华政学报 | 孙莹违法处理个人信息高额罚款制度的理解与适用

Original 孙莹华东政法大学学报 2023-08-28

违法处理个人信息

高额罚款制度的理解与适用

作者简介

孙莹西南政法大学教授
法学博士后研究人员、新科技法治创新研究中心研究员
民法典适用问题创新研究团队成员，法学博士

★

本文系国家社会科学基金重大项目“民法在建设职责明确、依法行政的政府治理体系中的作用研究”（项目号21ZDA050）的阶段性研究成果。

目次

一、违法处理个人信息高额罚款制度的适用情形

二、违法处理个人信息高额罚款“双罚制”的处罚对象

三、违法处理个人信息高额罚款执法主体的确定

四、违法处理个人信息高额罚款责任与其他法律责任的关系

五、结语

摘要

《个人信息保护法》第66条第2款关于违法处理个人信息高额罚款的规定，将会是我国个人信息保护行政执法领域的重要法律依据。在未来制定实施细则时，应进一步明确违法处理个人信息“情节严重”的情形，以防范任意地扩大解释与适用高额罚款制度。在双罚制下，大型网络平台企业将是高额罚款执法的重点对象。由省级以上网信部门作为高额罚款执法主体具有充分的合理性，也有利于兼顾行政执法的有效性和法制的统一性。高额罚款责任与民事责任或刑事责任并存时，均应遵从民事责任或刑事责任优先原则。建议创设独立的个人信息保护基金，将行政高额罚款纳入其中。

关键词

违法处理个人信息　高额罚款　

双罚制　民事责任

✦

违法处理个人信息高额罚款制度是保障自然人个人信息权益、维护公共利益和社会秩序、调整失衡的企业和个人力量以及规制互联网竞争生态的需要。由于能够深切触及违法主体，尤其是大型互联网企业的利益，进而对侵害个人信息的行为产生有效威慑，其理应成为加强个人信息保护行政监管的有效法律工具。《个人信息保护法》（以下简称《个保法》）第66条规定了不同情形下违法处理个人信息的行政责任，其中第2款将违法处理个人信息且情节严重行为的罚款金额设定为五千万元以下或者上一年度营业额百分之五以下。较《网络安全法》等法律法规，《个保法》大幅提高了行政罚款金额，表明在违法处理个人信息且情节严重的情况下，违法主体将承担更为严厉的行政责任。《个保法》是个人信息保护领域的基本法，该条关于违法处理个人信息高额罚款的规定，将会是我国个人信息保护行政执法领域的重要法律依据，本文将从适用情形、处罚对象、执法主体及其管辖权、与其他法律责任的关系等方面，对《个保法》第66条第2款的理解与适用提出一些看法。

一

违法处理个人信息高额罚款制度的适用情形

根据《个保法》第66条第2款的规定，高额罚款适用于违反个人信息保护法的规定处理个人信息，或不履行个人信息保护法规定的个人信息保护义务，且情节严重的情形。简而言之，即实施了违法处理个人信息的行为且情节严重。根据立法逻辑，判断是否适用该条款首先应当判断是否符合违法处理个人信息行为的构成要件，其次需要认定是否属于“情节严重”。

（一）

构成违法处理个人信息行为的主客观要件

传统行政法多秉持“客观违法”的一元归责原则，承担行政责任的唯一标准是该行为客观上违法，而无须考察行政相对人的主观心态，更无须考察行为人的主观心态是故意或过失。换言之，主观过错并不是应受行政处罚行为的构成要件之一，单纯客观违法即可予以处罚。现在也有观点认为，考虑到行政机关在行政诉讼中的举证责任，如果过多强调处罚的前提在于行政相对人存在主观过错，将加重行政机关的负担。然而，这种一元归责原则不利于实质正义的实现。因此，本文认为将客观要件和主观要件相结合对是否构成违法处理个人信息行为进行判断更为妥当。

