違法處理個人信息高額罰款制度的理解與適用

孫 瑩

違法處理個人信息高額罰款制度是保障自然人個人信息權益、維護公共利益和社會秩序、調整失衡的企業和個人力量以及規制互聯網競爭生態的需要。由于能夠深切觸及違法主體，尤其是大型互聯網企業的利益，進而對侵害個人信息的行為產生有效威懾，其理應成為加強個人信息保護行政監管的有效法律工具。〔1〕參見孫瑩：《大規模侵害個人信息高額罰款研究》，載《中國法學》2020 年第5 期，第109-112 頁。《個人信息保護法》（以下簡稱《個保法》）第66 條規定了不同情形下違法處理個人信息的行政責任，其中第2 款將違法處理個人信息且情節嚴重行為的罰款金額設定為五千萬元以下或者上一年度營業額百分之五以下。較《網絡安全法》等法律法規，〔2〕例如，《消費者權益保護法》第56 條規定了在經營者侵害消費者個人信息權益時，由行政機關責令改正，根據情節單處或者并處警告、沒收違法所得、處以違法所得一倍以上十倍以下的罰款；沒有違法所得的，處以五十萬元以下的罰款；情節嚴重的，責令停業整頓、吊銷營業執照。《網絡安全法》第64 條規定了網絡運營者、網絡產品或者服務的提供者侵害個人信息權益時，由行政機關責令改正，根據情節單處或者并處警告、沒收違法所得、處違法所得一倍以上十倍以下罰款，沒有違法所得的，處一百萬元以下罰款，對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款；情節嚴重的，并可以責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照。《個保法》大幅提高了行政罰款金額，表明在違法處理個人信息且情節嚴重的情況下，違法主體將承擔更為嚴厲的行政責任。《個保法》是個人信息保護領域的基本法，該條關于違法處理個人信息高額罰款的規定，將會是我國個人信息保護行政執法領域的重要法律依據，本文將從適用情形、處罰對象、執法主體及其管轄權、與其他法律責任的關系等方面，對《個保法》第66 條第2 款的理解與適用提出一些看法。

一、違法處理個人信息高額罰款制度的適用情形

根據《個保法》第66條第2款的規定，高額罰款適用于違反個人信息保護法的規定處理個人信息，或不履行個人信息保護法規定的個人信息保護義務，且情節嚴重的情形。簡而言之，即實施了違法處理個人信息的行為且情節嚴重。根據立法邏輯，判斷是否適用該條款首先應當判斷是否符合違法處理個人信息行為的構成要件，其次需要認定是否屬于“情節嚴重”。

（一）構成違法處理個人信息行為的主客觀要件

傳統行政法多秉持“客觀違法”的一元歸責原則，承擔行政責任的唯一標準是該行為客觀上違法，而無須考察行政相對人的主觀心態，更無須考察行為人的主觀心態是故意或過失。換言之，主觀過錯并不是應受行政處罰行為的構成要件之一，單純客觀違法即可予以處罰。〔3〕參見汪永清主編：《行政處罰運作原理》，中國政法大學出版社1994 版，第169-170 頁；袁曙宏：《論行政處罰的實施》，載《法學研究》1993 年第4 期，第43 頁。現在也有觀點認為，考慮到行政機關在行政訴訟中的舉證責任，如果過多強調處罰的前提在于行政相對人存在主觀過錯，將加重行政機關的負擔。〔4〕參見馬懷德：《〈行政處罰法〉修改中的幾個爭議問題》，載《華東政法大學學報》2020 年第4 期，第11 頁。然而，這種一元歸責原則不利于實質正義的實現。因此，本文認為將客觀要件和主觀要件相結合對是否構成違法處理個人信息行為進行判斷更為妥當。

就客觀要件而言，《個保法》結合對個人信息處理活動的規定，從個人信息處理的事前、事中、事后三個環節詳盡規定了違法處理個人信息行為的表現形式，此處不予贅述。就主觀要件而言，2021年修訂的《行政處罰法》 第33 條第2 款〔5〕《行政處罰法》 第33 條第2 款規定：“當事人有證據足以證明沒有主觀過錯的，不予行政處罰。法律、行政法規另有規定的，從其規定。”已經規定沒有主觀過錯的，不予行政處罰，但該規定較為原則。作為排除適用行政處罰的條件，該條文并未從正面明確行政處罰決定作出時，是否應區分“故意”“重大過失”“一般過失”，以及如果區分應該如何配置不同處罰程度的責任。就違法處理個人信息高額罰款制度的適用情形而言，本文認為應當綜合考慮個人信息處理者的主觀心理狀態。刑法中的行為人主觀心理態度包括認識因素和意志因素，但較刑法而言，行政法中行為人的認識因素有其特殊性。就行為犯而言，由于行政責任的成立并不以產生實際的損害結果為前提，因此行為人的認識因素既不要求行為人明知或應知會產生特定的損害結果，也不要求行為人明知或應知自己在行政法上的法定義務，而是要求行為人明知或應知違反行政法上義務的構成要件事實即可。〔6〕參見江必新：《論應受行政處罰行為的構成要件》，載《法律適用》1996 年第6 期，第4-6 頁。以發生在事前和事中環節的違法處理個人信息行為為例，應當要求個人信息處理者的認識因素為明知或應知自己應承擔的事前或事中法定義務的構成要件事實，其意志因素為積極追求或放任其發生。例如，《個保法》第13 條、第14 條、第27 條規定了個人信息處理者在處理個人信息前，應當獲得個人或者其監護人的明確同意的義務。行為人的認識因素并非其明知或應知自己負有該種義務，而是明知或應知自己在處理個人信息前，如不做出具體的獲求個人或其監護人同意的行為則會違反該法定義務。在意志因素上，要求行為人積極追求或放任在處理個人信息前，不向個人或其監護人獲求同意的行為的發生。

