孫 瑩

違法處理個人信息高額罰款制度是保障自然人個人信息權益、維護公共利益和社會秩序、調整失衡的企業(yè)和個人力量以及規(guī)制互聯(lián)網(wǎng)競爭生態(tài)的需要。由于能夠深切觸及違法主體，尤其是大型互聯(lián)網(wǎng)企業(yè)的利益，進而對侵害個人信息的行為產生有效威懾，其理應成為加強個人信息保護行政監(jiān)管的有效法律工具?！?〕參見孫瑩：《大規(guī)模侵害個人信息高額罰款研究》，載《中國法學》2020 年第5 期，第109-112 頁。《個人信息保護法》（以下簡稱《個保法》）第66 條規(guī)定了不同情形下違法處理個人信息的行政責任，其中第2 款將違法處理個人信息且情節(jié)嚴重行為的罰款金額設定為五千萬元以下或者上一年度營業(yè)額百分之五以下。較《網(wǎng)絡安全法》等法律法規(guī)，〔2〕例如，《消費者權益保護法》第56 條規(guī)定了在經營者侵害消費者個人信息權益時，由行政機關責令改正，根據(jù)情節(jié)單處或者并處警告、沒收違法所得、處以違法所得一倍以上十倍以下的罰款；沒有違法所得的，處以五十萬元以下的罰款；情節(jié)嚴重的，責令停業(yè)整頓、吊銷營業(yè)執(zhí)照?！毒W(wǎng)絡安全法》第64 條規(guī)定了網(wǎng)絡運營者、網(wǎng)絡產品或者服務的提供者侵害個人信息權益時，由行政機關責令改正，根據(jù)情節(jié)單處或者并處警告、沒收違法所得、處違法所得一倍以上十倍以下罰款，沒有違法所得的，處一百萬元以下罰款，對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款；情節(jié)嚴重的，并可以責令暫停相關業(yè)務、停業(yè)整頓、關閉網(wǎng)站、吊銷相關業(yè)務許可證或者吊銷營業(yè)執(zhí)照?！秱€保法》大幅提高了行政罰款金額，表明在違法處理個人信息且情節(jié)嚴重的情況下，違法主體將承擔更為嚴厲的行政責任?！秱€保法》是個人信息保護領域的基本法，該條關于違法處理個人信息高額罰款的規(guī)定，將會是我國個人信息保護行政執(zhí)法領域的重要法律依據(jù)，本文將從適用情形、處罰對象、執(zhí)法主體及其管轄權、與其他法律責任的關系等方面，對《個保法》第66 條第2 款的理解與適用提出一些看法。

一、違法處理個人信息高額罰款制度的適用情形

根據(jù)《個保法》第66條第2款的規(guī)定，高額罰款適用于違反個人信息保護法的規(guī)定處理個人信息，或不履行個人信息保護法規(guī)定的個人信息保護義務，且情節(jié)嚴重的情形。簡而言之，即實施了違法處理個人信息的行為且情節(jié)嚴重。根據(jù)立法邏輯，判斷是否適用該條款首先應當判斷是否符合違法處理個人信息行為的構成要件，其次需要認定是否屬于“情節(jié)嚴重”。

（一）構成違法處理個人信息行為的主客觀要件

傳統(tǒng)行政法多秉持“客觀違法”的一元歸責原則，承擔行政責任的唯一標準是該行為客觀上違法，而無須考察行政相對人的主觀心態(tài)，更無須考察行為人的主觀心態(tài)是故意或過失。換言之，主觀過錯并不是應受行政處罰行為的構成要件之一，單純客觀違法即可予以處罰。〔3〕參見汪永清主編：《行政處罰運作原理》，中國政法大學出版社1994 版，第169-170 頁；袁曙宏：《論行政處罰的實施》，載《法學研究》1993 年第4 期，第43 頁?，F(xiàn)在也有觀點認為，考慮到行政機關在行政訴訟中的舉證責任，如果過多強調處罰的前提在于行政相對人存在主觀過錯，將加重行政機關的負擔?！?〕參見馬懷德：《〈行政處罰法〉修改中的幾個爭議問題》，載《華東政法大學學報》2020 年第4 期，第11 頁。然而，這種一元歸責原則不利于實質正義的實現(xiàn)。因此，本文認為將客觀要件和主觀要件相結合對是否構成違法處理個人信息行為進行判斷更為妥當。

就客觀要件而言，《個保法》結合對個人信息處理活動的規(guī)定，從個人信息處理的事前、事中、事后三個環(huán)節(jié)詳盡規(guī)定了違法處理個人信息行為的表現(xiàn)形式，此處不予贅述。就主觀要件而言，2021年修訂的《行政處罰法》 第33 條第2 款〔5〕《行政處罰法》 第33 條第2 款規(guī)定：“當事人有證據(jù)足以證明沒有主觀過錯的，不予行政處罰。法律、行政法規(guī)另有規(guī)定的，從其規(guī)定?！币呀浺?guī)定沒有主觀過錯的，不予行政處罰，但該規(guī)定較為原則。作為排除適用行政處罰的條件，該條文并未從正面明確行政處罰決定作出時，是否應區(qū)分“故意”“重大過失”“一般過失”，以及如果區(qū)分應該如何配置不同處罰程度的責任。就違法處理個人信息高額罰款制度的適用情形而言，本文認為應當綜合考慮個人信息處理者的主觀心理狀態(tài)。刑法中的行為人主觀心理態(tài)度包括認識因素和意志因素，但較刑法而言，行政法中行為人的認識因素有其特殊性。就行為犯而言，由于行政責任的成立并不以產生實際的損害結果為前提，因此行為人的認識因素既不要求行為人明知或應知會產生特定的損害結果，也不要求行為人明知或應知自己在行政法上的法定義務，而是要求行為人明知或應知違反行政法上義務的構成要件事實即可?！?〕參見江必新：《論應受行政處罰行為的構成要件》，載《法律適用》1996 年第6 期，第4-6 頁。以發(fā)生在事前和事中環(huán)節(jié)的違法處理個人信息行為為例，應當要求個人信息處理者的認識因素為明知或應知自己應承擔的事前或事中法定義務的構成要件事實，其意志因素為積極追求或放任其發(fā)生。例如，《個保法》第13 條、第14 條、第27 條規(guī)定了個人信息處理者在處理個人信息前，應當獲得個人或者其監(jiān)護人的明確同意的義務。行為人的認識因素并非其明知或應知自己負有該種義務，而是明知或應知自己在處理個人信息前，如不做出具體的獲求個人或其監(jiān)護人同意的行為則會違反該法定義務。在意志因素上，要求行為人積極追求或放任在處理個人信息前，不向個人或其監(jiān)護人獲求同意的行為的發(fā)生。