就客观要件而言，《个保法》结合对个人信息处理活动的规定，从个人信息处理的事前、事中、事后三个环节详尽规定了违法处理个人信息行为的表现形式，此处不予赘述。就主观要件而言，2021年修订的《行政处罚法》第33条第2款已经规定没有主观过错的，不予行政处罚，但该规定较为原则。作为排除适用行政处罚的条件，该条文并未从正面明确行政处罚决定作出时，是否应区分“故意”“重大过失”“一般过失”，以及如果区分应该如何配置不同处罚程度的责任。就违法处理个人信息高额罚款制度的适用情形而言，本文认为应当综合考虑个人信息处理者的主观心理状态。刑法中的行为人主观心理态度包括认识因素和意志因素，但较刑法而言，行政法中行为人的认识因素有其特殊性。就行为犯而言，由于行政责任的成立并不以产生实际的损害结果为前提，因此行为人的认识因素既不要求行为人明知或应知会产生特定的损害结果，也不要求行为人明知或应知自己在行政法上的法定义务，而是要求行为人明知或应知违反行政法上义务的构成要件事实即可。以发生在事前和事中环节的违法处理个人信息行为为例，应当要求个人信息处理者的认识因素为明知或应知自己应承担的事前或事中法定义务的构成要件事实，其意志因素为积极追求或放任其发生。例如，《个保法》第13条、第14条、第27条规定了个人信息处理者在处理个人信息前，应当获得个人或者其监护人的明确同意的义务。行为人的认识因素并非其明知或应知自己负有该种义务，而是明知或应知自己在处理个人信息前，如不做出具体的获求个人或其监护人同意的行为则会违反该法定义务。在意志因素上，要求行为人积极追求或放任在处理个人信息前，不向个人或其监护人获求同意的行为的发生。

再如，《个保法》第24条第1款规定，个人信息处理者利用个人信息进行自动化决策时，负有不得对个人实行不合理的价格差别对待的义务。行为人的认识因素并非其明知或应知自己负有该种禁止性义务，而是明知或应知自己在利用个人信息进行自动化决策时，如果对个人实行不合理的价格差别对待则会违反该义务。在意志因素上，要求行为人积极追求或放任在利用个人信息进行自动化决策时，对个人实行不合理的价格差别对待的行为的发生。由此，通过综合考察个人信息处理者的主观状态，可使执法者基于行为人主观上的过错程度适配相当的行政处罚。

（二）

“情节严重”的认定

在个人信息保护方面，《网络安全法》《数据安全法》也规定了对情节严重的侵害个人信息行为给予加重处罚，但对情节严重的参考因素和认定标准并未进一步释明。“应受行政处罚行为得以参照犯罪论体系进行判定，源于对法律保留、比例原则和人格尊严等宪法价值的遵循。”因此，建议可以参照刑事领域的相关解释，在未来的实施细则中进一步明确违法处理个人信息“情节严重”的情形，以防范乃至避免高额罚款制度被任意地扩大解释与适用。在此需要说明的是，对行政处罚语境下违法处理个人信息“情节严重”的理解，并非只是简单地套用刑法关于侵犯公民个人信息罪有关“情节严重”“情节特别严重”的规定，而应理解刑法上该罪所保护的法益，尊重已有刑法个人信息保护体系，最终形成符合法秩序统一理念的“行政法—刑法”有机联动的个人信息分级保护框架。

我国《刑法》第253条之一规定了“侵犯公民个人信息罪”，并规定了“情节严重”和“情节特别严重”两个加重处罚情节。最高人民法院、最高人民检察院联合发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《解释》）第5条列举了“情节严重”的9种情形和“情节特别严重”的3种情形，以上12种情形可以从“行为加重”和“结果加重”两个角度加以分类，主要考虑的因素包括信息类型和数量、违法所得数额、信息用途、主体身份、前科情况等。对同一行为而言，认定为行政违法行为的标准要低于认定为犯罪行为的标准。因此可以参考《解释》第5条有关“情节严重”和“情节特别严重”的标准，降低其中行为加重和结果加重的程度，从而制定作为行政违法行为的“情节严重”和“情节特别严重”标准。在借鉴刑法已有规定，认定何为此处的“情节严重”时需注意：《解释》和《个保法》对敏感个人信息的内涵和分类有所不同。《解释》第5条第1款第3项和第4项区分了两种敏感个人信息，并规定了不同的入罪标准。一种是行踪轨迹信息、通信内容、征信信息、财产信息等高度敏感个人信息，另一种是住宿信息、通信记录、健康生理信息、交易信息等次级敏感个人信息。《个保法》第28条则将敏感个人信息解释为“一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息”。本文认为，所谓个人信息的敏感性，归根结底取决于该信息在特定社会环境下体现了何种程度的人格价值和经济价值。因此“敏感个人信息”的内涵，本质上是处于动态变化中的。因此从《个保法》的范畴出发，可以借鉴《解释》中高度敏感个人信息和次级敏感个人信息的分类标准，采取概括而非列举的方式，以便为未来敏感个人信息内涵的变化留下空间。本文以违法向他人出售或提供公民个人信息的行为为例进行说明，作为行政违法行为的“情节严重”，从“行为加重”的角度可以设定为3种：（1）出售或者提供行踪轨迹信息，被他人用于违法行为的；（2）知道或者应当知道他人利用个人信息实施违法行为，向其出售或者提供的；（3）二年内曾因违法处理个人信息受过行政处罚，又非法获取、出售或者提供个人信息的。从“结果加重”的角度，可以将“情节严重”设定为5种：（1）非法获取、出售或者提供高度敏感个人信息三十条以上的；（2）非法获取、出售或者提供次级敏感个人信息三百条以上的；（3）非法获取、出售或者提供第一项、第二项规定以外的个人信息三千条以上的；（4）违法所得三千元以上的；（5）将在履行职责或者提供服务过程中获得的个人信息出售或者提供给他人，数量或者数额达到第一项至第四项规定标准一半以上的。

