論個人信息保護行政處罰制度

1、論個人信息保護行政處分制度中華人民共和國個人信息保護法（以 下簡稱個人信息保護法）第66條對個人 信息保護領(lǐng)域的行政處分制度作出規(guī)定。相 較于全國人民代表大會常務(wù)委員會關(guān)于維 護互聯(lián)網(wǎng)平安的決定第4條、消費者權(quán) 益保護法第56條、網(wǎng)絡(luò)平安法第64 條等先期規(guī)范，個人信息保護法第66條 有了質(zhì)的突破。廣度上，其打擊對象不再限 于侵害他人電子郵件等數(shù)據(jù)資料行為，保護 對象亦不再限于消費者，而是涵蓋所有違法 處理個人信息行為和個人信息主體；深度上， 其新增責任人員從業(yè)禁止和高額罰款等處分 措施，強化違法威懾。然而，既有研究或聚 焦網(wǎng)絡(luò)平安領(lǐng)域的行政處分，或論證對嚴重 個人信息侵權(quán)行為處以高額罰款的必

2、要性與 可行性，或介紹歐美個人信息保護領(lǐng)域的處 罰制度。以個人信息保護法第66條為切 入點，探討我國個人信息保護行政處分制度 的文獻迄今仍付之闕如。本文試圖填補此空 公民個人信息權(quán)益、引發(fā)群體投訴或者案情 復雜的個人信息保護違法行為，應由國家網(wǎng) 信部門查處或指定省級網(wǎng)信部門查處。二、罰什么：應罰行為的構(gòu)成要件應受行政處分行為的構(gòu)成要件決定“罰 不罰”。學界對此素有爭論，形成要件說和 階層說。本文選取三階層說作為分析框架， 因其可涵蓋要件說無法容納的違法阻卻事由。(-)該當性應受行政處分行為之該當性是指其符合 法律、法規(guī)、規(guī)章規(guī)定的違法行為的事實特 征。以下從處分對象和處分行為兩方面闡述 個人信

3、息保護法第66條確立的構(gòu)成要件。首先，關(guān)于處分對象。個人信息保護 法第66條沒有明確哪些主體應罰，但其第 二至五章設(shè)定的個人信息處理規(guī)那么、義務(wù)以 及個人在個人信息處理活動中的權(quán)利均指向 個人信息處理者，而根據(jù)第21條，個人信息 處理受托人也須實現(xiàn)個人信息保護法合 規(guī)。因此，作為個人信息處理者或個人信息 處理受托人的組織、個人違反個人信息保 護法，應依據(jù)第66條處分。關(guān)于應受處分的組織。法人和非法人組 織違反個人信息保護法都應受罰，但作 為機關(guān)法人的國家機關(guān)能否被處分？比擬法 上，以罰款為例，歐盟層面，根據(jù)關(guān)于歐 盟各類官方機構(gòu)處理個人數(shù)據(jù)的條例( European Union Data Pr

4、otection Regulation, Regulation (EU) 2018/1725, 簡稱EUDPR)第66條第3項，歐盟數(shù)據(jù)保護 監(jiān) 察專員 (European Data Protection Supervisor )有權(quán)對歐盟公權(quán)機構(gòu)(Union institution or body )處以單次不超過5萬 歐元、每年不超過50萬歐元的行政罰款。歐 盟成員國層面，GDPR一般數(shù)據(jù)保護條例 第83條第7款做了留白處理，規(guī)定“成員國 可制定規(guī)那么來確定是否以及在什么情況下對 其境內(nèi)設(shè)立的公權(quán)機構(gòu)和組織施加行政罰 款”。各成員國有三類做法。一是規(guī)定公權(quán) 機構(gòu)免予行政罰款，如奧地利、比利

5、時、克 羅地亞、芬蘭、德國、列支敦士登等。二是 規(guī)定公權(quán)機構(gòu)和非公權(quán)機構(gòu)在行政罰款方面 沒有區(qū)別，如挪威、葡萄牙等。三是規(guī)定特 定條件下行政罰款適用于公權(quán)機構(gòu)，具體又 分兩種情形：一種是限定對公權(quán)機構(gòu)行政罰 款的最高額，例如波蘭將上限設(shè)定為10萬茲 羅提（約23300歐元）、羅馬尼亞為20萬列 伊（約42000歐元）、捷克為1000萬捷克克 朗（約39萬歐元）、丹麥為1600萬丹麥克 朗（約合210萬歐元）、希臘為1000萬歐元。 這些罰款上限均低于非公權(quán)機構(gòu)的罰款。另 一種那么是限定公權(quán)機構(gòu)在特定情形下可被行 政罰款，例如愛爾蘭規(guī)定公權(quán)機構(gòu)只有在以 經(jīng)濟實體（undertaking）身份違規(guī)

