以下文章來源于行政法學研究編輯部 ,，作者彭錞

作者簡介：彭錞，北京大學法學院助理教授,。
文章來源：《行政法學研究》2022年第4期。

摘要：在個人信息保護領域,，除網(wǎng)信部門外，監(jiān)管對象處理個人信息的行政機關都具有行政處罰權(quán),。由此產(chǎn)生的職能管轄沖突應按《行政處罰法》第25條和一事不再罰原則來協(xié)調(diào),；地域管轄沖突以多元地域管轄聯(lián)結(jié)點等規(guī)則來協(xié)調(diào),；層級管轄沖突視違法情節(jié)輕重來協(xié)調(diào)。處罰對象是作為個人信息處理者或個人信息處理受托人的組織和自然人,，以民事主體身份處理個人信息的國家機關亦可受罰,。受罰行為是負有責任能力和條件的主體違反《個人信息保護法》一至五章且不存在違法阻卻事由的行為,。違法情節(jié)可分輕微,、較重,、拒不改正,、嚴重、特別嚴重,，均應責令改正,，并根據(jù)過罰相適原則進一步匹配處罰。

關鍵詞：個人信息保護法,；行政處罰,；管轄協(xié)調(diào),；處罰對象與行為；過罰相適

《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）第66條對個人信息保護領域的行政處罰制度作出規(guī)定,。相較于《全國人民代表大會常務委員會關于維護互聯(lián)網(wǎng)安全的決定》第4條,、《消費者權(quán)益保護法》第56條,、《網(wǎng)絡安全法》第64條等先期規(guī)范，《個人信息保護法》第66條有了質(zhì)的突破,。廣度上，其打擊對象不再限于侵害他人電子郵件等數(shù)據(jù)資料行為,，保護對象亦不再限于消費者,，而是涵蓋所有違法處理個人信息行為和個人信息主體,；深度上,，其新增責任人員從業(yè)禁止和高額罰款等處罰措施，強化違法威懾,。然而,，既有研究或聚焦網(wǎng)絡安全領域的行政處罰,，或論證對嚴重個人信息侵權(quán)行為處以高額罰款的必要性與可行性,，或介紹歐美個人信息保護領域的處罰制度,。以《個人信息保護法》第66條為切入點,，探討我國個人信息保護行政處罰制度的文獻迄今仍付之闕如。本文試圖填補此空白,，從“誰處罰”“罰什么”“怎么罰”三方面展開初步討論。

一,、誰處罰：處罰主體與管轄協(xié)調(diào)

（一）處罰主體

《個人信息保護法》第66條規(guī)定由“履行個人信息保護職責的部門”實施處罰。根據(jù)該法第60條,，此類部門包括“國家網(wǎng)信部門”“國務院有關部門”以及“縣級以上地方人民政府有關部門”,。除網(wǎng)信部門外,，還有哪些機構(gòu)屬于“履行個人信息保護職責的部門”？《網(wǎng)絡安全法》第8條,、《數(shù)據(jù)安全法》第6條將電信,、公安,、國安,、交通,、金融,、自然資源、衛(wèi)生健康,、教育、科技部門列為網(wǎng)絡安全,、數(shù)據(jù)安全監(jiān)管部門，但也采用“其他有關機關”和“等”的措辭來表明列舉是不窮盡的,。事實上,，由于個人信息的泛在性，大量部門皆負有個人信息保護職責,。例如人社部門依據(jù)《人力資源市場暫行條例》第三章監(jiān)管人力資源服務機構(gòu)，由此對線上人力資源服務處理個人信息具有監(jiān)管職責,。又如文旅部門是旅游經(jīng)營活動的監(jiān)管主體，由此對該類活動中的個人信息保護負有監(jiān)管職責,。簡言之，舉凡監(jiān)管對象處理個人信息的機構(gòu)皆屬于“履行個人信息保護職責的部門”,。鑒于《個人信息保護法》第61條規(guī)定此類部門有權(quán)“處理”違法個人信息處理活動,，“處理”包括行政處罰,，故所有履行個人信息保護職責的部門皆是該領域行政處罰主體。

（二）管轄協(xié)調(diào)