此外，虽然《个保法》等法律中没有规定“情节特别严重”的情形，但现实可能会发生因违法处理个人信息行为导致人身伤害或较为严重的经济损失和社会影响等结果。因此本文主张在后续的实施细则中参照《解释》第5条，在“情节严重”的基础上增加“情节特别严重”的规定。《数据安全法》第45条规定了“违反国家核心数据管理制度，危害国家主权、安全和发展利益的，由有关主管部门处二百万元以上一千万元以下罚款”，可以将该条款作为情节特别严重的情形之一。综合而言，“情节特别严重”可以包括以下四种情形：（1）造成被害人轻伤以上后果的；（2）造成较大经济损失或者较坏社会影响的；（3）违反国家核心数据管理制度，危害国家主权、安全和发展利益的；（4）数量或者数额达到前款规定标准五倍以上的。

二

违法处理个人信息

高额罚款“双罚制”的处罚对象

传统行政处罚理论认为，针对单位的行政处罚，并不牵涉单位直接负责的主管人员或其他直接责任人员。但随着市场经济的发展，诸多单位主体日益深入公共空间并彼此交融，部分单位的违法行为将造成极大的社会风险。因此在我国行政处罚领域，“双罚制”理论开始得到越来越多的运用，在处罚单位的同时，一并处罚单位直接负责的主管人员或其他直接责任人员，将行政处罚的威力穿透违法责任主体，直达行为人。虽然新修订的《行政处罚法》没有单独规定单位违法的双罚制，但我国《网络安全法》第64条和《数据安全法》第45条对违法处理个人信息行为规定了双罚制，《个保法》第66条第2款也规定，对其直接负责的主管人员或其他直接责任人员“处十万元以上一百万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人”，这充分说明我国个人信息保护行政监管执法领域已经完全认可“双罚制”。

（一）

对单位“直接负责的主管人员和直接责任人”

的行政处罚

对于高额罚款“双罚制”的构成要件，《个保法》第66条第2款的立法思路体现为，作为个人信息处理者的单位和“直接负责的主管人员或其他直接责任人员”受行政处罚的违法前提要件一致，同时“直接负责的主管人员或其他直接责任人员”的行政处罚不需要其他附加条件。

我国《网络安全法》《数据安全法》《个保法》对实施侵害个人信息违法单位的自然人的处罚范围相同，都限于直接负责的主管人员和直接责任人，也都区分不同情节下自然人承担不同的行政责任，这种情节上的区分有助于形成行政责任划分的不同梯度，符合违法行为与行政责任、行政处罚相适应的原则。需注意的是，三部法律罚款的设定方式均采数据数值式，但罚款金额上限不断提高。《网络安全法》规定罚款为1万元以上10万元以下；《数据安全法》则规定，对于拒不改正或者造成大量数据泄露等严重后果的，罚款为5万元以上20万元以下；《个保法》进一步提高了罚款金额的上限，规定情节严重的，罚款金额为10万元以上100万元以下。可以发现，从《网络安全法》到《个保法》，罚款金额上限从10万元提高到了100万元。我国现行法律对单位违法行为中自然人的罚款额度最高为50万元，与现行法律规定的罚款上限相比，《个保法》中将自然人罚款上限设定为100万元，体现了高额罚款的特征。这种趋势体现了立法者愈加强调侵害个人信息的社会危害性，加大在单位违法行为中对自然人的处罚力度。

在此需要特别指出的是，《个保法》第52条规定了个人信息保护负责人制度，规定了处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人，负责对个人信息处理活动及采取的措施等进行监督。我国的“个人信息保护负责人”与欧盟《通用数据保护条例》中的“数据保护官”功能相似，但是，对于“个人信息保护负责人”在个人信息处理者中具体处于何种地位、承担哪些具体职责及法律责任并未予以细化规定。因此，在违法处理个人信息的双罚制法律适用过程中，是否将“个人信息保护负责人”纳入“直接负责的主管人员或其他直接责任人员”涵摄的范围，还有待进一步探讨。

（二）

作为高额罚款执法重点的大型网络平台企业

行政处罚的执法实践中，大型网络平台企业是违法处理个人信息造成严重后果的主要侵害人。在未来制定违法处理个人信息高额罚款的实施细则中，应当细化对大型网络平台企业及其“直接负责的主管人员和直接责任人”的高额罚款处罚规定。

