數據安全行政處罰制度的實踐檢視及規范進路

摘 要：《數據安全法》生效施行以來，以公安機關、國家網信部門等為主的行政機關顯著加強了平臺數據安全的執法力度，重點著手解決數據安全領域的問題，取得了一定的執法效果。由于平臺數據安全具有特殊性，因而相關主體在平臺數據安全中的行政執法與傳統的執法是有所不同的。從行政執法的角度，分析研究平臺數據安全行政處罰存在的不足與缺陷并提出相應的規范路徑和方法措施，從而規范平臺數據安全的行政執法，有利于保護平臺的數據安全，維護國家、社會和個人的數據安全利益，促進以數據為核心的數字經濟持續健康發展。

關鍵詞：商業平臺；數據安全；行政處罰；行政執法

中圖分類號：D922.1 文獻標識碼：A 文章編號：１００９ — ２２３４（２０25）03 — ００81 — ０7

一、問題的提出

2022年7月，國家網信辦因滴滴公司違規收集用戶的數據信息，根據法律規定對其罰款80.26億元。與此類似的平臺數據安全案例屢見不鮮，平臺所生成的大量數據，包含了用戶的個人信息、交易記錄、偏好等重要數據，涉及個人隱私和經濟利益，因此平臺數據安全問題成為行政主體在行政執法中的重點關注問題。平臺數據安全問題不僅會對數據主體造成威脅，同時也對國家安全和社會穩定構成挑戰。而要使數據處于有效保護和合法利用的狀態，就需要對數據采取必要的監管措施。數據監管是數字經濟監管現代化的重要創新點，有效監管是促進數字經濟高質量發展的重要保障。［1］數據安全是指在以平臺為中介的商業活動中，對平臺上的數據進行有效保護，防止數據泄漏、篡改、丟失等安全風險，確保數據的有效保護和合法利用。平臺數據安全的行政處罰，是指有關行政主體及其工作人員對平臺在數據收集、存儲、使用、傳輸和處理過程中是否遵守相關法律法規和政策規定，以及是否采取了必要的安全措施，進行監督檢查和處理處罰的行政行為。在執法主體方面，有學者認為，由于數據安全監管部門監管職權尚未統一造成職責交叉和多頭指揮，導致平臺的數據安全得不到保障；［2］在執法程序方面，有學者認為在算法程序正義性、數據使用合規性、數據相關執法等方面均存在風險及相應論證空間；［3］現行相關法律的規定不足以保障執法程序的合法性、合理性和公正性；在行政救濟方面，有學者認為，行政機關處理個人信息和其他數據的行為，在法律性質上屬于行政行為，理應受行政法治原則的約束。［4］

二、數據安全行政處罰制度的實踐檢視

通過北大法寶法律法規數據庫進行相關案例檢索（相關數據截至自2024年9月30日）。以《數據安全法》為關鍵詞進行檢索，檢索出以下結果：從案件數量來看，2021-2024年的行政處罰案件分別為1件、10件、256件、84件（2024年系統未及時更新），2023年處罰案件呈現爆炸式增長；從執法主體來看，有公安機關、網信部門、金融監督管理總局、國家安全機關等部門；從執法主體的級別來看，部級有2件、省級3件、市級69件、區縣級有277件；從處罰對象來看，規模較大的有滴滴公司、知網等企業，較小的有衛生服務中心、某某超市等小型機構或企業。根據案例檢索可歸納出被處罰對象主要包括平臺的運營者、數據處理和使用者、第三方服務提供商以及其他相關方等，總的來說，任何在平臺涉及數據處理活動的個人和單位，都有可能成為數據安全行政執法的被處罰對象，這些主體都需要嚴格遵守《數據安全法》規定的義務，確保數據處理活動合法合規，并采取必要的措施和手段保護數據安全。根據案例檢索，以《數據安全法》的相關法條為處罰依據進行分類，歸納出以下數據安全行政處罰典型案例。

