一、引言
在数字化时代,个人信息保护持续成为全球关注的焦点。构建严密的个人信息保护法律体系,确保个人信息安全,已成为国家治理的重要部分。2018年,欧盟的《通用数据保护条例》(GDPR)的实施标志着数据保护立法的新纪元,随后不少国家也纷纷加强或建立自己的个人信息保护法律。在这一背景下,中国于2021年11月正式实施了《个人信息保护法》,结束了以往关于个人信息保护的话题分散在各个法律法规的局面。
距离《个人信息保护法》正式实施已经有两年多的时间,本文将以法律框架和理论基础为切入点,结合北大法宝的公开数据,对行政监管从实施主体和具体案例两个视角做一回顾,分析其在实际操作中的成效与挑战,为中国的个人信息保护法在行政监管方面优化实施提供借鉴和参考。
二、法律框架和理论基础
2.1 《个人信息保护法》中的行政监管
《个人信息保护法》作为中国首部系统全面规范个人信息保护的法律,其主要目标是保护个人信息权益,规范个人信息处理活动,增强个人信息处理透明度,以及保障公民合法权益。立法机关对个人信息保护法的定位,并不是民法特别法,而是根据宪法制定的个人信息保护基本法[1]。
个人信息的保护体系可分为私法保护机制和公法保护机制,后者主要通过行政监管和公益诉讼得以实现。鉴于个人信息保护具有防控不特定的公共风险、调整不平等的权利义务关系、协调多元利益诉求等方面的特点,引入行政法律责任机制存在必要性,而且行政处罚制度相较于民事救济机制具有天然优越性和特殊适用性[2]。民事保护模式主要依赖于公民在受到信息侵权时的积极维权与诉讼救济,其缺点在于只聚焦个体利益,倚重事后救济及效率低下,在前置保护与应急防控方面难有作为。个人信息保护法的基本逻辑,是以国家保护为中心,为“个人——信息处理者”关系中的个人提供倾斜性保护[3]。故而,在保护路径上应以国家规制为主,在保护机制上也要求以监管为中心。因此,以行政监管为中心的保护机制,是符合国家保护逻辑的应然选择[4]。
在行政监管方面,本法的第六章明确了履行个人信息保护职责的部门。我国施行的是以国家网信部门为核心、县级以上政府的相关部门相配合的多元监管体系,一定程度上可以实现对个人信息保护领域全面监管的目的。然而,对于其他各部门之间的具体职责划分、界限并未明确,容易监管之间产生权责不明,进而影响执法实际效果。
2.2 相关法律互动
在《个人信息保护法》生效之前,我国在相关领域的法律规制主要通过《民法典》、《网络安全法》、《数据安全法》、《消费者权益保护法》等相关法律从不同维度,共同构成了个人信息保护的。这些法律之间的互补性体现了一个多层面、全方位保护网络安全和数据安全的法律框架。对于侵害个人信息的行为在行政监管方面的法律责任,主要和两部法律存在交叉的情形:
《消费者权益保护法》于2013年修正,第56条规定了关于违反个人信息保护的行政责任由有关部门责令改正,视情节轻重单处或并处警告、没收违法所得、处以罚款,并根据情节轻重可以责令停业整顿、吊销营业执照。
《网络安全法》自2017年起施行,主要聚焦于网络安全保护和防范网络风险。第64条规定了关于违反个人信息保护的行政责任由有关部门责令改正,视情节轻重单处或并处警告、没收违法所得、处以罚款,并根据情节轻重可以责令停业整顿、吊销营业执照、对责任人处以罚款等。可见,其与消费者权益保护的行政责任存在较多相通之处,不同点在于较之前者提高了罚款的金额上线,并增加了对责任人处以罚款的规定。
《个人信息保护法》第66条规定了有关部门责令改正、给与警告、没收违法所得,拒不改正的,可并处罚款和对责任人处以罚款。即在执行罚款之前,需要由“拒不改正”这一前提。
三、行政监管实施主体分析
行政监管实施主体在个人信息保护中发挥着至关重要的角色。根据《个人信息保护法》第60条,国家网信部门、国务院有关部门以及县级以上人民政府有关部门均是法律定义的行政监管实施主体。从国家互联网信息办公室到地方公安局,不同的监管机构负责执行与个人信息保护相关的各项法律规定。事实上,由于个人信息的泛在性,大量部门皆负有个人信息保护职责。比如人社部门依据《人力资源市场暂行条例》监管人力资源服务机构,由此对线上人力资源服务处理个人信息具有监管职责。又如文旅部门对旅游经营活动中的个人信息保护负有监管职责。[5]