数字革命使得大型网络平台企业相对自然人越发取得技术上的绝对优势。大型网络平台企业凭借其资本与日益迭代更新的人工智能及算法，可以更加便捷地实施个人信息收集与利用行为，而且，资本的逐利性会力图使个人信息的商业价值性得到最大程度展现。大型网络平台企业的以上特点使得其符合“准公共服务产品提供者”的身份，个人信息则成为大型网络平台企业业务的重要组成部分，一旦其实施违法处理个人信息行为（包括不履行个人信息保护义务），不仅会侵害众多的个人信息权益，也会对网络市场的公平性和国家网络安全产生直接影响。因此大型网络平台企业及其“直接负责的主管人员和直接责任人”对于个人信息保护应当承担更多的义务，如果其不履行个人信息保护的特定义务，则应属于高额罚款的处罚对象。

现有个人信息保护领域的法律并未无本文所称的“大型网络平台企业”的定义，因此需要进一步予以说明。欧盟《数字市场法》中对“守门人”及其义务的规定在此具有借鉴和启发意义。欧盟《数字市场法》重点关注大型网络平台企业的影响力，并明确规定了大型网络平台的定义及其个人信息保护的“守门人”义务。《数字市场法》通过市场影响力加企业规模的方式规定了“守门人”的定义，并授权欧盟委员会可以根据市场和技术发展定期调整“守门人”的数值阈值。通过规定“守门人”具体应遵守的积极义务和禁止性义务，意图削弱和遏制“守门人”对个人用户和其他企业产生的优势地位。对此，《个保法》第58条将具有特定个人信息保护义务的主体限定为提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，这一概念正契合了本文所说的大型网络平台企业。在具体认定上，可以采用市场影响力加企业规模的综合认定方式，而企业规模的具体数值则可参考我国对信息技术服务业中的大型企业的规模认定，以年度营业额超过1亿元为标准。

三

违法处理个人信息高额罚款执法主体的确定

❖

《个保法》第66条第2款将高额罚款执法主体限定为省级以上履行个人信息保护职责的部门。通过梳理发现，高额罚款执法主体层级的限定在《个保法》整个起草过程中经历了从无到有的变化。目前仍无明确信息说明将高额罚款执法主体层级限定为省级以上这一修改出现的具体时间，但根据全国人大常委会公报的内容进行推测，这一修改可能出现在两个时间节点，即2021年7月28日和2021年8月17日。[18]2021年8月20日公布的《个保法》第66条第2款已经修改为，“有前款规定的违法行为，情节严重的，由省级以上履行个人信息保护职责的部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款”。该条款明确将高额罚款执法主体限定为省级以上履行个人信息保护职责的部门。

（一）

确定违法处理个人信息高额罚款

执法主体的法律依据和标准

根据《个保法》第60条的规定，所谓履行个人信息保护职责的部门，包括网信部门、国务院中负责个人信息保护和监管的部门、县级以上地方政府中负责个人信息保护和监管的部门。其中，网信部门的范围明确，此处不再赘述，而国务院中负责个人信息保护和监管的部门的范围则较为宽泛。2018年国务院机构改革后，现行的国务院建制除了国务院办公厅之外，还设置有26个组成部门。显然，这26个国务院部门均可能在各自职责的范围内涉及个人信息保护和监管，在特定领域都可被解释为“履行个人信息保护职责的部门”，如中国人民银行、发改委、工信部、工商行政管理部门（市场监督管理局）、公安机关等。就县级以上地方政府中负责个人信息保护和监管的部门而言，其范围也同样很宽泛。根据我国法律法规和部门规章的规定，县级以上统计机构，县级以上测绘地理信息主管部门，县级以上卫生行政部门、卫生健康主管部门、卫生计生行政部门，县级以上旅游行政管理部门，县级以上建设（房地产）主管部门等都具有针对侵害个人信息行为的行政处罚权。

可以发现，在我国的法律法规和部门规章中，对违法处理个人信息行为具有行政处罚权的执法主体十分广泛。在众多的执法主体中，如何明确高额罚款的执法主体就成为亟待解决的问题。《个保法》第66条根据违法行为的情节轻重实施分级处罚制度，即区分为一般情节与情节严重。对本条第1款中针对一般违法行为的执法主体即履行个人信息保护职责的部门之范围的理解，应包含前述所有主体，但对本条第2款针对情节严重的违法行为的执法主体则应做限缩解释。遵循行政法定原则，《个保法》第66条为高额罚款执法主体的选择提供了法律依据和标准（表1）。

根据标准一，高额罚款的执法主体本身并非违法行为人的主管部门，而上文中列举的信息产业主管部门、征信业监督管理部门及其派出机构、中国人民银行或其分支机构、银保监会及其派出机构等部门均为具体行业的主管部门，因此以上部门不能成为高额罚款的执法主体。通过排除法，剩下市场监督管理部门、公安机关、国家安全机关、网信部门四个部门可供选择。