通過對表1數據安全行政處罰典型案例的觀察不難發現，數據安全行政執法依據主要是《數據安全法》中的第四章數據安全保護義務，主要適用較多的是以下幾個法條：

第二十七條規定了平臺的數據安全保護義務，這是數據安全行政執法的最主要依據。根據檢索結果顯示，第二十七條適用行政處罰依據的執法案例有212例，占相關案件的百分之八十以上。案例1、2、3、4都直接援引第二十七條規定的數據安全保護責任條款。該條款可以分為三方面，其一是數據處理者應建立健全相應的數據安全管理制度；其二是數據處理者應在遵守《網絡安全法》的基礎上，利用互聯網等信息網絡開展數據處理活動；其三是數據處理者對于重要數據的處理，應明確數據安全的具體負責人和相應的管理機構。以上三方面的數據安全保護義務成為平臺數據安全的主要義務來源，是數據安全行政執法的重點。

第二十九條規定了數據處理者開展數據處理活動時的風險監測和及時告知、報告的義務。案例6、7、8均直接援引了該法條。根據檢索結果顯示第二十九條適用行政處罰依據的執法案例有60例，是除了二十七條外最常適用的法條。許多行政處罰案例可能會同時觸犯第二十七條、第二十九條，觸犯二十九條可能同時觸犯二十七條的數據安全保護義務。該條款可以分為兩方面：其一，平臺應履行風險監測義務；其二，如發生數據安全事件，在采取處置措施的同時，應按照法律規定及時告知和報告。案例6是連云港市海州區云臺派出所對云臺街道某超市行政處罰的依據是該店存儲會員信息的管理系統，存在無登陸密碼、未依法采取必要措施保障數據安全，有數據泄露風險，沒有履行好風險監測和告知報告義務，受到警告和罰款的行政處罰。案例7和案例8同樣是因為在進行數據處理活動時沒有采取必要措施和手段進行風險監測，有數據泄漏的風險被行政處罰。

根據《數據安全法》及相關行政處罰案例來看，較為常用的執法依據還有以下幾條。第三十條規定了平臺重要數據處理者進行數據處理活動時，應定期開展風險評估和及時報告義務，如案例11的泗某公司未對其數據處理活動定期開展風險評估，被責令整改和罰款。第三十二條規定了平臺合法獲取數據的義務，收集數據應采取合法、正當的方式，不得竊取或以其他非法方式獲取數據。案例12是網絡安全審查辦公室因為滴滴公司違法收集用戶信息、過度收集用戶信息等十六項違法事實對滴滴公司做出罰款和責令整改的行政處罰，案例13和案例14是眾多APP存在違法違規收集使用個人信息的行為被責令整改。第三十三條規定目前適用的行政處罰案例僅有一例，即案例15某達通仁信息技術咨詢有限公司，其在沒有要求提供合法資質的情況下，審核交易雙方身份，在催收的過程中通過天眼查、小藍本等軟件非法獲取債務人信息后沒有存檔，被綏寧縣公安局責令整改和罰款。第三十五條規定協助執法義務。平臺應配合公安、國安維護國家安全或者偵查犯罪需要調取數據的活動。調取數據屬于技術支持和協助的一種具體方式，是技術支持和協助在數據場景下的具體化。目前僅有一個處罰案例是關于個人的，案例16韋某因瞞報行程軌跡信息被以第三十五條處以罰款，適用較少。

以上法條便是平臺在進行數據收集、數據處理等相關數據處理活動時所應遵循的法律規定和應履行的法律義務，是平臺數據安全行政執法的主要法律依據。平臺在進行相關數據處理活動時應履行《數據安全法》的相關規定，平臺應采取合理的措施和手段確保其處理和運用數據的安全性，包括制定和實施數據保護政策、建立安全措施、培訓員工、及時告知和報告等義務。若平臺沒有履行數據安全保護義務、落實數據安全保護責任將可能會受到行政處罰，包括警告、通報批評、罰款、責令改正、吊銷營業執照等行政處罰法律后果，對個人、社會和國家造成嚴重危害的還可能受到刑罰的制裁。《數據安全法》規定的執法機關包括中央和地方等不同級別不同性質的機關，在處理平臺數據安全的執法案件時，這些機關需要根據其管轄和分工進行協作和相互移交案件，以便更好地履行《數據安全法》規定的法定職責。同時《數據安全法》賦予執法機關在數據安全領域一定的執法權力，包括但不限于檢查、調查、命令、處罰等行政行為，這些權力使執法機關能夠監督和要求平臺履行數據安全保護義務。