6、處理個人 數(shù)據(jù)時才面臨罰款，比利時規(guī)定公權(quán)機構(gòu)在 市場上提供產(chǎn)品和服務(wù)時才可被罰款。上述 做法各有道理：對公權(quán)機構(gòu)罰款的理由在于 其和非公權(quán)機構(gòu)都是個人數(shù)據(jù)控制者或處理 者，應一視同仁；豁免的理由在于對公權(quán)機 構(gòu)罰款，無非是公共財政左口袋出、右口袋 進，不僅徒增本錢，還會影響公務(wù)正常運轉(zhuǎn)； 特定條件下處分公權(quán)機構(gòu)的理由那么是罰款確 有阻遏作用，設(shè)置較低的罰款上限可防止處 罰過度，而限定公權(quán)機構(gòu)只有在提供市場服 務(wù)或參與市場競爭時才可被罰款，那么是為了 防止其獲得不正當競爭優(yōu)勢。反觀我國，國 家機關(guān)原那么上不受行政處分，但當其以民事 主體身份處理個人信息，例如在購買辦公用 品時基于個人同意或訂立

7、、履行合同所必需 而收集個人信息，假設(shè)違反個人信息保護法， 那么可成為行政處分的對象。此外，國家機關(guān) 處理個人信息違法應按照個人信息保護法 第68條來處理。關(guān)于應受處分的個人。其一，個人獨立 受罰，即自然人作為個人信息處理者或個人 信息處理受托人違法而受罰。例如某律師以 個人身份接受客戶委托處理家事糾紛，假設(shè)客 戶沒有清晰、具體地指示收集哪些及如何收 集個人信息，而是由律師自行確定，那么律師 是個人信息處理者；假設(shè)客戶具體指示，律師 只是遵囑而行，那么律師是個人信息處理受托 人。無論哪種情形，律師違反個人信息保 護法均應受罰。又如作為組織雇員的自然 人，假設(shè)超越組織授權(quán)處理個人信息，那么構(gòu)成

8、個人信息處理者，違法的應自己獨立受罰。 其二，個人連帶受罰，即自然人因所在單位 違法而受罰。個人信息保護法第66條設(shè) 立了雙罰制，規(guī)定單位違法受罰的，直接負 責的主管人員和其他直接責任人員也受罰。 這意味著雇員在單位授權(quán)范圍內(nèi)按指示處理 個人信息，雇員并非個人信息處理者或個人 信息處理受托人，出現(xiàn)違法行為由作為個人 信息處理者的組織受罰，但雇員仍要連帶受 罰。中國法上，單個自然人可成立個體工商 戶、個人獨資企業(yè)和一人有限責任公司，如 何連帶處分須分情況討論。個體工商戶在民 法典中被規(guī)定于第一編第二章“自然人”， 其本質(zhì)是自然人而非企業(yè)組織，故不適用雙 罰制，不能在處分個體工商戶后再連帶處分 設(shè)

9、立個體工商戶的個人，否那么會兩次處分一 個法律主體的一個違法行為，違反一事不再 罰原那么，但可連帶處分個體工商戶雇傭的其 他直接責任人員。根據(jù)民法典第56條， 對個體工商戶的罰款應由個體工商戶設(shè)立者 的個人財產(chǎn)來承當。個人獨資企業(yè)據(jù)民法 典第102條屬于非法人組織，行政處分 法第2條將非法人組織定為處分對象，故 雙罰制，處分企業(yè)的同時還可處分設(shè)立企業(yè) 的自然人。據(jù)民法典第104條，對個人 獨資企業(yè)的罰款首先由企業(yè)財產(chǎn)承當，缺乏 的局部由設(shè)立人的個人財產(chǎn)承當補充責任。 一人有限責任公司屬于營利法人，適用雙罰 制，處分公司時可連帶處分設(shè)立人。對公司 的罰款以公司財產(chǎn)承當，但根據(jù)公司法 第63條，公

10、司股東不能證明公司財產(chǎn)獨立于 股東自己財產(chǎn)的，應以股東個人財產(chǎn)對罰款 其次，關(guān)于處分行為。個人信息保護法 第66條列舉了 “違反本法規(guī)定處理個人信息” 和“處理個人信息未履行本法規(guī)定的個人信 息保護義務(wù)”兩種受罰行為。二者如何區(qū)分？ 一種解釋認為前者指向違反個人信息保護 法第二章“個人信息處理規(guī)那么”的處理活 動，后者指向違反第五章“個人信息處理者 的義務(wù)”的行為。另一種解釋認為前者指向“處理行為本身的違法性”，后者指向“因 處理個人信息而附隨的積極義務(wù)之違反”。 第一種解釋會遺漏個人信息保護法第三、 四章，第二種解釋較為模糊，例如很難把進 行自動化決策的信息處理者未提供不針對信 息主體個人特