第一,，職能管轄之協(xié)調(diào),。具體存在兩種情況：其一，同一違法個人信息保護法律的行為,，既可由網(wǎng)信部門來處罰，也可由特定行業(yè)的主管部門來處罰,，遂產(chǎn)生管轄沖突。對此,，可依據(jù)《行政處罰法》第25條來解決：“兩個以上行政機關都有管轄權(quán)的,，由最先立案的行政機關管轄,。對管轄發(fā)生爭議的,，應當協(xié)商解決,，協(xié)商不成的,，報請共同的上一級行政機關指定管轄,；也可以直接由共同的上一級行政機關指定管轄,?！?span>其二,，同一行為,，既違反個人信息保護法律規(guī)范,，也觸犯其他行政管理領域的規(guī)范,，構(gòu)成“想象競合”,，網(wǎng)信部門與行業(yè)主管部門都可處罰,，遂產(chǎn)生管轄沖突,。例如某APP的隱私政策未包括收集使用個人信息的規(guī)則，據(jù)《APP違法違規(guī)收集使用個人信息行為認定方法》第1條應認定為“未公開收集使用規(guī)則”,。這同時違反《消費者權(quán)益保護法》第29條,、《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》第8條和《個人信息保護法》第17條,。對此，根據(jù)《消費者權(quán)益保護法》第56條,，可由市場監(jiān)管部門警告,、沒收違法所得、處以違法所得一倍以上十倍以下的罰款,，沒有違法所得的,，處以50萬元以下的罰款，情節(jié)嚴重的,，責令停業(yè)整頓、吊銷營業(yè)執(zhí)照,；根據(jù)《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》第22條，由電信管理機構(gòu)警告,，可并處1萬元以下的罰款；根據(jù)《個人信息保護法》第66條,，可由網(wǎng)信部門警告,、沒收違法所得，對違法處理個人信息的應用程序責令暫?；蚪K止服務,，拒不改正的并處100萬元以下罰款,。此類想象競合帶來的管轄爭議應按照一事不再罰原則解決，即同類處罰應擇一重處,，由具有最高處罰幅度的執(zhí)法部門行使管轄權(quán)，不同類處罰應并行適用,，由各類處罰的執(zhí)法部門同時行使管轄權(quán),，具體分配通過部門協(xié)商來確定,。據(jù)此，對某APP的違法行為應予如下處罰：首先,，市場監(jiān)管部門,、電信主管部門和網(wǎng)信部門均可警告,，市場監(jiān)管部門和網(wǎng)信部門均可沒收違法所得、責令停止服務,，但只能由其中一個部門實施,，具體由先立案的部門執(zhí)行或通過部門間通報協(xié)商確定,。其次，市場監(jiān)管部門,、電信主管部門和網(wǎng)信部門均可罰款，但根據(jù)《行政處罰法》第29條,，應“按照罰款數(shù)額高的規(guī)定”由一個機關罰款,。關于何為“罰款數(shù)額高”,，理論上有實際數(shù)額高和法定數(shù)額高兩種見解。本文贊同后一觀點,，除因其更符合法條文義外,，還基于三點理由：其一,，解決管轄爭議貴在簡便高效，若等到各處罰機關分析案情并初步?jīng)Q定罰款數(shù)額,，再從中選擇數(shù)額高額的部門來執(zhí)行處罰，未免過于繁瑣,；其二，盡管法定罰款數(shù)額高不等于實際罰款數(shù)額高,，但法定額高本身就體現(xiàn)了立法者對特定違法行為危害性的判斷，應當優(yōu)先考慮,；其三，以法定罰款額高為標準不會影響實現(xiàn)過罰相適,，反而能讓有最大量罰空間的處罰機關去確定與違法行為相應的罰款,。至于如何“就高”,，對固定數(shù)額的罰款，可直接適用罰款數(shù)額高的規(guī)定處罰,；對有幅度的罰款,，“就高”應先比較罰款上限，適用罰款上限高的規(guī)定,；沒有罰款上限或者罰款上限一致的，適用罰款下限高的規(guī)定,。據(jù)此,，前述APP違法行為,，無違法所得的,，應由市場監(jiān)管部門處50萬元以下罰款,；有違法所得的，由市場監(jiān)管部門處違法所得一倍以上十倍以下罰款,；拒不改正的,，由網(wǎng)信部門處100萬元以下罰款,。再次，市場監(jiān)管部門有權(quán)吊銷營業(yè)執(zhí)照,。