三、數據安全行政處罰制度的現實檢視

隨著數字經濟的不斷發展，平臺在數據處理過程中造成的數據泄漏、數據濫用、數據不正當競爭等問題也愈發引起社會的重視，執法主體也加大了對數據安全的執法力度。案例檢索的結果顯示，2021年至2023年的數據安全行政執法案件分別為1件、10件、256件，逐年遞增，表明了行政執法主體對數據安全問題的重視，但從具體執法實踐來看，行政主體對平臺數據安全的行政執法仍存在缺陷。

（一）分類分級治理制度下處罰主體分散

《數據安全法》第五條、第六條明確規定了數據安全分類分級治理制度。明確規定了各行業主管部門以及各地區、各部門對本地區、本部門工作中收集和產生的數據及數據安全負責。依照《數據安全法》及有關法律法規，在各自職責范圍內承擔數據安全的監管職責，保衛數據安全。［5］數據安全分類分級治理制度賦予了更多的行政機關數據安全執法權，對不同的數據進行分類監管，這從制度設計而言是有利于數據安全行政執法的，但行政主體的多元化在平臺數據安全行政執法的監管上，并沒有發揮預期的效果。

當前的數據安全監管涉及多個行政機關，采用分類分級監管，這有利于發揮各自的專業優勢，但也有其弊端。由于數據安全監管部門職權尚未統一，造成職責交叉和多頭指揮，導致平臺的數據安全得不到保障。從表1平臺數據安全行政處罰典型案例可以看出，數據安全行政執法的主體有：國家互聯網信息辦公室、設區的市網信辦、公安分局、公安局技偵網安支隊、派出所、金融監督管理總局分局、省通信管理局、國家安全機關等眾多主體，這是分類分級治理制度在實踐中的具體運用，但執法主體眾多導致職責交叉、監管效率低下使平臺數據安全得不到有效監管，數據難以有效保障和合理運用。此外，隨著數字經濟的不斷發展，平臺的個體經營者已經過億，大型的平臺如淘寶、京東、騰訊、百度等亦達到了一定的數量，過多的監管對象僅依靠國家機關進行數據安全監管，難以發揮監管作用。《數據安全法》中，對平臺經營者提出數據安全保護義務，要求平臺配合監管，配合監管成為平臺參與市場協同治理的一種社會責任。平臺具有市場私主體和公共平臺的雙重屬性，在實踐中監管部門形式上賦予了平臺大量的監管義務，平臺既是行政相對人又是相關用戶的監管者。然而平臺數據安全監管的主體地位并不明確，在履行監管義務時，平臺在數據安全的監管中責任規定不明確，導致在實踐中執法主體對平臺施加過度的監管義務與責任。

（二）數據安全行政處罰程序尚不健全

雖然網信部門出臺了《網信部門行政執法程序規定》，工業和信息化部出臺了《工業和信息化行政處罰程序規定》，其他數據安全行政法部門在將來可能也會出臺具體的執法程序規定或者依據《行政處罰法》來進行執法，但是由于平臺數據安全的行政執法具有其特殊性，部分行政執法程序可能存在落后性、缺陷性等問題，主要體現在對證據的相關規定和相對人的陳述申辯權兩個方面。《行政處罰法》以及其他部門出臺的部門規章對于證據的相關規定是較為落后的。與傳統的證據不同，電子數據的隱蔽性較強且很容易被篡改，而數據安全領域涉及大量的電子數據，這與其他類型的執法程序是不同的。一方面，不同的執法部門出臺了不同的行政執法程序規定，為數據安全的行政執法程序提供了借鑒，但數據安全行政執法的特殊性導致程序的不完全一致性。另一方面，目前行政法領域并未對電子證據的取證、收集、固定、保存、轉移等作出新規定，具有數據安全執法權的部門出臺的規章也沒有對電子數據的規定有新的突破。因而關于電子證據的傳統規定，不足以適應涉及大量數據的平臺數據安全行政執法。《行政處罰法》以及其他部門出臺的部門規章對行政相對人陳述申辯權的保障是不足的。《網信部門行政執法程序規定》中援引了《行政處罰法》關于行政相對人陳述權和申辯權內容的相關規定。但平臺數據安全的行政執法具有特殊性，因此現有規定是不足以保障行政相對人的陳述申辯權的，主要表現為以下兩個方面。其一是在數據安全行政執法過程中，行政相對人需要提供相關證據和材料來支撐自己的陳述和申辯，說明自己盡到了數據安全保護義務，但行政相對人往往缺乏專業能力難以提供充分有效的證據。其二是執法的行政主體對行政相對人的陳述申辯權保障不足。平臺數據安全的行政執法往往涉及大量的電子數據，需要執法人員花費大量的時間來進行查證導致執法主體對陳述申辯不夠重視。

