論個人信息保護行政處罰制度

1、論個人信息保護行政處分制度中華人民共和國個人信息保護法（以 下簡稱個人信息保護法）第66條對個人 信息保護領域的行政處分制度作出規(guī)定。相 較于全國人民代表大會常務委員會關于維 護互聯(lián)網平安的決定第4條、消費者權 益保護法第56條、網絡平安法第64 條等先期規(guī)范，個人信息保護法第66條 有了質的突破。廣度上，其打擊對象不再限 于侵害他人電子郵件等數(shù)據(jù)資料行為，保護 對象亦不再限于消費者，而是涵蓋所有違法 處理個人信息行為和個人信息主體；深度上， 其新增責任人員從業(yè)禁止和高額罰款等處分 措施，強化違法威懾。然而，既有研究或聚 焦網絡平安領域的行政處分，或論證對嚴重 個人信息侵權行為處以高額罰款的必

2、要性與 可行性，或介紹歐美個人信息保護領域的處 罰制度。以個人信息保護法第66條為切 入點，探討我國個人信息保護行政處分制度 的文獻迄今仍付之闕如。本文試圖填補此空 公民個人信息權益、引發(fā)群體投訴或者案情 復雜的個人信息保護違法行為，應由國家網 信部門查處或指定省級網信部門查處。二、罰什么：應罰行為的構成要件應受行政處分行為的構成要件決定“罰 不罰”。學界對此素有爭論，形成要件說和 階層說。本文選取三階層說作為分析框架， 因其可涵蓋要件說無法容納的違法阻卻事由。(-)該當性應受行政處分行為之該當性是指其符合 法律、法規(guī)、規(guī)章規(guī)定的違法行為的事實特 征。以下從處分對象和處分行為兩方面闡述 個人信

3、息保護法第66條確立的構成要件。首先，關于處分對象。個人信息保護 法第66條沒有明確哪些主體應罰，但其第 二至五章設定的個人信息處理規(guī)那么、義務以 及個人在個人信息處理活動中的權利均指向 個人信息處理者，而根據(jù)第21條，個人信息 處理受托人也須實現(xiàn)個人信息保護法合 規(guī)。因此，作為個人信息處理者或個人信息 處理受托人的組織、個人違反個人信息保 護法，應依據(jù)第66條處分。關于應受處分的組織。法人和非法人組 織違反個人信息保護法都應受罰，但作 為機關法人的國家機關能否被處分？比擬法 上，以罰款為例，歐盟層面，根據(jù)關于歐 盟各類官方機構處理個人數(shù)據(jù)的條例( European Union Data Pr

4、otection Regulation, Regulation (EU) 2018/1725, 簡稱EUDPR)第66條第3項，歐盟數(shù)據(jù)保護 監(jiān) 察專員 (European Data Protection Supervisor )有權對歐盟公權機構(Union institution or body )處以單次不超過5萬 歐元、每年不超過50萬歐元的行政罰款。歐 盟成員國層面，GDPR一般數(shù)據(jù)保護條例 第83條第7款做了留白處理，規(guī)定“成員國 可制定規(guī)那么來確定是否以及在什么情況下對 其境內設立的公權機構和組織施加行政罰 款”。各成員國有三類做法。一是規(guī)定公權 機構免予行政罰款，如奧地利、比利

5、時、克 羅地亞、芬蘭、德國、列支敦士登等。二是 規(guī)定公權機構和非公權機構在行政罰款方面 沒有區(qū)別，如挪威、葡萄牙等。三是規(guī)定特 定條件下行政罰款適用于公權機構，具體又 分兩種情形：一種是限定對公權機構行政罰 款的最高額，例如波蘭將上限設定為10萬茲 羅提（約23300歐元）、羅馬尼亞為20萬列 伊（約42000歐元）、捷克為1000萬捷克克 朗（約39萬歐元）、丹麥為1600萬丹麥克 朗（約合210萬歐元）、希臘為1000萬歐元。 這些罰款上限均低于非公權機構的罰款。另 一種那么是限定公權機構在特定情形下可被行 政罰款，例如愛爾蘭規(guī)定公權機構只有在以 經濟實體（undertaking）身份違規(guī)