第二,，地域管轄之協(xié)調(diào),。《行政處罰法》第22條規(guī)定,，“行政處罰由違法行為發(fā)生地的行政機關管轄”。傳統(tǒng)理解中,，“發(fā)生地”區(qū)別于準備地,、著手地、經(jīng)過地,、結(jié)果地,，凸顯受罰行為的核心要件是違法。但網(wǎng)絡空間對行為發(fā)生地中心主義帶來巨大沖擊,，因為網(wǎng)絡違法行為的發(fā)生地難以確定,，即便可以確定,，也往往不是確定處罰管轄權(quán)的最適宜標準,。對此，學界提出兩種解困方案：“一元化”方案建議在大型網(wǎng)絡交易平臺所在地設立專門機構(gòu)集中管轄,。且不論這仍有待落實,，即便實現(xiàn)，也難以適用于不發(fā)生在大型網(wǎng)絡交易平臺上的個人信息處理違法行為,。“多元化”方案則建議擴張地域管轄聯(lián)結(jié)點范圍,，在違法行為發(fā)生地之外增加違法結(jié)果發(fā)生地、違法行為發(fā)現(xiàn)地,、行為人住所地,。這雖能應對狹義,、單一的違法行為發(fā)生地難以滿足網(wǎng)絡空間執(zhí)法需求的問題,，卻無法解決多個地域管轄權(quán)之間的爭議，其所新增的管轄聯(lián)結(jié)點亦難言全面,。事實上，網(wǎng)絡治理領域的規(guī)范不僅早已突破“違法行為發(fā)生地”的傳統(tǒng)界定,，而且比既有研究提供了更為豐富的地域管轄聯(lián)結(jié)點,。典型如2011年《互聯(lián)網(wǎng)文化管理暫行規(guī)定》第33條、2017年《互聯(lián)網(wǎng)信息內(nèi)容管理行政執(zhí)法程序規(guī)定》第6條和2018年修訂的《公安機關辦理行政案件程序規(guī)定》第11條,。結(jié)合這些規(guī)范，可從如下三點入手,，建構(gòu)一套個人信息保護行政處罰地域管轄協(xié)調(diào)機制：首先,，承認多元地域管轄聯(lián)結(jié)點,。具體包括違法主體、違法行為和受害主體三類,。其中,，違法主體地域管轄聯(lián)結(jié)點包括實施違法行為主體的身份所在地（如信息服務許可地、網(wǎng)站備案地,、工商登記地,、身份證登記地、戶籍所在地）,、活動所在地（如主營業(yè)地、主要辦事機構(gòu)所在地,、實際經(jīng)營地、經(jīng)常居住地）；違法行為地域管轄聯(lián)結(jié)點包括服務器所在地,、網(wǎng)絡接入地、終端設備所在地,、所使用的網(wǎng)絡平臺運營者所在地,；受害主體地域管轄聯(lián)結(jié)點包括受侵害的個人信息主體之身份所在地（如身份證登記地、戶籍所在地,、經(jīng)常居住地）,、損害結(jié)果地（如信息主體被侵害時所在地,、被侵害時使用的網(wǎng)絡接入地或設備所在地,、因個人信息受侵害而致財產(chǎn)損失的發(fā)生地）,。其次,，以立案時間先后來初步確定地域管轄權(quán)歸屬,。針對處理個人信息違法行為,，上述任一地域管轄聯(lián)結(jié)點所在行政區(qū)域的履行個人信息保護職責的部門都有處罰管轄權(quán),，按照《行政處罰法》第25條第1款,，應由最先立案的機關行使管轄權(quán)。再次,，通過管轄協(xié)商和指定管轄解決管轄爭議,。根據(jù)前述規(guī)則仍無法解決處罰權(quán)管轄爭議的，應按《行政處罰法》第25條第2款和《國務院關于進一步貫徹實施〈中華人民共和國行政處罰法〉的通知》第7條來處理,，有爭議的行政機關協(xié)商解決,，協(xié)商不成的,，多個行政機關屬于同一主管部門的,，由共同的上一級主管部門經(jīng)報請或直接指定管轄；屬于不同主管部門,，由司法行政部門會同有關單位進行協(xié)調(diào),，在本級人民政府領導下指定管轄,。

第三，層級管轄之協(xié)調(diào),。《網(wǎng)絡安全法》《數(shù)據(jù)安全法》對個人信息保護領域處罰機關的行政層級沒有規(guī)定,?！秱€人信息保護法》有兩點安排：其一，第60條將履行個人信息保護職責的部門限定于縣級以上至中央政府有關部門,，意味著鄉(xiāng)鎮(zhèn)政府部門不負有個人信息保護職責，亦無此領域的行政處罰權(quán),。其二，第66條區(qū)分一般和嚴重個人信息保護違法行為,，前者由縣,、市級履行個人信息保護職責的部門處罰，后者由省級和中央級履行個人信息保護職責的部門處罰,。據(jù)此，縣,、市級部門先行發(fā)現(xiàn)個人信息保護違法線索或收到相關舉報、投訴,，認為構(gòu)成情節(jié)嚴重的違法行為的,，應當報請省級或中央級部門管轄或指定管轄；省級或中央級部門先行發(fā)現(xiàn)違法線索或收到舉報,、投訴，認為違法情節(jié)不嚴重的,，則可將案件交由縣、市級部門管轄,。對于全國范圍內(nèi)有重大影響、嚴重侵害公民個人信息權(quán)益,、引發(fā)群體投訴或者案情復雜的個人信息保護違法行為，應由國家網(wǎng)信部門查處或指定省級網(wǎng)信部門查處,。

二,、罰什么：應罰行為的構(gòu)成要件

應受行政處罰行為的構(gòu)成要件決定“罰不罰”。學界對此素有爭論,，形成要件說和階層說,。本文選取三階層說作為分析框架，因其可涵蓋要件說無法容納的違法阻卻事由,。

（一）該當性

應受行政處罰行為之該當性是指其符合法律,、法規(guī)、規(guī)章規(guī)定的違法行為的事實特征,。以下從處罰對象和處罰行為兩方面闡述《個人信息保護法》第66條確立的構(gòu)成要件,。

首先,，關于處罰對象。《個人信息保護法》第66條沒有明確哪些主體應罰,，但其第二至五章設定的個人信息處理規(guī)則,、義務以及個人在個人信息處理活動中的權(quán)利均指向個人信息處理者,，而根據(jù)第21條,，個人信息處理受托人也須實現(xiàn)《個人信息保護法》合規(guī),。因此,，作為個人信息處理者或個人信息處理受托人的組織,、個人違反《個人信息保護法》，應依據(jù)第66條處罰,。