（三）數據安全處罰強制行為不規范

在平臺數據安全的行政執法過程中，數據安全處罰行為存在不規范。平臺數據安全行政執法多為行政處罰，從表1可以看出，數據安全的處罰種類和行政處罰法的種類是一樣的，并沒有創設新的行政處罰種類。處罰的理由是在違反數據安全保護義務的基礎上延伸的，如案例9的處罰理由是：該單位內的電腦存儲客戶姓名、手機號碼等信息，電腦未設置開機密碼，未設置屏保等措施，未采取必要措施保障數據安全，被責令整改和罰款。案例7的處罰理由開辦的智慧體育場館管理平臺存在弱口令漏洞，且該平臺存儲著公民信息，存在信息泄露風險。這兩個案例的處罰理由缺乏說服力，范圍過于廣泛，凸顯了執法的任意性。行政處罰是具有懲罰性的行政行為，其處罰范圍不能過于寬泛，只有在行政相對人違背數據安全保護義務時才應受到行政處罰。在平臺數據安全的行政執法中，行政行為的合法性和合理性是評價行政執法質量的重要標準，但從眾多的案例中可以發現，部分行政執法行為可能存在過度干預、濫用職權的現象，行政行為的合理性有待商榷。

（四）數據處罰行為行政救濟較困難

平臺數據安全行政執法中，平臺如沒有履行數據安全保護義務而被行政主體行政處罰，針對行政處罰這一具體的行政行為采取行政救濟是沒有爭議的。如果行政機關處理數據行為違法，將導致行政行為違法的法律后果，包括行政行為的無效、可撤銷、變更等。［6］但平臺數據安全的執法是由多個行政行為構成的，對于執法主體的其他行為是否能夠采取行政救濟是有待討論的。一是對平臺數據安全進行監管時，行政主體要對相關數據進行收集、儲存、處理等步驟，在這過程中如存在數據泄露，該行政行為是否屬于行政訴訟和行政復議的受案范圍。傳統的過程性行政行為不屬于行政訴訟受理的范圍，該行政行為是否屬于過程性行政行為，目前法律沒有規定。二是平臺數據安全常涉及跨地域、跨部門。有學者認為跨部門數據流動發生在行政內部，不能產生直接的外部效力。如果行政相對人對數據處理活動有異議，不能尋求行政救濟，［7］此種情況行政相對人如何維護自身的合法權益，當前法律沒有規定。三是平臺提起的行政訴訟和行政復議，要求較高的專業性和技術性，法院以及復議機關是否有足夠的技術和手段進行審查？顯然，部分機關及其工作人員是不具備這樣的能力。數治技術削弱了行政相對人的參與和救濟，利害關系人往往覺得很難進行挑戰，提起訴訟的動力也會受到抑制。［8］