6、處理個人 數(shù)據(jù)時才面臨罰款，比利時規(guī)定公權機構在 市場上提供產品和服務時才可被罰款。上述 做法各有道理：對公權機構罰款的理由在于 其和非公權機構都是個人數(shù)據(jù)控制者或處理 者，應一視同仁；豁免的理由在于對公權機 構罰款，無非是公共財政左口袋出、右口袋 進，不僅徒增本錢，還會影響公務正常運轉； 特定條件下處分公權機構的理由那么是罰款確 有阻遏作用，設置較低的罰款上限可防止處 罰過度，而限定公權機構只有在提供市場服 務或參與市場競爭時才可被罰款，那么是為了 防止其獲得不正當競爭優(yōu)勢。反觀我國，國 家機關原那么上不受行政處分，但當其以民事 主體身份處理個人信息，例如在購買辦公用 品時基于個人同意或訂立

7、、履行合同所必需 而收集個人信息，假設違反個人信息保護法， 那么可成為行政處分的對象。此外，國家機關 處理個人信息違法應按照個人信息保護法 第68條來處理。關于應受處分的個人。其一，個人獨立 受罰，即自然人作為個人信息處理者或個人 信息處理受托人違法而受罰。例如某律師以 個人身份接受客戶委托處理家事糾紛，假設客 戶沒有清晰、具體地指示收集哪些及如何收 集個人信息，而是由律師自行確定，那么律師 是個人信息處理者；假設客戶具體指示，律師 只是遵囑而行，那么律師是個人信息處理受托 人。無論哪種情形，律師違反個人信息保 護法均應受罰。又如作為組織雇員的自然 人，假設超越組織授權處理個人信息，那么構成

8、個人信息處理者，違法的應自己獨立受罰。 其二，個人連帶受罰，即自然人因所在單位 違法而受罰。個人信息保護法第66條設 立了雙罰制，規(guī)定單位違法受罰的，直接負 責的主管人員和其他直接責任人員也受罰。 這意味著雇員在單位授權范圍內按指示處理 個人信息，雇員并非個人信息處理者或個人 信息處理受托人，出現(xiàn)違法行為由作為個人 信息處理者的組織受罰，但雇員仍要連帶受 罰。中國法上，單個自然人可成立個體工商 戶、個人獨資企業(yè)和一人有限責任公司，如 何連帶處分須分情況討論。個體工商戶在民 法典中被規(guī)定于第一編第二章“自然人”， 其本質是自然人而非企業(yè)組織，故不適用雙 罰制，不能在處分個體工商戶后再連帶處分 設

9、立個體工商戶的個人，否那么會兩次處分一 個法律主體的一個違法行為，違反一事不再 罰原那么，但可連帶處分個體工商戶雇傭的其 他直接責任人員。根據(jù)民法典第56條， 對個體工商戶的罰款應由個體工商戶設立者 的個人財產來承當。個人獨資企業(yè)據(jù)民法 典第102條屬于非法人組織，行政處分 法第2條將非法人組織定為處分對象，故 雙罰制，處分企業(yè)的同時還可處分設立企業(yè) 的自然人。據(jù)民法典第104條，對個人 獨資企業(yè)的罰款首先由企業(yè)財產承當，缺乏 的局部由設立人的個人財產承當補充責任。 一人有限責任公司屬于營利法人，適用雙罰 制，處分公司時可連帶處分設立人。對公司 的罰款以公司財產承當，但根據(jù)公司法 第63條，公

10、司股東不能證明公司財產獨立于 股東自己財產的，應以股東個人財產對罰款 其次，關于處分行為。個人信息保護法 第66條列舉了 “違反本法規(guī)定處理個人信息” 和“處理個人信息未履行本法規(guī)定的個人信 息保護義務”兩種受罰行為。二者如何區(qū)分？ 一種解釋認為前者指向違反個人信息保護 法第二章“個人信息處理規(guī)那么”的處理活 動，后者指向違反第五章“個人信息處理者 的義務”的行為。另一種解釋認為前者指向“處理行為本身的違法性”，后者指向“因 處理個人信息而附隨的積極義務之違反”。 第一種解釋會遺漏個人信息保護法第三、 四章，第二種解釋較為模糊，例如很難把進 行自動化決策的信息處理者未提供不針對信 息主體個人特