關于應受處罰的組織,。法人和非法人組織違反《個人信息保護法》都應受罰，但作為機關法人的國家機關能否被處罰,？比較法上，以罰款為例,，歐盟層面，根據(jù)《關于歐盟各類官方機構(gòu)處理個人數(shù)據(jù)的條例》（European Union Data Protection Regulation, Regulation (EU) 2018/1725, 簡稱EUDPR）第66條第3項,，歐盟數(shù)據(jù)保護監(jiān)察專員（European Data Protection Supervisor）有權(quán)對歐盟公權(quán)機構(gòu)（Union institution or body）處以單次不超過5萬歐元,、每年不超過50萬歐元的行政罰款。歐盟成員國層面,，GDPR《一般數(shù)據(jù)保護條例》第83條第7款做了留白處理,，規(guī)定“成員國可制定規(guī)則來確定是否以及在什么情況下對其境內(nèi)設立的公權(quán)機構(gòu)和組織施加行政罰款”,。各成員國有三類做法,。一是規(guī)定公權(quán)機構(gòu)免予行政罰款,，如奧地利,、比利時、克羅地亞,、芬蘭、德國,、列支敦士登等。二是規(guī)定公權(quán)機構(gòu)和非公權(quán)機構(gòu)在行政罰款方面沒有區(qū)別,，如挪威,、葡萄牙等。三是規(guī)定特定條件下行政罰款適用于公權(quán)機構(gòu),，具體又分兩種情形：一種是限定對公權(quán)機構(gòu)行政罰款的最高額,，例如波蘭將上限設定為10萬茲羅提（約23300歐元）,、羅馬尼亞為20萬列伊（約42000歐元）,、捷克為1000萬捷克克朗（約39萬歐元）、丹麥為1600萬丹麥克朗（約合210萬歐元）,、希臘為1000萬歐元。這些罰款上限均低于非公權(quán)機構(gòu)的罰款,。另一種則是限定公權(quán)機構(gòu)在特定情形下可被行政罰款，例如愛爾蘭規(guī)定公權(quán)機構(gòu)只有在以經(jīng)濟實體（undertaking）身份違規(guī)處理個人數(shù)據(jù)時才面臨罰款,，比利時規(guī)定公權(quán)機構(gòu)在市場上提供產(chǎn)品和服務時才可被罰款。上述做法各有道理：對公權(quán)機構(gòu)罰款的理由在于其和非公權(quán)機構(gòu)都是個人數(shù)據(jù)控制者或處理者,，應一視同仁；豁免的理由在于對公權(quán)機構(gòu)罰款,，無非是公共財政左口袋出、右口袋進,，不僅徒增成本，還會影響公務正常運轉(zhuǎn),；特定條件下處罰公權(quán)機構(gòu)的理由則是罰款確有阻遏作用,，設置較低的罰款上限可避免處罰過度，而限定公權(quán)機構(gòu)只有在提供市場服務或參與市場競爭時才可被罰款,，則是為了避免其獲得不正當競爭優(yōu)勢,。反觀我國，國家機關原則上不受行政處罰,，但當其以民事主體身份處理個人信息，例如在購買辦公用品時基于個人同意或訂立,、履行合同所必需而收集個人信息，若違反《個人信息保護法》,，則可成為行政處罰的對象。此外,，國家機關處理個人信息違法應按照《個人信息保護法》第68條來處理。

關于應受處罰的個人,。其一,，個人獨立受罰,，即自然人作為個人信息處理者或個人信息處理受托人違法而受罰。例如某律師以個人身份接受客戶委托處理家事糾紛,，若客戶沒有清晰、具體地指示收集哪些及如何收集個人信息,，而是由律師自行確定，則律師是個人信息處理者,；若客戶具體指示，律師只是遵囑而行,，則律師是個人信息處理受托人。無論哪種情形,，律師違反《個人信息保護法》均應受罰。又如作為組織雇員的自然人,，若超越組織授權(quán)處理個人信息，則構(gòu)成個人信息處理者,，違法的應自己獨立受罰。其二,，個人連帶受罰,，即自然人因所在單位違法而受罰?！秱€人信息保護法》第66條設立了雙罰制，規(guī)定單位違法受罰的，直接負責的主管人員和其他直接責任人員也受罰,。這意味著雇員在單位授權(quán)范圍內(nèi)按指示處理個人信息，雇員并非個人信息處理者或個人信息處理受托人,，出現(xiàn)違法行為由作為個人信息處理者的組織受罰，但雇員仍要連帶受罰,。中國法上,，單個自然人可成立個體工商戶、個人獨資企業(yè)和一人有限責任公司,，如何連帶處罰須分情況討論。個體工商戶在《民法典》中被規(guī)定于第一編第二章“自然人”,，其本質(zhì)是自然人而非企業(yè)組織，故不適用雙罰制,，不能在處罰個體工商戶后再連帶處罰設立個體工商戶的個人，否則會兩次處罰一個法律主體的一個違法行為,，違反一事不再罰原則，但可連帶處罰個體工商戶雇傭的其他直接責任人員,。根據(jù)《民法典》第56條，對個體工商戶的罰款應由個體工商戶設立者的個人財產(chǎn)來承擔,。個人獨資企業(yè)據(jù)《民法典》第102條屬于非法人組織，《行政處罰法》第2條將非法人組織定為處罰對象,，故雙罰制，處罰企業(yè)的同時還可處罰設立企業(yè)的自然人,。據(jù)《民法典》第104條，對個人獨資企業(yè)的罰款首先由企業(yè)財產(chǎn)承擔,，不足的部分由設立人的個人財產(chǎn)承擔補充責任。一人有限責任公司屬于營利法人,，適用雙罰制，處罰公司時可連帶處罰設立人,。對公司的罰款以公司財產(chǎn)承擔,，但根據(jù)《公司法》第63條,，公司股東不能證明公司財產(chǎn)獨立于股東自己財產(chǎn)的,，應以股東個人財產(chǎn)對罰款承擔連帶責任,。

