□ 張馨天

2021年11月1日正式實施的《中華人民共和國個人信息保護法》（以下簡稱個人信息保護法）是我國第一部專門針對個人信息保護的統(tǒng)領(lǐng)性法律，其與網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法等法律一起構(gòu)成規(guī)范性、系統(tǒng)性、完整性的保護體系，共同為公民個人信息權(quán)益保護提供切實有力的法律保障。該法所設(shè)立的法律責任專章是這部法律的核心內(nèi)容之一，而其中第六十六條規(guī)定的違法處理個人信息的行政責任規(guī)則，又是個人信息保護法責任規(guī)范體系的核心條款，該條款的有效實施直接決定了該法的權(quán)威性和威懾力。第六十六條結(jié)合其他條款將處理個人信息的收集、存儲、加工、共享、轉(zhuǎn)讓、揭露、銷毀等全流程納入規(guī)制范圍；明確了履行個人信息保護職責的部門在不同情形下的處罰權(quán)限；將違法行為分為一般行為和情節(jié)嚴重行為兩類實施分級處罰，對情節(jié)嚴重的違法企業(yè)罰款限額最高可達五千萬元以下或者上一年度營業(yè)額百分之五以下；規(guī)制違法企業(yè)的同時也處罰相關(guān)責任人員，可在一定期限內(nèi)對企業(yè)高層人員實施禁業(yè)限制。這些規(guī)定立足本土實踐，接軌國際經(jīng)驗，回應社會需求，全面強化了違法處理個人信息行為的行政責任，呈現(xiàn)出很強的時代特點。

一、統(tǒng)籌行政責任規(guī)范，提高內(nèi)在體系協(xié)調(diào)

個人信息保護法出臺以前，個人信息的行政責任在制度安排上存在多方利益衡量，體系構(gòu)建方面存在薄弱環(huán)節(jié)。一方面，立法整體水平相對其他責任體系尚不能滿足執(zhí)法實踐需要，除網(wǎng)絡(luò)安全法作為個人信息保護行政處罰的主要依據(jù)外，其他相關(guān)法律法規(guī)大多僅籠統(tǒng)規(guī)定了一些原則性內(nèi)容，在執(zhí)法過程中難以操作；有些規(guī)定在內(nèi)容上相對全面，但由于法律位階較低，多為行政規(guī)章，法律拘束力不強。另一方面，相關(guān)立法過于分散，缺乏上位法統(tǒng)領(lǐng)。違法處理個人信息的行政責任散見于近20余部法律法規(guī)和部門規(guī)章中。在缺少專項立法統(tǒng)領(lǐng)的情況下，行政規(guī)范體系性不強，規(guī)范之間存有重疊或缺漏，難以從更高層次對個人信息提供全面保護。規(guī)則的缺失也給執(zhí)法實踐造成了困惑，處罰的實現(xiàn)往往需要從大量不同規(guī)范中尋求依據(jù)，使得執(zhí)法容易產(chǎn)生局限性，甚至出現(xiàn)治理盲區(qū)。

個人信息保護法第六十六條通過對行政責任的整體設(shè)計，將現(xiàn)行法律法規(guī)中有關(guān)違法處理個人信息的行政責任規(guī)范統(tǒng)領(lǐng)起來，使原本碎片化的立法有了統(tǒng)一的上位法追尋。從體系構(gòu)建上，專項立法提高了個人信息保護行政規(guī)范的整體法律位階，并形成自上而下完整的行政責任法律體系。從法律內(nèi)容上，第六十六條依據(jù)違法情形設(shè)置類型多樣、梯次不同的行政責任，給執(zhí)法提供了充分的正當性依據(jù)，降低了個案的執(zhí)法難度，有利于處罰的準確性和公正性，也使行政責任條款在為個人信息提供及時有效保護的同時兼具了對社會行為的矯正職能。

二、突出行政責任優(yōu)勢，完善多元治理結(jié)構(gòu)

對個人信息權(quán)益的全面保護，必須借助綜合性的法律手段，由民法、刑法、行政法從不同的治理層面加以規(guī)范，才能實現(xiàn)協(xié)同治理。此前行政責任體系居于弱勢，間接影響了刑事、民事責任效用的發(fā)揮。從刑事責任角度看，由于行政處罰力度不足，依據(jù)欠缺，為打擊各類非法提供和獲取個人信息行為，扼制日益猖獗的數(shù)據(jù)黑色產(chǎn)業(yè)鏈，作為最嚴厲制裁規(guī)范的刑事責任體系走在了最前列，通過設(shè)置“侵害公民個人信息罪”“拒不履行信息網(wǎng)絡(luò)安全管理義務罪”，對違法處理個人信息行為實施了刑事處罰。然而，刑事立法制裁對象僅包括非法提供、出售、獲取個人信息和局部履行信息網(wǎng)絡(luò)安全管理義務致使用戶信息傳播、泄露的行為，對于其他不當利用個人信息的行為缺乏規(guī)范。更重要的是，刑法作為懲治犯罪的最后手段，理應保持其謙抑性，必要時用于懲治性質(zhì)非常嚴重的個人信息犯罪，不能過度介入到民事、行政以及其他還沒有特別明確規(guī)則的領(lǐng)域，也不應“放低”入刑標準，承擔行政處罰的職能，模糊罪與非罪的界限。