11、征的選項這一違法行為非此即 彼地歸類。誠然，個人信息保護法第66 條區(qū)分兩種受罰行為在立法技術上值得商榷， 統(tǒng)一表述為“處理個人信息違反本法規(guī)定” 本可更加簡明。但為了全面、準確和高效地 適用現(xiàn)行法，本文建議：第一，將“違反本 法規(guī)定處理個人信息”解釋為違反個人信 息保護法第一至三章的行為，因為第二、 三章都是在規(guī)定個人信息處理規(guī)那么，前者涉 及所有處理行為，后者聚焦跨境提供行為， 第一章規(guī)定個人信息處理基本原那么，可作為 兜底性規(guī)范；第二，將“處理個人信息未履 行本法規(guī)定的個人信息保護義務”解釋為違 反個人信息保護法第四、五章的行為， 因為兩章皆是在規(guī)定狹義的個人信息保護義 務，前者聚焦信息

12、處理者滿足信息主體權利 的義務，后者涉及信息處理者安保措施、合 規(guī)審計、影響評估等義務。如此既能全面覆 蓋個人信息保護法，也可更簡便、清晰 地將違法行為歸類。（二）違法性應受行政處分行為之違法性是指“符合 法律規(guī)范所描述的客觀行為侵犯了行政法 益”。“通過利益權衡，將雖然符合構成要 件但不具有實質違法性的行為予以排除，這 就是違法阻卻事由“。民法、刑法上的違法 阻卻事由包括正當防衛(wèi)、緊急避險、不可抗 力、被害人承諾、自損行為、義務沖突等。 根據(jù)行政處分法第33條第1款，假設個人 信息處理行為符合該當性構成違法，但因情 節(jié)輕微、及時改正且無危害后果，實質上沒 有損害法律所保護的利益，即構成違法阻

13、卻 事由，不予處分；假設違法行為首次發(fā)生且危 害后果輕微并及時改正的，也構成違法阻卻 事由，由行政機關裁量決定是否處分。例如 2021年11月2日發(fā)布的吉林省人力資源 和社會保障廳包容審慎監(jiān)管執(zhí)法“四張清單” 就規(guī)定：人力資源服務機構在業(yè)務活動中收 集個人信息，首次出現(xiàn)因非主觀故意未按規(guī) 定采取保密措施導致泄露，情節(jié)輕微，在未 造成較大社會影響或危害后果，用人單位主 動配合調查和接受教育，并在規(guī)定時限完成 整改的前提下，免于處分。（三）有責性應受行政處分行為之有責性是指作為譴 責對象的行為必須能為行為人意志控制，包 括責任能力和責任條件。前者指行為人是否 屬于無責任能力人，后者指行為人是否有主

14、 觀過錯。關于責任能力，行政處分法第 30、31條規(guī)定不滿十四周歲的未成年人以及 精神病人、智力殘疾人在不能識別或控制自 己行為時違法的，不予處分。關于責任條件，行政處分法第33條第2款規(guī)定：“當事 人有證據(jù)證明沒有主觀過錯的，不予行政處 罰?！贝隧椧?guī)定標志著行政處分法從客 觀歸責原那么走向責任主義，將行為人主觀過 錯納入行政違法行為的構成要件，只不過為 防止過分影響行政效率，在過錯要件的認定 方法上選擇了推定責任。因此，假設行為人能 夠證明自己處理個人信息違反個人信息保 護法沒有過錯，就不存在有責性，應不予 處分。此外須做兩點澄清：第一，個人信 息保護法第66條規(guī)定了責令改正，這并非 行政處

15、分，而是旨在消除違法行為危害后果、 恢復行政管理秩序的行政處理，不適用過錯 推定。這就如同個人信息保護法第69條 對個人信息侵權損害賠償責任也設定了過錯 推定原那么，但并不適用于作為人格權的個人 信息權益之絕對權保護請求權即便侵害 個人信息權益者毫無過錯，也應停止侵害、 排除阻礙或消除危險。同理，行為人違反個 人信息保護法，本質上是對國家建構的法 秩序之破壞，不一定給信息主體造成損害， 例如處理者不按該法第52條要求指定個人 信息保護負責人。此時假設處理者能自證無過 錯，那么可免于處分，但行政機關仍應責令改 正，以消除危險。第二，有責性欠缺僅意味 著行為人不必承當行政處分責任，而非任何 責任。