11、征的選項這一違法行為非此即 彼地歸類。誠然，個人信息保護法第66 條區(qū)分兩種受罰行為在立法技術(shù)上值得商榷， 統(tǒng)一表述為“處理個人信息違反本法規(guī)定” 本可更加簡明。但為了全面、準確和高效地 適用現(xiàn)行法，本文建議：第一，將“違反本 法規(guī)定處理個人信息”解釋為違反個人信 息保護法第一至三章的行為，因為第二、 三章都是在規(guī)定個人信息處理規(guī)那么，前者涉 及所有處理行為，后者聚焦跨境提供行為， 第一章規(guī)定個人信息處理基本原那么，可作為 兜底性規(guī)范；第二，將“處理個人信息未履 行本法規(guī)定的個人信息保護義務(wù)”解釋為違 反個人信息保護法第四、五章的行為， 因為兩章皆是在規(guī)定狹義的個人信息保護義 務(wù)，前者聚焦信息

12、處理者滿足信息主體權(quán)利 的義務(wù)，后者涉及信息處理者安保措施、合 規(guī)審計、影響評估等義務(wù)。如此既能全面覆 蓋個人信息保護法，也可更簡便、清晰 地將違法行為歸類。（二）違法性應受行政處分行為之違法性是指“符合 法律規(guī)范所描述的客觀行為侵犯了行政法 益”?！巴ㄟ^利益權(quán)衡，將雖然符合構(gòu)成要 件但不具有實質(zhì)違法性的行為予以排除，這 就是違法阻卻事由“。民法、刑法上的違法 阻卻事由包括正當防衛(wèi)、緊急避險、不可抗 力、被害人承諾、自損行為、義務(wù)沖突等。 根據(jù)行政處分法第33條第1款，假設(shè)個人 信息處理行為符合該當性構(gòu)成違法，但因情 節(jié)輕微、及時改正且無危害后果，實質(zhì)上沒 有損害法律所保護的利益，即構(gòu)成違法阻

13、卻 事由，不予處分；假設(shè)違法行為首次發(fā)生且危 害后果輕微并及時改正的，也構(gòu)成違法阻卻 事由，由行政機關(guān)裁量決定是否處分。例如 2021年11月2日發(fā)布的吉林省人力資源 和社會保障廳包容審慎監(jiān)管執(zhí)法“四張清單” 就規(guī)定：人力資源服務(wù)機構(gòu)在業(yè)務(wù)活動中收 集個人信息，首次出現(xiàn)因非主觀故意未按規(guī) 定采取保密措施導致泄露，情節(jié)輕微，在未 造成較大社會影響或危害后果，用人單位主 動配合調(diào)查和接受教育，并在規(guī)定時限完成 整改的前提下，免于處分。（三）有責性應受行政處分行為之有責性是指作為譴 責對象的行為必須能為行為人意志控制，包 括責任能力和責任條件。前者指行為人是否 屬于無責任能力人，后者指行為人是否有主

14、 觀過錯。關(guān)于責任能力，行政處分法第 30、31條規(guī)定不滿十四周歲的未成年人以及 精神病人、智力殘疾人在不能識別或控制自 己行為時違法的，不予處分。關(guān)于責任條件，行政處分法第33條第2款規(guī)定：“當事 人有證據(jù)證明沒有主觀過錯的，不予行政處 罰?！贝隧椧?guī)定標志著行政處分法從客 觀歸責原那么走向責任主義，將行為人主觀過 錯納入行政違法行為的構(gòu)成要件，只不過為 防止過分影響行政效率，在過錯要件的認定 方法上選擇了推定責任。因此，假設(shè)行為人能 夠證明自己處理個人信息違反個人信息保 護法沒有過錯，就不存在有責性，應不予 處分。此外須做兩點澄清：第一，個人信 息保護法第66條規(guī)定了責令改正，這并非 行政處

15、分，而是旨在消除違法行為危害后果、 恢復行政管理秩序的行政處理，不適用過錯 推定。這就如同個人信息保護法第69條 對個人信息侵權(quán)損害賠償責任也設(shè)定了過錯 推定原那么，但并不適用于作為人格權(quán)的個人 信息權(quán)益之絕對權(quán)保護請求權(quán)即便侵害 個人信息權(quán)益者毫無過錯，也應停止侵害、 排除阻礙或消除危險。同理，行為人違反個 人信息保護法，本質(zhì)上是對國家建構(gòu)的法 秩序之破壞，不一定給信息主體造成損害， 例如處理者不按該法第52條要求指定個人 信息保護負責人。此時假設(shè)處理者能自證無過 錯，那么可免于處分，但行政機關(guān)仍應責令改 正，以消除危險。第二，有責性欠缺僅意味 著行為人不必承當行政處分責任，而非任何 責任。