根据标准二，高额罚款的执法主体应具有责令改正、警告、没收违法所得、责令暂停相关业务、停业整顿、罚款、从业禁止等行政处罚权，但没有吊销相关业务许可或者吊销营业执照的处罚权。《治安管理处罚法》第10条规定，公安机关有吊销公安机关发放的许可证的处罚权。依据有关法规和规章的规定，公安部计算机管理监察部门负责计算机信息系统安全专用产品销售许可证的发放，因此公安机关不符合标准二。根据《国家安全法》和《反间谍法》的规定，国家安全机关有搜查、没收和行政拘留的职权，但并无责令改正、警告、责令暂停相关业务、停业整顿等职权，因此国家安全机关同样不符合标准二。至此，符合我国现行法律规定的违法处理个人信息高额罚款的执法主体，只有市场监督管理部门和网信部门。

根据标准三，高额罚款的执法主体的行政罚款金额可达一百万元（一般情况），也可达五千万元以下或者上一年度营业额百分之五以下（情节严重）。目前法律对该标准的适用主体存在模糊之处。例如，根据《电子商务法》第79条规定，“电子商务经营者违反法律、行政法规有关个人信息保护的规定，或者不履行本法第三十条和有关法律、行政法规规定的网络安全保障义务的，依照《中华人民共和国网络安全法》等法律、行政法规的规定处罚”。但《网络安全法》第64条却规定，侵害个人信息行为的“由有关主管部门责令改正”。所以两部法律都没有明确规定高额罚款究竟应该是由市场监督管理部门还是由网信部门实施。

本文认为，省级以上网信部门作为违法处理个人信息高额罚款执法主体具有充分的合理性，详见下文的分析。

（二）

省级以上网信部门作为违法处理

个人信息高额罚款执法主体的合理性

如上所述，通过对《个保法》第66条的分析，可以将侵害个人信息高额罚款的执法主体锁定在市场监督管理部门和网信部门二者之间。如何最终明确高额罚款的执法主体，则需要站在推进国家机构职能优化协同高效的立场，具体根据执法主体的定位加以判断。

网信部门更符合高额罚款执法主体的定位

网信部门作为违法处理个人信息的高额罚款执法主体，符合推进国家机构职能优化协同高效的要求。《中共中央关于深化党和国家机构改革的决定》提出，国家机构职能优化协同高效是推进国家治理体系和国家治理能力现代化的基本原则之一。所谓优化就是科学合理、权责一致。高额罚款执法主体的确定要遵从科学合理和权责一致，并“坚持一类事项原则上由一个部门统筹、一件事情原则上由一个部门负责，避免政出多门、责任不明、推诿扯皮”。高额罚款执法主体本身的职责不应仅限于罚款，因为高额罚款执法主体的定位应是负责违法处理个人信息行为预警、调查、事实认定、提出处理意见和作出行政处罚等一系列行政活动的机关，并且它还能够打通党政机关之间界限，既增强党的领导力，又提升政府的执行力。

从该定位出发，与市场监督管理部门相比，网信部门更适合成为违法处理个人信息高额罚款的执法主体。其一，网信部门本身产生的时间较短，仍处在发展的过程中，其法律地位和职权相对模糊，但这也使得网信部门具有较强的可塑性，有利于破旧立新。市场监督管理部门的职能决定了其本身更侧重维护市场公平而非维护个人信息保护和网络安全，而后两者恰恰是设立网信部门的目标。其二，市场监督管理部门在政府序列中没有直接对应的党的机构，因此不利于打通党政机关之间界限。而网信部门不仅存在于政府序列中，即国家网信办，还有对应的党的机构，即中央网信办，两者合署办公。同时，国家网信办和中央网信办又受中共中央网络安全和信息化委员会领导，由此可见，由网信部门作为高额罚款执法主体更有利于直接加强党对网络安全领域工作的领导作用。

应在网信部门和其他部门之间

建立完善的联合执法机制

明确网信部门作为违法处理个人信息高额罚款的执法主体，并不意味着排斥国务院中负责个人信息保护和监管的部门、县级以上地方政府中负责个人信息保护和监管的部门。应该建立以网信办为牵头单位，其他部门共同参与的联合执法机制。

