罚地域管辖权的设定规则——〈行政处罚法(修订草案)〉第21条评介》,载《中国法律评论》2020年第5期。目前,中央总结了各地探索出的有益经验,为基层行政执法体制改革梳理出了较为清晰的优化思路,并着手开展相关法律的修改工作,引领与推动基层治理能力与水平的进一步提高。二、处罚权交由的规范意旨与功能定位 关于处罚权交由规则的法律性质,理论与实务界讨论较多,分歧亦较大。处罚权交由规则的功能定位决定了第24条第1款在实施中的灵活多变性,在基层执法体制改革推进中需要实现规范性与有效性的平衡。
[10]参见莫于川等:《行政执法新思维》,中国政法大学出版社2018年版,第92页。[23]参见袁雪石:《〈中华人民共和国行政处罚法〉释义》,中国法制出版社2021年版,第165页。阻挠公安机关、国家安全机关依法调查的,可依《数据安全法》第35条处罚。
[30]这一见解难以成立,因为相对人至少可以暂停个人信息处理,这并无资源、技术等条件限制。第一,如何理解上一年度营业额?《个人信息保护法》此规定受GDPR影响,但也存在重要差异。(二)措施匹配 《个人信息保护法》第66条规定的多种行政措施中,如前所言,责令改正并非行政处罚,既可与处罚同时作出,亦可单独适用。对有幅度的罚款,就高应先比较罚款上限,适用罚款上限高的规定。
再次,不同于《反垄断法》第46、47条以上一年度销售额为计罚基准,《个人信息保护法》第66条以上一年度营业额作为基准。根据前述规则仍无法解决处罚权管辖争议的,应按《行政处罚法》第25条第2款和《国务院关于进一步贯彻实施〈中华人民共和国行政处罚法〉的通知》第7条来处理,有争议的行政机关协商解决,协商不成的,多个行政机关属于同一主管部门的,由共同的上一级主管部门经报请或直接指定管辖。
客观来讲,这有一定道理,比如在违反个人信息处理者义务和侵犯个人信息权利主体之间并不存在天然的轻重之别。欧盟成员国层面,GDPR《一般数据保护条例》第83条第7款做了留白处理,规定成员国可制定规则来确定是否以及在什么情况下对其境内设立的公权机构和组织施加行政罚款。限于篇幅,在两重意义上,这种分析是初步的。[25]参见杨立新主编:《侵权责任法》,复旦大学出版社2010年版,第115-132页。
[21]龙卫球主编:《中华人民共和国个人信息保护法释义》,中国法制出版社2021年版,第309页。深度上,其新增责任人员从业禁止和高额罚款等处罚措施,强化违法威慑。没有罚款上限或者罚款上限一致的,适用罚款下限高的规定。[18]此外,国家机关处理个人信息违法应按照《个人信息保护法》第68条来处理。
《个人信息保护法》第66条应理解为应当并罚,因其未使用可以的措辞,而且据前文分析,拒不改正足以表明责任个人对于违法状态持续具有主观故意,理应处罚。也可以直接由共同的上一级行政机关指定管辖。
相较于《全国人民代表大会常务委员会关于维护互联网安全的决定》第4条、《消费者权益保护法》第56条、《网络安全法》第64条等先期规范,《个人信息保护法》第66条有了质的突破。对此,根据《消费者权益保护法》第56条,可由市场监管部门警告、没收违法所得、处以违法所得一倍以上十倍以下的罚款,没有违法所得的,处以50万元以下的罚款,情节严重的,责令停业整顿、吊销营业执照。
因此,作为个人信息处理者或个人信息处理受托人的组织、个人违反《个人信息保护法》,应依据第66条处罚。二是规定公权机构和非公权机构在行政罚款方面没有区别,如挪威、葡萄牙等。[39]英国信息专员办公室在执法指南征求意见稿中指出:当处罚对象不具有商业性质并因此没有营业额时,我们将考虑其相关财政状况的同类信息(equivalent information),包括收入、预算或支出。其三,以法定罚款额高为标准不会影响实现过罚相适,反而能让有最大量罚空间的处罚机关去确定与违法行为相应的罚款。此时若处理者能自证无过错,则可免于处罚,但行政机关仍应责令改正,以消除危险。[20]另一种解释认为前者指向处理行为本身的违法性,后者指向因处理个人信息而附随的积极义务之违反。
一定期限不宜超过五年,因为《刑法》第37条之一所规定的最长从业禁止期也才五年。一是规定公权机构免予行政罚款,如奥地利、比利时、克罗地亚、芬兰、德国、列支敦士登等。