16、據(jù)行政處分法第30條、第31條， 十四周歲以下的未成年人或精神病人、智力 殘疾人違反個人信息保護法仍須承當被 “管教”或“看管和治療”的責任，第33條 第3款規(guī)定因有責性或違法性欠缺而不受處 罰者需接受教育。三、怎么罰：情節(jié)認定與措施匹配網(wǎng)絡(luò)平安法第六章、數(shù)據(jù)平安法 第六章以及GDPR第83條均針對不同違法行 為設(shè)置不同處分。個人信息保護法設(shè)定 行政處分的方式發(fā)生重大變化，其第66條并 未區(qū)分不同違法行為配以不同處分，而是根 據(jù)違法情節(jié)來決定處分?？陀^來講，這有一 白，從“誰處分” “罰什么”怎么罰三 方面展開初步討論。一、誰處分：處分主體與管轄協(xié)調(diào)（一）處分主體個人信息保護法第66條規(guī)定由“

17、履 行個人信息保護職責的部門”實施處分。根 據(jù)該法第60條，此類部門包括“國家網(wǎng)信部 門”“國務(wù)院有關(guān)部門”以及“縣級以上地 方人民政府有關(guān)部門“。除網(wǎng)信部門外，還 有哪些機構(gòu)屬于“履行個人信息保護職責的 部門”？網(wǎng)絡(luò)平安法第8條、數(shù)據(jù)安 全法第6條將電信、公安、國安、交通、 金融、自然資源、衛(wèi)生健康、教育、科技部 門列為網(wǎng)絡(luò)平安、數(shù)據(jù)平安監(jiān)管部門，但也 采用“其他有關(guān)機關(guān)“和“等”的措辭來表 明列舉是不窮盡的。事實上，由于個人信息 的泛在性，大量部門皆負有個人信息保護職 責。例如人社部門依據(jù)人力資源市場暫行 條例第三章監(jiān)管人力資源服務(wù)機構(gòu)，由此 對線上人力資源服務(wù)處理個人信息具有監(jiān)管 職責。

18、又如文旅部門是旅游經(jīng)營活動的監(jiān)管 主體，由此對該類活動中的個人信息保護負定道理，比方在違反個人信息處理者義務(wù)和 侵犯個人信息權(quán)利主體之間并不存在天然的 輕重之別。但第66條對如何認定違法情節(jié)未 加解釋，對怎樣量罰亦語焉不詳。因此，有 必要進一步探討該條中的違法情節(jié)和匹配措 施，為精準判定“罰多重”提供標準。（一）情節(jié)認定個人信息保護法第66條明文設(shè)定了 三種違法情節(jié)。一般情節(jié)應按前述個人信息 保護領(lǐng)域應受行政處分行為的三階層構(gòu)成要 件來認定，這里對后兩種情節(jié)稍作展開。如 何認定“拒不改正” ?在行政處分領(lǐng)域，這 是一項常見的情節(jié)，網(wǎng)絡(luò)平安法第59-62、68、69條和數(shù)據(jù)平安法第45條都有涉

19、及，可分兩步認定：第一，履行個人信息保 護職責的部門作出并送達責令改正決定書。 第二，相對人收到責令改正決定書后，未在 規(guī)定期限內(nèi)按要求停止違法行為、消除違法 后果或履行法定義務(wù)。有學者認為應考慮相 對人是否具有采取相應改正措施的能力，對 確因資源、技術(shù)等條件限制，沒有或者一時 難以到達監(jiān)管部門要求的，不認定為“拒不 改正“。這一見解難以成立，因為相對人至 少可以暫停個人信息處理，這并無資源、技 術(shù)等條件限制。所以，拒不改正必然基于有 違法性認識的主觀故意。如何認定“情節(jié)嚴重”?先期司法解釋和比擬法例可資參考。2017年兩高關(guān)于辦 理侵犯公民個人信息刑事案件適用法律假設(shè)干 問題的解釋第5-6條