16、據(jù)行政處分法第30條、第31條， 十四周歲以下的未成年人或精神病人、智力 殘疾人違反個人信息保護法仍須承當被 “管教”或“看管和治療”的責任，第33條 第3款規(guī)定因有責性或違法性欠缺而不受處 罰者需接受教育。三、怎么罰：情節(jié)認定與措施匹配網絡平安法第六章、數(shù)據(jù)平安法 第六章以及GDPR第83條均針對不同違法行 為設置不同處分。個人信息保護法設定 行政處分的方式發(fā)生重大變化，其第66條并 未區(qū)分不同違法行為配以不同處分，而是根 據(jù)違法情節(jié)來決定處分?？陀^來講，這有一 白，從“誰處分” “罰什么”怎么罰三 方面展開初步討論。一、誰處分：處分主體與管轄協(xié)調（一）處分主體個人信息保護法第66條規(guī)定由“

17、履 行個人信息保護職責的部門”實施處分。根 據(jù)該法第60條，此類部門包括“國家網信部 門”“國務院有關部門”以及“縣級以上地 方人民政府有關部門“。除網信部門外，還 有哪些機構屬于“履行個人信息保護職責的 部門”？網絡平安法第8條、數(shù)據(jù)安 全法第6條將電信、公安、國安、交通、 金融、自然資源、衛(wèi)生健康、教育、科技部 門列為網絡平安、數(shù)據(jù)平安監(jiān)管部門，但也 采用“其他有關機關“和“等”的措辭來表 明列舉是不窮盡的。事實上，由于個人信息 的泛在性，大量部門皆負有個人信息保護職 責。例如人社部門依據(jù)人力資源市場暫行 條例第三章監(jiān)管人力資源服務機構，由此 對線上人力資源服務處理個人信息具有監(jiān)管 職責。

18、又如文旅部門是旅游經營活動的監(jiān)管 主體，由此對該類活動中的個人信息保護負定道理，比方在違反個人信息處理者義務和 侵犯個人信息權利主體之間并不存在天然的 輕重之別。但第66條對如何認定違法情節(jié)未 加解釋，對怎樣量罰亦語焉不詳。因此，有 必要進一步探討該條中的違法情節(jié)和匹配措 施，為精準判定“罰多重”提供標準。（一）情節(jié)認定個人信息保護法第66條明文設定了 三種違法情節(jié)。一般情節(jié)應按前述個人信息 保護領域應受行政處分行為的三階層構成要 件來認定，這里對后兩種情節(jié)稍作展開。如 何認定“拒不改正” ?在行政處分領域，這 是一項常見的情節(jié)，網絡平安法第59-62、68、69條和數(shù)據(jù)平安法第45條都有涉

19、及，可分兩步認定：第一，履行個人信息保 護職責的部門作出并送達責令改正決定書。 第二，相對人收到責令改正決定書后，未在 規(guī)定期限內按要求停止違法行為、消除違法 后果或履行法定義務。有學者認為應考慮相 對人是否具有采取相應改正措施的能力，對 確因資源、技術等條件限制，沒有或者一時 難以到達監(jiān)管部門要求的，不認定為“拒不 改正“。這一見解難以成立，因為相對人至 少可以暫停個人信息處理，這并無資源、技 術等條件限制。所以，拒不改正必然基于有 違法性認識的主觀故意。如何認定“情節(jié)嚴重”?先期司法解釋和比擬法例可資參考。2017年兩高關于辦 理侵犯公民個人信息刑事案件適用法律假設干 問題的解釋第5-6條

20、就刑法第253條 之一規(guī)定的“侵犯公民個人信息罪”列出情 節(jié)嚴重和特別嚴重的數(shù)種情形。GDPR第83 條第2款列舉了十一項決定應否罰款及金額 的考量因素。這些本土和域外規(guī)范在認定個 人信息處理違法情節(jié)嚴重時主要考慮三類因 素：一是違法行為，包括主觀過錯程度、是 否濫用職權、持續(xù)時長、是否將個人信息用 于非法活動、侵害個人信息的性質和數(shù)量、 侵害個人信息主體的身份和數(shù)量；二是違法 主體，包括前期和后期行為，前者指違法主 體事前是否因個人信息違法而受處分、是否 遵守監(jiān)管措施、自首或配合執(zhí)法調查，后者 指違法主體事后是否主動采取措施減輕損害; 三是違法后果，包括是否獲取經濟利益、是 否造成嚴重私益或