其次,，關于處罰行為。《個人信息保護法》第66條列舉了“違反本法規(guī)定處理個人信息”和“處理個人信息未履行本法規(guī)定的個人信息保護義務”兩種受罰行為,。二者如何區(qū)分,？一種解釋認為前者指向違反《個人信息保護法》第二章“個人信息處理規(guī)則”的處理活動,，后者指向違反第五章“個人信息處理者的義務”的行為。另一種解釋認為前者指向“處理行為本身的違法性”,，后者指向“因處理個人信息而附隨的積極義務之違反”,。第一種解釋會遺漏《個人信息保護法》第三、四章,，第二種解釋較為模糊，例如很難把進行自動化決策的信息處理者未提供不針對信息主體個人特征的選項這一違法行為非此即彼地歸類,。誠然,，《個人信息保護法》第66條區(qū)分兩種受罰行為在立法技術(shù)上值得商榷，統(tǒng)一表述為“處理個人信息違反本法規(guī)定”本可更加簡明,。但為了全面、準確和高效地適用現(xiàn)行法,，本文建議：第一，將“違反本法規(guī)定處理個人信息”解釋為違反《個人信息保護法》第一至三章的行為,，因為第二,、三章都是在規(guī)定個人信息處理規(guī)則,，前者涉及所有處理行為，后者聚焦跨境提供行為,，第一章規(guī)定個人信息處理基本原則，可作為兜底性規(guī)范,；第二，將“處理個人信息未履行本法規(guī)定的個人信息保護義務”解釋為違反《個人信息保護法》第四,、五章的行為，因為兩章皆是在規(guī)定狹義的個人信息保護義務,，前者聚焦信息處理者滿足信息主體權(quán)利的義務,，后者涉及信息處理者安保措施、合規(guī)審計,、影響評估等義務。如此既能全面覆蓋《個人信息保護法》,，也可更簡便、清晰地將違法行為歸類,。

（二）違法性

應受行政處罰行為之違法性是指“符合法律規(guī)范所描述的客觀行為侵犯了行政法益”。“通過利益權(quán)衡,，將雖然符合構(gòu)成要件但不具有實質(zhì)違法性的行為予以排除，這就是違法阻卻事由”,。民法、刑法上的違法阻卻事由包括正當防衛(wèi),、緊急避險、不可抗力,、被害人承諾,、自損行為,、義務沖突等。根據(jù)《行政處罰法》第33條第1款,，若個人信息處理行為符合該當性構(gòu)成違法，但因情節(jié)輕微,、及時改正且無危害后果,，實質(zhì)上沒有損害法律所保護的利益,，即構(gòu)成違法阻卻事由，不予處罰,；若違法行為首次發(fā)生且危害后果輕微并及時改正的，也構(gòu)成違法阻卻事由,，由行政機關裁量決定是否處罰。例如2021年11月2日發(fā)布的《吉林省人力資源和社會保障廳包容審慎監(jiān)管執(zhí)法“四張清單”》就規(guī)定：人力資源服務機構(gòu)在業(yè)務活動中收集個人信息,，首次出現(xiàn)因非主觀故意未按規(guī)定采取保密措施導致泄露，情節(jié)輕微,，在未造成較大社會影響或危害后果,，用人單位主動配合調(diào)查和接受教育,，并在規(guī)定時限完成整改的前提下，免于處罰,。

（三）有責性

應受行政處罰行為之有責性是指作為譴責對象的行為必須能為行為人意志控制，包括責任能力和責任條件,。前者指行為人是否屬于無責任能力人，后者指行為人是否有主觀過錯,。關于責任能力，《行政處罰法》第30,、31條規(guī)定不滿十四周歲的未成年人以及精神病人、智力殘疾人在不能辨認或控制自己行為時違法的,，不予處罰。關于責任條件,，《行政處罰法》第33條第2款規(guī)定：“當事人有證據(jù)證明沒有主觀過錯的，不予行政處罰,。”此項規(guī)定標志著《行政處罰法》從客觀歸責原則走向責任主義,，將行為人主觀過錯納入行政違法行為的構(gòu)成要件，只不過為避免過分影響行政效率,，在過錯要件的認定方法上選擇了推定責任。因此,，若行為人能夠證明自己處理個人信息違反《個人信息保護法》沒有過錯，就不存在有責性,，應不予處罰。此外須做兩點澄清：第一,，《個人信息保護法》第66條規(guī)定了責令改正，這并非行政處罰,，而是旨在消除違法行為危害后果、恢復行政管理秩序的行政處理,，不適用過錯推定。這就如同《個人信息保護法》第69條對個人信息侵權(quán)損害賠償責任也設定了過錯推定原則,，但并不適用于作為人格權(quán)的個人信息權(quán)益之絕對權(quán)保護請求權(quán)——即便侵害個人信息權(quán)益者毫無過錯,，也應停止侵害,、排除妨礙或消除危險,。同理，行為人違反《個人信息保護法》,，本質(zhì)上是對國家建構(gòu)的法秩序之破壞，不一定給信息主體造成損害,，例如處理者不按該法第52條要求指定個人信息保護負責人。此時若處理者能自證無過錯,，則可免于處罰,，但行政機關仍應責令改正,，以消除危險,。第二,，有責性欠缺僅意味著行為人不必承擔行政處罰責任，而非任何責任,。據(jù)《行政處罰法》第30條、第31條,，十四周歲以下的未成年人或精神病人、智力殘疾人違反《個人信息保護法》仍須承擔被“管教”或“看管和治療”的責任,，第33條第3款規(guī)定因有責性或違法性欠缺而不受處罰者需接受教育。

