個人信息保護中行政處罰的實施基礎及制度邏輯

●陳可翔

《個人信息保護法》圍繞全環節、系統性的個人信息處理規則建立了配套的行政處罰制度，為以行政干預強化個人信息保護完善了法律依據。然而，在具體處罰實踐中，針對哪些情形應當（可以）處罰，以及怎樣處罰，目前仍未形成統一的標準，部分行政處罰面臨過度介入私權糾紛化解、壓縮社會自治空間及混淆內部法益構造等質疑，造成行政監管與私人自治邊界的模糊。厘清個人信息權益保護為何必須要引入行政處罰制度，以及是否能夠引入行政處罰制度等基礎性問題對于回應上述質疑，明確行政處罰實施的目標和邊界具有決定性影響，關系著行政處罰制度邏輯的確立，以及處罰對象、事由、場景、基準、程序等具體規范的構造。因此，本文從審視個人信息保護中行政處罰的實施基礎出發，揭示相較于民法保護模式而言，引入行政責任機制保護個人信息權益的現實需求、目標指向和內在機理，并以此為基礎，對相關領域行政處罰的制度邏輯展開討論，明確行政處罰的組織模式、主要對象、具體場景、裁量尺度、程序規范等，探究個人信息保護行政處罰的規范體系構造。

一、個人信息保護中行政處罰實施面臨的質疑

當前，個人信息保護中實施行政處罰的對象、場景、情節、尺度等均存在較大差異，反映了執法部門對該領域行政處罰的功能定位、目標指向、實施邊界等問題認識不一，實踐中部分案例面臨合法性、正當性質疑。

（一）介入個人信息保護中的私權糾紛化解

1.針對普通信息處理者的處罰正當性存疑。《個人信息保護法》第66 條明確規定了行政處罰適用對象為信息處理者，但并未對信息處理者作具體分類和細致規定。學界主要根據現有案例，將實踐中作為處罰對象的信息處理者劃分為互聯網平臺和普通信息處理者兩種類型。互聯網平臺無疑是個人信息行政處罰制度實踐的核心指向對象，普通信息處理者則主要指除了平臺以外，從事傳統銷售、服務等日常生產經營活動的組織，以及掌握他人信息的個人。后者在實踐中往往以非法采集人臉信息、存儲個人信息數據、暴露個人隱私等形式侵犯個人信息權益而受到處罰。

如果說帶有營利性的平臺憑借對信息、技術等資源的占有在平臺治理中實際行使公權力，卻“沒有受到傳統與公權行使相匹配的嚴格審查”，〔1〕陳可翔：《互聯網公共治理方式轉型的行政行為法回應》，載《法學》2022 年第7 期，第61 頁。是在個人信息保護制度體系中引入公法規則的現實動因，那么作為并不掌握技術、資源優勢的普通信息處理者與個人的關系相對平等，又何以囿于侵犯個人信息權益引發的私權糾紛而成為行政處罰的對象？這難免使相關行政處罰案例的正當性遭受質疑。例如，江蘇省淮安市公安局淮陰分局王營派出所以某乒乓球館超越維護公共安全所需范圍安裝圖像采集設備，卻以未設置顯著提示標志為由對其作出行政處罰；江蘇省蘇州市公安局工業園區分局以趙某某未告知并征得兩位家政服務提供者同意，向李某某非法提供兩位家政服務提供者的個人信息為由對其作出處罰；江蘇省淮安市公安局淮陰分局劉老莊派出所以某餐飲店因正常業務需要，收集會員個人信息，但未制定內部管理制度和操作規程，沒有定期對從業人員進行安全教育和培訓為由對其作出處罰；江蘇省邳州市公安局以某幼兒園在電腦WPS 軟件內儲存學生姓名、身份證號碼等信息，未采取設置單獨密碼保護、個人專用賬戶等安全技術保護措施，不能有效防止信息泄露、丟失為由對其作出行政處罰；等等。〔2〕參見江蘇省淮安市公安局淮陰公安分局淮陰公（營）行罰決字〔2022〕261 號行政處罰決定書，江蘇省蘇州市公安局工業園區分局園公（西）行罰決字〔2023〕1822 號行政處罰決定書，江蘇省淮安市公安局淮陰公安分局淮陰公（劉）行罰決字〔2023〕29 號行政處罰決定書，江蘇省邳州市公安局邳公（東）行罰決字〔2023〕1732 號行政處罰決定書。這些案例普遍存在的問題是普通的企事業單位、個人等信息處理者與信息主體處于相對平等的地位，其囿于上述侵權行為與信息主體形成平等主體間的民事關系，卻又緣何成為個人信息保護中行政處罰的對象？這客觀上導致個人信息保護制度在實施中背離了對抗數據權力，調和平臺與用戶不平等關系的規范初衷，引發相關領域行政處罰實施邊界的爭議。

2.行政處罰情形泛化內含的保護模式沖突。《個人信息保護法》的出臺推動了行政處罰實施范圍由消費者權益保護、網絡安全風險控制等場景向更加復雜的場景拓展。〔3〕以往主要依據《消費者權益保護法》《網絡安全法》等其他法律規范對違法采集、使用、泄露消費者個人信息、誘發信息泄露風險等行為作出處罰，其適用范圍相對有限。經北大法寶最新檢索發現，實踐中行政機關以“違法收集存儲泄露個人信息”“未經同意處理個人信息”“未采取安全保障措施”“超出信息合理使用范圍”“未按照要求處理敏感信息”等為由對不同主體作出處罰的案例分別為160 余宗、130 余宗、50 余宗、20 余宗、40 余宗。盡管在同一案件中往往出現事由疊加，但這足以說明上述事由均已成為典型的個人信息違法處罰情形。

倘若將不同違法情形劃分為“侵犯個人在信息處理活動中的權利”和“個人信息處理者未履行義務”兩種類型。前一類型主要包含信息處理者未充分保障個人對信息的知情權、決定權、查閱權、復制權、更正權、補充權、刪除權及救濟權等權利的情形；后一類型主要指信息處理者違反個人信息保護法所設定的各項義務，包括違反作為義務和不作為義務的情形，如沒有對個人信息采取相應的加密、去標識化等安全技術措施，未取得個人單獨同意公開其處理的個人信息等。

由此帶來的問題是，個人在信息處理活動中的權利是否必然為公法權利，信息處理者未履行義務產生的責任又是否必然為公法責任？事實上，《個人信息保護法》包含的私法規則不在少數，其在個人信息保護領域與公法規則形成共治格局，塑造了行政監管與民事救濟兩種保護模式，侵犯個人信息權利和違反個人信息處理者義務率先觸發的可能僅僅是私法保護機制。而在個人可以通過私法保護請求停止妨害或尋求權利救濟時，直接將行政處罰實施的場域向侵犯權利、未履行義務等各類情形延伸的公法保護模式必然遭遇正當性、合理性質疑。例如，在上述案例中，倘若經由信息主體向涉案乒乓球館、餐飲店、幼兒園及個人提起民事救濟能夠有效督促其停止侵權并獲得賠償，則行政處罰實施缺乏相應的必要性。畢竟對于平等主體而言，私法自治的優勢在于其能夠讓信息主體以其自由意志來決定法律關系的演變，發揮“同意”在個人信息處理各環節中的主導作用，彰顯個人尊嚴和個人的自由發展，以及個人信息權益的主體性。故即便是平臺未經同意處理個人信息、超出信息合理使用范圍等，經由個人提出異議、溝通協商或尋求民事救濟，其能夠糾正自身的違法行為，是否對之進行處罰也需要進一步結合客觀損害、違法所得、風險評估等其他要素加以考量。也即，公民可以直接就平臺未經同意處理其個人信息獲得民事救濟時，不必然需要行政處罰手段的積極介入。個人信息保護法所確立的公私法融合保護模式并不是“大雜燴”，也不是在公法或私法保護之間進行隨意性地選擇適用，而是應當盡可能區分兩者各自的適用邊界。