21、公益損害。據(jù)此，有以下 情形之一的即可認定為個人信息保護法 第66條第2款所言的“情節(jié)嚴重”：（1） 個人信息違法行為出于故意、屬于濫用職權、 持續(xù)時間較長、將個人信息用于違法甚至犯 罪活動、侵害敏感或私密個人信息、侵害個 人信息數(shù)量較大、侵害未成年人個人信息、 侵害個人信息主體數(shù)量較大；（2）個人信息 違法主體事前一定時間內曾因個人信息違法 受到刑罰或較重/屢次行政處分、不遵守責令 改正決定之外的監(jiān)管機構決定、阻撓執(zhí)法調 查、事后未主動采取措施盡量減輕損害；（3） 個人信息違法行為獲得較大經濟收益、對私 益或公益造成較大損害。之所以建議上述情 形擇一即可構成“情節(jié)嚴重”，除能提高認 定效率外

22、，主要是因為個人信息保護法 第66條第2款設置了巨大的量罰空間，罰款 下限為100萬（拒不改正情節(jié)的最高額）， 上限為5000萬或上一年度營業(yè)額5%,完全 可以容納內部差異極大的不同嚴重情節(jié)，上 述各項情形疊加可進一步構成“情節(jié)特別嚴 重”。同時，這也不會造成處分過重，因為 可依據(jù)行政處分法第32條從輕或減輕處 罰，比方故意違法收集少量個人信息且未造 成重大損害的，按照上述標準構成情節(jié)嚴重， 但只要主動消除或減輕違法行為危害后果的， 便可從輕或減輕處分。結合以上分析，可將個人信息保護法 第66條規(guī)定的三種違法情節(jié)細化擴展至五 種：情節(jié)輕微，即行為符合個人信息保護領 域應受處分行為三階層構成要件

23、，但具有主 觀狀態(tài)屬于過失、侵害個人信息或個人信息 主體數(shù)量較少、沒有違法所得等情形；情節(jié) 較重，即行為符合個人信息保護領域應受處 罰行為三階層構成要件，具有主觀狀態(tài)屬于 重大過失、侵害個人信息或個人信息主體達 到一定數(shù)量、有違法所得等情形的；拒不改 正，即違法情節(jié)輕微或較重，經履行個人信 息保護職責的部門責令改正而不按照要求改 正的；情節(jié)嚴重，即具有上述一種嚴重違法 情形的；情節(jié)特別嚴重，即有上述多種嚴重 違法情形的。（二）措施匹配個人信息保護法第66條規(guī)定的多種 行政措施中，如前所言，責令改正并非行政 處分，既可與處分同時作出，亦可單獨適用。 當個人信息處理行為符合前文已述的該當性 標準，

24、但不具有違法性或有責性時，不予處 罰，但仍應責令改正。除此以外，處理個人 信息違反個人信息保護法的，均應在責 令改正的基礎上予以處分。針對一般情節(jié)，第66條第1款第一分句 設定了警告、沒收違法所得、責令暫?；蚪K 止違法處理個人信息的應用程序服務三種處 罰。上文細化的情節(jié)輕微和情節(jié)較重，前者 可適用警告，后者可單處或并處另外兩種處 罰。針對拒不改正情節(jié)，第66條第1款第二、 三分句設定了單位罰款100萬元以下和責任 個人罰款1萬-10萬元兩項處分。有兩個問 題值得說明。其一，罰款是否以沒有違法所 得為前提？網絡平安法第64條規(guī)定侵害 個人信息權益“沒有違法所得的，處一百萬 元以下罰款，對直接負責