为回顾《个人信息保护法》施行两年多以来的具体行政执法情况,笔者依据北大法宝公开可查询的行政处罚案例,搜索2022~2023自然年度间,处罚依据包含《个人信息保护法》作为筛选条件,共计得到674条记录,以此为基础进行实证研究。其中,行政监管实施主体为网信办的3条,通信管理局的1条,市场监督管理部门的10条,公安及派出所的661条。可见,在公开可查询的行政执法案例中,引在用本条文进行处罚的执法案例中公安系统占据绝对多数。
根据《个人信息保护法》的规定,国家互联网信息办公室(CAC)主要负责制定政策、指导和监督全国范围内的个人信息保护工作。上文3条网信办作出的处罚记录中,CAC有2条,分别是对知网(2023年9月)和滴滴全球(2022年7月)的大额处罚。这两笔处罚显示了其在处理涉及广泛用户数据和重大数据泄露事件中的主导作用。这些案件通常涉及跨地区乃至跨国的数据流动,需要在国家层面进行统筹和处罚。另1条记录是某市级网信办作出的处罚。可见,在网信办作为行政监管的牵头主体,并未根据《个人信息保护法》直接作出大量的处罚。
公安作为执法主体,在上文所述的执法案件中体现处明显的地域特点,661条记录仅分布于8个省市,从全国范围内看并未呈现明显的地域特征。其中,江苏省有546(83%)条占据绝大多数,排名第二、三位的分别是湖北省和广东省。值得注意的是,比照同期刑事犯罪司法案件,虽然在案件数量的变化上和行政处罚案件有共同之处,即2023年均较2022年呈现较大幅度的下滑,但是在地域分布上,刑事案件覆盖了几乎全国各个省市,数量最多的省份分别为湖南省(18%)和河南省(14%)。然而,这两个省份在上述行政处罚的案件中数量却非常少,湖南省1条记录,河南省0条记录。
对于上述现象,可从下几个方面进行解释:第一,北大法宝的数据可能并不全面和完整,部分案例可能未予以公开,同时公开时间上可能存在滞后性。但考虑到北大法宝是市面上较为成熟和广泛使用的专业法律数据搜索引擎,且搜索条件的跨度已设置为2年,故而认为上文的数据具有一定的可参考价值。第二,行政执法具有主动性的特点,在不同的执法部门、同部门不同地区之间,存在较大差异,这也取决于各地的行政执法工作的重心安排,不可一概而论。但同时也反映出行政执法存在较大的自主空间,因此《个人信息保护法》在各地的实际落地执法尚需进一步推广和深化改革。第三,可能是由于《个人信息保护法》在处罚金额上较其他相关法律要求符合“拒不改正”这一前提,因此引用本法进行行政处罚的案例发生较少。这反应了本法在实际落地执行中的难点,值得从立法角度进行进一步的明确和细化。
四、行政监管实施案例分析
对前文行政处罚案例进行进一步分析发现,面对类似违法情节时,不同地区和不同级别的监管机构在诸多方面存在执行程度、方式、标准不统一的情形。
在执法方式和执法重点的方面,主要依靠实地的例行工作检查发现。公安系统更多的是关注电脑开机密码,客户个人资料是否加密保存,是否有管理制度等;市场监督管理部门则聚焦于非法收集、使用、买卖个人信息的方面。
对于罚款的适用前提是“拒不改正”的理解,可能存在解释上的不一致,导致处罚结果差异较大。如:同为处理个人信息未告知并征得个人同意的情况,有的处罚结果是处警告,责令限期改正[6],有的在处罚则是高达30万元的罚款[7]。
在不同法律规范之间进行责任条款的选择适用上,监管部门对个人信息保护领域中行政处罚依据的选取并无统一标准,如:同为未尽数据安全保障义务,未对用于存放业主/客户个人信息的电脑文件进行加密,或是未制定数据安全管理制度的情况,有的以《个人信息保护法》66条为处罚依据[8],有的以《网络安全法》64条为处罚依据[9]。