尽管本文主张将网信部门作为高额罚款的执法主体，但并不因此否认市场监督管理部门和其他部门享有除高额罚款以外的其他行政执法权。由于社会治理事项本身的复杂性和内部联系性，各部门之间存在管理事务和职权交叉是难以避免的。侵害个人信息的行为人往往是大型网络平台，所涉及的违法行为还可能同时包括运营资质审批、不正当市场竞争等问题，可能涉及多部门的管辖领域，因此客观上也需要多部门联合执法。例如，在2021年针对“滴滴出行”的网络安全审查中，除国家网信办外，还有公安部、国家安全部、自然资源部、交通运输部、税务总局、市场监管总局六部门联合参与。国家层面也明确了国家网信办与国家发改委等11个部门建立网络安全审查工作机制。因此，在明确网信部门为高额罚款执法主体的基础上，需要建立针对侵害个人信息行为的有效协同的联合执法机制。在这一机制中，网信部门作为牵头单位负责联合调查的组织协调工作，其他部门根据各自管辖领域和执法权限参与其中，进而实现统筹协调，各司其职。

此外，高额罚款执法主体的确定要实现履职到位、流程顺畅。确立网信部门作为高额罚款执法主体的地位并建立联合执法机制，两者的最终目标是实现对侵害个人信息行为的高效处理，提高行政体制的运行效率“也要靠简化中间层次、减少管理层级、加强流程公开透明等”。因此，明确网信部门的高额罚款执法主体地位后，还要解决网信部门的层级管辖和地域管辖问题。

省级以上网信部门均享有

违法处理个人信息的高额罚款执法权

我国的网信部门以行政层级为标准划分为中央和地方共四级，即中央网信部门、省级网信部门、地市级网信部门和县级网信部门。本文主张将省级以上网信部门作为违法处理个人信息高额罚款的执法主体。

由于我国互联网发展呈现多中心分布的特征，明确省级以上网信部门作为高额罚款执法主体可以兼顾执法的有效性和统一性。第一，如果仅将高额罚款执法权赋予中央网信部门，则导致执法权层级设定过高、执法力量过度集中，不利于对各地发生的违法处理个人信息行为及时做出反应，影响执法的有效性。第二，如果将高额罚款处罚权赋予地市级和县级网信部门，则执法层级设定过低、执法力量过于分散，不利于对违法处理个人信息行为确定统一执法标准。一则基层执法机关缺乏足够的执法力量调查大型互联网企业复杂的违法处理个人信息行为，二则各地方在产业发展中容易存在地方保护主义。我国地市级和县级政府数量众多，各地方容易将高额罚款作为地方保护的工具，或对本地区违法处理个人信息行为消极执法，或对其他地区违法处理个人信息行为过度执法。一旦将高额罚款执法权下放至地市级和县级网信部门，中央将难以监督众多地方网信部门的高额罚款行为，不利于法制统一。第三，省级以上网信部门有较强的执法能力，有利于执法资源的相对集中。通过对中国互联网前100名企业进行统计可以发现，90%的企业登记地都位于直辖市或省会城市。省级网信部门所在地也都位于直辖市或省会城市，这样在调查和处理企业违法行为时就能减少中间过程的损耗，节约执法资源。第四，将执法主体层级限定在省级以上网信部门有利于实现对高额罚款执法权的有效监督。由于省级网信部门的数量有限，国家网信部门可以对32个省级网信部门实施有效监管。并且，省级网信部门的级别相对较高，受到的监督更多，客观上更能够约束其滥用执法权的冲动。因此，鉴于我国违法处理个人信息高额罚款制度仍处于初步实践阶段，为了兼顾执法有效性和法制统一性，将高额罚款处罚权限定在省级以上网信部门具有充分的合理性。

（三）

国家网信部门和省级网信部门的层级管辖

省级以上网信部门包括国家网信部门和省级网信部门，因此有必要对两级网信部门的管辖权限进行讨论。随着国家加大对大型网络平台企业的审查，相关案件的执法情况可以为两级网信部门的管辖权划分提供实践参照（表2）。

以上六家企业的登记地分别位于杭州、北京、深圳、天津和南京等省会城市、副省级城市或直辖市，阿里巴巴、美团和腾讯为港股上市企业，其余三家为美股上市企业。六家企业都具有互联网运营资质且用户规模巨大，属于关键信息基础设施运营者，其涉嫌的违法行为包括滥用市场支配地位、侵害个人信息、危害国家网络安全等。由于对它们的审查具有全国政策导向性，所以均由中央级别的执法机关而非地方执法机关进行处理。究其原因，一方面，由于上市是互联网企业获得融资的最主要渠道，一旦企业上市，意味着其获得了更广泛的社会影响力，对于在国外上市的互联网企业，由于东道国可能设置各种针对性审查条件，如果接受这些条件则可能会导致我国个人信息的泄露，威胁国家网络安全；另一方面，关键信息基础设施运营者是指经营公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者泄露数据，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施的企业。因此，由实践可见，上市企业和关键信息基础设施运营者的身份是引发中央级别执法机关进行执法的重要原因。