20、就刑法第253條 之一規(guī)定的“侵犯公民個人信息罪”列出情 節(jié)嚴重和特別嚴重的數(shù)種情形。GDPR第83 條第2款列舉了十一項決定應否罰款及金額 的考量因素。這些本土和域外規(guī)范在認定個 人信息處理違法情節(jié)嚴重時主要考慮三類因 素：一是違法行為，包括主觀過錯程度、是 否濫用職權(quán)、持續(xù)時長、是否將個人信息用 于非法活動、侵害個人信息的性質(zhì)和數(shù)量、 侵害個人信息主體的身份和數(shù)量；二是違法 主體，包括前期和后期行為，前者指違法主 體事前是否因個人信息違法而受處分、是否 遵守監(jiān)管措施、自首或配合執(zhí)法調(diào)查，后者 指違法主體事后是否主動采取措施減輕損害; 三是違法后果，包括是否獲取經(jīng)濟利益、是 否造成嚴重私益或

21、公益損害。據(jù)此，有以下 情形之一的即可認定為個人信息保護法 第66條第2款所言的“情節(jié)嚴重”：（1） 個人信息違法行為出于故意、屬于濫用職權(quán)、 持續(xù)時間較長、將個人信息用于違法甚至犯 罪活動、侵害敏感或私密個人信息、侵害個 人信息數(shù)量較大、侵害未成年人個人信息、 侵害個人信息主體數(shù)量較大；（2）個人信息 違法主體事前一定時間內(nèi)曾因個人信息違法 受到刑罰或較重/屢次行政處分、不遵守責令 改正決定之外的監(jiān)管機構(gòu)決定、阻撓執(zhí)法調(diào) 查、事后未主動采取措施盡量減輕損害；（3） 個人信息違法行為獲得較大經(jīng)濟收益、對私 益或公益造成較大損害。之所以建議上述情 形擇一即可構(gòu)成“情節(jié)嚴重”，除能提高認 定效率外

22、，主要是因為個人信息保護法 第66條第2款設(shè)置了巨大的量罰空間，罰款 下限為100萬（拒不改正情節(jié)的最高額）， 上限為5000萬或上一年度營業(yè)額5%,完全 可以容納內(nèi)部差異極大的不同嚴重情節(jié)，上 述各項情形疊加可進一步構(gòu)成“情節(jié)特別嚴 重”。同時，這也不會造成處分過重，因為 可依據(jù)行政處分法第32條從輕或減輕處 罰，比方故意違法收集少量個人信息且未造 成重大損害的，按照上述標準構(gòu)成情節(jié)嚴重， 但只要主動消除或減輕違法行為危害后果的， 便可從輕或減輕處分。結(jié)合以上分析，可將個人信息保護法 第66條規(guī)定的三種違法情節(jié)細化擴展至五 種：情節(jié)輕微，即行為符合個人信息保護領(lǐng) 域應受處分行為三階層構(gòu)成要件

23、，但具有主 觀狀態(tài)屬于過失、侵害個人信息或個人信息 主體數(shù)量較少、沒有違法所得等情形；情節(jié) 較重，即行為符合個人信息保護領(lǐng)域應受處 罰行為三階層構(gòu)成要件，具有主觀狀態(tài)屬于 重大過失、侵害個人信息或個人信息主體達 到一定數(shù)量、有違法所得等情形的；拒不改 正，即違法情節(jié)輕微或較重，經(jīng)履行個人信 息保護職責的部門責令改正而不按照要求改 正的；情節(jié)嚴重，即具有上述一種嚴重違法 情形的；情節(jié)特別嚴重，即有上述多種嚴重 違法情形的。（二）措施匹配個人信息保護法第66條規(guī)定的多種 行政措施中，如前所言，責令改正并非行政 處分，既可與處分同時作出，亦可單獨適用。 當個人信息處理行為符合前文已述的該當性 標準，

24、但不具有違法性或有責性時，不予處 罰，但仍應責令改正。除此以外，處理個人 信息違反個人信息保護法的，均應在責 令改正的基礎(chǔ)上予以處分。針對一般情節(jié)，第66條第1款第一分句 設(shè)定了警告、沒收違法所得、責令暫停或終 止違法處理個人信息的應用程序服務(wù)三種處 罰。上文細化的情節(jié)輕微和情節(jié)較重，前者 可適用警告，后者可單處或并處另外兩種處 罰。針對拒不改正情節(jié)，第66條第1款第二、 三分句設(shè)定了單位罰款100萬元以下和責任 個人罰款1萬-10萬元兩項處分。有兩個問 題值得說明。其一，罰款是否以沒有違法所 得為前提？網(wǎng)絡(luò)平安法第64條規(guī)定侵害 個人信息權(quán)益“沒有違法所得的，處一百萬 元以下罰款，對直接負責