再如，《個保法》第24 條第1 款規(guī)定，個人信息處理者利用個人信息進行自動化決策時，負有不得對個人實行不合理的價格差別對待的義務。行為人的認識因素并非其明知或應知自己負有該種禁止性義務，而是明知或應知自己在利用個人信息進行自動化決策時，如果對個人實行不合理的價格差別對待則會違反該義務。在意志因素上，要求行為人積極追求或放任在利用個人信息進行自動化決策時，對個人實行不合理的價格差別對待的行為的發(fā)生。由此，通過綜合考察個人信息處理者的主觀狀態(tài)，可使執(zhí)法者基于行為人主觀上的過錯程度適配相當?shù)男姓幜P。

（二）“情節(jié)嚴重”的認定

在個人信息保護方面，《網(wǎng)絡安全法》《數(shù)據(jù)安全法》也規(guī)定了對情節(jié)嚴重的侵害個人信息行為給予加重處罰，但對情節(jié)嚴重的參考因素和認定標準并未進一步釋明。“應受行政處罰行為得以參照犯罪論體系進行判定，源于對法律保留、比例原則和人格尊嚴等憲法價值的遵循?！薄?〕李晴：《犯罪論體系對應受行政處罰行為的可參照性》，載《法學》2022 年第4 期，第36 頁。因此，建議可以參照刑事領域的相關解釋，在未來的實施細則中進一步明確違法處理個人信息“情節(jié)嚴重”的情形，以防范乃至避免高額罰款制度被任意地擴大解釋與適用。在此需要說明的是，對行政處罰語境下違法處理個人信息“情節(jié)嚴重”的理解，并非只是簡單地套用刑法關于侵犯公民個人信息罪有關“情節(jié)嚴重”“情節(jié)特別嚴重”的規(guī)定，而應理解刑法上該罪所保護的法益，尊重已有刑法個人信息保護體系，最終形成符合法秩序統(tǒng)一理念的“行政法—刑法”有機聯(lián)動的個人信息分級保護框架。

我國《刑法》第253 條之一規(guī)定了“侵犯公民個人信息罪”，并規(guī)定了“情節(jié)嚴重”和“情節(jié)特別嚴重”兩個加重處罰情節(jié)。最高人民法院、最高人民檢察院聯(lián)合發(fā)布的《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（以下簡稱《解釋》）第5 條列舉了“情節(jié)嚴重”的9 種情形和“情節(jié)特別嚴重”的3 種情形，以上12 種情形可以從“行為加重”和“結果加重”兩個角度加以分類，主要考慮的因素包括信息類型和數(shù)量、違法所得數(shù)額、信息用途、主體身份、前科情況等。對同一行為而言，認定為行政違法行為的標準要低于認定為犯罪行為的標準。因此可以參考《解釋》第5 條有關“情節(jié)嚴重”和“情節(jié)特別嚴重”的標準，降低其中行為加重和結果加重的程度，從而制定作為行政違法行為的“情節(jié)嚴重”和“情節(jié)特別嚴重”標準。在借鑒刑法已有規(guī)定，認定何為此處的“情節(jié)嚴重”時需注意：《解釋》和《個保法》對敏感個人信息的內涵和分類有所不同?！督忉尅返? 條第1 款第3 項和第4 項區(qū)分了兩種敏感個人信息，并規(guī)定了不同的入罪標準。一種是行蹤軌跡信息、通信內容、征信信息、財產信息等高度敏感個人信息，另一種是住宿信息、通信記錄、健康生理信息、交易信息等次級敏感個人信息?！?〕參見周加海等：《〈關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋〉的理解與適用》，載《人民司法（應用）》2017 年第19 期，第34 頁?！秱€保法》第28 條則將敏感個人信息解釋為“一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息”。本文認為，所謂個人信息的敏感性，歸根結底取決于該信息在特定社會環(huán)境下體現(xiàn)了何種程度的人格價值和經濟價值。因此“敏感個人信息”的內涵，本質上是處于動態(tài)變化中的。因此從《個保法》的范疇出發(fā)，可以借鑒《解釋》中高度敏感個人信息和次級敏感個人信息的分類標準，采取概括而非列舉的方式，以便為未來敏感個人信息內涵的變化留下空間。本文以違法向他人出售或提供公民個人信息的行為為例進行說明，作為行政違法行為的“情節(jié)嚴重”，從“行為加重”的角度可以設定為3 種：（1）出售或者提供行蹤軌跡信息，被他人用于違法行為的；（2）知道或者應當知道他人利用個人信息實施違法行為，向其出售或者提供的；（3）二年內曾因違法處理個人信息受過行政處罰，又非法獲取、出售或者提供個人信息的。從“結果加重”的角度，可以將“情節(jié)嚴重”設定為5 種：（1）非法獲取、出售或者提供高度敏感個人信息三十條以上的；（2）非法獲取、出售或者提供次級敏感個人信息三百條以上的；（3）非法獲取、出售或者提供第一項、第二項規(guī)定以外的個人信息三千條以上的；（4）違法所得三千元以上的；（5）將在履行職責或者提供服務過程中獲得的個人信息出售或者提供給他人，數(shù)量或者數(shù)額達到第一項至第四項規(guī)定標準一半以上的。

此外，雖然《個保法》等法律中沒有規(guī)定“情節(jié)特別嚴重”的情形，但現(xiàn)實可能會發(fā)生因違法處理個人信息行為導致人身傷害或較為嚴重的經濟損失和社會影響等結果。因此本文主張在后續(xù)的實施細則中參照《解釋》第5 條，在“情節(jié)嚴重”的基礎上增加“情節(jié)特別嚴重”的規(guī)定?！稊?shù)據(jù)安全法》第45 條規(guī)定了“違反國家核心數(shù)據(jù)管理制度，危害國家主權、安全和發(fā)展利益的，由有關主管部門處二百萬元以上一千萬元以下罰款”，可以將該條款作為情節(jié)特別嚴重的情形之一。綜合而言，“情節(jié)特別嚴重”可以包括以下四種情形：（1）造成被害人輕傷以上后果的；（2）造成較大經濟損失或者較壞社會影響的；（3）違反國家核心數(shù)據(jù)管理制度，危害國家主權、安全和發(fā)展利益的；（4）數(shù)量或者數(shù)額達到前款規(guī)定標準五倍以上的。

二、違法處理個人信息高額罰款“雙罰制”的處罰對象

傳統(tǒng)行政處罰理論認為，針對單位的行政處罰，并不牽涉單位直接負責的主管人員或其他直接責任人員。但隨著市場經濟的發(fā)展，諸多單位主體日益深入公共空間并彼此交融，部分單位的違法行為將造成極大的社會風險。因此在我國行政處罰領域，“雙罰制”理論開始得到越來越多的運用，在處罰單位的同時，一并處罰單位直接負責的主管人員或其他直接責任人員，將行政處罰的威力穿透違法責任主體，直達行為人。〔9〕參見譚冰霖：《單位行政違法雙罰制的規(guī)范建構》，載《法學》2020 年第8 期，第127 頁。雖然新修訂的《行政處罰法》沒有單獨規(guī)定單位違法的雙罰制，但我國《網(wǎng)絡安全法》第64 條和《數(shù)據(jù)安全法》第45 條對違法處理個人信息行為規(guī)定了雙罰制，《個保法》第66條第2 款也規(guī)定，對其直接負責的主管人員或其他直接責任人員“處十萬元以上一百萬元以下罰款，并可以決定禁止其在一定期限內擔任相關企業(yè)的董事、監(jiān)事、高級管理人員和個人信息保護負責人”，這充分說明我國個人信息保護行政監(jiān)管執(zhí)法領域已經完全認可“雙罰制”。