從民事責任角度看，雖然民法典、消費者權(quán)益保護法和《最高人民法院關(guān)于審理利用信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件適用法律若干問題的規(guī)定》等，通過明確個人信息的定義、處理個人信息原則、個人信息主體權(quán)利、個人信息處理者的義務等來宣告?zhèn)€人信息受保護范圍，要求侵害個人信息的行為人承擔民事責任，但考慮到民事侵權(quán)責任的定位是事后救濟、損害填補，是在侵害行為已經(jīng)發(fā)生的基礎(chǔ)上對受害人進行補償，而不是從源頭上扼制違法行為。同時由于侵害個人信息的行為在技術(shù)的隱秘性、受損的不確定性等方面的特點，也決定了當事人會面臨舉證困難、因果關(guān)系難以確定等情況。

個人信息保護法第六十六條通過全面強化行政責任效用，充分利用行政執(zhí)法優(yōu)勢，通過積極主動地介入并制止尚未造成損害結(jié)果的違法行為，打擊遏制侵害結(jié)果發(fā)生，極大地強化了對權(quán)利的事前保護。對于其他責任體系而言，行政責任體系的完善幫助實現(xiàn)刑事責任重新定位，即只有在對公民個人信息造成嚴重危害的情形下才涉及刑事犯罪處罰，使其回歸應有的治理順位。此外，行政處罰結(jié)果可以在司法實踐中為侵害個人信息的民事責任提供證據(jù)支撐，從而使被侵害人能夠獲得及時賠償，改善以往相對單一的依靠民事責任和刑事責任追責的局限性，實現(xiàn)多元法律責任機制的協(xié)同治理。

三、提高罰款上限，增強法律權(quán)威性和震懾力

個人信息保護法第六十六條大幅提高針對情節(jié)嚴重違法行為的罰款上限。從全球范圍看，近年來各國對于個人信息違法違規(guī)行為的法律責任的規(guī)定都呈現(xiàn)出加重趨勢。如歐盟《通用數(shù)據(jù)保護條例》根據(jù)數(shù)據(jù)控制者或處理者違規(guī)行為的具體性質(zhì)、情形，規(guī)定了兩檔行政罰款：針對數(shù)據(jù)泄露通知、隱私保護影響評估、數(shù)據(jù)保管等規(guī)定相關(guān)的違法行為，其行政罰款的上限是1000萬歐元或全球營收的2%之中的高者；針對數(shù)據(jù)處理基本原則、數(shù)據(jù)處理合法性依據(jù)、數(shù)據(jù)處理的有效同意、特殊數(shù)據(jù)處理等規(guī)定相關(guān)的違規(guī)行為，行政罰款的處罰上限是2000萬歐元或者全球營收的4%之中的高者，具有很強的震懾力。個人信息保護法第六十六條順應我國人工智能、信息化迅猛發(fā)展的時代趨勢，借鑒有益的域外立法經(jīng)驗，通過提高針對情節(jié)嚴重違法行為的罰款上限，以高額處罰來糾正、遏制違法行為的發(fā)生，實現(xiàn)高效、公正的執(zhí)法效果。

四、完善行政監(jiān)管體系，強化多領(lǐng)域協(xié)同監(jiān)管

在個人信息保護法出臺以前，法律對于我國個人信息的行政監(jiān)管主體，一直采用籠統(tǒng)、概括的表述，以“有關(guān)主管部門”代指，且在執(zhí)法實踐中對個人信息的監(jiān)管和保護通常采用條塊分割運行模式，由不同部門的行政規(guī)章賦予相應行政部門一定的執(zhí)法權(quán)限。個人信息保護法充分考慮到個人信息保護及其監(jiān)督管理事項本身的層級和復雜多樣性，建立了符合數(shù)字經(jīng)濟發(fā)展背景下的管理和執(zhí)法方式：通過確立國家網(wǎng)信辦—國務院各部門—縣級以上網(wǎng)信辦總體框架，建立了統(tǒng)一管理和分工協(xié)作相結(jié)合的管理體制。一方面由國家網(wǎng)信部門作為個人信息保護監(jiān)管工作的主管機關(guān)，擔當統(tǒng)籌、協(xié)調(diào)、指導、監(jiān)管的統(tǒng)一權(quán)威機構(gòu)，避免執(zhí)法力量分散、推諉、低效等弊端；另一方面，考慮到個人信息保護工作滲透、融合于各產(chǎn)業(yè)領(lǐng)域，存在合理分工的必要性，個人信息保護法結(jié)合現(xiàn)有職能定位、權(quán)力分配，由國務院主管部門繼續(xù)行使對個人信息處理活動的監(jiān)管與執(zhí)法職權(quán)。同時，對我國現(xiàn)有的消費者權(quán)益保護法、《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》、《個人信用信息基礎(chǔ)數(shù)據(jù)庫管理暫行辦法》和《人口健康信息管理辦法（試行）》等法律法規(guī)對相應主管部門個人信息保護的監(jiān)管職權(quán)予以沿用，既實現(xiàn)對多領(lǐng)域協(xié)同監(jiān)管，又符合立法經(jīng)濟原則，減少立法和法律實施成本，實現(xiàn)了法律效果和社會效果的統(tǒng)一。