25、的主管人員和其他 直接責任人員處一萬元以上十萬元以下罰款”。基于新法優(yōu)于舊法的原理，個人信 息保護法生效后，處分侵害個人信息權(quán)益 的行為應適用其第66條，即不管有無違法所 得，也無論是否沒收違法所得，拒不改正的， 一律處以罰款。其二，對責任個人罰款是應 當還是可以并處？從先期相關(guān)立法來看，網(wǎng) 絡(luò)平安法第64條規(guī)定應當并罰，數(shù)據(jù)安 全法第45條第一分句那么規(guī)定可以并罰。個 人信息保護法第66條應理解為應當并罰， 因其未使用“可以”的措辭，而且據(jù)前文分 析，拒不改正足以說明責任個人對于違法狀 態(tài)持續(xù)具有主觀故意，理應處分。針對嚴重情節(jié)，第66條第2款規(guī)定對單 位的處分包括沒收違法所得，并處下限為1

26、00 萬、上限為5000萬或上一年度營業(yè)額5%的 罰款，并可以責令暫停相關(guān)業(yè)務(wù)或停業(yè)整頓、 通報有關(guān)主管部門撤消業(yè)務(wù)許可或營業(yè)執(zhí)照;對責任人的處分包括罰款10萬TOO萬元，并可以禁止其在一定期限內(nèi)擔任相關(guān)企業(yè)的 上文細化的情節(jié)嚴重和情節(jié)特別嚴重，前者 可對單位適用沒收違法所得和罰款，對個人 適用罰款；后者可進一步對單位適用責令暫 停相關(guān)業(yè)務(wù)或停業(yè)整頓、撤消業(yè)務(wù)許可或營 業(yè)執(zhí)照，對個人適用從業(yè)禁止。此外還有兩 個問題值得進一步分析。事、監(jiān)事、高管和個人信息保護負責人。第一，如何理解“上一年度營業(yè)額” ?個人信息保護法此規(guī)定受GDPR影響，但 也存在重要差異。GDPR第83條的罰那么包含 雙層結(jié)構(gòu)

27、：以1或2千萬歐元為上限的罰款 適用于所有處分對象，以“上一財政年度全 球總營 業(yè)額(total worldwide annual turnover of the preceding financial year) 2%或4%為上限的罰款那么只適用于“經(jīng)濟實體”(undertaking) o根據(jù)GDPR鑒于條款第150 條(Recital 150),此術(shù)語應參照歐盟運 行條約(TFEU)第101, 102條禁止“經(jīng)濟 實體”限制市場競爭或濫用市場支配地位的 規(guī)定來解釋。歐盟競爭法上，“經(jīng)濟實體” 指“所有從事同一經(jīng)濟活動的主體，無論其 法律地位或資金來源”?！巴唤?jīng)濟活動” 的識別標準是所謂“

28、決定性影響(decisive influence),即“當一個企業(yè)對另一個施加 決定性影響，它們便形成同一個經(jīng)濟實體”，“即使子公司具有獨立的法人地位，但，當 子公司不能獨立決定自己的市場行為，而實 際上依照母公司發(fā)出的指令行事，其行為可 歸責于母公司”。歐盟法院判例中，判斷“決 定性影響”的考量因素包括一個企業(yè)對另一 企業(yè)是否控股、是否有人事任免權(quán)、是否參 與經(jīng)營等。根據(jù)關(guān)于實施條約第81條和第 82條制定的競爭規(guī)那么的(EC)第1 / 2003號 理事會條例第23條，對違反競爭法行為的 罰款上限是違法者上一商業(yè)年度總營業(yè)額(total turnover in the preceding b

29、usiness year)的10%,當母公司或集團公 司在違法行為發(fā)生期間對所屬子公司擁有且 實際行使“決定性影響”權(quán)，它們就能被視 為一個經(jīng)濟實體，計罰基準就可以是違法子 公司所屬的母公司或集團公司的年度總營業(yè) 額，除非母公司或集團公司能夠證明子公司 違背指令自行從事違法行為。GDPR第83條“上一財政年度全球總營業(yè)額的計罰基準 可照此解釋。與GDPR相比，個人信息保護法第 66條既未就處分對象設(shè)置雙層結(jié)構(gòu)，也不要 求轉(zhuǎn)介參照競爭法，由此可得三點結(jié)論：首 先，以“上一年度營業(yè)額”計算的罰款并不 僅適用于我國反壟斷法上的“經(jīng)營者”， 而是適用于所有處分對象。這意味著不從事 商品或服務(wù)交易的自然

30、人、法人和其他組織， 包括國家機關(guān)、非營利組織等，也可以此為 基準計算罰款。此類主體雖無狹義上的“營 業(yè)額”，但可將其年收入作為計罰基準。其 次，不同于GDPR處分“經(jīng)濟實體”，個人 信息保護法第66條設(shè)定的處分對象是違法 的信息處理者或受托人，無需穿透其獨立法 律身份，追溯處分對其有決定性影響的主體。 競爭法之所以要刺破法律地位的面紗，對實 質(zhì)上參與同一經(jīng)濟活動的眾多主體統(tǒng)一處分， 目的是要準確反映市場力量構(gòu)成，威懾以各 種形式不當集中市場力量的行為。但個人 信息保護法沒有這方面的考慮。當然，假設(shè) 子公司違法行為是基于母公司或集團公司直 接、明確指令，那么后者構(gòu)成實際違法的信息 處理者，可將