（一）對單位“直接負責的主管人員和直接責任人”的行政處罰

對于高額罰款“雙罰制”的構成要件，《個保法》第66 條第2 款的立法思路體現(xiàn)為，作為個人信息處理者的單位和“直接負責的主管人員或其他直接責任人員”受行政處罰的違法前提要件一致，同時“直接負責的主管人員或其他直接責任人員”的行政處罰不需要其他附加條件。

我國《網(wǎng)絡安全法》《數(shù)據(jù)安全法》《個保法》對實施侵害個人信息違法單位的自然人的處罰范圍相同，都限于直接負責的主管人員和直接責任人，也都區(qū)分不同情節(jié)下自然人承擔不同的行政責任，〔10〕《數(shù)據(jù)安全法》將自然人承擔行政責任的情節(jié)區(qū)分為一般情況和拒不改正或造成大量數(shù)據(jù)泄露等嚴重后果兩種。這種情節(jié)上的區(qū)分有助于形成行政責任劃分的不同梯度，符合違法行為與行政責任、行政處罰相適應的原則。需注意的是，三部法律罰款的設定方式均采數(shù)據(jù)數(shù)值式，但罰款金額上限不斷提高?！毒W(wǎng)絡安全法》規(guī)定罰款為1 萬元以上10 萬元以下；《數(shù)據(jù)安全法》則規(guī)定，對于拒不改正或者造成大量數(shù)據(jù)泄露等嚴重后果的，罰款為5 萬元以上20 萬元以下；《個保法》進一步提高了罰款金額的上限，規(guī)定情節(jié)嚴重的，罰款金額為10 萬元以上100 萬元以下?？梢园l(fā)現(xiàn)，從《網(wǎng)絡安全法》到《個保法》，罰款金額上限從10 萬元提高到了100 萬元。我國現(xiàn)行法律對單位違法行為中自然人的罰款額度最高為50 萬元，〔11〕例如，《固體廢物污染環(huán)境防治法》第108 條、《反恐怖主義法》第83 條。與現(xiàn)行法律規(guī)定的罰款上限相比，《個保法》中將自然人罰款上限設定為100 萬元，體現(xiàn)了高額罰款的特征。這種趨勢體現(xiàn)了立法者愈加強調侵害個人信息的社會危害性，加大在單位違法行為中對自然人的處罰力度。

在此需要特別指出的是，《個保法》第52 條規(guī)定了個人信息保護負責人制度，規(guī)定了處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者應當指定個人信息保護負責人，負責對個人信息處理活動及采取的措施等進行監(jiān)督。我國的“個人信息保護負責人”與歐盟《通用數(shù)據(jù)保護條例》中的“數(shù)據(jù)保護官”功能相似，但是，對于“個人信息保護負責人”在個人信息處理者中具體處于何種地位、承擔哪些具體職責及法律責任并未予以細化規(guī)定。因此，在違法處理個人信息的雙罰制法律適用過程中，是否將“個人信息保護負責人”納入“直接負責的主管人員或其他直接責任人員”涵攝的范圍，還有待進一步探討。

（二）作為高額罰款執(zhí)法重點的大型網(wǎng)絡平臺企業(yè)

行政處罰的執(zhí)法實踐中，大型網(wǎng)絡平臺企業(yè)是違法處理個人信息造成嚴重后果的主要侵害人。在未來制定違法處理個人信息高額罰款的實施細則中，應當細化對大型網(wǎng)絡平臺企業(yè)及其“直接負責的主管人員和直接責任人”的高額罰款處罰規(guī)定。

數(shù)字革命使得大型網(wǎng)絡平臺企業(yè)相對自然人越發(fā)取得技術上的絕對優(yōu)勢。大型網(wǎng)絡平臺企業(yè)憑借其資本與日益迭代更新的人工智能及算法，可以更加便捷地實施個人信息收集與利用行為，而且，資本的逐利性會力圖使個人信息的商業(yè)價值性得到最大程度展現(xiàn)。〔12〕參見孫瑩：《大規(guī)模侵害個人信息高額罰款研究》，載《中國法學》2020 年第5 期，第108 頁。大型網(wǎng)絡平臺企業(yè)的以上特點使得其符合“準公共服務產品提供者”的身份，個人信息則成為大型網(wǎng)絡平臺企業(yè)業(yè)務的重要組成部分，一旦其實施違法處理個人信息行為（包括不履行個人信息保護義務），不僅會侵害眾多的個人信息權益，也會對網(wǎng)絡市場的公平性和國家網(wǎng)絡安全產生直接影響。因此大型網(wǎng)絡平臺企業(yè)及其“直接負責的主管人員和直接責任人”對于個人信息保護應當承擔更多的義務，如果其不履行個人信息保護的特定義務，則應屬于高額罰款的處罰對象。