（二）壓縮個人信息保護中的社會自治空間

1.難以緩解行政處罰與社會自治在個人信息保護領域的張力關系。《個人信息保護法》為多元主體共同參與個人信息保護提供了依據，〔4〕《個人信息保護法》第11 條規定，國家建立健全個人信息保護制度，預防和懲治侵害個人信息權益的行為，加強個人信息保護宣傳教育，推動形成政府、企業、相關社會組織、公眾共同參與個人信息保護的良好環境。并對信息處理者采取必要的安全措施，建立權利行使申請受理和處理機制，制定內部管理制度和操作規程，指定個人信息保護負責人；建立健全合規制度，制定平臺規則，對管理服務提供者等義務加以規定，從而塑造了一個相對清晰的自治空間。社會自治的正當性基礎或從部分個人信息權利讓渡中體現，或從信息處理者的公共義務中證立。

然而，實踐中監管部門發現信息處理者存在“未建立數據安全管理制度和操作規程”“未采取去標識化和加密措施”等情形時，往往直接作出警告、罰款、責令暫停提供服務等處罰，以侵權的潛在危險性為依據，直接取締信息處理者的自治空間，造成自治與他治的邊界模糊。對個人信息權益保護而言，“潛在的風險”是否必然成為引入行政監管以平衡不對等權利（權力）義務關系的正當性基礎？對社會自治規律而言，自治規范缺位是否意味著自治失靈？作為最嚴厲的行政監管手段，實施行政處罰是否需以自治場域內個人信息權利束行使乏力為前提？這些疑問折射出行政處罰實施的啟動條件不明，以及社會自治語境下行政權力介入信息處理者與個人關系的邊界厘定不清。行政處罰在個人信息保護實踐中的過早介入，與《個人信息保護法》所預設的共治格局相違背，加劇行政監管與社會自治之間的協調困難。

2.未能正視行政監管與社會自治在個人信息保護中的功效差異。個人信息保護中行政處罰的實施與社會自治的展開分別仰仗于國家行政權與社會公權力的行使，權力結構的分立與共治格局的生成決定了行使兩種權力在回應個人信息保護訴求方面存在較大區別。一是，部分信息處理者占有信息、技術等普通私主體所不掌握的資源是社會公權力產生和運行的基礎，其憑借專業技術、流程控制等優勢，能夠更加高效、便捷、準確地回應個人信息保護訴求，應對復雜的個人信息侵權場景。二是，信息處理者往往以滿足個人信息流轉追求的更大收益為指向，需要兼顧個人信息利用與個人信息保護雙重任務，從而在行使權力時并不單純以個人信息權益保護為價值目標，而是同時強調打通信息壁壘、提升服務效能等，這與行政權介入個人信息保護的單一性目標存在顯著差異。三是，以平臺為代表的信息處理者可以行使權力，直接對平臺內的服務提供者侵犯個人信息權益予以懲戒，而在相同情形下，通過對平臺實施行政處罰難以實現上述理想的成效，甚至引發關于處罰對象適格性的質疑。

可見，實踐中相關行政處罰試圖以行政權的介入，緩解社會自治缺位造成的個人信息保護成效不佳，卻忽視了不同性質的權力在實際應用中的功效差異，也造成了權力結構的失衡。尤其是當行政機關通過高額罰款對平臺等信息處理者怠于履行自治義務的行為加以處罰時，會出現平臺將高額罰款轉移由用戶承擔的情形。

（三）混淆個人信息保護中的內部法益構造

結合個人信息權益的內部結構、不同行政處罰法律依據的價值傾向，以及不同行政處罰措施和尺度的選擇適用來看，現有的行政處罰實踐尚未理順個人信息保護內部復雜化的法益構造。

1.不同處罰種類和幅度的選擇缺乏明確性。個人信息保護相關法律規范所設定的警告、沒收違法所得、責令暫停或者終止提供服務、罰款等不同種類的處罰在實踐中均得到廣泛應用。然而，究竟何種違法行為要受到何種處罰，其對應的幅度如何確定隨即成為備受學界關注的問題。信息處理者多數為大型互聯網平臺，引領著新興產業的發展和擁有數量龐大的用戶群體，故處罰種類和幅度的選擇既要考慮與違法情節相適應，也要兼顧處罰對社會的負面影響。規則的抽象性、概括性規定降低了行政處罰實施的清晰度，其賦予了監管部門充分的自由裁量權，也導致處罰的基準不一，模糊了處罰的介入條件和弱化了其可預期性，造成公益保護與私益救濟之間的失衡，背離國家履行個人信息保護義務對法定依據、裁量基準明確性的要求。

2.行政處罰依據選取存在較大分歧。經北大法寶檢索發現，從《個人信息保護法》實施到2023年7 月20 日，個人信息行政處罰案件共有1100 余件，其中大多適用了《網絡安全法》《數據安全法》《消費者權益保護法》等法律規范，適用《個人信息保護法》的僅有146 件。可見，目前監管部門對相關領域行政處罰依據的選取并無統一標準，面對類似違法情節時，出現在不同法律規范之間進行責任條款的恣意選擇適用。〔5〕例如，同樣面對幼兒園在電腦軟件上存儲學生姓名、身份證號等信息時未能采取安全保護措施，江蘇省邳州市公安局岔河派出所對其作出處罰所依據的是《網絡安全法》（參見江蘇省邳州市公安局邳公（岔）行罰決字〔2023〕1450 號行政處罰決定書），而邳公（東）行罰決字〔2023〕1732 號中的處罰依據的是《個人信息保護法》。由此衍生的問題是：其一，《網絡安全法》第64 條明確規定監管部門在發現違法行為時可以直接作出罰款，并未賦予網絡運營者改正免罰款的空間，《個人信息保護法》第66 條則以信息處理者“拒不改正”作為罰款的前提。兩者對處罰尺度的設定不同，而實踐中監管部門往往堅持“嚴罰”的理念，習慣于適用《網絡安全法》對相關違法行為進行罰款，引發關于法律適用和監管尺度的爭議。其二，《數據安全法》第45 條延續了《網絡安全法》的處罰思路，但在罰款數額設計上與《網絡安全法》《個人信息保護法》均有所不同，具體適用在實踐中常常發生分歧。同時，《數據安全法》所規定的數據安全雖然包含了個人信息安全，但其法律調整的重心主要為安全環境的建構，指向對公共利益的維護，將安全風險作為處罰判定的標準，這與《個人信息保護法》的核心立法目的存在差異。故其在個人信息違法處罰中的過度適用容易忽視個人信息權益保護的實際需求，加劇行政監管與私人自治之間的關系緊張。其三，《消費者權益保護法》第56 條規定了經營者侵害消費者信息權益的行政責任，但與《個人信息保護法》相比，其具體適用須聚焦于消費場域，調整對象覆蓋不同類型的普通經營者，并以侵犯消費者合法權益的民事責任為基礎，將維護經濟社會秩序作為主要的規范目的。然而，兩部法律在適用情形和行政責任設定上的區別并未在相關行政處罰實踐中得到體現。