25、的主管人員和其他 直接責任人員處一萬元以上十萬元以下罰款”。基于新法優(yōu)于舊法的原理，個人信 息保護法生效后，處分侵害個人信息權益 的行為應適用其第66條，即不管有無違法所 得，也無論是否沒收違法所得，拒不改正的， 一律處以罰款。其二，對責任個人罰款是應 當還是可以并處？從先期相關立法來看，網 絡平安法第64條規(guī)定應當并罰，數(shù)據(jù)安 全法第45條第一分句那么規(guī)定可以并罰。個 人信息保護法第66條應理解為應當并罰， 因其未使用“可以”的措辭，而且據(jù)前文分 析，拒不改正足以說明責任個人對于違法狀 態(tài)持續(xù)具有主觀故意，理應處分。針對嚴重情節(jié)，第66條第2款規(guī)定對單 位的處分包括沒收違法所得，并處下限為1

26、00 萬、上限為5000萬或上一年度營業(yè)額5%的 罰款，并可以責令暫停相關業(yè)務或停業(yè)整頓、 通報有關主管部門撤消業(yè)務許可或營業(yè)執(zhí)照;對責任人的處分包括罰款10萬TOO萬元，并可以禁止其在一定期限內擔任相關企業(yè)的 上文細化的情節(jié)嚴重和情節(jié)特別嚴重，前者 可對單位適用沒收違法所得和罰款，對個人 適用罰款；后者可進一步對單位適用責令暫 停相關業(yè)務或停業(yè)整頓、撤消業(yè)務許可或營 業(yè)執(zhí)照，對個人適用從業(yè)禁止。此外還有兩 個問題值得進一步分析。事、監(jiān)事、高管和個人信息保護負責人。第一，如何理解“上一年度營業(yè)額” ?個人信息保護法此規(guī)定受GDPR影響，但 也存在重要差異。GDPR第83條的罰那么包含 雙層結構

27、：以1或2千萬歐元為上限的罰款 適用于所有處分對象，以“上一財政年度全 球總營 業(yè)額(total worldwide annual turnover of the preceding financial year) 2%或4%為上限的罰款那么只適用于“經濟實體”(undertaking) o根據(jù)GDPR鑒于條款第150 條(Recital 150),此術語應參照歐盟運 行條約(TFEU)第101, 102條禁止“經濟 實體”限制市場競爭或濫用市場支配地位的 規(guī)定來解釋。歐盟競爭法上，“經濟實體” 指“所有從事同一經濟活動的主體，無論其 法律地位或資金來源”?！巴唤洕顒印?的識別標準是所謂“

28、決定性影響(decisive influence),即“當一個企業(yè)對另一個施加 決定性影響，它們便形成同一個經濟實體”，“即使子公司具有獨立的法人地位，但，當 子公司不能獨立決定自己的市場行為，而實 際上依照母公司發(fā)出的指令行事，其行為可 歸責于母公司”。歐盟法院判例中，判斷“決 定性影響”的考量因素包括一個企業(yè)對另一 企業(yè)是否控股、是否有人事任免權、是否參 與經營等。根據(jù)關于實施條約第81條和第 82條制定的競爭規(guī)那么的(EC)第1 / 2003號 理事會條例第23條，對違反競爭法行為的 罰款上限是違法者上一商業(yè)年度總營業(yè)額(total turnover in the preceding b

29、usiness year)的10%,當母公司或集團公 司在違法行為發(fā)生期間對所屬子公司擁有且 實際行使“決定性影響”權，它們就能被視 為一個經濟實體，計罰基準就可以是違法子 公司所屬的母公司或集團公司的年度總營業(yè) 額，除非母公司或集團公司能夠證明子公司 違背指令自行從事違法行為。GDPR第83條“上一財政年度全球總營業(yè)額的計罰基準 可照此解釋。與GDPR相比，個人信息保護法第 66條既未就處分對象設置雙層結構，也不要 求轉介參照競爭法，由此可得三點結論：首 先，以“上一年度營業(yè)額”計算的罰款并不 僅適用于我國反壟斷法上的“經營者”， 而是適用于所有處分對象。這意味著不從事 商品或服務交易的自然

30、人、法人和其他組織， 包括國家機關、非營利組織等，也可以此為 基準計算罰款。此類主體雖無狹義上的“營 業(yè)額”，但可將其年收入作為計罰基準。其 次，不同于GDPR處分“經濟實體”，個人 信息保護法第66條設定的處分對象是違法 的信息處理者或受托人，無需穿透其獨立法 律身份，追溯處分對其有決定性影響的主體。 競爭法之所以要刺破法律地位的面紗，對實 質上參與同一經濟活動的眾多主體統(tǒng)一處分， 目的是要準確反映市場力量構成，威懾以各 種形式不當集中市場力量的行為。但個人 信息保護法沒有這方面的考慮。當然，假設 子公司違法行為是基于母公司或集團公司直 接、明確指令，那么后者構成實際違法的信息 處理者，可將