综上，可以得出国家网信部门和省级网信部门管辖权的区分标准，即该大型网络平台企业是否为上市企业及其是否为关键信息基础设施运营者。如果在大陆或港股上市的企业或关键信息基础设施运营者涉嫌实施违法处理个人信息行为，由国家网信部门负责处理。非上市企业和非关键信息基础设施运营者实施违法处理个人信息行为则由各省级网信部门负责处理。对于已经在国外上市的企业，如涉及违法处理个人信息行为，由国家网信部门负责处理。对于准备在国外上市的企业，则预先由国家网信办的网络安全审查办公室组织对其进行审查，并报中央网络安全和信息化委员会批准后方可在国外上市。

四

违法处理个人信息高额罚款责任

与其他法律责任的关系

2021年修订的《行政处罚法》完善了行政罚款的竞合、行政责任和刑事责任的衔接等方面的规定。根据行政法定原则，违法处理个人信息高额罚款制度的实施也应遵守《行政处罚法》的规定，同时还应处理好高额罚款行政责任与其他行政责任、民事责任和刑事责任之间的关系。

（一）

违法处理个人信息高额罚款的法条竞合

我国《网络安全法》《数据安全法》《个保法》等法律从各自角度规定了侵害个人信息行为的行政责任，并规定了不同的行政处罚。当同一侵害个人信息的行为触犯数个法律，并应承担多种行政责任时，便有可能产生行政罚款竞合问题。

根据行政法“一事不再罚”的基本原理，同一违法行为不得遭受两次以上同类型的行政处罚。但由于原《行政处罚法》并未规定一个违法行为同时触犯多个法律规定、处罚标准不同的情形应如何处理，导致现实操作中出现许多问题。新修订的《行政处罚法》就此问题明确了罚款“就高”的规则。《行政处罚法》第29条规定，“对当事人的同一个违法行为，不得给予两次以上罚款的行政处罚。同一个违法行为违反多个法律规范应当给予罚款处罚的，按照罚款数额高的规定处罚”。有文章指出罚款“就高”的具体适用规则，认为“就高”并非以具体执法的罚款数额为标准，而是以法律规范中罚款数额规定为标准；对于有固定数额的罚款，直接适用数额高的规定；对于有幅度的罚款，先比较罚款上限，适用罚款上限高的规定；没有罚款上限或者罚款上限一致的，适用罚款下限高的规定；对于形式上难以比较数额高低的，则需根据案情等实际情况作出判断。但通过比较具体法条可以发现，将罚款“就高”规则适用于侵害个人信息行为会面临更为复杂的判断过程。假设侵害个人信息的行为同时违反《网络安全法》《数据安全法》《个保法》中的规定，则会发生法条竞合的问题。而三部法律对行政罚款金额的规定各不相同（表3）。

通过比较可以发现，《网络安全法》没有区分情节，而是根据有无违法所得来明确罚款金额，即倍率数据式。《数据安全法》《个保法》则区分情节和后果，根据情节和后果轻重适用不同档的金额，即数值数据式。由于以上条款对罚款金额的确定规则各不相同，因此属于上文罚款“就高”规则中的“形式上难以比较数额高低”的情况。为最终明确三部法律中哪个条款罚款金额最高，则需结合具体案情，查明侵害个人信息行为是否有违法所得、侵害的自然人人数、是否造成严重后果、情节是否严重以及是否危害国家主权、安全和发展利益等因素，选择具体对应的罚款金额条款方可进行比较。

（二）

高额罚款行政责任与

民事责任、刑事责任的关系

除行政罚款外，违法处理个人信息行为可能因同时违反民事、刑事法律规定，而承担民事赔偿并被科以刑事罚金。在刑事责任上，侵害个人信息行为可能触犯《刑法》第253条关于“侵犯公民个人信息罪”和第286条关于“拒不履行信息网络安全管理义务罪”的规定。在民事责任上，《个保法》第69条规定“处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任”，该条款明确了侵害个人信息行为需承担民事侵权责任。除自然人提出的民事诉讼外，有关行业组织和检察院也可以提出侵害个人信息的民事公益诉讼，例如《个保法》第70条和《深圳经济特区数据条例》第98条都规定了侵害个人信息民事公益诉讼条款。虽然侵害个人信息公益诉讼目前并未规定惩罚性赔偿，但由于我国的立法趋势正倾向于扩大惩罚性赔偿的适用领域，因此可以预见未来的侵害个人信息民事公益诉讼也可能增加惩罚性赔偿的规定。如此，侵害个人信息行为的违法主体将同时面临个人损害赔偿、惩罚性赔偿、高额行政罚款和刑事罚金四项赔偿和罚款。因此理解与适用《个保法》第66条第2款，就应考虑到当违法主体的财产不足以同时支付民事赔偿、高额行政罚款和刑事罚金时，如何明确高额罚款行政责任与民事责任、刑事责任的关系。