3.因承擔行政責任而影響民事侵權的救濟。個人信息權益包含人格尊嚴、信息安全、隱私權益、財產權益等不同法益，故在相關行政處罰實踐中，行政責任與民事責任往往并存，而如何協調兩種責任的關系是一個頗為復雜的問題。由于承擔行政責任提高了互聯網平臺等信息處理者的經營成本，削弱了其承擔民事侵權責任的能力和意愿，故對帶有營利性的信息處理者作出高額罰款、沒收違法所得、停業整頓、吊銷業務許可、吊銷營業執照等處罰，勢必影響被侵權的信息主體向其主張承擔相應的民事責任。監管部門習慣于采用高額罰款、沒收違法所得等處罰手段，很大程度上桎梏了被侵權人相關民事權利的救濟。“已經被罰款為何還要民事賠償”成為大多數信息處理者拒絕進一步履行民事責任的常見理由。此外，沒收違法所得與賠償被侵權人損失應如何協調始終是目前普遍引發糾紛的現實難題。這本質上仍然關乎公法保障與私法自治、秩序建構與權利救濟之間的價值平衡和邊界厘定，其同樣要求監管部門在選擇不同種類和幅度的行政處罰時妥善把握好個人信息權益國家保護的尺度。

二、個人信息保護中行政處罰實施基礎審視

個人信息保護中行政處罰的實施基礎旨在回答為什么必須通過行政處罰來保障個人信息權益的問題。面對相關行政處罰實施面臨的質疑，只有先嘗試對這一基礎性問題作出解答，才能進一步確立處罰實施的目標和邊界。

（一）基于信息處理者與信息主體不平等關系的糾偏

通過民事保護工具和社會自治機制無法實現對“持續性不平等關系”的有效調整，體現了行政處罰對象和場景的特殊性。

1.民法難以調整信息處理者與信息主體之間潛在的不平等關系。信息處理者與信息主體之間既存在平等主體之間的人身和財產關系，如數據交易、授權同意、服務供給、侵權補償等，也存在不平等的支配與被支配的關系，如行政機關、互聯網平臺及高校、行業協會等主體利用其主導地位處理個人信息等，對于不同關系產生的糾紛，法律責任機制選擇勢必有所差異。一方面，行政機關、高校、行業協會等主體在收集利用個人信息中的支配地位來源于行政權或自治權，其在法定職責范圍內行使行政權處理個人信息的活動不屬于民法調整和行政處罰可以介入的范疇，主要由行政機關層級監督或內部監督機制加以調整。相反，高校、行業協會等主體基于自治權開展的信息處理活動倘若對個人信息權益產生影響，雖然囿于自治權內含的公行政屬性導致個人難以通過民事保護獲得救濟，但可以基于政府對各項公共事業的管理職能而引入行政處罰制度加以調整。另一方面，伴隨互聯網對現實世界的深度改造，每一個個體都已置身于數字場景當中，互聯網平臺不斷加大對個人信息的攫取和利用，并反過來影響甚至重塑個人的生活方式。在這場數字浪潮下，一種以技術、信息等資源占有和控制為基礎的平臺權力正在持續生長膨脹，進而侵襲和壓制著個人自治的空間。面對平臺與用戶之間的不平等關系，傳統以個人自我保護為機理的民事救濟手段早已捉襟見肘，行政監管及處罰手段的應用必須在個人信息保護及秩序建構中發揮重要的規制作用，這也是個人信息保護制度的目標所在。

可見，排除傳統公共行政部門依行政權收集個人信息的場景，信息處理者與信息主體是否存在不平等關系及民事保護機制的失靈是行政處罰介入與否的重要判斷標準。個人與信息處理者之間是平等的民事關系，還是不對稱權力結構下的信息處理關系，將在侵權賠償或行政處罰的選擇適用中起決定作用。其核心的界分標準在于信息處理者是否行使了公權力，包括是否存在行使公權力的客觀危險性，造成個人主觀權利訴求表達的障礙。從基本權利保護的視角來看，這有利于將個人信息權利的效力對象限定于實際行使公權力的信息處理者，〔6〕參見李海平：《個人信息國家保護義務理論的反思與重塑》，載《法學研究》2023 年第1 期，第87 頁。防止其效力向普通信息處理者及私人自治場域外溢。

2.依托社會自治難以實現對不平等關系的自我調節。行業協會、平臺等社會主體基于秩序建構和服務供給的公共任務而負有自我規制、自我調節的現實需要和法定義務。其行使的社會公權力對傳統國家權力結構的沖擊及其對個人信息權益的實質影響，要求個人信息保護從單純聚焦“個人—國家”二方關系向“個人—個人信息處理者—國家”三方關系轉型，關注信息處理者的自治優勢、功用和成效，立足個人信息權益的實現途徑和復雜的互動場景，明晰監管部門與信息處理者之間的功能分域。

然而，諸多信息處理者本身便是營利性主體，其圍繞個人信息保護開展社會自治不可避免面臨關于私人機構參與公共事務治理的擔憂，畢竟“算法媒體平臺天然的逐利屬性決定了其掌握的私權力會逐漸膨脹”。〔7〕孫逸嘯：《網絡平臺自我規制的規制：從權力生成到權力調適——以算法媒體平臺為視角》，載《電子政務》 2021 年第12期，第69 頁。即便是帶有公益性的行業協會，也難以避免因行業發展需要而帶有特定的價值傾向。這客觀上造成信息處理者怠于履行自治義務，甚至利用技術手段逃避行政監管，導致不平等關系自我調節機制的失靈。此時，迫切需要通過實施行政處罰實現對違法處理個人信息的非難及督促自治機制的運行。這表明，個人信息保護中行政處罰的實施應密切關注社會自治的實際成效，其目的不僅在于負面評價，還強調促進社會自治回歸正軌，繼續發揮其自身優勢，這無疑與以尋求事后救濟為目標的私法保護機制存在價值功能上的差異。

（二）指向個人信息處理領域不特定公共風險的規避

對信息處理者違法行為實施行政處罰還指向規避個人信息處理中的不特定公共風險，其旨在建構一種穩定的公法秩序，以實現對個人信息處理活動的全過程監控。

1.個人信息的公共性、流通性及不特定個人信息處理風險決定了規避風險是行政處罰的重要目標。個人信息只有在分享和流通中才能實現價值最大化。共享往往與公共風險共存，隨著網民群體擴張、信息業務拓展、安全隱患滋生等，此類風險還表現出明顯的不特定性。一是，風險源存在不特定性，個人很難針對風險進行提前預防；二是，風險指向群體面臨不特定性，個人信息處理活動的規模性、廣泛性、持續性將風險引向動態擴張的用戶群，平臺之間的信息共享客觀上加劇了風險的聯動效應，影響個體對風險的感知和防御；三是，風險危害后果具有不確定性，個體難以對風險可能導致的后果形成清晰預判，造成個體主張權利的遲緩甚至未行使相關權利。可見，個人信息處理的不特定性風險無法依靠個體性、分散化的判斷和救濟得到有效控制。此時，依托行政處罰的實施對信息處理者已經或可能引發風險的行為進行預判、防控和震懾，無疑是最具成效的方式。因此，如何對個人信息處理活動進行精細化分析，針對不同公共風險的源頭、群體、危害展開場景化治理是行政處罰實施的關鍵性命題。