三,、怎么罰：情節(jié)認定與措施匹配

《網(wǎng)絡安全法》第六章、《數(shù)據(jù)安全法》第六章以及GDPR第83條均針對不同違法行為設置不同處罰,。《個人信息保護法》設定行政處罰的方式發(fā)生重大變化,，其第66條并未區(qū)分不同違法行為配以不同處罰，而是根據(jù)違法情節(jié)來決定處罰,。客觀來講,，這有一定道理，比如在違反個人信息處理者義務和侵犯個人信息權(quán)利主體之間并不存在天然的輕重之別,。但第66條對如何認定違法情節(jié)未加解釋，對怎樣量罰亦語焉不詳。因此,，有必要進一步探討該條中的違法情節(jié)和匹配措施，為精準判定“罰多重”提供標準,。

（一）情節(jié)認定

《個人信息保護法》第66條明文設定了三種違法情節(jié)。一般情節(jié)應按前述個人信息保護領域應受行政處罰行為的三階層構(gòu)成要件來認定,，這里對后兩種情節(jié)稍作展開。如何認定“拒不改正”,？在行政處罰領域，這是一項常見的情節(jié),，《網(wǎng)絡安全法》第59-62,、68,、69條和《數(shù)據(jù)安全法》第45條都有涉及，可分兩步認定：第一,，履行個人信息保護職責的部門作出并送達責令改正決定書。第二,，相對人收到責令改正決定書后，未在規(guī)定期限內(nèi)按要求停止違法行為,、消除違法后果或履行法定義務。有學者認為應考慮相對人是否具有采取相應改正措施的能力,，對確因資源、技術(shù)等條件限制,，沒有或者一時難以達到監(jiān)管部門要求的，不認定為“拒不改正”,。這一見解難以成立,，因為相對人至少可以暫停個人信息處理,，這并無資源,、技術(shù)等條件限制,。所以，拒不改正必然基于有違法性認識的主觀故意,。

如何認定“情節(jié)嚴重”？先期司法解釋和比較法例可資參考,。2017年兩高《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第5-6條就《刑法》第253條之一規(guī)定的“侵犯公民個人信息罪”列出情節(jié)嚴重和特別嚴重的數(shù)種情形,。GDPR第83條第2款列舉了十一項決定應否罰款及金額的考量因素。這些本土和域外規(guī)范在認定個人信息處理違法情節(jié)嚴重時主要考慮三類因素：一是違法行為,，包括主觀過錯程度、是否濫用職權(quán),、持續(xù)時長、是否將個人信息用于非法活動,、侵害個人信息的性質(zhì)和數(shù)量,、侵害個人信息主體的身份和數(shù)量,；二是違法主體,，包括前期和后期行為,，前者指違法主體事前是否因個人信息違法而受處罰、是否遵守監(jiān)管措施,、自首或配合執(zhí)法調(diào)查，后者指違法主體事后是否主動采取措施減輕損害,；三是違法后果，包括是否獲取經(jīng)濟利益,、是否造成嚴重私益或公益損害,。據(jù)此，有下列情形之一的即可認定為《個人信息保護法》第66條第2款所言的“情節(jié)嚴重”：（1）個人信息違法行為出于故意,、屬于濫用職權(quán)、持續(xù)時間較長,、將個人信息用于違法甚至犯罪活動、侵害敏感或私密個人信息,、侵害個人信息數(shù)量較大,、侵害未成年人個人信息,、侵害個人信息主體數(shù)量較大,；（2）個人信息違法主體事前一定時間內(nèi)曾因個人信息違法受到刑罰或較重/多次行政處罰、不遵守責令改正決定之外的監(jiān)管機構(gòu)決定,、阻撓執(zhí)法調(diào)查、事后未主動采取措施盡量減輕損害,；（3）個人信息違法行為獲得較大經(jīng)濟收益、對私益或公益造成較大損害,。之所以建議上述情形擇一即可構(gòu)成“情節(jié)嚴重”,，除能提高認定效率外，主要是因為《個人信息保護法》第66條第2款設置了巨大的量罰空間,，罰款下限為100萬（拒不改正情節(jié)的最高額）,，上限為5000萬或上一年度營業(yè)額5%，完全可以容納內(nèi)部差異極大的不同嚴重情節(jié),，上述各項情形疊加可進一步構(gòu)成“情節(jié)特別嚴重”,。同時,，這也不會造成處罰過重,，因為可依據(jù)《行政處罰法》第32條從輕或減輕處罰，比如故意違法收集少量個人信息且未造成重大損害的,，按照上述標準構(gòu)成情節(jié)嚴重,，但只要主動消除或減輕違法行為危害后果的,，便可從輕或減輕處罰,。