31、其上一年度營業(yè)額作為計罰基 準。再次，不同于反壟斷法第46、47條 以“上一年度銷售額”為計罰基準，個人 信息保護法第66條以“上一年度營業(yè)額” 作為基準。關(guān)于“上一年度”和“銷售額” 如何理解，反壟斷法無明確規(guī)定，多頭 執(zhí)法亦尺度不一。為降低個人信息保護領(lǐng)域 處分的不確定性，建議統(tǒng)一標準如下：“上 一年度”以處分決定作出時的上一自然年度 為準，因為這較之違法行為發(fā)生時點、立案 時點、財政年度等更易確定；“營業(yè)額”以 企業(yè)會計準那么第14號收入第2條規(guī) 定的“企業(yè)在日?；顒又行纬傻摹е滤?有者權(quán)益增加的、與所有者投入資本無關(guān)的 經(jīng)濟利益的總流入”為準，計算范圍那么應以 違法行為相關(guān)服務(wù)或市

32、場為準。這不僅更符 合過罰相適原那么，而且切實可行，因為個 人信息保護法第66條并未像GDPR第83條 那樣明文規(guī)定“全球”營業(yè)額，但規(guī)定在沒 收違法所得的基礎(chǔ)上并處營業(yè)額一定比例的 罰款，說明罰款之前必須先確定違法行為相 關(guān)服務(wù)或市場，否那么無法認定違法所得。至 于具體金額確實定，沒有必要如有學者建議 的照搬德國做法以估算的平均營業(yè)額為基準, 而應以違法者實際營業(yè)額計罰。有監(jiān)管職責。簡言之，舉凡監(jiān)管對象處理個 人信息的機構(gòu)皆屬于“履行個人信息保護職 責的部門”。鑒于個人信息保護法第61 條規(guī)定此類部門有權(quán)“處理”違法個人信息 處理活動，“處理”包括行政處分，故所有 履行個人信息保護職責的部門

33、皆是該領(lǐng)域行 政處分主體。（二）管轄協(xié)調(diào)第一，職能管轄之協(xié)調(diào)。具體存在兩種 情況：其一，同一違法個人信息保護法律的 行為，既可由網(wǎng)信部門來處分，也可由特定 行業(yè)的主管部門來處分，遂產(chǎn)生管轄沖突。 對此，可依據(jù)行政處分法第25條來解決： “兩個以上行政機關(guān)都有管轄權(quán)的，由最先 立案的行政機關(guān)管轄。對管轄發(fā)生爭議的， 應當協(xié)商解決，協(xié)商不成的，報請共同的上 一級行政機關(guān)指定管轄；也可以直接由共同 的上一級行政機關(guān)指定管轄?！逼涠?，同一 行為，既違反個人信息保護法律規(guī)范，也觸 犯其他行政管理領(lǐng)域的規(guī)范，構(gòu)成“想象競 合”，網(wǎng)信部門與行業(yè)主管部門都可處分， 遂產(chǎn)生管轄沖突。例如某APP的隱私政策未第二

34、，如何理解禁止責任人員“在一定 期限內(nèi)擔任相關(guān)企業(yè)的董事、監(jiān)事、高級管 理人員和個人信息保護負責人”？ “一定期 限”不是終身禁入，后者應由法律明文規(guī)定， 例如平安生產(chǎn)法第92條第3款?！耙欢?期限”不宜超過五年，因為刑法第37條 之一所規(guī)定的最長從業(yè)禁止期也才五年。“相 關(guān)企業(yè)”應指同一細分領(lǐng)域的企業(yè)，否那么禁 業(yè)范圍過寬。結(jié)語本文聚焦個人信息保護法第66條, 對個人信息保護行政處分制度展開分析。限 于篇幅，在兩重意義上，這種分析是初步的。 一方面，本文無法就管轄糾紛解決程序、受 罰行為具體認定、違法情節(jié)競合、行民銜接、 行刑銜接等問題展開；另一方面，本文對違 法情節(jié)的細化及所匹配的處分措施