四、數據安全行政處罰制度的規范構造

（一）平臺履行數據安全監管義務

任何實施數據處理活動的組織或個人都是數據處理者，負有數據安全保護義務。［9］行政主體在進行數據安全行政執法活動時也應遵循相應的數據安全保護義務。在執法過程中收集數據時執法機關應在合法性原則、合理性原則等行政法基本原則的指導下收集相關數據，收集不得超出法律規定的其履行管理和監督職責所需要的數據，否則可能需要承擔《數據安全法》第49條規定的國家機關數據安全保護義務的責任。執法機關應在分類分級治理制度的指導下承擔各自的監管職能。執法機關應結合國家數據安全要求、個人信息保護要求等相關因素制定各主管領域內的相應實施細則。［10］需要統籌整合數據安全領域相關執法主體的交叉職能，解決多頭監管、推諉扯皮、監管效率低下的問題，明確執法主體的權限與職責，提高平臺數據安全的行政執法效率。執法機關應進一步完善行政程序，保障執法程序的合法性和合理性。

首先是要完善對于電子證據的相關規定，突破傳統證據的規定。需要進一步明確相關數據的證據種類，規范電子證據采集和保全，防止證據被篡改或丟失，強化證據的合法性要求，確保證據的合法性。其次，要保障平臺數據安全行政執法中行政相對人的陳述申辯權。要確保行政相對人了解其在行政執法過程中的陳述申辯權利，給予行政相對人足夠的時間和機會進行陳述和申辯，健全行政執法申訴機制，對于行政相對人對行政執法決定不服的，提供適當的申訴途徑，確保執法公正。執法機關應提高數據安全執法質量，可以定期對執法人員進行專業培訓，提高執法人員的執法水平。各執法部門可以公布數據安全的典型案例，強化典型案例指導作用，使類似案件能夠得到相似的處理，減少執法的隨意性提高執法的合理性。最后，可以對數據安全行政執法的效果進行定期評估，根據評估結果調整執法策略和手段，確保行政執法始終符合國家法律法規的要求和社會發展的需要。執法機關在履行數據安全保護者義務的同時，也有利于更好地發揮數據安全的行政監管作用。

（二）健全數據安全合規審計制度

隨著數據安全問題的日益嚴重，相關國家機關和社會主體計劃建立一整套機制來解決數據安全問題。掌握海量數據的大型平臺成為重點對象，中國網絡和數據安全的有關監管部門嘗試建立“數據安全審計制度”以保障平臺數據安全。［11］數據安全合規審計制度最早出現于《個人信息保護法》第五十四條和六十四條。第五十四條規定：個人信息處理者應當定期對其處理個人信息遵守法律、行政法規的情況進行合規審計。第六十四規定：相關執法部門在履職過程中發現存在較大風險或者重大信息安全事件的可以要求個人信息處理活動進行合規審計。2024年7月12日全國網絡安全技術委員會發布《數據安全技術個人信息保護合規審計要求（征求意見稿）》。2024年8月制定的《網絡數據安全管理條例》規定：個人信息保護合規審計應加強與相關部門的銜接避免重復審計。一系列的法律法規為數據安全合規審計制度的建立奠定立法支持。數據安全合規審計制度是一套旨在確保數據在存儲、處理和傳輸過程中得到有效保護的規范和流程。然而目前對于數據安全合規審計制度的規定仍需要進一步探索和完善。

一是明確數據安全審計的目的和原則。數據安全審計制度旨在通過審計評估提高數據安全水平，確保數據不受未經授權的訪問、篡改、泄露或者其他安全風險，在進行審計的過程中應遵循審計的基本原則。客觀性原則要求在數據安全審計的過程中根據客觀事實，科學運用審計方法，作出客觀的審計結論。合法性原則要求在數據安全審計的過程中審計的范圍、步驟、方法、內容等要符合法律、行政法規的規定。獨立性原則要求審計全過程應保持獨立性，不受個人、社會團體、行政組織的影響，根據客觀事實對數據安全進行審計得出審計結論。二是細化數據安全審計步驟和內容的規定。數據安全審計步驟主要包括審計啟動階段、規劃階段、執行階段、總結階段。行政機關在要求相關數據處理者進行數據安全審計時，應全過程監管。明確審計的主要目標，審查監督數據安全審計主體制定的審計步驟，監督其按照規劃好的流程開展審計工作，收集相關數據和證據，評估數據安全措施的有效性，根據數據安全審計報告進行相關執法。根據數據安全審計報告評估平臺數據安全策略和政策的制定和實施以及效果、檢查平臺的數據安全管理組織是否發揮有效作用、檢查數據保護和加密措施的實施情況，確保數據在收集、傳輸、處理和運用過程中合法合規。若有關平臺違反數據安全保護義務，執法機關則可以根據相關的法律規定和數據安全審計報告作出相應的行政處罰。