在对情节轻重的认定上,亦存在和刑法的衔接不够明确的情形。如在南京经典雪中彩影婚纱摄影的行政处罚一案中,当事人涉及收集和销售1.7万条客户的个人信息,合计违法所得3.1万元,当地市场监督管理局对其处以责令改正,给予警告,没收违法所得3.1万元的处罚。根据两高2017年6月颁布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第5条之第五、第七款,本案已满足刑法253条之一规定的“情节严重”,但笔者并未就该当事人在北大法宝中搜索到相关的刑事案件。可见在刑行衔接上,可能存在一定的适用不明、执法标准不统一的情形。
综上,以《个人信息保护法》为处罚依据的行政监督案例,在不同地域、不同部门间的执法方式和重点、罚款适用前提、法律规范选择、情节轻重的认定上,均存在不同程度的差异,这将影响法律的权威性和公平性。
以上现象的存在,可能同《个人信息保护法》实施时间较短有相当的关联。对比《网络安全法》,其颁布执行已有6年多的历史,在执法队伍中有更高的熟知度;且第66条的规定较为宽泛,可以涵盖多种类型的网络安全和数据处理违法行为,给予执法机构较大的自由度和灵活性。在执法过程中,监管机构可能更倾向于使用这一成熟的、操作起来相对便利的法律条文进行处罚。《个人信息保护法》在实际应用中的引用数量相对较少,但随着法律的进一步推广和实施,以及社会各界对个人信息保护意识的提升,预计其在法律适用中的重要性将逐渐增强。
总结
尽管《个人信息保护法》专门对个人信息保护行政监管进行了规定,但现有的监管体制机制仍然存在不足。本法对于行政监管的主体有较为清晰的定义,但范围仍然过于宽泛,且未明确不同主体之间的分工和衔接,虽根据本文的实证研究,发现不同部门在执法方式、执法重点上确实各有侧重,但如何进一步统一操作,减少地域差异,增加技术手段,加强部门间的协同,以更好地履行个人信息国家保护义务的整体性要求,避免“九龙治水”的局面,需要立法机关根据实务的情况进行相应的解释或调整。同时,在法律的适用上,应进一步明确适用规则以及不同法规之间的衔接,减少行政监督机关的自由裁量权,提升法律适用的一致性和执法的效率。
由于笔者水平有限,以及数据来源未能多渠道进行比对和校验,上述分析难免存在不足,故此仅供学术探讨、交流分享之用。
参考文献:
[1]参见王利明:《论〈个人信息保护法〉与〈民法典〉的适用关系》,《湖湘法学评论》2021年第1期,第26页。
[2]陈可翔:《个人信息保护中行政处罚的实施基础及制度逻辑》,载《法学》2023年第11期,第72页。
[3]参见王锡锌:《个人信息国家保护义务及展开》,载《中国法学》2021年第1期,第158页。
[4]参见王锡锌:《重思个人信息权利束的保障机制:行政监管还是民事诉讼》,载《法学研究》2022年第5期,第10页。
[5]彭錞:《论个人信息保护行政处罚制度》,载《行政法学》2022年第4期,第39页。
[6]金公金行罚决字20221668号,https://www.pkulaw.com/apy/9445d6e6deb7c9d23d29d122fd80f14da9ee0ee47920ea2cbdfb.html,最后访问日期:2024-4-17
[7]嘉市监处罚〔2022〕48号,文书中未明确显示被处罚主体存在“拒不改正”的情形,https://www.pkulaw.com/apy/9445d6e6deb7c9d280671ca6d6b2aecf0257d07c802909ddbdfb.html,最后访问日期:2024-4-17
[8]开公(庙)行罚决字〔2023〕7号,https://www.pkulaw.com/apy/9445d6e6deb7c9d25225ffb462a31b6c7ca52b6bd74ddddabdfb.html,最后访问日期:2024-4-17
[9]灌公(新)行罚决字〔2023〕25号,https://www.pkulaw.com/apy/9445d6e6deb7c9d2f4b0b71459e216a9ec9c756ca2a0559dbdfb.html,后访问日期:2024-4-17