現(xiàn)有個人信息保護領域的法律并未無本文所稱的“大型網(wǎng)絡平臺企業(yè)”的定義，因此需要進一步予以說明。歐盟《數(shù)字市場法》中對“守門人”及其義務的規(guī)定在此具有借鑒和啟發(fā)意義。歐盟《數(shù)字市場法》重點關注大型網(wǎng)絡平臺企業(yè)的影響力，并明確規(guī)定了大型網(wǎng)絡平臺的定義及其個人信息保護的“守門人”義務?！?3〕歐盟《數(shù)字市場法》將大型網(wǎng)絡平臺企業(yè)定義為核心平臺服務者（Core рlatform service），核心平臺服務內容包括網(wǎng)上中介服務、在線搜索引擎、在線社交網(wǎng)絡服務、視頻分享平臺服務、廣告服務、號碼獨立的人際溝通服務、操作系統(tǒng)、云計算服務等。特定的核心平臺服務者將被認定為“守門人”（Gatekeeрer）。參見劉穎：《我國〈個人信息保護法〉中的“守門人”條款》，載《北方法學》2021年第6 期，第76-77 頁?！稊?shù)字市場法》通過市場影響力加企業(yè)規(guī)模的方式規(guī)定了“守門人”的定義，并授權歐盟委員會可以根據(jù)市場和技術發(fā)展定期調整“守門人”的數(shù)值閾值。〔14〕市場影響力包括對內部市場有重大影響、經營一項核心平臺業(yè)務、具有穩(wěn)固和持久的行業(yè)地位三項。企業(yè)規(guī)模則包括：1.所屬企業(yè)在過去三個財政年度的歐洲經濟區(qū)年營業(yè)額等于或超過65 億歐元，或所屬企業(yè)在過去一個財政年度的平均市值或等值公平市場價值至少達到650 億歐元，并在至少三個成員國提供核心平臺服務；2.它提供的核心平臺服務的月活躍終端用戶超過4500萬，或者它位于聯(lián)盟內，上一財政年度在聯(lián)盟內建立的年活躍企業(yè)用戶超過1 萬人；3.在過去三個財政年度中每年都達到了第2 項的門檻。參見歐盟《數(shù)字市場法》第3 條。通過規(guī)定“守門人”具體應遵守的積極義務和禁止性義務，〔15〕參見歐盟《數(shù)字市場法》第5 條、第6 條；張新寶：《互聯(lián)網(wǎng)生態(tài)“守門人”個人信息保護特別義務設置研究》，載《比較法研究》2021 年第3 期，第20 頁。意圖削弱和遏制“守門人”對個人用戶和其他企業(yè)產生的優(yōu)勢地位。對此，《個保法》第58 條將具有特定個人信息保護義務的主體限定為提供重要互聯(lián)網(wǎng)平臺服務、用戶數(shù)量巨大、業(yè)務類型復雜的個人信息處理者，這一概念正契合了本文所說的大型網(wǎng)絡平臺企業(yè)。在具體認定上，可以采用市場影響力加企業(yè)規(guī)模的綜合認定方式，而企業(yè)規(guī)模的具體數(shù)值則可參考我國對信息技術服務業(yè)中的大型企業(yè)的規(guī)模認定，以年度營業(yè)額超過1 億元為標準?！?6〕參見孫瑩：《大規(guī)模侵害個人信息高額罰款研究》，載《中國法學》2020 年第5 期，第123 頁。

三、違法處理個人信息高額罰款執(zhí)法主體的確定

《個保法》第66 條第2 款將高額罰款執(zhí)法主體限定為省級以上履行個人信息保護職責的部門。通過梳理發(fā)現(xiàn)，高額罰款執(zhí)法主體層級的限定在《個保法》整個起草過程中經歷了從無到有的變化?！?7〕在2020 年10 月《個保法》第一次審議草案中，第62 條第2 款規(guī)定，“有前款規(guī)定的違法行為，情節(jié)嚴重的，由履行個人信息保護職責的部門責令改正，沒收違法所得，并處五千萬元以下或者上一年度營業(yè)額百分之五以下罰款”，該草案對高額罰款的執(zhí)法主體僅規(guī)定為履行個人信息保護職責的部門。在2021 年4 月《個保法》第二次審議草案中，第65 條第2 款直接沿襲了第一次審議草案第62 條第2 款的規(guī)定，同樣未限定高額罰款執(zhí)法主體的層級。目前仍無明確信息說明將高額罰款執(zhí)法主體層級限定為省級以上這一修改出現(xiàn)的具體時間，但根據(jù)全國人大常委會公報的內容進行推測，這一修改可能出現(xiàn)在兩個時間節(jié)點，即2021 年7 月28日和2021 年8 月17 日?！?8〕2021 年7 月28 日，憲法和法律委員會召開會議，對《個保法》進行審議，同一天，法制工作委員會也召開會議，邀請部分全國人大代表、專家學者以及基層立法聯(lián)系點、地方有關部門、企業(yè)等方面的代表就《個保法》草案進行評估。這兩個會議對《個保法》草案進行修改并形成了《個保法》第三次審議稿。8 月17 日下午，全國人大常委會對《個保法》第三次審議稿進行分組審議，8 月17 日晚，憲法和法律委員會召開會議，逐條研究常委會組成人員的審議意見，并提出新的修改意見。經過7 月28 日和8 月17 日兩次修改后，2021 年8 月20 日，全國人大常委會第三十次會議審議并通過了《個保法》。參見江必新：《全國人民代表大會憲法和法律委員會關于〈中華人民共和國個人信息保護法（草案）〉修改情況的匯報》，載《全國人民代表大會常務委員會公報》2021 年第6 號，第1131-1133 頁；《全國人民代表大會憲法和法律委員會關于〈中華人民共和國個人信息保護法（草案三次審議稿）〉修改意見的報告》，載《全國人民代表大會常務委員會公報》2021 年第6 號，第1133-1134 頁。2021 年8 月20 日公布的《個保法》第66 條第2 款已經修改為，“有前款規(guī)定的違法行為，情節(jié)嚴重的，由省級以上履行個人信息保護職責的部門責令改正，沒收違法所得，并處五千萬元以下或者上一年度營業(yè)額百分之五以下罰款”。該條款明確將高額罰款執(zhí)法主體限定為省級以上履行個人信息保護職責的部門。

（一）確定違法處理個人信息高額罰款執(zhí)法主體的法律依據(jù)和標準

根據(jù)《個保法》第60 條的規(guī)定，所謂履行個人信息保護職責的部門，包括網(wǎng)信部門、國務院中負責個人信息保護和監(jiān)管的部門、縣級以上地方政府中負責個人信息保護和監(jiān)管的部門。其中，網(wǎng)信部門的范圍明確，此處不再贅述，而國務院中負責個人信息保護和監(jiān)管的部門的范圍則較為寬泛。2018年國務院機構改革后，現(xiàn)行的國務院建制除了國務院辦公廳之外，還設置有26 個組成部門。顯然，這26 個國務院部門均可能在各自職責的范圍內涉及個人信息保護和監(jiān)管，在特定領域都可被解釋為“履行個人信息保護職責的部門”，如中國人民銀行、發(fā)改委、工信部、工商行政管理部門（市場監(jiān)督管理局）、公安機關等。就縣級以上地方政府中負責個人信息保護和監(jiān)管的部門而言，其范圍也同樣很寬泛。根據(jù)我國法律法規(guī)和部門規(guī)章的規(guī)定，縣級以上統(tǒng)計機構，〔19〕參見《統(tǒng)計法》第39 條，《統(tǒng)計執(zhí)法監(jiān)督檢查辦法》第46 條，《新聞出版統(tǒng)計管理辦法》第28 條、第35 條?？h級以上測繪地理信息主管部門，〔20〕參見《測繪法》第65 條，《地圖管理條例》第35 條、第47 條?？h級以上衛(wèi)生行政部門、衛(wèi)生健康主管部門、衛(wèi)生計生行政部門，〔21〕參見《結核病防治管理辦法》第35 條、《基本醫(yī)療衛(wèi)生與健康促進法》第102 條、《涉及人的生物醫(yī)學研究倫理審查辦法》第46 條?？h級以上旅游行政管理部門，〔22〕參見《旅行社條例實施細則》第65 條。縣級以上建設（房地產）主管部門〔23〕參見《房地產經紀管理辦法》第25 條、第37 條。等都具有針對侵害個人信息行為的行政處罰權。