高额罚款行政责任和民事责任

并存时应坚持民事责任优先原则

我国民法理论认为，从对私权利优先保护的角度出发，及时弥补受害人损失为优，所以民事责任的承担优先于行政责任的承担，我国法律也早已确认该原则。本文认为，在处理侵害个人信息案件中，同样要坚持民事责任优先于行政责任的基本原则。高额罚款的设计初衷是为了给侵害个人信息行为的违法主体施加足够的威慑，最终保护个人信息权益，如果高额罚款的承担优先于民事责任的承担，则属本末倒置。

建议创设个人信息保护基金

此外，目前实践中行政机关普遍选择优先执行行政罚款，违法主体大多无力再支付民事赔偿，导致民事责任优先原则难以落实。针对该问题，学界曾提出一些程序上的调整建议，包括将民事赔偿责任纳入行政罚款责任的确定范围、将行为人的民事赔偿能力纳入行政罚款的缓减免事由、将民事赔偿权利人纳入行政罚款执行程序的案外人等。但这些建议只是在现有的程序法框架内做细微调整，无法真正调和行政处罚与民事赔偿在执行时间上的显著差异。本文认为，针对此问题可以创设一个独立的个人信息保护基金，将行政高额罚款直接纳入其中。该基金独立负责管理和使用高额罚款，一旦违法主体的财产不足以支付民事赔偿，则可根据人民法院的决定，由基金填补民事赔偿不足的部分。这样一方面可以避免延长行政处罚的程序，另一方面能够有效执行民事赔偿。

高额罚款行政责任和刑事责任

并存时遵从刑事责任优先原则

修订前的《行政处罚法》第22条规定，“违法行为构成犯罪的，行政机关必须将案件移送司法机关，依法追究刑事责任”。该条文明确了行政责任和刑事责任竞合时刑事责任优先的原则。由于现实案例中针对单位的罚金金额比较有限，远低于高额罚款的金额，而大型网络平台的财产大多能够足额缴纳罚金，因此行政责任和刑事责任出现竞合时，刑事责任多能得到完全执行，而行政责任只能在刑事责任执行后方可继续执行。

新修订的《行政处罚法》第27条在此基础上增加一款，即“对依法不需要追究刑事责任或者免予刑事处罚，但应当给予行政处罚的，司法机关应当及时将案件移送有关行政机关”。该款规定表明，一旦侵害个人信息行为不需要追究刑事责任或免予处罚，也不影响其行政责任的承担。具体到本文，司法机关要将案件转交网信部门，后者依然可以对其进行行政处罚。

五

结语

《个保法》第66条规定了个人信息处理者违反本法规定处理个人信息或者处理个人信息未履行本法规定的个人信息保护义务时需要承担的行政责任，与该法规定的民事责任、行政责任等一起共同构成了较为完善的个人信息保护综合法律责任体系。该条注重多种行政处罚方式的综合适用，深化了单位和个人的行政处罚双罚制，同时延续以往立法，根据违法行为的情节轻重实施分级处罚制度，即区分为一般情节与情节严重。在针对情节严重的处罚上，本条规定处五千万元以下或者上一年度营业额百分之五以下罚款，即实施高额罚款，此举强化了行政执法，可以在一定程度上解决侵害人违法与侵权的低成本问题，并对个人信息处理者形成更强的威慑力。此种宽严相济的做法，充分体现了《个保法》既保护个人信息权益，规范个人信息处理活动，又促进个人信息合理利用的立法思想。但是，本条的规定仍然非常原则，为实现执法的规范化，应在理解该制度实施目标和任务的基础上，在以后的实施中通过细则等形式明确该责任的构成要件、执法主体、执法对象、执法标准和执法程序等内容。

（责任编辑：马长山）

（推送编辑：钟瑾睿）

本文载于《华东政法大学学报》2022年第3期。因篇幅较长，已略去原文注释。如需了解更多，请查阅原文。阅读和下载全文pdf请点击下方“阅读原文”或登陆本刊官网xuebao.ecupl.edu.cn；编辑部在线投稿系统已更新，欢迎学界同仁登录journal.ecupl.edu.cn惠赐大作！

推荐阅读

《华东政法大学学报》2022年第3期要目

丁晓东 | 《个人信息保护法》的比较法重思：中国道路与解释原理

姚佳 | 个人信息主体的权利体系——基于数字时代个体权利的多维观察

李芊 | 从个人控制与产品规制到合作治理——论个人信息保护的模式转变

彭錞 | 论国家机关处理的个人信息跨境流动制度——以《个人信息保护法》第36条为切入点

陈林林严书元 | 论个人信息保护立法中的平等原则

刘双阳 | “合理处理”与侵犯公民个人信息罪的出罪机制

杨楠 | 侵犯公民个人信息罪的空白规范功能定位及适用限度