2.以公共風險規制為導向，行政處罰實施重在建構一套穩定的公法秩序。民事保護模式主要依賴于公民在受到信息侵權時的積極維權與訴訟救濟，其缺點在于只聚焦個體利益，倚重事后救濟及效率低下，在前置保護與應急防控方面難有作為。相比之下，《個人信息保護法》確立的個人信息處理規則及其配套的行政處罰制度實際上旨在賦予監管部門法定職權，以建構一套公法秩序，致力于從源頭上遏制風險及對違法侵權行為的事中控制，實現個人信息國家保護秩序的構建。在這套秩序中，公共利益是不可或缺的目的，知情權、決定權、查閱權等個人在信息處理活動中的權利保護是基礎，應以“公共性”為標準限定行政權介入個人信息保護的法律領域，將行政處罰實施的場景劃定在信息處理者依不同性質的權力侵犯個人信息權利束或危及公共利益的范圍內。

（三）促進個人信息權益保護中多元利益訴求的協調

民事權益保護只是個人信息權益保護內含的諸多利益訴求中的一項，故單純的民事保護模式缺乏法益保護的適配性，不能實現對個人信息權益的全方位保護。相反，行政處罰的實施能夠在個人信息保護中促進多元利益訴求協調。

1.民事保護模式無法調和多重利益訴求的潛在矛盾。個人信息權益實際上呈現為一個復雜的法益集合體，對其進行保護具體表現為對動態利益訴求和靜態利益訴求的回應。所謂動態利益訴求，既包括在個人信息聚集、流通、共享環境下所呈現出來的保護數字法益的客觀需要，如基于個人信息流通而期待的公共服務優化、福利待遇提高、經濟效益增長等，也包括在個人信息處理中推動既有法益內容的拓展，如回應個人信息保護對個人自決、人格尊嚴、網絡安全等核心權益及其實現形式革新提出的新要求。所謂靜態利益訴求，則指向個人信息內含的相對穩定的隱私權、財產權等民事權益的保護。面向強大的信息處理者，不同法益均面臨各種潛在風險，不同利益訴求迫切需要得到全方位的回應。然而，傳統民法手段更多只關注個人信息處理中民事權益的保護，強調維持個人對信息的自決和控制，以及建構一種個人信息排他使用的私法秩序。其不僅忽視了個人信息基于交互共享而產生的公共價值，以及對主動防御新型公共風險的現實需要，而且過度前置化的適用也會加劇其擠壓行政機關利用專業優勢，制定技術標準以積極回應信息主體其他利益訴求的能動空間。

2.行政處罰的有效實施能夠對多元利益訴求加以調和。首先，個人信息保護行政處罰制度設計的初衷就是要對應信息處理規則和個人在信息處理中的權利，通過聯結行政責任，抵御信息處理者的不當干預，防控公共風險，實現對個人自治、人格尊嚴、網絡安全等不同法益的統籌兼顧，以及對新型訴求的及時回應。其次，個人信息保護行政處罰實施同樣要受到合理原則的調整，遵循必要性、衡量性等要求，在對信息處理者進行處罰時進行利益衡量，防止處罰尺度過大而桎梏個人信息流通及新興產業的發展，從而保持不同法益之間的平衡。再次，行政處罰的實施雖然以追究信息處理者的行政責任為出發點，但其與民事權益保護及民事責任的承擔并不沖突。一是，行政處罰有助于避免現實損害的發生，對個人信息的民事權益產生間接保護的功用；二是，在實施行政處罰的同時，有現實損害發生的，可以同步激活民事侵權責任追究機制，行政處罰的責任認定也可作為侵權責任認定的參照；三是，當受到侵害的主體不特定且范圍較廣時，可積極申請行政處罰手段的介入。這就要求行政處罰在制度建構和具體運行中既要協調處理好多元利益訴求的關系，也要注重不同法益的位階，并結合不同的利益考量和違法侵權場景，對行政處罰實施的依據、主體、事項、尺度等進行精細化設計。

三、個人信息保護中行政處罰的制度機理

立足個人信息保護中行政處罰的實施基礎，應從現實語境、原則、框架思路等方面進一步對行政處罰的制度構造展開討論，確立其指引具體規則體系完善的內在機理。

（一）行政處罰制度建設的現實語境

1.互聯網公域變遷構成個人信息保護行政處罰制度建設的時代語境。網民群體發展、公域與私域融合、平臺經濟崛起、數字技術應用等互聯網公域生成發展的重要表征，凸顯了數據共享和流通對促進公域變遷的支撐作用。個人信息被收集后聚合形成大數據，構成大數據的重要來源。海量的個人信息被廣泛收集和利用，脫離個人的絕對性、獨占性、排他性控制，逐漸展現公共性、交互性、流通性特征，產生了巨大的公共價值和經濟效益，進而引發公法對個人信息保護的關注。互聯網公域變遷是個人信息領域行政處罰制度得以生成和運行的前提，脫離了網絡公共秩序建構、數字公共服務供給、新型經濟形態發展等語境，個人信息權益保護的多元需求便無法在行政處罰制度建構中得到體現和回應。只有在互聯網公域語境下審視個人信息保護問題，才能立足國家和行業協會、平臺等憑借公權力收集利用個人信息的復雜場景，統籌個人信息的公共價值，防止個人信息保護陷入純粹以絕對控制權為基礎的私法自治場域，〔8〕參見楊芳：《個人信息自決權理論及其檢討——兼論個人信息保護法之保護客體》， 載《比較法研究》2015 年第 6 期，第29 頁。保證行政處罰制度建設以“公共性”為標準厘定自身介入個人信息保護的邊界。

互聯網公域變遷語境下的個人信息保護行政處罰制度建設，一是，要正視個人信息對于促進平臺經濟發展、公共秩序建構的價值，協調個人信息保護與利用之間的關系，避免給信息處理者設定過于繁重的義務和嚴苛的處罰后果，甚至將監管義務轉移給平臺承擔，增加其運營成本，降低其謀求創新的積極性。二是，要重視對行政處罰社會效果的評估，保障處罰措施合乎比例，防止對信息處理者的處罰過于嚴厲而“造成效力外溢”，〔9〕陳可翔：《互聯網公域治理變革與行政法發展》，上海三聯書店2022 年版，第177 頁。變相損害信息主體的其他權益，如平臺將高額罰款通過提高服務收費轉嫁給用戶，或者停業整頓、吊銷執照對用戶相關權益產生負面影響。三是，要遵循公權力結構從政府向社會延伸的趨勢，聚焦多元主體憑借公權力主導個人信息采集利用的復雜場景，為不對等的權力關系及私法難以調整的社會關系提供調節機制，當然也包含對權力主體不作為而產生公共風險的情形作出處罰，由此推動自身向大數據測算、算法識別等更加體現場景化、精細化的領域延伸。

2.公共治理變革構成個人信息保護行政處罰制度建設的實踐語境。在互聯網公域中，技術效能與系統風險并存，日益繁重的公共任務對傳統以政府為中心的管理模式提出挑戰。對此，政府借助機構調整和社會力量參與實現管理減負，釋放市場、社會自治空間，以更好地完成公共任務；行業協會、平臺等通過分享治權和自我賦權，激活自身治理能動性，以發揮其專業技術優勢；公民新型權利訴求不斷擴張，權利訴求表達渠道從政府端口向社會端口遷移，一種由他治與自治共存的公共治理格局，正越發清晰地呈現出來。〔10〕參見石佑啟、陳可翔：《合作治理語境下的法治化營商環境建設》，載《法學研究》2021 年第2 期，第176 頁。公共治理主體結構、行為類型、互動過程的全方位變革對個人信息保護行政處罰制度建設產生實質影響。