可以發(fā)現(xiàn)，在我國的法律法規(guī)和部門規(guī)章中，對違法處理個人信息行為具有行政處罰權的執(zhí)法主體十分廣泛。在眾多的執(zhí)法主體中，如何明確高額罰款的執(zhí)法主體就成為亟待解決的問題?！秱€保法》第66 條根據(jù)違法行為的情節(jié)輕重實施分級處罰制度，即區(qū)分為一般情節(jié)與情節(jié)嚴重。對本條第1 款中針對一般違法行為的執(zhí)法主體即履行個人信息保護職責的部門之范圍的理解，應包含前述所有主體，但對本條第2 款針對情節(jié)嚴重的違法行為的執(zhí)法主體則應做限縮解釋。遵循行政法定原則，《個保法》第66 條為高額罰款執(zhí)法主體的選擇提供了法律依據(jù)和標準（表1）。

表1 違法處理個人信息高額罰款執(zhí)法主體的法定標準

根據(jù)標準一，高額罰款的執(zhí)法主體本身并非違法行為人的主管部門，而上文中列舉的信息產業(yè)主管部門、征信業(yè)監(jiān)督管理部門及其派出機構、中國人民銀行或其分支機構、銀保監(jiān)會及其派出機構等部門均為具體行業(yè)的主管部門，因此以上部門不能成為高額罰款的執(zhí)法主體。通過排除法，剩下市場監(jiān)督管理部門、公安機關、國家安全機關、網(wǎng)信部門四個部門可供選擇。

根據(jù)標準二，高額罰款的執(zhí)法主體應具有責令改正、警告、沒收違法所得、責令暫停相關業(yè)務、停業(yè)整頓、罰款、從業(yè)禁止等行政處罰權，但沒有吊銷相關業(yè)務許可或者吊銷營業(yè)執(zhí)照的處罰權?！吨伟补芾硖幜P法》第10 條規(guī)定，公安機關有吊銷公安機關發(fā)放的許可證的處罰權。依據(jù)有關法規(guī)和規(guī)章的規(guī)定，公安部計算機管理監(jiān)察部門負責計算機信息系統(tǒng)安全專用產品銷售許可證的發(fā)放，〔24〕參見《計算機信息系統(tǒng)安全保護條例》第16 條，《計算機信息系統(tǒng)安全專用產品檢測和銷售許可證管理辦法》第5 條，《計算機病毒防治管理辦法》第19 條。因此公安機關不符合標準二。根據(jù)《國家安全法》和《反間諜法》的規(guī)定，國家安全機關有搜查、沒收和行政拘留的職權，但并無責令改正、警告、責令暫停相關業(yè)務、停業(yè)整頓等職權，因此國家安全機關同樣不符合標準二。至此，符合我國現(xiàn)行法律規(guī)定的違法處理個人信息高額罰款的執(zhí)法主體，只有市場監(jiān)督管理部門和網(wǎng)信部門。

根據(jù)標準三，高額罰款的執(zhí)法主體的行政罰款金額可達一百萬元（一般情況），也可達五千萬元以下或者上一年度營業(yè)額百分之五以下（情節(jié)嚴重）。目前法律對該標準的適用主體存在模糊之處。例如，根據(jù)《電子商務法》第79 條規(guī)定，“電子商務經營者違反法律、行政法規(guī)有關個人信息保護的規(guī)定，或者不履行本法第三十條和有關法律、行政法規(guī)規(guī)定的網(wǎng)絡安全保障義務的，依照《中華人民共和國網(wǎng)絡安全法》等法律、行政法規(guī)的規(guī)定處罰”。但《網(wǎng)絡安全法》第64 條卻規(guī)定，侵害個人信息行為的“由有關主管部門責令改正”。所以兩部法律都沒有明確規(guī)定高額罰款究竟應該是由市場監(jiān)督管理部門還是由網(wǎng)信部門實施。

本文認為，省級以上網(wǎng)信部門作為違法處理個人信息高額罰款執(zhí)法主體具有充分的合理性，詳見下文的分析。

（二）省級以上網(wǎng)信部門作為違法處理個人信息高額罰款執(zhí)法主體的合理性

如上所述，通過對《個保法》第66 條的分析，可以將侵害個人信息高額罰款的執(zhí)法主體鎖定在市場監(jiān)督管理部門和網(wǎng)信部門二者之間。如何最終明確高額罰款的執(zhí)法主體，則需要站在推進國家機構職能優(yōu)化協(xié)同高效的立場，具體根據(jù)執(zhí)法主體的定位加以判斷。

1.網(wǎng)信部門更符合高額罰款執(zhí)法主體的定位

網(wǎng)信部門作為違法處理個人信息的高額罰款執(zhí)法主體，符合推進國家機構職能優(yōu)化協(xié)同高效的要求?！吨泄仓醒腙P于深化黨和國家機構改革的決定》提出，國家機構職能優(yōu)化協(xié)同高效是推進國家治理體系和國家治理能力現(xiàn)代化的基本原則之一。所謂優(yōu)化就是科學合理、權責一致。高額罰款執(zhí)法主體的確定要遵從科學合理和權責一致，并“堅持一類事項原則上由一個部門統(tǒng)籌、一件事情原則上由一個部門負責，避免政出多門、責任不明、推諉扯皮”。〔25〕王曉暉：《堅持優(yōu)化協(xié)同高效推進黨和國家機構改革》，載《人民日報》2018 年3 月19 日，第8 版。高額罰款執(zhí)法主體本身的職責不應僅限于罰款，因為高額罰款執(zhí)法主體的定位應是負責違法處理個人信息行為預警、調查、事實認定、提出處理意見和作出行政處罰等一系列行政活動的機關，并且它還能夠打通黨政機關之間界限，既增強黨的領導力，又提升政府的執(zhí)行力。

從該定位出發(fā)，與市場監(jiān)督管理部門相比，網(wǎng)信部門更適合成為違法處理個人信息高額罰款的執(zhí)法主體。其一，網(wǎng)信部門本身產生的時間較短，仍處在發(fā)展的過程中，其法律地位和職權相對模糊，但這也使得網(wǎng)信部門具有較強的可塑性，有利于破舊立新。市場監(jiān)督管理部門的職能決定了其本身更側重維護市場公平而非維護個人信息保護和網(wǎng)絡安全，而后兩者恰恰是設立網(wǎng)信部門的目標。其二，市場監(jiān)督管理部門在政府序列中沒有直接對應的黨的機構，因此不利于打通黨政機關之間界限。而網(wǎng)信部門不僅存在于政府序列中，即國家網(wǎng)信辦，還有對應的黨的機構，即中央網(wǎng)信辦，兩者合署辦公。同時，國家網(wǎng)信辦和中央網(wǎng)信辦又受中共中央網(wǎng)絡安全和信息化委員會領導，由此可見，由網(wǎng)信部門作為高額罰款執(zhí)法主體更有利于直接加強黨對網(wǎng)絡安全領域工作的領導作用。