再如，《個保法》第24 條第1 款規定，個人信息處理者利用個人信息進行自動化決策時，負有不得對個人實行不合理的價格差別對待的義務。行為人的認識因素并非其明知或應知自己負有該種禁止性義務，而是明知或應知自己在利用個人信息進行自動化決策時，如果對個人實行不合理的價格差別對待則會違反該義務。在意志因素上，要求行為人積極追求或放任在利用個人信息進行自動化決策時，對個人實行不合理的價格差別對待的行為的發生。由此，通過綜合考察個人信息處理者的主觀狀態，可使執法者基于行為人主觀上的過錯程度適配相當的行政處罰。

（二）“情節嚴重”的認定

在個人信息保護方面，《網絡安全法》《數據安全法》也規定了對情節嚴重的侵害個人信息行為給予加重處罰，但對情節嚴重的參考因素和認定標準并未進一步釋明。“應受行政處罰行為得以參照犯罪論體系進行判定，源于對法律保留、比例原則和人格尊嚴等憲法價值的遵循。”〔7〕李晴：《犯罪論體系對應受行政處罰行為的可參照性》，載《法學》2022 年第4 期，第36 頁。因此，建議可以參照刑事領域的相關解釋，在未來的實施細則中進一步明確違法處理個人信息“情節嚴重”的情形，以防范乃至避免高額罰款制度被任意地擴大解釋與適用。在此需要說明的是，對行政處罰語境下違法處理個人信息“情節嚴重”的理解，并非只是簡單地套用刑法關于侵犯公民個人信息罪有關“情節嚴重”“情節特別嚴重”的規定，而應理解刑法上該罪所保護的法益，尊重已有刑法個人信息保護體系，最終形成符合法秩序統一理念的“行政法—刑法”有機聯動的個人信息分級保護框架。

我國《刑法》第253 條之一規定了“侵犯公民個人信息罪”，并規定了“情節嚴重”和“情節特別嚴重”兩個加重處罰情節。最高人民法院、最高人民檢察院聯合發布的《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（以下簡稱《解釋》）第5 條列舉了“情節嚴重”的9 種情形和“情節特別嚴重”的3 種情形，以上12 種情形可以從“行為加重”和“結果加重”兩個角度加以分類，主要考慮的因素包括信息類型和數量、違法所得數額、信息用途、主體身份、前科情況等。對同一行為而言，認定為行政違法行為的標準要低于認定為犯罪行為的標準。因此可以參考《解釋》第5 條有關“情節嚴重”和“情節特別嚴重”的標準，降低其中行為加重和結果加重的程度，從而制定作為行政違法行為的“情節嚴重”和“情節特別嚴重”標準。在借鑒刑法已有規定，認定何為此處的“情節嚴重”時需注意：《解釋》和《個保法》對敏感個人信息的內涵和分類有所不同。《解釋》第5 條第1 款第3 項和第4 項區分了兩種敏感個人信息，并規定了不同的入罪標準。一種是行蹤軌跡信息、通信內容、征信信息、財產信息等高度敏感個人信息，另一種是住宿信息、通信記錄、健康生理信息、交易信息等次級敏感個人信息。〔8〕參見周加海等：《〈關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋〉的理解與適用》，載《人民司法（應用）》2017 年第19 期，第34 頁。《個保法》第28 條則將敏感個人信息解釋為“一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息”。本文認為，所謂個人信息的敏感性，歸根結底取決于該信息在特定社會環境下體現了何種程度的人格價值和經濟價值。因此“敏感個人信息”的內涵，本質上是處于動態變化中的。因此從《個保法》的范疇出發，可以借鑒《解釋》中高度敏感個人信息和次級敏感個人信息的分類標準，采取概括而非列舉的方式，以便為未來敏感個人信息內涵的變化留下空間。本文以違法向他人出售或提供公民個人信息的行為為例進行說明，作為行政違法行為的“情節嚴重”，從“行為加重”的角度可以設定為3 種：（1）出售或者提供行蹤軌跡信息，被他人用于違法行為的；（2）知道或者應當知道他人利用個人信息實施違法行為，向其出售或者提供的；（3）二年內曾因違法處理個人信息受過行政處罰，又非法獲取、出售或者提供個人信息的。從“結果加重”的角度，可以將“情節嚴重”設定為5 種：（1）非法獲取、出售或者提供高度敏感個人信息三十條以上的；（2）非法獲取、出售或者提供次級敏感個人信息三百條以上的；（3）非法獲取、出售或者提供第一項、第二項規定以外的個人信息三千條以上的；（4）違法所得三千元以上的；（5）將在履行職責或者提供服務過程中獲得的個人信息出售或者提供給他人，數量或者數額達到第一項至第四項規定標準一半以上的。

此外，雖然《個保法》等法律中沒有規定“情節特別嚴重”的情形，但現實可能會發生因違法處理個人信息行為導致人身傷害或較為嚴重的經濟損失和社會影響等結果。因此本文主張在后續的實施細則中參照《解釋》第5 條，在“情節嚴重”的基礎上增加“情節特別嚴重”的規定。《數據安全法》第45 條規定了“違反國家核心數據管理制度，危害國家主權、安全和發展利益的，由有關主管部門處二百萬元以上一千萬元以下罰款”，可以將該條款作為情節特別嚴重的情形之一。綜合而言，“情節特別嚴重”可以包括以下四種情形：（1）造成被害人輕傷以上后果的；（2）造成較大經濟損失或者較壞社會影響的；（3）違反國家核心數據管理制度，危害國家主權、安全和發展利益的；（4）數量或者數額達到前款規定標準五倍以上的。