第一，多元主體圍繞秩序建構和服務供給等公共事務展開合作，往往也促成個人信息保護的分工，配套的處罰制度應在區分不同主體功能分域和治理優勢的基礎上確定處罰的對象、場景和邊界。一是，須在復雜的共治場景中確立適格的信息處理者及與之匹配的義務；二是，在社會自治維度，如通過推進內部組織建構、行為限度調適、治理過程控制和侵權損害救濟能夠實現個人信息有效保護，應對處罰保持審慎克制，賦予自治充分的空間，發揮信息處理者的技術優勢；三是，合作治理暢通了監管部門與信息處理者溝通的渠道，應進一步為二者在陳述申辯、情節認定、尺度選擇等環節的溝通預留通道。

第二，從倚重剛性監管的行政方式向兼顧包容、效能的治理方式轉變，要求保障行政處罰與其他治理方式的統籌協調。個人信息保護行政處罰的實施需兼顧個人信息利用的經濟價值。單純強調秩序建構、風險防控容易過度放大處罰的功用，滋長“以罰代管”的觀念，桎梏個人信息的合理利用。行政指導、行政約談、行政調解等協商型行政方式的廣泛應用標志著柔性治理的興起，為減輕一味借助處罰保護個人信息的負面影響提供了更多有效的治理方案。故配套的行政處罰制度應積極為其他治理方式的適用容留空間，根據個人信息處理各環節的風險和違法情節確定不同治理方式實施的先后位序、結合形式、對接程序等，形成包容性的制度架構。

第三，治理過程交替互動、治理要素頻繁更新決定了個人信息處理主體、形式、場景等的多樣性、創新性，迫切需要增強處罰制度的回應性。一是，適應多元主體協商互動的治理機理，明確處罰實施中公民權利訴求表達的途徑；二是，及時根據信息處理者類型拓展、技術創新、新業態發展等對個人信息保護實踐產生的影響，調整關于處罰對象、場景、情節的制度設定；三是，重視信息處理者之間的互操作情形對中小平臺自主決定權的影響，在聯動的治理網絡中增強對違法情形的客觀判定。

（二）行政處罰制度建設的原則指引

總體來看，個人信息保護行政處罰基本原則的設定不能脫離秩序行政下行政法基本原則的具體內涵和功能定位，合法、合理、程序正當等原則強調的“限權控權”“合乎比例”等理念不僅應被吸收到其體系內部，而且應得到進一步續造和鞏固。從個人信息權益積極保護的原理出發，合法原則須以保護個人信息權益為落腳點，進一步強調處罰目的的合法性，推動具體處罰部門的職權法定，緩解部門之間的職能交叉、政出多門、多頭執法；合理原則主要應以滿足個人信息權利訴求為導向，突出處罰場景、措施、尺度設定的必要性；程序正當原則應適應傳統管理模式下政府權力單向度運作向互動式合作治理邏輯生成轉變的客觀規律，注重對信息處理者參與過程的規范化，以及將參與對象向更多信息主體、監督評估主體等延伸；等等。除此之外，個人信息保護行政處罰制度還需將價值平衡原則、風險預防原則、輔助監管原則等作為基本原則。

1.確立價值平衡原則，推動多元主體利益關系協調。與合理原則所強調的利益衡量性相區別，價值平衡原則遵循行政法價值取向從“限權控權”向“促進權力與權利的平衡”轉向的趨勢，〔11〕參見羅豪才等：《現代行政法的平衡理論》（第二輯），北京大學出版社2003 年版，第5 頁。指向以回應個人信息保護中不同利益訴求為基礎，確立信息處理者、監管部門各自在行政處罰中的權利（權力）義務，推動“個人—信息處理者—國家”整體關系結構的平衡。就個人信息處理中多元價值關系的協調而言，促進從個人、信息處理者到監管部門的權力與權利相平衡，本質上是追求個人信息公共價值及私人價值的平衡。換言之，行政處罰的設定和實施應致力于平衡好個人信息權利與社會公權力、行政監管權，以及信息處理者權利與行政監管權之間的關系，以實現個人信息權益保障、信息處理者自身發展、公共秩序建構的統籌兼顧。

2.明確風險預防原則，發揮監管部門積極保護功能。“在風險社會理論下，風險控制的理念和工具被引入個人信息保護中，形成了‘基于風險的方法’”，〔12〕張濤：《探尋個人信息保護的風險控制路徑之維》，載《法學》2022 年第6 期，第58 頁。風險預防的重要性自不待言。將風險預防原則作為個人信息保護行政處罰的基本原則，主要面向信息主體難以對個人信息形成有效控制的場景，旨在促進風險規制責任的合理分配，強化風險的社會控制及監管部門的積極保護，以促進個人信息不同法益在信息充分流通情境下的有效實現。應當明確的是，一方面，風險預防原則在《個人信息保護法》中主要體現為積極保護的理念和機制，行政處罰制度應與《個人信息保護法》關于信息處理者、監管部門的保護義務設定相對接，強化對信息處理者自我規制的督促作用，以及對系統性風險的事中、事后監管；另一方面，風險預防原則適用以回應個人信息利益訴求為前提，脫離權利訴求的風險規制猶如“無本之木”，只有面向不同的個人信息處理場景，以更有利于個人信息權益保障為導向，才能準確把握基于風險預防實施處罰的模式、標準、程序等。

3.秉持輔助監管原則，兼顧網絡經濟新業態發展需要。輔助監管與社會自治是一體兩面的關系，其主張發揮行業協會、信息處理者等社會主體的自治優勢，減少對信息處理者的剛性束縛，避免囿于過度干預而變相增加其運營負擔。個人信息保護行政處罰制度秉持輔助監管原則，既要求從立法層面嚴格限定行政處罰適用范圍，又呼喚從執法層面對實施處罰及采取嚴厲的處罰手段持審慎的態度。特別是，新興行業倘若出現過度采集利用個人信息或信息權益保護不足等情形，應避免過度依賴“重罰”手段，導致平臺創新的積極性受到影響。

（三）行政處罰制度建設的框架思路

個人信息保護在多元主體合作共治的整體性治理變革中展開，整體主義理念影響著行政處罰法的重塑。〔13〕參見袁雪石：《整體主義、放管結合、高效便民：〈行政處罰法〉修改的“新原則”》，載《華東政法大學學報》2020 年第4 期，第20 頁。圍繞個人信息保護中處罰實踐對不同治理資源的整合利用，迫切需要從宏觀、中觀、微觀層面推動配套制度建構。

1.在宏觀層面促進公法與私法，以及硬法與軟法的銜接適用。學界普遍贊同將個人信息權益納入公法、私法融合的框架下予以保護，以彌補私法保護的先天不足。然而，區別于部分學者提出的淡化公法與私法的劃分，本文認為，公法私法化、私法公法化雖然已成為不可逆轉的趨勢，但個人信息內部權益構造的差異決定了公法、私法基于功能定位、調整方式等區別而在個人信息保護中仍應有各自獨立的適用空間，應在促進二者良性互動的基礎上，發揮其各自的功用。故個人信息保護行政處罰相關制度建設應深入私法保護的場景中，挖掘公法介入的適當空間。私法調整信息主體在完全理性、平等對待之下基于意思自治和民事救濟而產生的關系，公法聚焦信息主體囿于資源不對等或系統性風險而難以實現完全理性、自我控制及有效防護的情形，私人協議的約定往往成為判定是否存在不對等關系，是否引入公法保護的重要依據。