2.應在網(wǎng)信部門和其他部門之間建立完善的聯(lián)合執(zhí)法機制

明確網(wǎng)信部門作為違法處理個人信息高額罰款的執(zhí)法主體，并不意味著排斥國務院中負責個人信息保護和監(jiān)管的部門、縣級以上地方政府中負責個人信息保護和監(jiān)管的部門。應該建立以網(wǎng)信辦為牽頭單位，其他部門共同參與的聯(lián)合執(zhí)法機制。

盡管本文主張將網(wǎng)信部門作為高額罰款的執(zhí)法主體，但并不因此否認市場監(jiān)督管理部門和其他部門享有除高額罰款以外的其他行政執(zhí)法權。由于社會治理事項本身的復雜性和內部聯(lián)系性，各部門之間存在管理事務和職權交叉是難以避免的。侵害個人信息的行為人往往是大型網(wǎng)絡平臺，所涉及的違法行為還可能同時包括運營資質審批、不正當市場競爭等問題，可能涉及多部門的管轄領域，因此客觀上也需要多部門聯(lián)合執(zhí)法。例如，在2021 年針對“滴滴出行”的網(wǎng)絡安全審查中，除國家網(wǎng)信辦外，還有公安部、國家安全部、自然資源部、交通運輸部、稅務總局、市場監(jiān)管總局六部門聯(lián)合參與。國家層面也明確了國家網(wǎng)信辦與國家發(fā)改委等11 個部門建立網(wǎng)絡安全審查工作機制。〔26〕參見《網(wǎng)絡安全審查辦法》第4 條。因此，在明確網(wǎng)信部門為高額罰款執(zhí)法主體的基礎上，需要建立針對侵害個人信息行為的有效協(xié)同的聯(lián)合執(zhí)法機制。在這一機制中，網(wǎng)信部門作為牽頭單位負責聯(lián)合調查的組織協(xié)調工作，其他部門根據(jù)各自管轄領域和執(zhí)法權限參與其中，進而實現(xiàn)統(tǒng)籌協(xié)調，各司其職。

此外，高額罰款執(zhí)法主體的確定要實現(xiàn)履職到位、流程順暢。確立網(wǎng)信部門作為高額罰款執(zhí)法主體的地位并建立聯(lián)合執(zhí)法機制，兩者的最終目標是實現(xiàn)對侵害個人信息行為的高效處理，提高行政體制的運行效率“也要靠簡化中間層次、減少管理層級、加強流程公開透明等”。〔27〕王曉暉：《堅持優(yōu)化協(xié)同高效推進黨和國家機構改革》，載《人民日報》2018 年3 月19 日，第8 版。因此，明確網(wǎng)信部門的高額罰款執(zhí)法主體地位后，還要解決網(wǎng)信部門的層級管轄和地域管轄問題。

3.省級以上網(wǎng)信部門均享有違法處理個人信息的高額罰款執(zhí)法權

我國的網(wǎng)信部門以行政層級為標準劃分為中央和地方共四級，即中央網(wǎng)信部門、省級網(wǎng)信部門、地市級網(wǎng)信部門和縣級網(wǎng)信部門。本文主張將省級以上網(wǎng)信部門作為違法處理個人信息高額罰款的執(zhí)法主體。

由于我國互聯(lián)網(wǎng)發(fā)展呈現(xiàn)多中心分布的特征，明確省級以上網(wǎng)信部門作為高額罰款執(zhí)法主體可以兼顧執(zhí)法的有效性和統(tǒng)一性。第一，如果僅將高額罰款執(zhí)法權賦予中央網(wǎng)信部門，則導致執(zhí)法權層級設定過高、執(zhí)法力量過度集中，不利于對各地發(fā)生的違法處理個人信息行為及時做出反應，影響執(zhí)法的有效性。第二，如果將高額罰款處罰權賦予地市級和縣級網(wǎng)信部門，則執(zhí)法層級設定過低、執(zhí)法力量過于分散，不利于對違法處理個人信息行為確定統(tǒng)一執(zhí)法標準。一則基層執(zhí)法機關缺乏足夠的執(zhí)法力量調查大型互聯(lián)網(wǎng)企業(yè)復雜的違法處理個人信息行為，二則各地方在產業(yè)發(fā)展中容易存在地方保護主義。我國地市級和縣級政府數(shù)量眾多，各地方容易將高額罰款作為地方保護的工具，或對本地區(qū)違法處理個人信息行為消極執(zhí)法，或對其他地區(qū)違法處理個人信息行為過度執(zhí)法?！?8〕參見馬懷德：《地方保護主義的成因和解決之道》，載《政法論壇》2003 年第6 期，第157 頁。一旦將高額罰款執(zhí)法權下放至地市級和縣級網(wǎng)信部門，中央將難以監(jiān)督眾多地方網(wǎng)信部門的高額罰款行為，不利于法制統(tǒng)一。第三，省級以上網(wǎng)信部門有較強的執(zhí)法能力，有利于執(zhí)法資源的相對集中。通過對中國互聯(lián)網(wǎng)前100 名企業(yè)進行統(tǒng)計可以發(fā)現(xiàn)，90%的企業(yè)登記地都位于直轄市或省會城市?！?9〕其具體分布情況為：北京38 家、上海18 家、廣州7 家、深圳6 家、杭州4 家、南京3 家、濟南3 家、成都3 家、武漢2 家、無錫2 家、福州2 家，天津、蘇州、長沙、蕪湖、合肥、貴陽、重慶和哈爾濱各1 家。關于這100 家互聯(lián)網(wǎng)企業(yè)的名稱，參見《中國互聯(lián)網(wǎng)企業(yè)綜合實力研究報告（2020）》，來源：httрs://хw.qq.com/amрhtml/20201102A09F7Q00，2021 年7 月28 日訪問。關于這100 家互聯(lián)網(wǎng)企業(yè)的城市分布，參見《中國互聯(lián)網(wǎng)百強企業(yè)城市分布》，來源：httрs://www.sohu.com/a/433068954_760428，2021 年7 月28 日訪問。省級網(wǎng)信部門所在地也都位于直轄市或省會城市，這樣在調查和處理企業(yè)違法行為時就能減少中間過程的損耗，節(jié)約執(zhí)法資源。第四，將執(zhí)法主體層級限定在省級以上網(wǎng)信部門有利于實現(xiàn)對高額罰款執(zhí)法權的有效監(jiān)督。由于省級網(wǎng)信部門的數(shù)量有限，國家網(wǎng)信部門可以對32 個省級網(wǎng)信部門實施有效監(jiān)管。并且，省級網(wǎng)信部門的級別相對較高，受到的監(jiān)督更多，客觀上更能夠約束其濫用執(zhí)法權的沖動。因此，鑒于我國違法處理個人信息高額罰款制度仍處于初步實踐階段，為了兼顧執(zhí)法有效性和法制統(tǒng)一性，將高額罰款處罰權限定在省級以上網(wǎng)信部門具有充分的合理性。