結(jié)合以上分析,，可將《個人信息保護法》第66條規(guī)定的三種違法情節(jié)細化擴展至五種：情節(jié)輕微,，即行為符合個人信息保護領域應受處罰行為三階層構(gòu)成要件,，但具有主觀狀態(tài)屬于過失、侵害個人信息或個人信息主體數(shù)量較少,、沒有違法所得等情形；情節(jié)較重,，即行為符合個人信息保護領域應受處罰行為三階層構(gòu)成要件，具有主觀狀態(tài)屬于重大過失,、侵害個人信息或個人信息主體達到一定數(shù)量、有違法所得等情形的,；拒不改正,，即違法情節(jié)輕微或較重，經(jīng)履行個人信息保護職責的部門責令改正而不按照要求改正的,；情節(jié)嚴重，即具有上述一種嚴重違法情形的,；情節(jié)特別嚴重，即有上述多種嚴重違法情形的,。

（二）措施匹配

《個人信息保護法》第66條規(guī)定的多種行政措施中,，如前所言,，責令改正并非行政處罰,，既可與處罰同時作出，亦可單獨適用,。當個人信息處理行為符合前文已述的該當性標準，但不具有違法性或有責性時,，不予處罰,，但仍應責令改正,。除此以外，處理個人信息違反《個人信息保護法》的,，均應在責令改正的基礎上予以處罰。

針對一般情節(jié),，第66條第1款第一分句設定了警告、沒收違法所得,、責令暫停或終止違法處理個人信息的應用程序服務三種處罰,。上文細化的情節(jié)輕微和情節(jié)較重,，前者可適用警告,，后者可單處或并處另外兩種處罰,。

針對拒不改正情節(jié)，第66條第1款第二,、三分句設定了單位罰款100萬元以下和責任個人罰款1萬-10萬元兩項處罰,。有兩個問題值得說明,。其一,，罰款是否以沒有違法所得為前提？《網(wǎng)絡安全法》第64條規(guī)定侵害個人信息權(quán)益“沒有違法所得的,，處一百萬元以下罰款，對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款”,?；谛路▋?yōu)于舊法的原理,，《個人信息保護法》生效后,，處罰侵害個人信息權(quán)益的行為應適用其第66條，即不管有無違法所得,，也無論是否沒收違法所得，拒不改正的,，一律處以罰款,。其二,，對責任個人罰款是應當還是可以并處？從先期相關立法來看,，《網(wǎng)絡安全法》第64條規(guī)定應當并罰,，《數(shù)據(jù)安全法》第45條第一分句則規(guī)定可以并罰,?！秱€人信息保護法》第66條應理解為應當并罰，因其未使用“可以”的措辭,，而且據(jù)前文分析，拒不改正足以表明責任個人對于違法狀態(tài)持續(xù)具有主觀故意,，理應處罰。

針對嚴重情節(jié),，第66條第2款規(guī)定對單位的處罰包括沒收違法所得，并處下限為100萬,、上限為5000萬或上一年度營業(yè)額5%的罰款,，并可以責令暫停相關業(yè)務或停業(yè)整頓,、通報有關主管部門吊銷業(yè)務許可或營業(yè)執(zhí)照,；對責任人的處罰包括罰款10萬-100萬元，并可以禁止其在一定期限內(nèi)擔任相關企業(yè)的董事,、監(jiān)事、高管和個人信息保護負責人,。上文細化的情節(jié)嚴重和情節(jié)特別嚴重，前者可對單位適用沒收違法所得和罰款,，對個人適用罰款；后者可進一步對單位適用責令暫停相關業(yè)務或停業(yè)整頓,、吊銷業(yè)務許可或營業(yè)執(zhí)照，對個人適用從業(yè)禁止,。此外還有兩個問題值得進一步分析,。

第一,，如何理解“上一年度營業(yè)額”？《個人信息保護法》此規(guī)定受GDPR影響,，但也存在重要差異。GDPR第83條的罰則包含雙層結(jié)構(gòu)：以1或2千萬歐元為上限的罰款適用于所有處罰對象,，以“上一財政年度全球總營業(yè)額”（total worldwide annual turnover of the preceding financial year）2%或4%為上限的罰款則只適用于“經(jīng)濟實體”（undertaking）。根據(jù)GDPR鑒于條款第150條（Recital 150）,，此術(shù)語應參照《歐盟運行條約》（TFEU）第101、102條禁止“經(jīng)濟實體”限制市場競爭或濫用市場支配地位的規(guī)定來解釋,。歐盟競爭法上，“經(jīng)濟實體”指“所有從事同一經(jīng)濟活動的主體,，無論其法律地位或資金來源”?！巴唤?jīng)濟活動”的識別標準是所謂“決定性影響”（decisive influence），即“當一個企業(yè)對另一個施加決定性影響,，它們便形成同一個經(jīng)濟實體”,“即使子公司具有獨立的法人地位，但,，當子公司不能獨立決定自己的市場行為,，而實際上依照母公司發(fā)出的指令行事,，其行為可歸責于母公司”。歐盟法院判例中,，判斷“決定性影響”的考量因素包括一個企業(yè)對另一企業(yè)是否控股、是否有人事任免權(quán),、是否參與經(jīng)營等。根據(jù)《關于實施條約第81條和第82條制定的競爭規(guī)則的（EC）第1／2003號理事會條例》第23條,，對違反競爭法行為的罰款上限是違法者上一商業(yè)年度總營業(yè)額（total turnover in the preceding business year）的10%,，當母公司或集團公司在違法行為發(fā)生期間對所屬子公司擁有且實際行使“決定性影響”權(quán),，它們就能被視為一個經(jīng)濟實體，計罰基準就可以是違法子公司所屬的母公司或集團公司的年度總營業(yè)額,，除非母公司或集團公司能夠證明子公司違背指令自行從事違法行為,。GDPR第83條“上一財政年度全球總營業(yè)額”的計罰基準可照此解釋,。