31、其上一年度營業(yè)額作為計罰基 準。再次，不同于反壟斷法第46、47條 以“上一年度銷售額”為計罰基準，個人 信息保護法第66條以“上一年度營業(yè)額” 作為基準。關于“上一年度”和“銷售額” 如何理解，反壟斷法無明確規(guī)定，多頭 執(zhí)法亦尺度不一。為降低個人信息保護領域 處分的不確定性，建議統(tǒng)一標準如下：“上 一年度”以處分決定作出時的上一自然年度 為準，因為這較之違法行為發(fā)生時點、立案 時點、財政年度等更易確定；“營業(yè)額”以 企業(yè)會計準那么第14號收入第2條規(guī) 定的“企業(yè)在日常活動中形成的、會導致所 有者權益增加的、與所有者投入資本無關的 經濟利益的總流入”為準，計算范圍那么應以 違法行為相關服務或市

32、場為準。這不僅更符 合過罰相適原那么，而且切實可行，因為個 人信息保護法第66條并未像GDPR第83條 那樣明文規(guī)定“全球”營業(yè)額，但規(guī)定在沒 收違法所得的基礎上并處營業(yè)額一定比例的 罰款，說明罰款之前必須先確定違法行為相 關服務或市場，否那么無法認定違法所得。至 于具體金額確實定，沒有必要如有學者建議 的照搬德國做法以估算的平均營業(yè)額為基準, 而應以違法者實際營業(yè)額計罰。有監(jiān)管職責。簡言之，舉凡監(jiān)管對象處理個 人信息的機構皆屬于“履行個人信息保護職 責的部門”。鑒于個人信息保護法第61 條規(guī)定此類部門有權“處理”違法個人信息 處理活動，“處理”包括行政處分，故所有 履行個人信息保護職責的部門

33、皆是該領域行 政處分主體。（二）管轄協(xié)調第一，職能管轄之協(xié)調。具體存在兩種 情況：其一，同一違法個人信息保護法律的 行為，既可由網信部門來處分，也可由特定 行業(yè)的主管部門來處分，遂產生管轄沖突。 對此，可依據(jù)行政處分法第25條來解決： “兩個以上行政機關都有管轄權的，由最先 立案的行政機關管轄。對管轄發(fā)生爭議的， 應當協(xié)商解決，協(xié)商不成的，報請共同的上 一級行政機關指定管轄；也可以直接由共同 的上一級行政機關指定管轄?！逼涠?行為，既違反個人信息保護法律規(guī)范，也觸 犯其他行政管理領域的規(guī)范，構成“想象競 合”，網信部門與行業(yè)主管部門都可處分， 遂產生管轄沖突。例如某APP的隱私政策未第二

34、，如何理解禁止責任人員“在一定 期限內擔任相關企業(yè)的董事、監(jiān)事、高級管 理人員和個人信息保護負責人”？ “一定期 限”不是終身禁入，后者應由法律明文規(guī)定， 例如平安生產法第92條第3款?！耙欢?期限”不宜超過五年，因為刑法第37條 之一所規(guī)定的最長從業(yè)禁止期也才五年?！跋?關企業(yè)”應指同一細分領域的企業(yè)，否那么禁 業(yè)范圍過寬。結語本文聚焦個人信息保護法第66條, 對個人信息保護行政處分制度展開分析。限 于篇幅，在兩重意義上，這種分析是初步的。 一方面，本文無法就管轄糾紛解決程序、受 罰行為具體認定、違法情節(jié)競合、行民銜接、 行刑銜接等問題展開；另一方面，本文對違 法情節(jié)的細化及所匹配的處分措施

