【条文主旨】
本条是关于违反本法的行政处罚的规定。
【条文理解】
一、本条在立法过程中的沿革
在中国人大网公布的《个人信息保护法(草案)》征求意见稿中,关于本条的表述为:“违反本法规定处理个人信息,或者处理个人信息未按照规定采取必要的安全保护措施的,由履行个人信息保护职责的部门责令改正,没收违法所得,给予警告;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。有前款规定的违法行为,情节严重的,由履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。”
《个人信息保护法(草案二次审议稿)》第66条调整为:“违反本法规定处理个人信息,或者处理个人信息未按照规定采取必要的安全保护措施的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。有前款规定的违法行为,情节严重的,由履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。”主要修改之处是将警告和没收违法所得的位置作了调整,提出处理方式由轻到重的顺序。
全国人民代表大会
宪法和法律委员会于2021年7月28日召开会议再次对条文进行了审议,有的常委委员和部门、社会公众提出,有关部门应完善个人信息保护投诉、举报机制,并在案件查处方面加强协同配合。宪法和法律委员会经研究,建议在草案二次审议稿中增加以下规定:一是国家网信部门统筹协调有关部门完善个人信息保护投诉、举报工作机制。二是履行个人信息保护职责的部门发现违法处理个人信息涉嫌犯罪的,应当及时移送公安机关依法处理;对有关责任人员可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人等职务。根据该意见,本条对情节严重的违法行为,增加了可由省级以上履行个人信息保护职责的部门“决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人”的行政处罚后果。此处修改,对于严重违反《个人信息保护法》规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务情节严重的,可以对相关人员处以从业限制,加大了违法处罚的力度,强化了对个人信息的保护。同时,最后审议通过颁行的文本将“或者处理个人信息未按照规定采取必要的安全保护措施的”修改为“或者处理个人信息未履行本法规定的个人信息保护义务的”,扩大了违法处罚的覆盖面,也进一步强化了对个人信息的保护力度。
二、违反本法的行政处罚种类
(一)行政处罚概述
《
行政处罚法》第9条规定:“行政处罚的种类:(一)警告、通报批评;(二)罚款、没收违法所得、没收非法财物;(三)暂扣许可证件、降低资质等级、吊销许可证件;(四)限制开展生产经营活动、责令停产停业、责令关闭、限制从业;(五)行政拘留;(六)法律、行政法规规定的其他行政处罚。”
依据行政处罚的客体,行政处罚分为人身罚、财产罚、行为罚、申诫罚等类型。
人身罚也称自由罚,是限制或剥夺违法者人身自由的行政处罚,最典型的形式是行政拘留。
财产罚是特定的行政机关或法定的其他组织强迫违法者交纳一定数额的金钱或一定数量的物品,即剥夺其某种财产权的处罚。财产罚包括罚款和没收等,其中,罚款,是指有行政处罚权的行政主体依法强制违反行政法律规范的行为人在一定期限内向国家缴纳一定数额的金钱的处罚方式。没收,是指有处罚权的行政主体依法将违法行为人的违法所得和非法财物收归国有的处罚形式,包括没收违法所得和没收非法财物。
行为罚是限制或剥夺行政违法者某些特定行为能力和资格的处罚。一般说来,该行为能力或资格是个人、组织赖以从事某种活动的条件,限制或剥夺该行为能力或资格,就无法从事该方面的活动,其主要形式有:暂扣许可证件、降低资质等级、吊销许可证件;限制开展生产经营活动、责令停产停业、责令关闭、限制从业等。
申诫罚是行政机关向违法者发出警戒,申明其有违法行为,通过对其名誉、荣誉、信誉等施加影响,引起其精神上的警惕,使其不再违法的处罚形式。申诫罚的主要形式是警告。
(二)本条规定的行政处罚