（三）完善數據安全風險預警與應急處置機制

《數據安全法》在規定數據處理者風險監測和補救措施義務的同時也規定了行政主體的相關法律義務。《數據安全法》第二十二條規定，國家應建立統一的數據安全風險評估和檢測預警機制。第二十三條規定國家應建立數據安全應急處置機制。第二十四條規定國家應建立數據安全審查制度。行政監管是保障數據安全的重要手段，目前我國相應的數據安全風險評估、監測預警、應急處置和安全審查機制尚不完善，仍需相關國家機關進一步健全相應的制度和機制以保障數據安全。國家機關建立健全相應的數據安全保護機制和制度，能夠有效地履行數據安全保護義務。風險監測和評估，是數據處理者自我評查和監督的重要方式，能夠使數據處理者及時發現系統存在的風險和漏洞并加以處理，進而杜絕數據泄露等問題的發生。［12］

數據安全執法機關應建立健全數據安全風險評估和監測預警機制。首先，完善數據安全執法相關政策和標準，應覆蓋數據安全風險評估的方法、流程以及實施要求。其次，按照既定的政策標準對數據的收集、存儲和處理過程中數據的完整性、敏感性、安全性以及潛在的威脅和漏洞進行評估。通過使用入侵檢測系統、防火墻、安全信息和事件管理系統等技術性手段，對數據處理系統進行持續性的檢測和監控以便及時發現漏洞和異常行為。最后，對收集到的數據進行分析，識別出潛在的數據安全風險并建立預警機制，以便在風險發展成為安全事件前采取措施預防，健全事前預警機制。數據安全執法機關應建立健全數據安全應急處置機制。數據安全應急處置機制是一套系統性的制度，設計多個層面和步驟。首先是應建立應急組織架構。應成立數據安全應急指揮部門，負責指揮和協調數據安全事件的應對工作。其次是應制定完善應急預案。根據國家和個主管部門的數據安全法律法規制定應急預案，涵蓋數據泄漏、數據篡改、數據不正當競爭等數據安全問題的應急方案，明確應急的流程、責任的分配、溝通的渠道和協調機制等。三是應健全數據安全審查機制。數據安全審查的內涵包含兩個維度，技術上的數據安全審查側重于數據硬件載體方面，而法律上的數據安全審查更側重于保障數據安全的狀態和能力，兩者間存在著緊密聯系。《數據安全法》二十四條規定國家應對影響或者可能影響國家安全的數據處理活動進行審查，這說明數據安全審查制度主要是與國家數據安全相關。執法機關應加強對數據安全審查機制的監督檢查，確保數據安全措施得到有效的實施。應完善重要數據出境安全管理制度。重視對關鍵信息基礎設施的運營在我國境內運營中收集和產生的重要數據的出境安全管理，加強重要數據出境安全的審查，保障國家重要數據的數據安全。同時，加強國際合作，與其他國家加強數據安全領域的合作，共同應對跨境數據安全挑戰。

（四）制定數據安全行政處罰裁量基準指引

為了進一步規范數據安全行政執法，構建數據安全行政處罰體系，統一數據安全行政處罰尺度，指導主管監管部門開展數據安全行政處罰工作，提升數據安全行政執法能力，2023年11月23日工信部出臺了《工業和信息化領域數據安全行政處罰裁量指引（試行）征求意見稿）》，進一步細化規定了違反數據安全保障義務的行為類型和對應的法律責任。該意見稿規定了行政處罰裁量權的范圍、原則、管轄、具體行政處罰的情形、處罰情節認定、處罰措施、適用規則等工業和信息領域數據安全行政處罰裁量基準，待生效實施以后將有利于規范工業和信息化領域的數據安全行政執法。在不同地區和不同執法機關之間，由于缺乏統一的標準，可能會出現對同類數據安全違法行為采取不同處罰措施的情況。裁量基準的制定有助于解決這個問題，保證法律的一致性和權威性。其他數據安全執法機關應根據數據安全執法的需要，進一步細化各主管領域的數據安全行政處罰裁量基準指引。