（三）國家網(wǎng)信部門和省級網(wǎng)信部門的層級管轄

省級以上網(wǎng)信部門包括國家網(wǎng)信部門和省級網(wǎng)信部門，因此有必要對兩級網(wǎng)信部門的管轄權限進行討論。隨著國家加大對大型網(wǎng)絡平臺企業(yè)的審查，相關案件的執(zhí)法情況可以為兩級網(wǎng)信部門的管轄權劃分提供實踐參照（表2）。

表2 近兩年被處罰或審查的大型網(wǎng)絡平臺企業(yè)及執(zhí)法主體

以上六家企業(yè)的登記地分別位于杭州、北京、深圳、天津和南京等省會城市、副省級城市或直轄市，阿里巴巴、美團和騰訊為港股上市企業(yè)，其余三家為美股上市企業(yè)。六家企業(yè)都具有互聯(lián)網(wǎng)運營資質且用戶規(guī)模巨大，屬于關鍵信息基礎設施運營者，其涉嫌的違法行為包括濫用市場支配地位、侵害個人信息、危害國家網(wǎng)絡安全等。由于對它們的審查具有全國政策導向性，所以均由中央級別的執(zhí)法機關而非地方執(zhí)法機關進行處理。究其原因，一方面，由于上市是互聯(lián)網(wǎng)企業(yè)獲得融資的最主要渠道，一旦企業(yè)上市，意味著其獲得了更廣泛的社會影響力，對于在國外上市的互聯(lián)網(wǎng)企業(yè)，由于東道國可能設置各種針對性審查條件，如果接受這些條件則可能會導致我國個人信息的泄露，威脅國家網(wǎng)絡安全；另一方面，關鍵信息基礎設施運營者是指經營公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業(yè)和領域，以及其他一旦遭到破壞、喪失功能或者泄露數(shù)據(jù)，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施的企業(yè)。因此，由實踐可見，上市企業(yè)和關鍵信息基礎設施運營者的身份是引發(fā)中央級別執(zhí)法機關進行執(zhí)法的重要原因。

綜上，可以得出國家網(wǎng)信部門和省級網(wǎng)信部門管轄權的區(qū)分標準，即該大型網(wǎng)絡平臺企業(yè)是否為上市企業(yè)及其是否為關鍵信息基礎設施運營者。如果在大陸或港股上市的企業(yè)或關鍵信息基礎設施運營者涉嫌實施違法處理個人信息行為，由國家網(wǎng)信部門負責處理。非上市企業(yè)和非關鍵信息基礎設施運營者實施違法處理個人信息行為則由各省級網(wǎng)信部門負責處理。對于已經在國外上市的企業(yè)，如涉及違法處理個人信息行為，由國家網(wǎng)信部門負責處理。對于準備在國外上市的企業(yè)，則預先由國家網(wǎng)信辦的網(wǎng)絡安全審查辦公室組織對其進行審查，并報中央網(wǎng)絡安全和信息化委員會批準后方可在國外上市?！?0〕參見《網(wǎng)絡安全審查辦法》第13 條。

四、違法處理個人信息高額罰款責任與其他法律責任的關系

（一）違法處理個人信息高額罰款的法條競合

我國《網(wǎng)絡安全法》《數(shù)據(jù)安全法》《個保法》等法律從各自角度規(guī)定了侵害個人信息行為的行政責任，并規(guī)定了不同的行政處罰。當同一侵害個人信息的行為觸犯數(shù)個法律，并應承擔多種行政責任時，便有可能產生行政罰款競合問題。

根據(jù)行政法“一事不再罰”的基本原理，同一違法行為不得遭受兩次以上同類型的行政處罰。但由于原《行政處罰法》并未規(guī)定一個違法行為同時觸犯多個法律規(guī)定、處罰標準不同的情形應如何處理，導致現(xiàn)實操作中出現(xiàn)許多問題。新修訂的《行政處罰法》就此問題明確了罰款“就高”的規(guī)則?！缎姓幜P法》第29 條規(guī)定，“對當事人的同一個違法行為，不得給予兩次以上罰款的行政處罰。同一個違法行為違反多個法律規(guī)范應當給予罰款處罰的，按照罰款數(shù)額高的規(guī)定處罰”。有文章指出罰款“就高”的具體適用規(guī)則，認為“就高”并非以具體執(zhí)法的罰款數(shù)額為標準，而是以法律規(guī)范中罰款數(shù)額規(guī)定為標準；對于有固定數(shù)額的罰款，直接適用數(shù)額高的規(guī)定；對于有幅度的罰款，先比較罰款上限，適用罰款上限高的規(guī)定；沒有罰款上限或者罰款上限一致的，適用罰款下限高的規(guī)定；對于形式上難以比較數(shù)額高低的，則需根據(jù)案情等實際情況作出判斷。〔31〕參見黃海華：《新行政處罰法的若干制度發(fā)展》，載《中國法律評論》2021 年第3 期，第57 頁。但通過比較具體法條可以發(fā)現(xiàn)，將罰款“就高”規(guī)則適用于侵害個人信息行為會面臨更為復雜的判斷過程。假設侵害個人信息的行為同時違反《網(wǎng)絡安全法》《數(shù)據(jù)安全法》《個保法》中的規(guī)定，則會發(fā)生法條競合的問題。而三部法律對行政罰款金額的規(guī)定各不相同（表3）。

表3 侵害個人信息行為的單位罰款金額的規(guī)定

通過比較可以發(fā)現(xiàn)，《網(wǎng)絡安全法》沒有區(qū)分情節(jié)，而是根據(jù)有無違法所得來明確罰款金額，即倍率數(shù)據(jù)式。《數(shù)據(jù)安全法》《個保法》則區(qū)分情節(jié)和后果，根據(jù)情節(jié)和后果輕重適用不同檔的金額，即數(shù)值數(shù)據(jù)式。由于以上條款對罰款金額的確定規(guī)則各不相同，因此屬于上文罰款“就高”規(guī)則中的“形式上難以比較數(shù)額高低”的情況。為最終明確三部法律中哪個條款罰款金額最高，則需結合具體案情，查明侵害個人信息行為是否有違法所得、侵害的自然人人數(shù)、是否造成嚴重后果、情節(jié)是否嚴重以及是否危害國家主權、安全和發(fā)展利益等因素，選擇具體對應的罰款金額條款方可進行比較。