《行政处罚法》第10条规定:“法律可以设定各种行政处罚。限制人身自由的行政处罚,只能由法律设定。”《个人信息保护法》属于法律,可以设定各种行政处罚。依照本条的规定,所处罚的违法行为包括两类:一类是违反本法规定处理个人信息,主要是违反本法第二章关于“个人信息处理规则”的相关规定;另一类是处理个人信息未履行本法规定的个人信息保护义务的,主要是违反本法第五章关于“个人信息处理者的义务”的相关规定。违反上述规定的行政处罚包括以下种类和方式:责令改正,给予警告,没收违法所得,责令暂停或者终止提供服务,罚款,责令暂停相关业务或者停业整顿,通报有关主管部门吊销相关业务许可或者吊销营业执照,禁止直接负责的主管人员和其他直接责任人员在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
在上述处罚中,警告、罚款、没收违法所得属于《行政处罚法》明文规定的行政处罚种类。责令暂停或者终止提供服务、责令暂停相关业务或者停业整顿属于限制开展生产经营活动、责令停产停业的具体情形。禁止直接负责的主管人员和其他直接责任人员在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人属于限制从业的具体情形。通报有关主管部门吊销相关业务许可或者吊销营业执照,是由于履行个人信息保护职责的部门无权直接作出吊销相关业务许可或者吊销营业执照的行政处罚决定,而通报市场监管部门等主管部门吊销相关业务许可或者吊销营业执照,属于吊销许可证件的具体情形。而责令改正,根据《行政处罚法》第28条规定,行政机关实施行政处罚时,应当责令当事人改正或者限期改正违法行为,故责令改正不属于独立的行政处罚类型,是实施行政处罚时同时应当作出的决定。
【条文适用】
一、关于本条规定的罚款
罚款是对违反本法规定的个人信息处理者所施加的一种经济上的处罚。本条两款均规定了罚款的最低限额和最高限额。履行个人信息保护职责的部门科处罚款的数额,既不得低于最低限额,又不得高于最高限额,只能在最低限额和最高限额的幅度内自由裁量。故,本条规定的罚款在适用中,应根据个人信息处理者具体违法行为、违法情节、造成的后果等因素在最低限额和最高限额之间确定罚款的数额,不能畸轻畸重。
需要说明的是,对于一般违法行为,根据本条第1款的规定,只有违法人拒不改正的才可以进行罚款。对于情节严重的违法行为,可以直接进行罚款。
二、关于本条规定的限制从业
本条规定的禁止直接负责的主管人员和其他直接责任人员在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人,在适用中需注意以下问题:
首先,限制从业的人员范围是违反本法规定处理个人信息或者处理个人信息未履行本法规定的个人信息保护义务的信息处理者直接负责的主管人员和其他直接责任人员。根据本法第73条的规定,个人信息处理者包括在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。故,限制从业的人员包括处理个人信息的自然人,以及处理个人信息的法人、非法人组织的直接负责的主管人员和其他直接责任人员。
其次,限制从事的具体职业是相关企业的董事、监事、高级管理人员和个人信息保护负责人。董事、监事较为明确,对于高级管理人员,根据《
公司法》第216条的规定,高级管理人员,是指公司的经理、副经理、财务负责人,上市公司董事会秘书和公司章程规定的其他人员。个人信息保护负责人,应指负责相关企业个人信息保护的主要责任人。
最后,限制从业是有时间限制的,即禁止在一定期限内担任上述职务。限制从业本法未规定“一定期限”的上下限,需要履行个人信息保护职责的部门根据实际违法情况进行确定。根据《行政处罚法》第63条规定,行政机关拟作出限制从业决定,应当告知当事人有要求听证的权利,当事人要求听证的,行政机关应当组织听证。《
刑法》第37条之一第1款规定:“因利用职业便利实施犯罪,或者实施违背职业要求的特定义务的犯罪被判处刑罚的,人民法院可以根据犯罪情况和预防再犯罪的需要,禁止其自刑罚执行完毕之日或者假释之日起从事相关职业,期限为三年至五年。”限制从业对当事人权益影响较大,理论上说本条并未规定限制从业期限的上限,但是履行个人信息保护职责的部门在确定限制从业期限时应审慎、恰当,[1]限制期限不宜过长。
三、关于对违法处理个人信息的应用程序,责令暂停或者终止提供服务
应用程序,是指为了完成某项或某几项特定任务而被开发运行于操作系统之上的计算机程序。某个个人信息处理者可能是多个应用程序的所有人,如果只是某个应用程序违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,只需责令该应用程序暂停或者终止提供服务,实际上是限制开展生产经营活动的一种行政处罚。
四、关于行使处罚权的主体
本条分为两款,需要注意的是,对于第1款中的一般违法行为,由履行个人信息保护职责的部门处理;对于第2款中的情节严重的违法行为,由省级以上履行个人信息保护职责的部门处理。