與GDPR相比，《個人信息保護法》第66條既未就處罰對象設置雙層結(jié)構(gòu),，也不要求轉(zhuǎn)介參照競爭法，由此可得三點結(jié)論：首先,，以“上一年度營業(yè)額”計算的罰款并不僅適用于我國《反壟斷法》上的“經(jīng)營者”,，而是適用于所有處罰對象,。這意味著不從事商品或服務交易的自然人,、法人和其他組織,，包括國家機關,、非營利組織等,，也可以此為基準計算罰款,。此類主體雖無狹義上的“營業(yè)額”,，但可將其年收入作為計罰基準,。其次,，不同于GDPR處罰“經(jīng)濟實體”,，《個人信息保護法》第66條設定的處罰對象是違法的信息處理者或受托人,，無需穿透其獨立法律身份,，追溯處罰對其有決定性影響的主體,。競爭法之所以要刺破法律地位的面紗,，對實質(zhì)上參與同一經(jīng)濟活動的眾多主體統(tǒng)一處罰,，目的是要準確反映市場力量構(gòu)成,，威懾以各種形式不當集中市場力量的行為,。但《個人信息保護法》沒有這方面的考慮。當然,，若子公司違法行為是基于母公司或集團公司直接、明確指令,，則后者構(gòu)成實際違法的信息處理者，可將其上一年度營業(yè)額作為計罰基準,。再次，不同于《反壟斷法》第46,、47條以“上一年度銷售額”為計罰基準，《個人信息保護法》第66條以“上一年度營業(yè)額”作為基準,。關于“上一年度”和“銷售額”如何理解，《反壟斷法》無明確規(guī)定,，多頭執(zhí)法亦尺度不一。為降低個人信息保護領域處罰的不確定性,，建議統(tǒng)一標準如下：“上一年度”以處罰決定作出時的上一自然年度為準，因為這較之違法行為發(fā)生時點,、立案時點,、財政年度等更易確定,；“營業(yè)額”以《企業(yè)會計準則第14號——收入》第2條規(guī)定的“企業(yè)在日?；顒又行纬傻?、會導致所有者權(quán)益增加的,、與所有者投入資本無關的經(jīng)濟利益的總流入”為準,，計算范圍則應以違法行為相關服務或市場為準,。這不僅更符合過罰相適原則,，而且切實可行，因為《個人信息保護法》第66條并未像GDPR第83條那樣明文規(guī)定“全球”營業(yè)額,，但規(guī)定在沒收違法所得的基礎上并處營業(yè)額一定比例的罰款，說明罰款之前必須先確定違法行為相關服務或市場,，否則無法認定違法所得,。至于具體金額的確定，沒有必要如有學者建議的照搬德國做法以估算的平均營業(yè)額為基準,，而應以違法者實際營業(yè)額計罰。

第二,，如何理解禁止責任人員“在一定期限內(nèi)擔任相關企業(yè)的董事、監(jiān)事,、高級管理人員和個人信息保護負責人”,？“一定期限”不是終身禁入,，后者應由法律明文規(guī)定,，例如《安全生產(chǎn)法》第92條第3款?！耙欢ㄆ谙蕖辈灰顺^五年，因為《刑法》第37條之一所規(guī)定的最長從業(yè)禁止期也才五年,?！跋嚓P企業(yè)”應指同一細分領域的企業(yè),，否則禁業(yè)范圍過寬,。

結(jié)語

本文聚焦《個人信息保護法》第66條,，對個人信息保護行政處罰制度展開分析,。限于篇幅，在兩重意義上,，這種分析是初步的,。一方面，本文無法就管轄糾紛解決程序,、受罰行為具體認定、違法情節(jié)競合,、行民銜接、行刑銜接等問題展開；另一方面,，本文對違法情節(jié)的細化及所匹配的處罰措施仍是粗線條的,，大有可完善空間。但本文的初步分析表明：個人信息保護領域行政處罰復雜性高,，極易在多頭執(zhí)法體制和巨大量罰空間下，偏離過罰相適的正軌,。因此，有必要盡快制訂執(zhí)法指南和裁量基準,。下表所總結(jié)的規(guī)則或可作為一個待批判的起點：