二、違法處理個人信息高額罰款“雙罰制”的處罰對象

傳統行政處罰理論認為，針對單位的行政處罰，并不牽涉單位直接負責的主管人員或其他直接責任人員。但隨著市場經濟的發展，諸多單位主體日益深入公共空間并彼此交融，部分單位的違法行為將造成極大的社會風險。因此在我國行政處罰領域，“雙罰制”理論開始得到越來越多的運用，在處罰單位的同時，一并處罰單位直接負責的主管人員或其他直接責任人員，將行政處罰的威力穿透違法責任主體，直達行為人。〔9〕參見譚冰霖：《單位行政違法雙罰制的規范建構》，載《法學》2020 年第8 期，第127 頁。雖然新修訂的《行政處罰法》沒有單獨規定單位違法的雙罰制，但我國《網絡安全法》第64 條和《數據安全法》第45 條對違法處理個人信息行為規定了雙罰制，《個保法》第66條第2 款也規定，對其直接負責的主管人員或其他直接責任人員“處十萬元以上一百萬元以下罰款，并可以決定禁止其在一定期限內擔任相關企業的董事、監事、高級管理人員和個人信息保護負責人”，這充分說明我國個人信息保護行政監管執法領域已經完全認可“雙罰制”。

（一）對單位“直接負責的主管人員和直接責任人”的行政處罰

對于高額罰款“雙罰制”的構成要件，《個保法》第66 條第2 款的立法思路體現為，作為個人信息處理者的單位和“直接負責的主管人員或其他直接責任人員”受行政處罰的違法前提要件一致，同時“直接負責的主管人員或其他直接責任人員”的行政處罰不需要其他附加條件。

我國《網絡安全法》《數據安全法》《個保法》對實施侵害個人信息違法單位的自然人的處罰范圍相同，都限于直接負責的主管人員和直接責任人，也都區分不同情節下自然人承擔不同的行政責任，〔10〕《數據安全法》將自然人承擔行政責任的情節區分為一般情況和拒不改正或造成大量數據泄露等嚴重后果兩種。這種情節上的區分有助于形成行政責任劃分的不同梯度，符合違法行為與行政責任、行政處罰相適應的原則。需注意的是，三部法律罰款的設定方式均采數據數值式，但罰款金額上限不斷提高。《網絡安全法》規定罰款為1 萬元以上10 萬元以下；《數據安全法》則規定，對于拒不改正或者造成大量數據泄露等嚴重后果的，罰款為5 萬元以上20 萬元以下；《個保法》進一步提高了罰款金額的上限，規定情節嚴重的，罰款金額為10 萬元以上100 萬元以下。可以發現，從《網絡安全法》到《個保法》，罰款金額上限從10 萬元提高到了100 萬元。我國現行法律對單位違法行為中自然人的罰款額度最高為50 萬元，〔11〕例如，《固體廢物污染環境防治法》第108 條、《反恐怖主義法》第83 條。與現行法律規定的罰款上限相比，《個保法》中將自然人罰款上限設定為100 萬元，體現了高額罰款的特征。這種趨勢體現了立法者愈加強調侵害個人信息的社會危害性，加大在單位違法行為中對自然人的處罰力度。

在此需要特別指出的是，《個保法》第52 條規定了個人信息保護負責人制度，規定了處理個人信息達到國家網信部門規定數量的個人信息處理者應當指定個人信息保護負責人，負責對個人信息處理活動及采取的措施等進行監督。我國的“個人信息保護負責人”與歐盟《通用數據保護條例》中的“數據保護官”功能相似，但是，對于“個人信息保護負責人”在個人信息處理者中具體處于何種地位、承擔哪些具體職責及法律責任并未予以細化規定。因此，在違法處理個人信息的雙罰制法律適用過程中，是否將“個人信息保護負責人”納入“直接負責的主管人員或其他直接責任人員”涵攝的范圍，還有待進一步探討。

（二）作為高額罰款執法重點的大型網絡平臺企業

行政處罰的執法實踐中，大型網絡平臺企業是違法處理個人信息造成嚴重后果的主要侵害人。在未來制定違法處理個人信息高額罰款的實施細則中，應當細化對大型網絡平臺企業及其“直接負責的主管人員和直接責任人”的高額罰款處罰規定。

數字革命使得大型網絡平臺企業相對自然人越發取得技術上的絕對優勢。大型網絡平臺企業憑借其資本與日益迭代更新的人工智能及算法，可以更加便捷地實施個人信息收集與利用行為，而且，資本的逐利性會力圖使個人信息的商業價值性得到最大程度展現。〔12〕參見孫瑩：《大規模侵害個人信息高額罰款研究》，載《中國法學》2020 年第5 期，第108 頁。大型網絡平臺企業的以上特點使得其符合“準公共服務產品提供者”的身份，個人信息則成為大型網絡平臺企業業務的重要組成部分，一旦其實施違法處理個人信息行為（包括不履行個人信息保護義務），不僅會侵害眾多的個人信息權益，也會對網絡市場的公平性和國家網絡安全產生直接影響。因此大型網絡平臺企業及其“直接負責的主管人員和直接責任人”對于個人信息保護應當承擔更多的義務，如果其不履行個人信息保護的特定義務，則應屬于高額罰款的處罰對象。