35、仍是粗線 條的，大有可完善空間。但本文的初步分析 說明：個人信息保護領域行政處分復雜性高， 極易在多頭執(zhí)法體制和巨大量罰空間下，偏 離過罰相適的正軌。因此，有必要盡快制訂 執(zhí)法指南和裁量基準。包括收集使用個人信息的規(guī)那么，據(jù)APP違 法違規(guī)收集使用個人信息行為認定方法第 1條應認定為“未公開收集使用規(guī)那么”。這 同時違反消費者權益保護法第29條、電 信和互聯(lián)網用戶個人信息保護規(guī)定第8條 和個人信息保護法第17條。對此，根據(jù) 消費者權益保護法第56條，可由市場監(jiān) 管部門警告、沒收違法所得、處以違法所得 一倍以上十倍以下的罰款，沒有違法所得的， 處以50萬元以下的罰款，情節(jié)嚴重的，責令 停業(yè)整頓、

36、撤消營業(yè)執(zhí)照；根據(jù)電信和互 聯(lián)網用戶個人信息保護規(guī)定第22條，由電 信管理機構警告，可并處1萬元以下的罰款； 根據(jù)個人信息保護法第66條，可由網信 部門警告、沒收違法所得，對違法處理個人 信息的應用程序責令暫?；蚪K止服務，拒不 改正的并處100萬元以下罰款。此類想象競 合帶來的管轄爭議應按照一事不再罰原那么解 決，即同類處分應擇一重處，由具有最高處 罰幅度的執(zhí)法部門行使管轄權，不同類處分 應并行適用，由各類處分的執(zhí)法部門同時行 使管轄權，具體分配通過部門協(xié)商來確定。據(jù)此，對某APP的違法行為應予如下處分： 首先，市場監(jiān)管部門、電信主管部門和網信 部門均可警告，市場監(jiān)管部門和網信部門均 可沒收違

37、法所得、責令停止服務，但只能由 其中一個部門實施，具體由先立案的部門執(zhí) 行或通過部門間通報協(xié)商確定。其次，市場 監(jiān)管部門、電信主管部門和網信部門均可罰 款，但根據(jù)行政處分法第29條，應“按 照罰款數(shù)額高的規(guī)定”由一個機關罰款。關 于何為“罰款數(shù)額高”，理論上有實際數(shù)額 高和法定數(shù)額高兩種見解。本文贊同后一觀 點，除因其更符合法條文義外，還基于三點 理由：其一，解決管轄爭議貴在簡便高效， 假設等到各處分機關分析案情并初步決定罰款 數(shù)額，再從中選擇數(shù)額高額的部門來執(zhí)行處 罰，未免過于繁瑣；其二，盡管法定罰款數(shù) 額高不等于實際罰款數(shù)額高，但法定額高本 身就表達了立法者對特定違法行為危害性的 判斷，應

38、當優(yōu)先考慮；其三，以法定罰款額 高為標準不會影響實現(xiàn)過罰相適，反而能讓 有最大量罰空間的處分機關去確定與違法行 為相應的罰款。至于如何“就高”，對固定 數(shù)額的罰款，可直接適用罰款數(shù)額高的規(guī)定 處分；對有幅度的罰款，“就高”應先比擬 罰款上限，適用罰款上限高的規(guī)定；沒有罰 款上限或者罰款上限一致的，適用罰款下限 高的規(guī)定。據(jù)此，前述APP違法行為，無違 法所得的，應由市場監(jiān)管部門處50萬元以下 罰款；有違法所得的，由市場監(jiān)管部門處違 法所得一倍以上十倍以下罰款；拒不改正的， 由網信部門處100萬元以下罰款。再次，市 場監(jiān)管部門有權撤消營業(yè)執(zhí)照。第二，地域管轄之協(xié)調。行政處分法 第22條規(guī)定，“行政處分由違法行為發(fā)生地 的行政機關管轄”。傳統(tǒng)理解中，“發(fā)生地” 區(qū)別于準備地、著手地、經過地、結果地， 凸顯受罰行為的核心要件是違法。但網絡空 間對行為發(fā)生地中心主義帶來巨大沖擊，因 為網絡違法行為的發(fā)生地難以確定，即便可 以確定，也往往不是確定處分管轄權的最適 宜標準。對此，學界提出兩種解困方案：“一 元化”方案建議在大型網絡交易平臺所在地 設立專門機構集中管轄。且不管這仍有待落 實，即便實現(xiàn)，也難以適用于不發(fā)生在大型 網絡交易平臺上的個人信息處理違法行為