查看原文
其他

个人信息保护的行政执法实践

法评 通力律师 2023-09-22
作者: 通力律师事务所  潘永建 | 杨迅 | 邓梓珊 | 刘时宇


引言


数字经济方兴未艾, 正在日益与互联网、人工智能、云计算等行业深度融合发展。数据是数字经济的重要支撑, 已成为除土地、劳动力、资本和技术外的第五类“生产要素”。数据保护与规范亟需法律从个人信息与隐私保护、企业数据权益、国家安全与监管等维度作出系统性的制度安排。作为数据保护制度的基础法律, 《个人信息保护法》和《数据安全法》的重要性毋庸置疑。2021年4月29日, 《个人信息保护法(草案二次审议稿)》《数据安全法(草案二次审议稿)》公布。从企业使用数据和合规遵从的视角, 通力网安数据业务小组对审议稿作出系列解读, 本文为第八篇《个人信息保护的行政执法实践》。


2021年4月26日《个人信息保护法(草案第二次审议稿)》(以下简称“二审稿”)提请十三届全国人大常委会第二十八次会议审议, 个人信息保护法立法进程进一步向前推进。随着个人信息立法保护的逐步完善, 个人信息保护的监管与执法究竟如何落地也成为业界关注的问题。针对个人信息保护的行政执法部门为何?对侵害个人信息权益的行为具体如何处罚?具体行政监管措施、程序、权限是什么?本文将根据依据立法趋势、现行法律法规和执法实践分析上述问题, 为企业落实个人信息保护及了解立法动向提供一定参考。


行政执法主管部门


二审稿第五十九条第一款规定: 国家网信部门作为个人信息保护的协调管理部门, 各国务院部门负责具体监管工作。


现行个人信息保护法律文本较为零散, 多个执法部门依据各行业法律法规对涉及个人信息保护的问题进行分段监管、分散执法: 

  • 针对涉及隐私的个人信息, 《治安管理处罚法》授权公安机关进行相应的监督处罚[1]

  • 在消费者保护领域, 《消费者权益保护法》规定工商行政管理部门有义务查处经营者侵害消费者个人信息依法得到保护的权利的行为[2]; 

  • 在电信业务领域, 《电信和互联网用户个人信息保护规定》要求工业和信息化部和通信管理局对电信和互联网用户个人信息保护进行监管; 

  • 在所有涉及网络运营者的范围内, 《网络安全法》[3]规定非法使用他人个人信息尚不构成犯罪的, 由公安机关负责执法; 

  • 在征信业领域, 《征信业管理条例》要求中国人民银行及其派出机构承担个人信息的监管责任。[4]


二审稿的立法模式较大程度地保留了现行个人信息保护各部门分散执法的做法, 并进一步增加“国家网信部门”作为统筹协调部门以防止“多头混治”和“权责不明”。此外, 二审稿第五十九条第二款确定了个人信息监管的基层主管部门级别为县级以上地方人民政府有关部门, 推动了执法重心下移, 有助于应对大量个人信息处理者的管理任务。


值得关注的是, 在《个人信息保护法(草案第一次审议稿)》(以下简称“一审稿”)提交审议前, 征求意见稿中曾设置了统一负责个人信息保护、监督、执法的工作机构, 并规定了国家和地方的个人信息保护机构。但在公布的一审稿中该条发生了变化, 最终呈现为由国家网信部门负责统筹协调, 国务院各部门在各自职权范围内负责个人信息保护的监督管理。部分委员、专家认为该种调整会延续执法责任边界不明的问题, 仍可能会出现重复执法或空白执法的现象。我们理解该种调整可能具有一定的“妥协性”, 是为了和现有其他个人信息保护相关法律法规更顺畅地衔接而放弃具有更高执行力的“独立监管机构”治理模式; 另一方面, 该种调整或许奠定了一种灵活监管的立法基调, 从而防止过严的个人信息保护政策削弱中国企业在国际上的竞争优势。


具体行政执法程序


(一) 事前防范


鉴于我国个人信息保护和信息产业发展现状, 立法者并未以事前审批的方式对个人信息权益保护进行过多的干预和事前防范。二审稿第六十条仅原则性地规定了各个人信息主管部门对个人信息处理者的宣传教育和指导监督责任。但对于个人信息的跨境传输而言, 立法仍持谨慎态度, 二审稿第三十八条明确了个人信息跨境传输的安全评估制度、认证制度和标准合同, 且要求个人信息处理者至少满足一项方可完成跨境传输的合规义务。 