以“是否有國家強制力保障實施”為標準界分硬法與軟法，行政處罰制度屬于典型的硬法，社會組織章程、行業規則、平臺規約、技術標準等社會自治規范則屬于軟法。無論從多元主體分工合作，發揮社會自治優勢，還是從提供行業規制、技術指引等角度而言，個人信息保護行政處罰制度都應實現與軟法規范的相互銜接。在對軟法規范的合法性、可行性進行審查的基礎上，相關領域行政處罰制度的建構，可以嘗試將信息處理者遵守軟法規定作為判定其是否侵犯個人信息權益的重要依據，以推動客觀歸責原則在處罰情形認定中的落實。

2.在中觀層面處理好不同法律規范適用的效力位階關系。在個人信息保護行政處罰實踐中，應妥善解決《個人信息保護法》與《行政處罰法》《治安管理處罰法》《消費者權益保護法》《網絡安全法》《數據安全法》等法律規范如何選擇適用的問題。一是，個人信息保護相關法律規范規定的處罰在設定和實施的實體和程序上一般仍須遵守《行政處罰法》《治安管理處罰法》的相關規定，除非其以法律形式就處罰主體、種類、程序等具體事項出臺專門性規定，呈現特別法與一般法的關系。二是，準確把握《個人信息保護法》《消費者權益保護法》《網絡安全法》《數據安全法》等法律規范的立法目的差異，結合信息處理者侵害的法益、處罰事由及擬達到的目的，確定具體適用的法律規范，如《消費者權益保護法》相關條款重在保護消費者個人信息權益，其具體適用以存在消費活動為前提；《數據安全法》指向保障數據安全，維護國家主權、安全和發展利益，其重點是維護公共數據安全與數據跨境安全等問題，相關條款的適用場景與《個人信息保護法》的側重點不同。三是，面向處罰個人信息違法場景競合的情形，應推動不同法律規范責任條款設計的一致性，規避監管者出于自身利益考量的選擇適用。

3.在微觀層面推動行政處罰制度設計的場景化、精細化。個人信息保護與利用的價值平衡難題、多元主體合作共治的結構性障礙等將個人信息保護行政處罰的實施置于復雜的環境中。差異化的信息處理者、個人信息類別、技術要求、安全評估主體、發展業態等，都會影響處罰的實施，甚至不同監管部門作出的處罰決定各不相同。由此，相關領域行政處罰制度須結合信息處理者侵犯個人信息權益的不同場景進行更加精細化的設計。一是，以《個人信息保護法》為基礎，進一步針對跨境信息保護、敏感信息保護等領域的違法處罰問題分別出臺特殊的細化規定，圍繞監管部門的“組織”“規定”“指定”“評估”等形成匹配的一整套機制；〔14〕參見蔣紅珍：《〈個人信息保護法〉中的行政監管》，載《中國法律評論》2021 年第5 期，第52 頁。二是，提升法律授權的明確性，壓縮監管部門可以自主決定處罰規則、標準、程序等內容設定的權限，防止行政權僭越立法權，提升立法的可預見性和指引性；三是，圍繞各類執法場景，結合不同的違法情形、危害后果及其處罰種類、罰款數額等出臺配套的處罰裁量基準，抑制重罰嚴罰的觀念，增強行政處罰的明確性。

四、個人信息保護中行政處罰的規范構造

構造與個人信息處理規則相匹配的行政處罰規范體系，應適應個人信息保護中行政處罰的制度機理，從組織法、行為法、程序法等維度健全相關規則。

（一）組織法構造：確立行政處罰實施的主體結構

個人信息保護行政處罰實施的有序展開依賴于清晰的組織架構，重在圍繞“誰實施處罰”“誰協助處罰”，推進政府內部職權配置及外部功能分域法定化。

1.在政府監管維度確立明確、統一、專業的處罰機關。從法律規定來看，《個人信息保護法》實際上建立了“網信部門統籌協調+有關部門各自監管”的組織模式，有關部門主要從其他法律法規對職權的規定中確定，從而在既有事權劃分的基礎上為行政機關或公共組織增設個人信息保護職責，形成一個范圍極度寬泛的組織架構。從具體實踐來看，信息處理者遍及各行各業，“履行個人信息保護職責的部門”也隨著行業監管職能的分化而呈現分散化的現狀。〔15〕參見鄧輝：《我國個人信息保護行政監管的立法選擇》，載《交大法學》2020 年第2 期，第143-144 頁。這是相關領域行政監管面臨職能交叉、多頭執法等問題的內因，造成行政處罰實施機關及其適用依據的不明確。尤其是，不同部門囿于部門利益、監管難度、技術水平等方面的差異會影響其對處罰類型、幅度的選擇。因此，“所有履行個人信息保護職責的部門皆是該領域行政處罰主體”的觀點有待商榷，其將保護職責與處罰職權相混同，為處罰放寬了主體限制，在職權配置層面導致處罰介入的恣意性。

在個人信息保護職責設定之外單獨看待行政處罰權配置問題，將處罰權交由統一的行政機關行使，無疑是契合公共治理語境，從主體結構設計層面防止處罰權濫用，提升處罰明確性的有效路徑。組織權限配置與行政任務之間呈現“結構—目的”的功能性關系，〔16〕參見［日］大橋洋一：《行政法學的結構性變革》，呂艷萍譯，中國人民大學出版社2008 年版，第275 頁。為有效規避個人信息保護行政處罰出現“九龍治水”，關鍵要推進處罰權的集中。一方面，分散化職權配置下，監管部門難以認識和把握個人信息保護任務的特殊性，設置統一的機關更有利于處理技術性事務，對信息處理者違法的情節認定更為專業、客觀、公正，這與當前中共中央提出的“一類事項原則上由一個部門統籌、一件事情原則上由一個部門負責”的機構改革精神相一致；另一方面，設置統一的機關并不影響其他機關在其各自業務范圍內發揮個人信息保護的功用，可以進一步聚焦對“如何實現專責機關與一般機關之間的統籌協調”的討論，〔17〕參見高秦偉：《論個人信息保護的專責機關》，載《法學評論》2021 年第6 期，第116 頁。促進其與國家網信部門、其他業務部門形成合理細致的分工。

具體而言，行政處罰機關的統一主要聚焦于通過設立專門機關，推進行政調查、行政處罰等權力相對集中。一是，在國家網信部門統籌下，由縣級以上人民政府參照數據資源管理局，設立個人信息保護綜合管理部門，針對信息處理者違法事實開展調查取證、處罰裁量和部分行政強制等，具體負責本轄區范圍內個人信息保護行政執法工作；二是，由專門機關依據相關法律法規和上級部門規定，圍繞行政處罰制定行政裁量基準；三是，在專門機關內部建立舉報投訴、案件移交、風險評估等機制，暢通其收集信息處理者違法線索的渠道；四是，由其他業務機關負責指導和規范其領域范圍內信息處理者的市場準入、企業合規、產業發展、技術標準制定、基礎設施建設、數據風險防控等，與專門機關形成明確的分工，并形成執法合作機制，協調彼此的執法需求；五是，專門機關還可以根據執法情況就個人信息保護領域的立法、規范性文件或技術標準、平臺規約等提出修改建議；等等。

從提升專門機關執法專業性的角度來看，應進一步在其內部建立專業委員會，吸收本部門以外的法律專家、技術專家及產業發展規劃部門的工作人員參與重大疑難案件的討論，通過合議機制作出決定。同時，集中受理個人信息保護行政處罰、強制等的行政復議申請，對復議案件進行裁決，并指導下級專門機關的執法工作。