[37] 与GDPR相比,《个人信息保护法》第66条既未就处罚对象设置双层结构,也不要求转介参照竞争法,由此可得三点结论:首先,以上一年度营业额计算的罚款并不仅适用于我国《反垄断法》上的经营者,[38]而是适用于所有处罚对象。[12]个人信息保护行政处罚权能否根据《行政处罚法》第24条交由乡镇人民政府、街道办事处行使,仍有待观察和讨论。
[13]《个人信息保护法》起草过程中,曾有人提出若众多履行个人信息保护职责的部门都有权处以巨额罚款,会给企业造成灭顶之灾,也可能导致地方部门为增加财政收入而罚款,故第66条第2款规定应由省级以上履行个人信息保护职责的部门来罚款。[23]熊樟林:《行政处罚责任主义立场证立》,载《比较法研究》2020年第3期,第142页。
《个人信息保护法》有两点安排:其一,第60条将履行个人信息保护职责的部门限定于县级以上至中央政府有关部门,意味着乡镇政府部门不负有个人信息保护职责,亦无此领域的行政处罚权。进入专题: 个人信息保护法 行政处罚 。诚然,《个人信息保护法》第66条区分两种受罚行为在立法技术上值得商榷,统一表述为处理个人信息违反本法规定本可更加简明。对责任人的处罚包括罚款10万-100万元,并可以禁止其在一定期限内担任相关企业的董事、监事、高管和个人信息保护负责人。
营业额以《企业会计准则第14号——收入》第2条规定的企业在日常活动中形成的、会导致所有者权益增加的、与所有者投入资本无关的经济利益的总流入为准,计算范围则应以违法行为相关服务或市场为准。这意味着雇员在单位授权范围内按指示处理个人信息,雇员并非个人信息处理者或个人信息处理受托人,出现违法行为由作为个人信息处理者的组织受罚,但雇员仍要连带受罚。
[41]参见孙莹:《大规模侵害个人信息高额罚款研究》,载《中国法学》2020年第5期,第122-124页。个人独资企业据《民法典》第102条属于非法人组织,《行政处罚法》第2条将非法人组织定为处罚对象,故双罚制,处罚企业的同时还可处罚设立企业的自然人。
这不仅更符合过罚相适原则,而且切实可行,因为《个人信息保护法》第66条并未像GDPR第83条那样明文规定全球营业额,但规定在没收违法所得的基础上并处营业额一定比例的罚款,说明罚款之前必须先确定违法行为相关服务或市场,否则无法认定违法所得。结合以上分析,可将《个人信息保护法》第66条规定的三种违法情节细化扩展至五种:情节轻微,即行为符合个人信息保护领域应受处罚行为三阶层构成要件,但具有主观状态属于过失、侵害个人信息或个人信息主体数量较少、没有违法所得等情形。
《个人信息保护法》第66条列举了违反本法规定处理个人信息和处理个人信息未履行本法规定的个人信息保护义务两种受罚行为。例如某APP的隐私政策未包括收集使用个人信息的规则,据《APP违法违规收集使用个人信息行为认定方法》第1条应认定为未公开收集使用规则。[7]参见黄先雄、张少波:《想象竞合情形下一事不再罚原则的适用机制》,载《中南大学学报》(社会科学版)2020年第2期,第74页。GDPR第83条第2款列举了十一项决定应否罚款及金额的考量因素。
据此,有下列情形之一的即可认定为《个人信息保护法》第66条第2款所言的情节严重:(1)个人信息违法行为出于故意、属于滥用职权、持续时间较长、将个人信息用于违法甚至犯罪活动、侵害敏感或私密个人信息、侵害个人信息数量较大、侵害未成年人个人信息、侵害个人信息主体数量较大。对管辖发生争议的,应当协商解决,协商不成的,报请共同的上一级行政机关指定管辖。
如何认定拒不改正?在行政处罚领域,这是一项常见的情节,《网络安全法》第59-62、68、69条和《数据安全法》第45条都有涉及,可分两步认定:第一,履行个人信息保护职责的部门作出并送达责令改正决定书。一方面,本文无法就管辖纠纷解决程序、受罚行为具体认定、违法情节竞合、行民衔接、行刑衔接等问题展开
[41]参见孙莹:《大规模侵害个人信息高额罚款研究》,载《中国法学》2020年第5期,第122-124页。欧盟成员国层面,GDPR《一般数据保护条例》第83条第7款做了留白处理,规定成员国可制定规则来确定是否以及在什么情况下对其境内设立的公权机构和组织施加行政罚款。