(二) 事中监督


行政约谈是执法部门在个人信息保护监督工作中较为典型和常见的事中监督措施。2018年支付宝曾因在“年度账单”查看中默认用户同意《芝麻服务协议》, 而被国家网信办网络安全协调局约谈, 并被要求排查整顿。二审稿进一步延续该做法, 通过第六十三条规定了约谈和合规审计的约束措施——“履行个人信息保护职责的部门在履行职责中, 发现个人信息处理活动存在较大风险或者发生个人信息安全事件的, 可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈, 或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。个人信息处理者应当按照要求采取措施, 进行整改, 消除隐患。”


行政约谈本就具有灵活性和及时性的特征, 另外, 二审稿中特别增加了“要求个人信息处理者委托专业机构进行合规审计”的执法监督措施, 体现了在行政执法中引入企业和第三方专业机构进行“多主体合作治理”的理念, 提高行政监管的效率和灵活性。


(三) 事后处罚


事后处罚是行政执法全流程的后盾。二审稿第六十条明确个人信息保护职责部门应当履行“调查、处理违法个人信息处理活动”的职责, 并明确了违法处理个人信息或未落实安全保护义务的责任。


针对违法个人信息处理活动的调查、处理流程而言, 第六十二条中列举了主管部门可采取的措施, 包括: 


  • 询问有关当事人, 调查与个人信息处理活动有关的情况; 

  • 查阅、复制当事人与个人信息处理活动有关的合同、记录、账簿以及其他有关资料; 

  • 实施现场检查, 对涉嫌违法个人信息处理活动进行调查; 

  • 检查与个人信息处理活动有关的设备、物品; 对有证据证明是违法个人信息处理活动的设备、物品, 向本部门主要负责人书面报告并经批准, 可以查封或者扣押。


考虑到法律存在滞后性, 个人信息保护法的法律位阶决定其只能框定行政执法措施的类别, 未明确从调查到做出处罚决定的具体流程。结合《行政处罚法》的相关规定, 我们将具体流程、主管机关的权利与义务、被调查/处罚主体的权利与义务做了梳理: 


1. 告知义务。主管机关应当及时告知个人信息处理者的个人信息违法事实, 并采取信息化手段或者其他措施, 为其查询、陈述和申辩提供便利。不得限制或者变相限制个人信息处理者享有的陈述权、申辩权。


2. 申辩、陈述权。主管机关必须充分听取个人信息处理者的意见, 对其提出的事实、理由和证据, 应当进行复核; 个人信息处理者提出的事实、理由或者证据成立的, 主管机关应当采纳。


3. 执法检查与取证。二审稿中初步明确查阅、复制资料, 实施现场检查, 进行查封、扣押等行政强制措施等执法检查和取证程序。如涉及到通过走访现场进行取证的, 应由2名以上执法人员, 持调取证据的法律文书, 经出示执法证件后实施。考虑到个人信息处理实践, 针对个人信息保护领域的取证更多地表现为电子证据的调取, 而当个人信息处理者为网络平台时, 主管机关的电子取证可能涉及平台数据和用户所提供的数据, 其中包含用户的个人信息的数据如电子邮件、即时通讯记录、博客、微博、网页历史记录、IP地址、手机短信、电子痕迹等等均可能成为取证对象。


在行政执法中, 立法对证据调取范围没有设定具体限制, 反而行政监管部门需在调查取证时力求全面, 还可在自己认为必要时开展检查[5]。若企业对执法检查和取证本身有异议, 因该等行为具有过程性, 并非完整的具体行政行为, 因此企业无法单独以该行为提起行政复议或行政诉讼[6]。但如果行政机关对相关证据进行了查封、扣押的强制措施, 则企业可以要求执法人员解释所扣押的材料/数据与检查文件以及检查本身之间的相关性, 可以要求执法人员交付查封、扣押决定书和清单[7], 企业可以通过提起行政复议和行政诉讼进行救济。公权力机关调取证据的范围尚无规范进行具体限制, 但其仍然是有权力边界的, 即不得侵害公民的合法权益。执法检查和取证应当始终符合比例原则, 明确具体取证目的(目的正当), 确保取证和检查有助于查明案件(适当性), 执法检查和取证对个人信息处理者和个人信息主体的损害最小(必要性), 并且应当充分评估取证过程对个人信息的处理、披露等对个人信息主体的损害, 以及取证对个人信息处理者的损害, 最终与该取证行为可获得的证明利益对比, 从而达到比例上的均衡(均衡性)。