2.在社會自治維度明確社會主體協助行政處罰的組織要求。個人信息保護遵循“外部監管+行業自律”的雙重保護模式，〔18〕參見高志宏：《隱私、個人信息、數據三元分治的法理邏輯與優化路徑》，載《法制與社會發展》2022 年第2 期，第222 頁。故相關領域行政處罰的組織構造必然對行業協會、網絡平臺等社會主體如何發揮自治功用，協助行政處罰實施提出功能分域、組織結構上的要求。個人信息權益行政保護既要關注信息采集利用的技術性，又要觀照信息處理者的營利性，立足單純由行政機關主導行政處罰的天然短板，重視引入社會主體協助的客觀需求。一是，是否存在可處罰的情形往往可以借助行業標準、平臺規約等社會規范加以判斷，行業協會、平臺等對信息處理者是否違法處理個人信息的認定具備客觀性、專業性優勢；二是，《個人信息保護法》第52 條要求特定信息處理者指定個人信息保護負責人，對個人信息處理活動等進行監督，這是個人信息保護組織制度設計向社會主體延伸的重要表現，也是相關領域行政監管與社會自治銜接協同的制度探索和規范依據；三是，引入第三方主體作為信息安全風險、違法后果的評估主體，在行政處罰實施中推進政社分工，提升處罰的中立性、正當性，并在處罰效果的跟蹤、督促、評估中發揮作用。

引入社會主體在個人信息保護中協助行政處罰實施，關鍵在于推動其與專門機關的合作分工。當前，可以嘗試進一步細化《個人信息保護法》中關于組織結構的相關規定，協調不同主體之間復雜的組織關系，在對個人信息處理活動進行常態化監管、監督中區分專門機關與社會主體各自的分工。一是，在處罰實施前端，明確規定行業協會、平臺及個人信息保護負責人等主體負責數據監控、技術檢驗、受理投訴、日常反饋、內部調查等事務，在推進內部自治的同時，與專門機關形成聯動機制，必要時為專門機關實施處罰移交案件線索、收集證據、提供建議等；二是，在處罰實施中端，由專門機關指定行業協會、平臺等作為第三方主體對信息處理者造成的信息安全風險、違法后果、客觀損失等進行評估，將評估結果作為處罰決定的客觀依據；三是，在處罰實施后端，分別由行業協會、平臺、個人信息保護負責人等負責進一步督促信息處理者整改并及時向專門機關反饋整改成效。

（二）行為法構造：明晰行政處罰實施的操作規則

以個人信息保護行政處罰組織法定為基礎，應進一步健全處罰實施的行為依據，明確實施處罰的對象、情形、尺度等，確保個人信息不同法益保護的目標在處罰實施中得以實現。

1.行政處罰規范依據應恪守明確性、透明性的基本要求。行政處罰介入個人信息處理的事項范圍有多大、具體如何操作、阻卻事由有哪些及其與民事責任承擔的關系等重要問題都應有明確的制度規定，形成透明的操作規則，以指引和規范行政處罰實踐。一是，對應當（可以）予以處罰的對象、事由等作出具體規定，明確處罰權介入個人信息保護的范圍；二是，結合個人信息處理的特定場景對行政處罰適用規則予以細化，區分減輕、從輕及免于處罰等各類情形，確定具體構成要件；三是，根據個人信息敏感程度、生命周期及跨境處理等，制定分級分類標準，〔19〕參見袁泉、王思慶：《個人信息分類保護制度及其體系研究》，載《江西社會科學》2020 年第7 期，第197 頁。并建立不同的違法認定標準，提升處罰精確度；四是，區分差異化的違法場景中個人信息權益受損的不同情況，在行政處罰實施中處理好行政責任與民事責任的關系。

2.以個人信息基本權相對的義務主體為標準確定處罰對象。基本權利的核心功能在于對抗公權力，而非建構普適性客觀價值秩序。正如《歐盟一般數據保護條例》通過建立個人信息處理規則賦予公民的個人信息“控制權”，也只有在面向龐大的公權力組織時才能體現其內在價值。〔20〕See Robert C.Post, Data Privacy and Dignitary Privacy: Google Spain, the Right to be Forgotten, and the Construction of the Public Sphere, Duke Law Journal, Vol. 67, No. 5, 2018, p. 981-1072.公權力結構從國家中心范式向國家與社會并舉的范式轉型，不僅代表著個人信息基本權對信息處理者產生直接效力，還表明其相對的義務主體僅限于實際行使公權力的信息處理者。除了行政機關以外，這里的信息處理主體主要指向高校、行業協會、網絡平臺等社會主體，一般不包含作為普通信息處理者的企業或個人，否則將影響數據的正常分享，除非有充分證據證明普通信息處理者在個人信息處理中占據絕對的優勢地位。當公民在個人信息處理過程中難以主張其自身權益，作出體現自身意愿的選擇時，便可認定為其權利被信息處理者所支配。例如，以行業自治、高校自治等為由，未經同意擅自處理個人信息；以個人不同意處理其個人信息或者撤回同意為由，拒絕提供產品或者服務；以維護公共利益或執行公共政策的名義未經同意處理個人信息；信息處理者利用個人信息進行自動化決策卻未實現決策的公開透明；個人信息處理者拒絕對個人信息處理規則加以解釋說明；處理個人信息達到國家規定數量的信息處理者卻未制定內部管理制度和技術標準；等等。也即，信息處理者是否在個人信息收集利用中行使公權力是判斷是否可以將其作為處罰對象的核心標準。

3.以場景化規制為導向厘清個人信息保護行政處罰的具體情節。信息處理者侵犯個人信息權益是否應當受到處罰還須深入具體場景中，圍繞其他構成要件進行分析。一是，從歸責原則來看，個人信息保護行政處罰應遵守《行政處罰法》 第33 條第2 款的規定，“將主觀過錯單獨作為判斷標準”，〔21〕黃海華：《新〈行政處罰法〉制度創新的理論解析》，載《行政法學研究》2021 年第6 期，第8 頁。注重對信息處理者主觀過錯的認定，并嚴格區分故意和過失的不同情形，將之作為責任類型和大小認定的參考要素，如違法后果大致相同，未經同意隨意處理個人信息與防護措施設計不健全導致信息泄露的處罰結果應有所差異。二是，主觀過錯認定應以客觀違法情形判定為基礎，結合法律規定、行業規范、平臺規約、技術標準等分析信息處理者對個人信息保護是否盡到了注意義務，而不能以信息泄露、防護措施不到位、存在安全風險等結果作為判斷違法與否的唯一標準。〔22〕如有學者提出，只要信息處理者符合《個人信息保護法》的規定，滿足合規要求，即可認定為沒有過錯。參見周漢華： 《平行還是交叉——個人信息保護與隱私權的關系》， 載《中外法學》 2021 年第5 期，第1183 頁。對技術侵權的認定，應立足于現有的技術水平和成本；對公共風險的認定，應結合信息主體具體權益被侵害的風險加以分析，而不是由專門機關進行主觀判斷。三是，對信息處理者義務的設定應符合分配正義的基本要求，明確規定與“處于優勢地位”相匹配的義務條款，防止將民事義務履行情況作為行政處罰介入的判斷標準，造成義務設定過于嚴苛，變相干預信息處理者日常運營，如不能盲目要求平臺圍繞個人信息可攜權行使打造絕對配合的環境，忽視平臺自身的競爭優勢和發展空間。四是，對未依法確定個人信息保護負責人、防護措施設計不到位、處理信息存在程序瑕疵等情形，且未發生實際違法后果的，可由行業協會、平臺先行進行內部監督、自我改正等，賦予社會自治充分的空間，專門機關負責督促整改，對整改結果進行評估，依此再進一步決定是否作出處罰。