現有個人信息保護領域的法律并未無本文所稱的“大型網絡平臺企業”的定義，因此需要進一步予以說明。歐盟《數字市場法》中對“守門人”及其義務的規定在此具有借鑒和啟發意義。歐盟《數字市場法》重點關注大型網絡平臺企業的影響力，并明確規定了大型網絡平臺的定義及其個人信息保護的“守門人”義務。〔13〕歐盟《數字市場法》將大型網絡平臺企業定義為核心平臺服務者（Core рlatform service），核心平臺服務內容包括網上中介服務、在線搜索引擎、在線社交網絡服務、視頻分享平臺服務、廣告服務、號碼獨立的人際溝通服務、操作系統、云計算服務等。特定的核心平臺服務者將被認定為“守門人”（Gatekeeрer）。參見劉穎：《我國〈個人信息保護法〉中的“守門人”條款》，載《北方法學》2021年第6 期，第76-77 頁。《數字市場法》通過市場影響力加企業規模的方式規定了“守門人”的定義，并授權歐盟委員會可以根據市場和技術發展定期調整“守門人”的數值閾值。〔14〕市場影響力包括對內部市場有重大影響、經營一項核心平臺業務、具有穩固和持久的行業地位三項。企業規模則包括：1.所屬企業在過去三個財政年度的歐洲經濟區年營業額等于或超過65 億歐元，或所屬企業在過去一個財政年度的平均市值或等值公平市場價值至少達到650 億歐元，并在至少三個成員國提供核心平臺服務；2.它提供的核心平臺服務的月活躍終端用戶超過4500萬，或者它位于聯盟內，上一財政年度在聯盟內建立的年活躍企業用戶超過1 萬人；3.在過去三個財政年度中每年都達到了第2 項的門檻。參見歐盟《數字市場法》第3 條。通過規定“守門人”具體應遵守的積極義務和禁止性義務，〔15〕參見歐盟《數字市場法》第5 條、第6 條；張新寶：《互聯網生態“守門人”個人信息保護特別義務設置研究》，載《比較法研究》2021 年第3 期，第20 頁。意圖削弱和遏制“守門人”對個人用戶和其他企業產生的優勢地位。對此，《個保法》第58 條將具有特定個人信息保護義務的主體限定為提供重要互聯網平臺服務、用戶數量巨大、業務類型復雜的個人信息處理者，這一概念正契合了本文所說的大型網絡平臺企業。在具體認定上，可以采用市場影響力加企業規模的綜合認定方式，而企業規模的具體數值則可參考我國對信息技術服務業中的大型企業的規模認定，以年度營業額超過1 億元為標準。〔16〕參見孫瑩：《大規模侵害個人信息高額罰款研究》，載《中國法學》2020 年第5 期，第123 頁。

三、違法處理個人信息高額罰款執法主體的確定

《個保法》第66 條第2 款將高額罰款執法主體限定為省級以上履行個人信息保護職責的部門。通過梳理發現，高額罰款執法主體層級的限定在《個保法》整個起草過程中經歷了從無到有的變化。〔17〕在2020 年10 月《個保法》第一次審議草案中，第62 條第2 款規定，“有前款規定的違法行為，情節嚴重的，由履行個人信息保護職責的部門責令改正，沒收違法所得，并處五千萬元以下或者上一年度營業額百分之五以下罰款”，該草案對高額罰款的執法主體僅規定為履行個人信息保護職責的部門。在2021 年4 月《個保法》第二次審議草案中，第65 條第2 款直接沿襲了第一次審議草案第62 條第2 款的規定，同樣未限定高額罰款執法主體的層級。目前仍無明確信息說明將高額罰款執法主體層級限定為省級以上這一修改出現的具體時間，但根據全國人大常委會公報的內容進行推測，這一修改可能出現在兩個時間節點，即2021 年7 月28日和2021 年8 月17 日。〔18〕2021 年7 月28 日，憲法和法律委員會召開會議，對《個保法》進行審議，同一天，法制工作委員會也召開會議，邀請部分全國人大代表、專家學者以及基層立法聯系點、地方有關部門、企業等方面的代表就《個保法》草案進行評估。這兩個會議對《個保法》草案進行修改并形成了《個保法》第三次審議稿。8 月17 日下午，全國人大常委會對《個保法》第三次審議稿進行分組審議，8 月17 日晚，憲法和法律委員會召開會議，逐條研究常委會組成人員的審議意見，并提出新的修改意見。經過7 月28 日和8 月17 日兩次修改后，2021 年8 月20 日，全國人大常委會第三十次會議審議并通過了《個保法》。參見江必新：《全國人民代表大會憲法和法律委員會關于〈中華人民共和國個人信息保護法（草案）〉修改情況的匯報》，載《全國人民代表大會常務委員會公報》2021 年第6 號，第1131-1133 頁；《全國人民代表大會憲法和法律委員會關于〈中華人民共和國個人信息保護法（草案三次審議稿）〉修改意見的報告》，載《全國人民代表大會常務委員會公報》2021 年第6 號，第1133-1134 頁。2021 年8 月20 日公布的《個保法》第66 條第2 款已經修改為，“有前款規定的違法行為，情節嚴重的，由省級以上履行個人信息保護職責的部門責令改正，沒收違法所得，并處五千萬元以下或者上一年度營業額百分之五以下罰款”。該條款明確將高額罰款執法主體限定為省級以上履行個人信息保護職責的部門。

（一）確定違法處理個人信息高額罰款執法主體的法律依據和標準

根據《個保法》第60 條的規定，所謂履行個人信息保護職責的部門，包括網信部門、國務院中負責個人信息保護和監管的部門、縣級以上地方政府中負責個人信息保護和監管的部門。其中，網信部門的范圍明確，此處不再贅述，而國務院中負責個人信息保護和監管的部門的范圍則較為寬泛。2018年國務院機構改革后，現行的國務院建制除了國務院辦公廳之外，還設置有26 個組成部門。顯然，這26 個國務院部門均可能在各自職責的范圍內涉及個人信息保護和監管，在特定領域都可被解釋為“履行個人信息保護職責的部門”，如中國人民銀行、發改委、工信部、工商行政管理部門（市場監督管理局）、公安機關等。就縣級以上地方政府中負責個人信息保護和監管的部門而言，其范圍也同樣很寬泛。根據我國法律法規和部門規章的規定，縣級以上統計機構，〔19〕參見《統計法》第39 條，《統計執法監督檢查辦法》第46 條，《新聞出版統計管理辦法》第28 條、第35 條。縣級以上測繪地理信息主管部門，〔20〕參見《測繪法》第65 條，《地圖管理條例》第35 條、第47 條。縣級以上衛生行政部門、衛生健康主管部門、衛生計生行政部門，〔21〕參見《結核病防治管理辦法》第35 條、《基本醫療衛生與健康促進法》第102 條、《涉及人的生物醫學研究倫理審查辦法》第46 條。縣級以上旅游行政管理部門，〔22〕參見《旅行社條例實施細則》第65 條。縣級以上建設（房地產）主管部門〔23〕參見《房地產經紀管理辦法》第25 條、第37 條。等都具有針對侵害個人信息行為的行政處罰權。