对于涉及违法处理个人信息的案件, 二审稿在第六十二条第二款中明确了个人信息处理者有义务协助、配合执法机关的调查取证活动[8], 否则可能构成第六十五条的“拒不改正”、“情节严重”的情形, 进而加大处罚力度, 亦可能构成《治安管理处罚法》“阻碍国家机关工作人员依法执行职务”的行为, 情节严重者可处五日以上十日以下拘留及罚款。且值得注意的是, 这里的配合义务是强制性的, 当事人没有意思自治的空间, 也即个人信息处理者和个人信息主体之间的协议(如个人信息保护政策、用户协议等)无法排除以上规范的适用。


4. 处罚决定和处罚种类。行政调查终结后主管部门将对调查结果进行审查并视情况作出行政处罚决定或决定不予行政处罚。二审稿中规定的个人信息保护的行政处罚的种类一共包括四类: 警告、罚款/没收违法所得、吊销相关业务许可或者吊销营业执照、责令暂停相关业务/停业整顿。其中情节严重者罚款幅度在五千万元以下或者上一年度营业额百分之五以下, 并且对高管个人也苛以十万元以上一百万元的罚款, 另外企业也可能因此被吊销营业执照, 处罚之严厉可见一斑。


5. 听证。《行政处罚法》对较大数额的罚款、没收大额违法所得、吊销许可证、责令停产停业等较重的行政处罚要求行政机关应当组织听证。个人信息处理者应当在行政机关告知后的一定期限内[9]提出。


随着个人信息保护立法逐步完善, 配套的个人信息保护行政执法细则亟待出台。在其正式出台前, 具体的执法程序仍将按照《行政处罚法》的规定展开。另外, 针对个人信息保护问题, 我国执法和司法的现状存在“刑法先行、民法执法收益不明显”的情况, 因而加强完善行政执法至关重要。企业应重点关注执法过程中的配合义务, 以免因此受到额外的处罚或被加重处罚。


向下滑动查看注释


[1]  《治安管理处罚法》第四十二条。

[2]  《消费者权益保护法》, 第三十二条、第五十条、五十六条。

[3]  《网络安全法》第六十四条。

[4]  《征信业管理条例》第三十八条。

[5]  2018.01.01生效的《行政处罚法》第三十六条, 除本法第三十三条规定的可以当场作出的行政处罚外, 行政机关发现公民、法人或者其他组织有依法应当给予行政处罚的行为的, 必须全面、客观、公正地调查, 收集有关证据; 必要时, 依照法律、法规的规定, 可以进行检查。

[6]  (2020)浙02行终92号; (2020)川1521行初43号; (2018)冀05行终74号。

[7]  2012.01.01生效的《行政强制法》第二十三条第一款, 查封、扣押限于涉案的场所、设施或者财物, 不得查封、扣押与违法行为无关的场所、设施或者财物; 不得查封、扣押公民个人及其所扶养家属的生活必需品。第二十四条第一款, 行政机关决定实施查封、扣押的, 应当履行本法第十八条规定的程序, 制作并当场交付查封、扣押决定书和清单。

[8]  另可参见, 《刑事诉讼法》第一百三十七条, 任何单位和个人, 有义务按照人民检察院和公安机关的要求, 交出可以证明犯罪嫌疑人有罪或者无罪的物证、书证、视听资料等证据。《行政处罚法》第三十七条第一款, 当事人或者有关人员应当如实回答询问, 并协助调查或者检查, 不得阻挠。询问或者检查应当制作笔录。

[9]  《行政处罚法(2017修正)》第四十二条: 三日内提出; 2021.07.15生效的《行政处罚法》第六十四条: 五日内提出。




作者:


潘永建 合伙人

+86 136 2172 0830

+86 21 3135 8701

david.pan@llinkslaw.com

点击长按识别左侧二维码查看作者介绍

杨迅

+86 152 2182 2373

+86 21 3135 8799

xun.yang@llinkslaw.com

点击长按识别左侧二维码查看作者介绍

邓梓珊

刘时宇




往期分享


能力越大, 责任越大——数据分类分级制度评述

网安法、个保法、数安法下的法律责任

敏感个人信息的处理要点

知情同意: 个人信息处理唯一的合法基础?

个人信息处理合规要点

国标要不要遵守? 个人信息保护法给你答案

长按下图识别二维码关注我们

© 通力律师事务所

本微信所刊登的文章仅代表作者本人观点, 不代表通力律师事务所的法律意见或建议。我们明示不对任何依赖该等文章的任何内容而采取或不采取行动所导致的后果承担责任。如需转载或引用该等文章的任何内容, 请注明出处。


点击“阅读原文”,直达通力官网了解更多资讯!

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存