4.以利益平衡為指引建構個人信息保護行政處罰的裁量基準。個人信息保護行政處罰裁量基準建構必須協調“個人—信息處理者—國家”的關系，注重公益與私益及多元主體利益的平衡。一是，除適用《行政處罰法》第30—32 條、第33 條第1 款相關規定以外，應結合獲得信息主體諒解、新型技術應用試驗期、新興行業發展需求、第三方過錯等情形進一步明確和拓展個人信息保護行政處罰中應當（可以）不予處罰、減輕處罰、從輕處罰的情形；二是，從主觀惡性、危害后果、違法所得、拒不改正、情節嚴重等方面區分不同違法程度，并分別將之與《個人信息保護法》第66 條所設定的警告、沒收違法所得、暫停服務、罰款、停業整頓、吊銷營業執照等不同處罰種類，以及不同幅度的罰款數額相匹配，綜合考慮平臺用戶實際利益損害、平臺合規成本等因素形成清晰的裁量指南，控制專門機關的裁量權；三是，促進個人信息公法、私法保護機制協同，協調好沒收違法所得、高額罰款與民事侵權賠償之間的關系，當信息處理行為同時侵犯了個人信息權益內含的不同法益，信息處理者財產難以同時承擔行政責任和民事責任時，應秉持有效回應個人信息主體權利訴求的理念，要求信息處理者優先賠償信息主體的民事損失。〔23〕參見孫瑩：《違法處理個人信息高額罰款制度的理解與適用》，載《華東政法大學學報》2022 年第3 期，第22 頁。

（三）程序法構造：建立行政處罰實施的流程指引

個人信息保護行政處罰的程序建構既要遵守處罰的基本程序，又要圍繞多元主體的協商互動、分工合作形成覆蓋全過程的規范指引，以督促專門機關履行監管義務，以及限制處罰權的恣意行使。

1. 傳統行政處罰程序的適用和改造。實施行政處罰的專門機關無疑應參照《行政處罰法》《網信部門行政執法程序規定》等傳統的程序規定開展調查取證，告知信息處理者處罰的事由和依據，充分聽取其陳述和申辯，保障其救濟權利等。此外，實踐中高額罰款、沒收違法所得、暫停或終止服務、吊銷營業執照等處罰措施的廣泛應用，以及處罰平臺對其用戶產生的外溢效力決定了專門機關在作出相關處罰時應告知信息處理者、平臺用戶及被侵權信息主體等利害關系人有要求聽證的權利，即使利害關系人沒有提出聽證，專門機關也可以根據處罰的社會影響主動組織召開聽證會。聽證信息應在法定期限內及時通知信息處理者及相關信息主體、平臺用戶等，可以委托第三方主體作為聽證主持人，保障處罰決定能夠較為全面地協調不同的利益訴求。同時，信息處理者違法處理個人信息往往會觸發數據安全風險、減損不特定主體權益等，故對于涉及重大公共利益或直接關系第三人權益的案件，或者案件涉及民事賠償、刑事處罰等不同法律關系的，專門機關作出處罰前應交由法制部門進行審核。法制部門可以引入第三方評估主體對處罰之于公共利益、私人利益等帶來的影響加以衡量，增強處罰結果的合理性、可操作性。

2.政府內部處罰協同程序的構造。由“國家網信部門統籌、專門機關實施處罰、各業務部門協作”的組織形式要求個人信息保護領域行政處罰的實施須圍繞不同部門如何聯動形成程序規范。一是，網信部門應建立與專門機關、其他業務部門的統籌協調程序，如針對具有重大社會影響的疑難案件，其可以主動介入處罰過程，對專門機關進行業務指導；在專門機關與其他部門存在分工模糊時，其可以根據最新的政策、法律對分歧進行協調；其應強化與專門機關的協調配合，建立健全案件移送機制，加強證據材料移交、接收的銜接，要求專門機關進行處罰信息通報、備案等。二是，專門機關應圍繞處罰涉及的投訴舉報、管轄異議、案件受理、意見反饋、風險評估、基礎設施建設等建立與網信部門、其他業務部門的溝通銜接程序，如對其他部門移交的線索進行分類登記，達到立案標準的應及時受理案件，未達到立案標準的應及時反饋意見和理由；評估處罰風險、完善技術設施等則應充分征求其他部門的意見等。三是，其他業務部門應圍繞產業發展規劃、市場準入審批、平臺合規審查、技術標準制定、案件線索移送等建立與專門機關的協商告知程序，如相關領域的公共決策或監管方式會影響行政處罰的立案流程、處罰依據、裁量基準的，其應及時與專門機關進行協商，告知具體依據、理由等。

3.政府與社會主體協商合作程序的健全。政府與社會主體在個人信息保護行政處罰實施中的分工合作呈現出一種互動式的治理邏輯，〔24〕參見陳可翔：《互聯網互動式治理語境下的行政程序法發展》，載《青海社會科學》2022 年第3 期，第126 頁。需要圍繞自治與他治互動構建配套的程序規范。一是，行業協會、平臺、個人信息保護負責人等主體應就數據監控、投訴舉報、糾紛調解、內部懲戒等自治活動建立與專門機關調查取證、立案受理等相銜接的程序規范，如行業協會在數據監控中發現平臺違法處理個人信息，應收集整理相關證據，當督促平臺整改效果不佳時，將線索和證據一并移交專門機關進行立案調查，平臺對內部信息處理者的監督同樣適用此程序；行業協會、平臺受理投訴舉報，若發現涉案金額較大、涉及重大公共利益、被侵權主體范圍廣等自身難以處理的情況，應將投訴舉報一并轉遞專門機關，專門機關決定立案調查的，應通知其移交線索。二是，行業協會、平臺受專門機關委托對違法所得、公共風險、違法后果、客觀損失等進行評估，應圍繞團隊組建、評估周期、信息篩查、結論反饋等形成規范流程，并規定專門機關采納評估結論的程序，如將評估結論告知信息處理者，允許其提出質疑等，評估結論經向其告知說明后，才能作為處罰依據。三是，專門機關作出處罰后，由行業協會、平臺建立專門的考評程序，對信息處理者整改情況進行監督，參照自治章程、平臺規約、技術標準等對整改情況進行打分，及時反饋整改成效等。

五、結語

從調整不平等的權利義務關系、防控不特定的公共風險、協調多元利益訴求等方面能夠充分揭示在《個人信息保護法》規范體系下引入行政法律責任機制的必要性，進而證成行政處罰制度相較于民事救濟機制的天然優越性和特殊適用性。基于數據、技術、資本等資源優勢，信息處理者在個人信息處理中實際行使公權力，并成為衍生和把控信息安全風險，平衡國家與個人、公益與私益關系的關鍵要素。個人信息保護中行政處罰的實施應正視其特殊性，賦予其一定的自治空間，并結合其權力行使的限度、形式、成效等，確定自身的邊界。故配套的處罰制度建設應始終置于互聯網公域治理變革的語境之中，堅持以“公共性”為標準劃定處罰對象和場景，致力于構建一套穩定的公法秩序，保障個人信息權益的全方位實現。這意味著，處罰制度的整體設計應以調和權利保護、信息共享、產業發展、風險預防的張力為導向，嘗試處理好公法與私法、硬法與軟法，以及不同法律適用的位階關系，制定場景化、精細化的法律規則。只有在具體的規范構造中保障處罰的權責明晰和組織法定，處罰對象、情節、基準等的明確性，以及處罰中各項程序的規范化，才能實現個人信息保護領域行政處罰實施的法治化。