可以發現，在我國的法律法規和部門規章中，對違法處理個人信息行為具有行政處罰權的執法主體十分廣泛。在眾多的執法主體中，如何明確高額罰款的執法主體就成為亟待解決的問題。《個保法》第66 條根據違法行為的情節輕重實施分級處罰制度，即區分為一般情節與情節嚴重。對本條第1 款中針對一般違法行為的執法主體即履行個人信息保護職責的部門之范圍的理解，應包含前述所有主體，但對本條第2 款針對情節嚴重的違法行為的執法主體則應做限縮解釋。遵循行政法定原則，《個保法》第66 條為高額罰款執法主體的選擇提供了法律依據和標準（表1）。

表1 違法處理個人信息高額罰款執法主體的法定標準

根據標準一，高額罰款的執法主體本身并非違法行為人的主管部門，而上文中列舉的信息產業主管部門、征信業監督管理部門及其派出機構、中國人民銀行或其分支機構、銀保監會及其派出機構等部門均為具體行業的主管部門，因此以上部門不能成為高額罰款的執法主體。通過排除法，剩下市場監督管理部門、公安機關、國家安全機關、網信部門四個部門可供選擇。

根據標準二，高額罰款的執法主體應具有責令改正、警告、沒收違法所得、責令暫停相關業務、停業整頓、罰款、從業禁止等行政處罰權，但沒有吊銷相關業務許可或者吊銷營業執照的處罰權。《治安管理處罰法》第10 條規定，公安機關有吊銷公安機關發放的許可證的處罰權。依據有關法規和規章的規定，公安部計算機管理監察部門負責計算機信息系統安全專用產品銷售許可證的發放，〔24〕參見《計算機信息系統安全保護條例》第16 條，《計算機信息系統安全專用產品檢測和銷售許可證管理辦法》第5 條，《計算機病毒防治管理辦法》第19 條。因此公安機關不符合標準二。根據《國家安全法》和《反間諜法》的規定，國家安全機關有搜查、沒收和行政拘留的職權，但并無責令改正、警告、責令暫停相關業務、停業整頓等職權，因此國家安全機關同樣不符合標準二。至此，符合我國現行法律規定的違法處理個人信息高額罰款的執法主體，只有市場監督管理部門和網信部門。

根據標準三，高額罰款的執法主體的行政罰款金額可達一百萬元（一般情況），也可達五千萬元以下或者上一年度營業額百分之五以下（情節嚴重）。目前法律對該標準的適用主體存在模糊之處。例如，根據《電子商務法》第79 條規定，“電子商務經營者違反法律、行政法規有關個人信息保護的規定，或者不履行本法第三十條和有關法律、行政法規規定的網絡安全保障義務的，依照《中華人民共和國網絡安全法》等法律、行政法規的規定處罰”。但《網絡安全法》第64 條卻規定，侵害個人信息行為的“由有關主管部門責令改正”。所以兩部法律都沒有明確規定高額罰款究竟應該是由市場監督管理部門還是由網信部門實施。

本文認為，省級以上網信部門作為違法處理個人信息高額罰款執法主體具有充分的合理性，詳見下文的分析。

（二）省級以上網信部門作為違法處理個人信息高額罰款執法主體的合理性

如上所述，通過對《個保法》第66 條的分析，可以將侵害個人信息高額罰款的執法主體鎖定在市場監督管理部門和網信部門二者之間。如何最終明確高額罰款的執法主體，則需要站在推進國家機構職能優化協同高效的立場，具體根據執法主體的定位加以判斷。

1.網信部門更符合高額罰款執法主體的定位

網信部門作為違法處理個人信息的高額罰款執法主體，符合推進國家機構職能優化協同高效的要求。《中共中央關于深化黨和國家機構改革的決定》提出，國家機構職能優化協同高效是推進國家治理體系和國家治理能力現代化的基本原則之一。所謂優化就是科學合理、權責一致。高額罰款執法主體的確定要遵從科學合理和權責一致，并“堅持一類事項原則上由一個部門統籌、一件事情原則上由一個部門負責，避免政出多門、責任不明、推諉扯皮”。〔25〕王曉暉：《堅持優化協同高效推進黨和國家機構改革》，載《人民日報》2018 年3 月19 日，第8 版。高額罰款執法主體本身的職責不應僅限于罰款，因為高額罰款執法主體的定位應是負責違法處理個人信息行為預警、調查、事實認定、提出處理意見和作出行政處罰等一系列行政活動的機關，并且它還能夠打通黨政機關之間界限，既增強黨的領導力，又提升政府的執行力。