35、仍是粗線 條的，大有可完善空間。但本文的初步分析 說明：個人信息保護領(lǐng)域行政處分復雜性高， 極易在多頭執(zhí)法體制和巨大量罰空間下，偏 離過罰相適的正軌。因此，有必要盡快制訂 執(zhí)法指南和裁量基準。包括收集使用個人信息的規(guī)那么，據(jù)APP違 法違規(guī)收集使用個人信息行為認定方法第 1條應認定為“未公開收集使用規(guī)那么”。這 同時違反消費者權(quán)益保護法第29條、電 信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定第8條 和個人信息保護法第17條。對此，根據(jù) 消費者權(quán)益保護法第56條，可由市場監(jiān) 管部門警告、沒收違法所得、處以違法所得 一倍以上十倍以下的罰款，沒有違法所得的， 處以50萬元以下的罰款，情節(jié)嚴重的，責令 停業(yè)整頓、

36、撤消營業(yè)執(zhí)照；根據(jù)電信和互 聯(lián)網(wǎng)用戶個人信息保護規(guī)定第22條，由電 信管理機構(gòu)警告，可并處1萬元以下的罰款； 根據(jù)個人信息保護法第66條，可由網(wǎng)信 部門警告、沒收違法所得，對違法處理個人 信息的應用程序責令暫?；蚪K止服務(wù)，拒不 改正的并處100萬元以下罰款。此類想象競 合帶來的管轄爭議應按照一事不再罰原那么解 決，即同類處分應擇一重處，由具有最高處 罰幅度的執(zhí)法部門行使管轄權(quán)，不同類處分 應并行適用，由各類處分的執(zhí)法部門同時行 使管轄權(quán)，具體分配通過部門協(xié)商來確定。據(jù)此，對某APP的違法行為應予如下處分： 首先，市場監(jiān)管部門、電信主管部門和網(wǎng)信 部門均可警告，市場監(jiān)管部門和網(wǎng)信部門均 可沒收違

37、法所得、責令停止服務(wù)，但只能由 其中一個部門實施，具體由先立案的部門執(zhí) 行或通過部門間通報協(xié)商確定。其次，市場 監(jiān)管部門、電信主管部門和網(wǎng)信部門均可罰 款，但根據(jù)行政處分法第29條，應“按 照罰款數(shù)額高的規(guī)定”由一個機關(guān)罰款。關(guān) 于何為“罰款數(shù)額高”，理論上有實際數(shù)額 高和法定數(shù)額高兩種見解。本文贊同后一觀 點，除因其更符合法條文義外，還基于三點 理由：其一，解決管轄爭議貴在簡便高效， 假設(shè)等到各處分機關(guān)分析案情并初步?jīng)Q定罰款 數(shù)額，再從中選擇數(shù)額高額的部門來執(zhí)行處 罰，未免過于繁瑣；其二，盡管法定罰款數(shù) 額高不等于實際罰款數(shù)額高，但法定額高本 身就表達了立法者對特定違法行為危害性的 判斷，應

38、當優(yōu)先考慮；其三，以法定罰款額 高為標準不會影響實現(xiàn)過罰相適，反而能讓 有最大量罰空間的處分機關(guān)去確定與違法行 為相應的罰款。至于如何“就高”，對固定 數(shù)額的罰款，可直接適用罰款數(shù)額高的規(guī)定 處分；對有幅度的罰款，“就高”應先比擬 罰款上限，適用罰款上限高的規(guī)定；沒有罰 款上限或者罰款上限一致的，適用罰款下限 高的規(guī)定。據(jù)此，前述APP違法行為，無違 法所得的，應由市場監(jiān)管部門處50萬元以下 罰款；有違法所得的，由市場監(jiān)管部門處違 法所得一倍以上十倍以下罰款；拒不改正的， 由網(wǎng)信部門處100萬元以下罰款。再次，市 場監(jiān)管部門有權(quán)撤消營業(yè)執(zhí)照。第二，地域管轄之協(xié)調(diào)。行政處分法 第22條規(guī)定，“行政處分由違法行為發(fā)生地 的行政機關(guān)管轄”。傳統(tǒng)理解中，“發(fā)生地” 區(qū)別于準備地、著手地、經(jīng)過地、結(jié)果地， 凸顯受罰行為的核心要件是違法。但網(wǎng)絡(luò)空 間對行為發(fā)生地中心主義帶來巨大沖擊，因 為網(wǎng)絡(luò)違法行為的發(fā)生地難以確定，即便可 以確定，也往往不是確定處分管轄權(quán)的最適 宜標準。對此，學界提出兩種解困方案：“一 元化”方案建議在大型網(wǎng)絡(luò)交易平臺所在地 設(shè)立專門機構(gòu)集中管轄。且不管這仍有待落 實，即便實現(xiàn)，也難以適用于不發(fā)生在大型 網(wǎng)絡(luò)交易平臺上的個人信息處理違法行為