制定數據安全行政處罰裁量基準指引是一項復雜的法律和技術工作，需要綜合考慮法律框架、實際執法需要、行業特點和社會影響等多個方面。第一是明確裁量基準與合規指引的原則。執法機關應深入研究數據安全相關的法律法規，理解其對行政處罰裁量權的規定和限制，分析國家關于數據安全治理的政策導向和立法趨勢，確立規范行政處罰行為、保障數據安全。根據數據安全保護的特點，依據相關法律法規確立行政處罰裁量的原則以便指引數據安全行政處罰。如《工業和信息化領域數據安全行政處罰裁量指引（試行）征求意見稿）》明確了依法行政原則、責罰相當原則、處罰與教育相結合原則。第二是搜集信息與案例分析并征求相關方意見。執法機關應搜集現有的行政處罰案例，分析執法實踐中遇到的問題與挑戰，研究不同行業在數據安全方面的特點和風險點，為制定具有針對性的行政處罰裁量基準做立法準備。執法機關還應就各領域內的數據安全問題召開專家座談會和聽證會，廣泛聽取各方意見，使裁量基準的制定符合科學性和民主性。第三是制定具體的裁量基準。細化各主管領域的違反數據安全保護義務的行為類型和法律責任，執法機關應根據《數據安全法》以及《行政處罰法》等相關法，根據數據安全違法行為的性質和嚴重程度將其分類，并為每類違法行為設定相應的處罰措施。第四是明確數據處理者應當遵守的數據安全標準和義務，根據平臺數據處理者的違法性和法律責任對各項行政處罰的適用條件進行細化，明確不予處罰、減輕處罰、從輕處罰和從重處罰四種行政處罰裁量權適用規則。提供具體的合規措施和建議，指導數據處理者預防數據安全違法行為，指出可能觸及的風險幫助數據處理者識別和防范法律風險。這不僅為數據合規建設提供了更具操作性的指引，也使得行政處罰更加透明化，約束規范了行政處罰權，對于構建公正、高效的行政處罰體系，促進平臺合規經營，保護個人信息安全，維護社會公共利益具有十分重要的意義。

〔參 考 文 獻〕

［1］唐要家，馬中雨.數據監管制度框架與體系完善［J］.長白學刊，2023（6）：100-107.

［2］劉權.優化數字經濟營商環境的行政法治化之道［J］.社會科學輯刊，2023（2）：57-67.

［3］吳才毓.大數據公共安全治理的法治化路徑：算法倫理、數據隱私及大數據證據規則［J］.政法學刊，2020（5）：33-41.

［4］王錫鋅.行政機關處理個人信息活動的合法性分析框架［J］.比較法研究，2022（3）：92-108.

［5］郭啟全.關鍵信息基礎設施安全保護條例、數據安全法和網絡安全等級保護制度解讀與實施［M］.北京：電子工業出版社，2022：190-191.

［6］王錫鋅.行政機關處理個人信息活動的合法性分析框架［J］.比較法研究，2022（3）：92-108.

［7］［鄭曉軍.數據跨部門流動的風險與問責［J］.中國行政管理，2022（11）：49-57.

［8］王錫鋅.數治與法治：數字行政的法治約束［J］.中國人民大學學報，2022（6）：17-34.

［9］程嘯.論數據安全保護義務［J］.比較法研究，2023（2）：60-73.

［10］宋華琳，鄭琛.論政府數據開放中的數據安全保護制度［J］.中國司法，2022（3）：48-54.

［11］裴昱.中國擬建數據安全審計制度" 大型互聯網平臺或成工作重點［N］.中國經營報，2021-11-22（A3）.

［12］王玎.論數據處理者的數據安全保護義務［J］.當代法學，2023（2）：40-49.

〔責任編輯：孫玉婷〕