從該定位出發，與市場監督管理部門相比，網信部門更適合成為違法處理個人信息高額罰款的執法主體。其一，網信部門本身產生的時間較短，仍處在發展的過程中，其法律地位和職權相對模糊，但這也使得網信部門具有較強的可塑性，有利于破舊立新。市場監督管理部門的職能決定了其本身更側重維護市場公平而非維護個人信息保護和網絡安全，而后兩者恰恰是設立網信部門的目標。其二，市場監督管理部門在政府序列中沒有直接對應的黨的機構，因此不利于打通黨政機關之間界限。而網信部門不僅存在于政府序列中，即國家網信辦，還有對應的黨的機構，即中央網信辦，兩者合署辦公。同時，國家網信辦和中央網信辦又受中共中央網絡安全和信息化委員會領導，由此可見，由網信部門作為高額罰款執法主體更有利于直接加強黨對網絡安全領域工作的領導作用。

2.應在網信部門和其他部門之間建立完善的聯合執法機制

明確網信部門作為違法處理個人信息高額罰款的執法主體，并不意味著排斥國務院中負責個人信息保護和監管的部門、縣級以上地方政府中負責個人信息保護和監管的部門。應該建立以網信辦為牽頭單位，其他部門共同參與的聯合執法機制。

盡管本文主張將網信部門作為高額罰款的執法主體，但并不因此否認市場監督管理部門和其他部門享有除高額罰款以外的其他行政執法權。由于社會治理事項本身的復雜性和內部聯系性，各部門之間存在管理事務和職權交叉是難以避免的。侵害個人信息的行為人往往是大型網絡平臺，所涉及的違法行為還可能同時包括運營資質審批、不正當市場競爭等問題，可能涉及多部門的管轄領域，因此客觀上也需要多部門聯合執法。例如，在2021 年針對“滴滴出行”的網絡安全審查中，除國家網信辦外，還有公安部、國家安全部、自然資源部、交通運輸部、稅務總局、市場監管總局六部門聯合參與。國家層面也明確了國家網信辦與國家發改委等11 個部門建立網絡安全審查工作機制。〔26〕參見《網絡安全審查辦法》第4 條。因此，在明確網信部門為高額罰款執法主體的基礎上，需要建立針對侵害個人信息行為的有效協同的聯合執法機制。在這一機制中，網信部門作為牽頭單位負責聯合調查的組織協調工作，其他部門根據各自管轄領域和執法權限參與其中，進而實現統籌協調，各司其職。

此外，高額罰款執法主體的確定要實現履職到位、流程順暢。確立網信部門作為高額罰款執法主體的地位并建立聯合執法機制，兩者的最終目標是實現對侵害個人信息行為的高效處理，提高行政體制的運行效率“也要靠簡化中間層次、減少管理層級、加強流程公開透明等”。〔27〕王曉暉：《堅持優化協同高效推進黨和國家機構改革》，載《人民日報》2018 年3 月19 日，第8 版。因此，明確網信部門的高額罰款執法主體地位后，還要解決網信部門的層級管轄和地域管轄問題。

3.省級以上網信部門均享有違法處理個人信息的高額罰款執法權

我國的網信部門以行政層級為標準劃分為中央和地方共四級，即中央網信部門、省級網信部門、地市級網信部門和縣級網信部門。本文主張將省級以上網信部門作為違法處理個人信息高額罰款的執法主體。

由于我國互聯網發展呈現多中心分布的特征，明確省級以上網信部門作為高額罰款執法主體可以兼顧執法的有效性和統一性。第一，如果僅將高額罰款執法權賦予中央網信部門，則導致執法權層級設定過高、執法力量過度集中，不利于對各地發生的違法處理個人信息行為及時做出反應，影響執法的有效性。第二，如果將高額罰款處罰權賦予地市級和縣級網信部門，則執法層級設定過低、執法力量過于分散，不利于對違法處理個人信息行為確定統一執法標準。一則基層執法機關缺乏足夠的執法力量調查大型互聯網企業復雜的違法處理個人信息行為，二則各地方在產業發展中容易存在地方保護主義。我國地市級和縣級政府數量眾多，各地方容易將高額罰款作為地方保護的工具，或對本地區違法處理個人信息行為消極執法，或對其他地區違法處理個人信息行為過度執法。〔28〕參見馬懷德：《地方保護主義的成因和解決之道》，載《政法論壇》2003 年第6 期，第157 頁。一旦將高額罰款執法權下放至地市級和縣級網信部門，中央將難以監督眾多地方網信部門的高額罰款行為，不利于法制統一。第三，省級以上網信部門有較強的執法能力，有利于執法資源的相對集中。通過對中國互聯網前100 名企業進行統計可以發現，90%的企業登記地都位于直轄市或省會城市。〔29〕其具體分布情況為：北京38 家、上海18 家、廣州7 家、深圳6 家、杭州4 家、南京3 家、濟南3 家、成都3 家、武漢2 家、無錫2 家、福州2 家，天津、蘇州、長沙、蕪湖、合肥、貴陽、重慶和哈爾濱各1 家。關于這100 家互聯網企業的名稱，參見《中國互聯網企業綜合實力研究報告（2020）》，來源：httрs://хw.qq.com/amрhtml/20201102A09F7Q00，2021 年7 月28 日訪問。關于這100 家互聯網企業的城市分布，參見《中國互聯網百強企業城市分布》，來源：httрs://www.sohu.com/a/433068954_760428，2021 年7 月28 日訪問。省級網信部門所在地也都位于直轄市或省會城市，這樣在調查和處理企業違法行為時就能減少中間過程的損耗，節約執法資源。第四，將執法主體層級限定在省級以上網信部門有利于實現對高額罰款執法權的有效監督。由于省級網信部門的數量有限，國家網信部門可以對32 個省級網信部門實施有效監管。并且，省級網信部門的級別相對較高，受到的監督更多，客觀上更能夠約束其濫用執法權的沖動。因此，鑒于我國違法處理個人信息高額罰款制度仍處于初步實踐階段，為了兼顧執法有效性和法制統一性，將高額罰款處罰權限定在省級以上網信部門具有充分的合理性。

（三）國家網信部門和省級網信部門的層級管轄

省級以上網信部門包括國家網信部門和省級網信部門，因此有必要對兩級網信部門的管轄權限進行討論。隨著國家加大對大型網絡平臺企業的審查，相關案件的執法情況可以為兩級網信部門的管轄權劃分提供實踐參照（表2）。

表2 近兩年被處罰或審查的大型網絡平臺企業及執法主體

以上六家企業的登記地分別位于杭州、北京、深圳、天津和南京等省會城市、副省級城市或直轄市，阿里巴巴、美團和騰訊為港股上市企業，其余三家為美股上市企業。六家企業都具有互聯網運營資質且用戶規模巨大，屬于關鍵信息基礎設施運營者，其涉嫌的違法行為包括濫用市場支配地位、侵害個人信息、危害國家網絡安全等。由于對它們的審查具有全國政策導向性，所以均由中央級別的執法機關而非地方執法機關進行處理。究其原因，一方面，由于上市是互聯網企業獲得融資的最主要渠道，一旦企業上市，意味著其獲得了更廣泛的社會影響力，對于在國外上市的互聯網企業，由于東道國可能設置各種針對性審查條件，如果接受這些條件則可能會導致我國個人信息的泄露，威脅國家網絡安全；另一方面，關鍵信息基礎設施運營者是指經營公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域，以及其他一旦遭到破壞、喪失功能或者泄露數據，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施的企業。因此，由實踐可見，上市企業和關鍵信息基礎設施運營者的身份是引發中央級別執法機關進行執法的重要原因。

綜上，可以得出國家網信部門和省級網信部門管轄權的區分標準，即該大型網絡平臺企業是否為上市企業及其是否為關鍵信息基礎設施運營者。如果在大陸或港股上市的企業或關鍵信息基礎設施運營者涉嫌實施違法處理個人信息行為，由國家網信部門負責處理。非上市企業和非關鍵信息基礎設施運營者實施違法處理個人信息行為則由各省級網信部門負責處理。對于已經在國外上市的企業，如涉及違法處理個人信息行為，由國家網信部門負責處理。對于準備在國外上市的企業，則預先由國家網信辦的網絡安全審查辦公室組織對其進行審查，并報中央網絡安全和信息化委員會批準后方可在國外上市。〔30〕參見《網絡安全審查辦法》第13 條。

四、違法處理個人信息高額罰款責任與其他法律責任的關系

（一）違法處理個人信息高額罰款的法條競合

我國《網絡安全法》《數據安全法》《個保法》等法律從各自角度規定了侵害個人信息行為的行政責任，并規定了不同的行政處罰。當同一侵害個人信息的行為觸犯數個法律，并應承擔多種行政責任時，便有可能產生行政罰款競合問題。

根據行政法“一事不再罰”的基本原理，同一違法行為不得遭受兩次以上同類型的行政處罰。但由于原《行政處罰法》并未規定一個違法行為同時觸犯多個法律規定、處罰標準不同的情形應如何處理，導致現實操作中出現許多問題。新修訂的《行政處罰法》就此問題明確了罰款“就高”的規則。《行政處罰法》第29 條規定，“對當事人的同一個違法行為，不得給予兩次以上罰款的行政處罰。同一個違法行為違反多個法律規范應當給予罰款處罰的，按照罰款數額高的規定處罰”。有文章指出罰款“就高”的具體適用規則，認為“就高”并非以具體執法的罰款數額為標準，而是以法律規范中罰款數額規定為標準；對于有固定數額的罰款，直接適用數額高的規定；對于有幅度的罰款，先比較罰款上限，適用罰款上限高的規定；沒有罰款上限或者罰款上限一致的，適用罰款下限高的規定；對于形式上難以比較數額高低的，則需根據案情等實際情況作出判斷。〔31〕參見黃海華：《新行政處罰法的若干制度發展》，載《中國法律評論》2021 年第3 期，第57 頁。但通過比較具體法條可以發現，將罰款“就高”規則適用于侵害個人信息行為會面臨更為復雜的判斷過程。假設侵害個人信息的行為同時違反《網絡安全法》《數據安全法》《個保法》中的規定，則會發生法條競合的問題。而三部法律對行政罰款金額的規定各不相同（表3）。

表3 侵害個人信息行為的單位罰款金額的規定

通過比較可以發現，《網絡安全法》沒有區分情節，而是根據有無違法所得來明確罰款金額，即倍率數據式。《數據安全法》《個保法》則區分情節和后果，根據情節和后果輕重適用不同檔的金額，即數值數據式。由于以上條款對罰款金額的確定規則各不相同，因此屬于上文罰款“就高”規則中的“形式上難以比較數額高低”的情況。為最終明確三部法律中哪個條款罰款金額最高，則需結合具體案情，查明侵害個人信息行為是否有違法所得、侵害的自然人人數、是否造成嚴重后果、情節是否嚴重以及是否危害國家主權、安全和發展利益等因素，選擇具體對應的罰款金額條款方可進行比較。

（二）高額罰款行政責任與民事責任、刑事責任的關系

除行政罰款外，違法處理個人信息行為可能因同時違反民事、刑事法律規定，而承擔民事賠償并被科以刑事罰金。在刑事責任上，侵害個人信息行為可能觸犯《刑法》 第253 條關于“侵犯公民個人信息罪”和第286 條關于“拒不履行信息網絡安全管理義務罪”的規定。在民事責任上，《個保法》第69 條規定“處理個人信息侵害個人信息權益造成損害，個人信息處理者不能證明自己沒有過錯的，應當承擔損害賠償等侵權責任”，該條款明確了侵害個人信息行為需承擔民事侵權責任。除自然人提出的民事訴訟外，有關行業組織和檢察院也可以提出侵害個人信息的民事公益訴訟，例如《個保法》第70 條和《深圳經濟特區數據條例》第98 條都規定了侵害個人信息民事公益訴訟條款。雖然侵害個人信息公益訴訟目前并未規定懲罰性賠償，但由于我國的立法趨勢正傾向于擴大懲罰性賠償的適用領域，因此可以預見未來的侵害個人信息民事公益訴訟也可能增加懲罰性賠償的規定。〔32〕參見江帆、朱戰威：《懲罰性賠償：規范演進、社會機理與未來趨勢》，載《學術論壇》2019 年第3 期，第65-66 頁。如此，侵害個人信息行為的違法主體將同時面臨個人損害賠償、懲罰性賠償、高額行政罰款和刑事罰金四項賠償和罰款。因此理解與適用《個保法》第66 條第2 款，就應考慮到當違法主體的財產不足以同時支付民事賠償、高額行政罰款和刑事罰金時，如何明確高額罰款行政責任與民事責任、刑事責任的關系。

1.高額罰款行政責任和民事責任并存時應堅持民事責任優先原則

我國民法理論認為，從對私權利優先保護的角度出發，及時彌補受害人損失為優，所以民事責任的承擔優先于行政責任的承擔，我國法律也早已確認該原則。〔33〕例如《合伙企業法》第106 條規定，“違反本法規定，應當承擔民事賠償責任和繳納罰款、罰金，其財產不足以同時支付的，先承擔民事賠償責任”；《消費者權益保護法》第58 條規定，“經營者違反本法規定，應當承擔民事賠償責任和繳納罰款、罰金，其財產不足以同時支付的，先承擔民事賠償責任”；《民法典》第187 條規定，“民事主體因同一行為應當承擔民事責任、行政責任和刑事責任的，承擔行政責任或者刑事責任不影響承擔民事責任；民事主體的財產不足以支付的，優先用于承擔民事責任”。本文認為，在處理侵害個人信息案件中，同樣要堅持民事責任優先于行政責任的基本原則。高額罰款的設計初衷是為了給侵害個人信息行為的違法主體施加足夠的威懾，最終保護個人信息權益，如果高額罰款的承擔優先于民事責任的承擔，則屬本末倒置。

2.建議創設個人信息保護基金

此外，目前實踐中行政機關普遍選擇優先執行行政罰款，違法主體大多無力再支付民事賠償，導致民事責任優先原則難以落實。針對該問題，學界曾提出一些程序上的調整建議，包括將民事賠償責任納入行政罰款責任的確定范圍、將行為人的民事賠償能力納入行政罰款的緩減免事由、將民事賠償權利人納入行政罰款執行程序的案外人等。〔34〕參見李明發：《論民事賠償責任優先原則的適用——我國〈侵權責任法〉第4 條第2 款規定之解讀》，載《南京大學學報（哲學·人文科學·社會科學）》2015 年第2 期，第51 頁。但這些建議只是在現有的程序法框架內做細微調整，無法真正調和行政處罰與民事賠償在執行時間上的顯著差異。本文認為，針對此問題可以創設一個獨立的個人信息保護基金，將行政高額罰款直接納入其中。該基金獨立負責管理和使用高額罰款，一旦違法主體的財產不足以支付民事賠償，則可根據人民法院的決定，由基金填補民事賠償不足的部分。這樣一方面可以避免延長行政處罰的程序，另一方面能夠有效執行民事賠償。

3.高額罰款行政責任和刑事責任并存時遵從刑事責任優先原則

修訂前的《行政處罰法》第22 條規定，“違法行為構成犯罪的，行政機關必須將案件移送司法機關，依法追究刑事責任”。該條文明確了行政責任和刑事責任競合時刑事責任優先的原則。〔35〕參見胡建淼：《〈行政處罰法〉修訂的若干亮點》，載《中國司法》2021 年第5 期，第57 頁。由于現實案例中針對單位的罰金金額比較有限，遠低于高額罰款的金額，而大型網絡平臺的財產大多能夠足額繳納罰金，因此行政責任和刑事責任出現競合時，刑事責任多能得到完全執行，而行政責任只能在刑事責任執行后方可繼續執行。

新修訂的《行政處罰法》第27 條在此基礎上增加一款，即“對依法不需要追究刑事責任或者免予刑事處罰，但應當給予行政處罰的，司法機關應當及時將案件移送有關行政機關”。該款規定表明，一旦侵害個人信息行為不需要追究刑事責任或免予處罰，也不影響其行政責任的承擔。具體到本文，司法機關要將案件轉交網信部門，后者依然可以對其進行行政處罰。

五、結語

《個保法》第66 條規定了個人信息處理者違反本法規定處理個人信息或者處理個人信息未履行本法規定的個人信息保護義務時需要承擔的行政責任，與該法規定的民事責任、行政責任等一起共同構成了較為完善的個人信息保護綜合法律責任體系。該條注重多種行政處罰方式的綜合適用，深化了單位和個人的行政處罰雙罰制，同時延續以往立法，根據違法行為的情節輕重實施分級處罰制度，即區分為一般情節與情節嚴重。在針對情節嚴重的處罰上，本條規定處五千萬元以下或者上一年度營業額百分之五以下罰款，即實施高額罰款，此舉強化了行政執法，可以在一定程度上解決侵害人違法與侵權的低成本問題，并對個人信息處理者形成更強的威懾力。此種寬嚴相濟的做法，充分體現了《個保法》既保護個人信息權益，規范個人信息處理活動，又促進個人信息合理利用的立法思想。但是，本條的規定仍然非常原則，為實現執法的規范化，應在理解該制度實施目標和任務的基礎上，在以后的實施中通過細則等形式明確該責任的構成要件、執法主體、執法對象、執法標準和執法程序等內容。