（二）高額罰款行政責任與民事責任、刑事責任的關系

除行政罰款外，違法處理個人信息行為可能因同時違反民事、刑事法律規(guī)定，而承擔民事賠償并被科以刑事罰金。在刑事責任上，侵害個人信息行為可能觸犯《刑法》 第253 條關于“侵犯公民個人信息罪”和第286 條關于“拒不履行信息網(wǎng)絡安全管理義務罪”的規(guī)定。在民事責任上，《個保法》第69 條規(guī)定“處理個人信息侵害個人信息權益造成損害，個人信息處理者不能證明自己沒有過錯的，應當承擔損害賠償?shù)惹謾嘭熑巍?，該條款明確了侵害個人信息行為需承擔民事侵權責任。除自然人提出的民事訴訟外，有關行業(yè)組織和檢察院也可以提出侵害個人信息的民事公益訴訟，例如《個保法》第70 條和《深圳經濟特區(qū)數(shù)據(jù)條例》第98 條都規(guī)定了侵害個人信息民事公益訴訟條款。雖然侵害個人信息公益訴訟目前并未規(guī)定懲罰性賠償，但由于我國的立法趨勢正傾向于擴大懲罰性賠償?shù)倪m用領域，因此可以預見未來的侵害個人信息民事公益訴訟也可能增加懲罰性賠償?shù)囊?guī)定?！?2〕參見江帆、朱戰(zhàn)威：《懲罰性賠償：規(guī)范演進、社會機理與未來趨勢》，載《學術論壇》2019 年第3 期，第65-66 頁。如此，侵害個人信息行為的違法主體將同時面臨個人損害賠償、懲罰性賠償、高額行政罰款和刑事罰金四項賠償和罰款。因此理解與適用《個保法》第66 條第2 款，就應考慮到當違法主體的財產不足以同時支付民事賠償、高額行政罰款和刑事罰金時，如何明確高額罰款行政責任與民事責任、刑事責任的關系。

1.高額罰款行政責任和民事責任并存時應堅持民事責任優(yōu)先原則

我國民法理論認為，從對私權利優(yōu)先保護的角度出發(fā)，及時彌補受害人損失為優(yōu)，所以民事責任的承擔優(yōu)先于行政責任的承擔，我國法律也早已確認該原則。〔33〕例如《合伙企業(yè)法》第106 條規(guī)定，“違反本法規(guī)定，應當承擔民事賠償責任和繳納罰款、罰金，其財產不足以同時支付的，先承擔民事賠償責任”；《消費者權益保護法》第58 條規(guī)定，“經營者違反本法規(guī)定，應當承擔民事賠償責任和繳納罰款、罰金，其財產不足以同時支付的，先承擔民事賠償責任”；《民法典》第187 條規(guī)定，“民事主體因同一行為應當承擔民事責任、行政責任和刑事責任的，承擔行政責任或者刑事責任不影響承擔民事責任；民事主體的財產不足以支付的，優(yōu)先用于承擔民事責任”。本文認為，在處理侵害個人信息案件中，同樣要堅持民事責任優(yōu)先于行政責任的基本原則。高額罰款的設計初衷是為了給侵害個人信息行為的違法主體施加足夠的威懾，最終保護個人信息權益，如果高額罰款的承擔優(yōu)先于民事責任的承擔，則屬本末倒置。

2.建議創(chuàng)設個人信息保護基金

此外，目前實踐中行政機關普遍選擇優(yōu)先執(zhí)行行政罰款，違法主體大多無力再支付民事賠償，導致民事責任優(yōu)先原則難以落實。針對該問題，學界曾提出一些程序上的調整建議，包括將民事賠償責任納入行政罰款責任的確定范圍、將行為人的民事賠償能力納入行政罰款的緩減免事由、將民事賠償權利人納入行政罰款執(zhí)行程序的案外人等?！?4〕參見李明發(fā)：《論民事賠償責任優(yōu)先原則的適用——我國〈侵權責任法〉第4 條第2 款規(guī)定之解讀》，載《南京大學學報（哲學·人文科學·社會科學）》2015 年第2 期，第51 頁。但這些建議只是在現(xiàn)有的程序法框架內做細微調整，無法真正調和行政處罰與民事賠償在執(zhí)行時間上的顯著差異。本文認為，針對此問題可以創(chuàng)設一個獨立的個人信息保護基金，將行政高額罰款直接納入其中。該基金獨立負責管理和使用高額罰款，一旦違法主體的財產不足以支付民事賠償，則可根據(jù)人民法院的決定，由基金填補民事賠償不足的部分。這樣一方面可以避免延長行政處罰的程序，另一方面能夠有效執(zhí)行民事賠償。

3.高額罰款行政責任和刑事責任并存時遵從刑事責任優(yōu)先原則

修訂前的《行政處罰法》第22 條規(guī)定，“違法行為構成犯罪的，行政機關必須將案件移送司法機關，依法追究刑事責任”。該條文明確了行政責任和刑事責任競合時刑事責任優(yōu)先的原則。〔35〕參見胡建淼：《〈行政處罰法〉修訂的若干亮點》，載《中國司法》2021 年第5 期，第57 頁。由于現(xiàn)實案例中針對單位的罰金金額比較有限，遠低于高額罰款的金額，而大型網(wǎng)絡平臺的財產大多能夠足額繳納罰金，因此行政責任和刑事責任出現(xiàn)競合時，刑事責任多能得到完全執(zhí)行，而行政責任只能在刑事責任執(zhí)行后方可繼續(xù)執(zhí)行。

新修訂的《行政處罰法》第27 條在此基礎上增加一款，即“對依法不需要追究刑事責任或者免予刑事處罰，但應當給予行政處罰的，司法機關應當及時將案件移送有關行政機關”。該款規(guī)定表明，一旦侵害個人信息行為不需要追究刑事責任或免予處罰，也不影響其行政責任的承擔。具體到本文，司法機關要將案件轉交網(wǎng)信部門，后者依然可以對其進行行政處罰。

五、結語

《個保法》第66 條規(guī)定了個人信息處理者違反本法規(guī)定處理個人信息或者處理個人信息未履行本法規(guī)定的個人信息保護義務時需要承擔的行政責任，與該法規(guī)定的民事責任、行政責任等一起共同構成了較為完善的個人信息保護綜合法律責任體系。該條注重多種行政處罰方式的綜合適用，深化了單位和個人的行政處罰雙罰制，同時延續(xù)以往立法，根據(jù)違法行為的情節(jié)輕重實施分級處罰制度，即區(qū)分為一般情節(jié)與情節(jié)嚴重。在針對情節(jié)嚴重的處罰上，本條規(guī)定處五千萬元以下或者上一年度營業(yè)額百分之五以下罰款，即實施高額罰款，此舉強化了行政執(zhí)法，可以在一定程度上解決侵害人違法與侵權的低成本問題，并對個人信息處理者形成更強的威懾力。此種寬嚴相濟的做法，充分體現(xiàn)了《個保法》既保護個人信息權益，規(guī)范個人信息處理活動，又促進個人信息合理利用的立法思想。但是，本條的規(guī)定仍然非常原則，為實現(xiàn)執(zhí)法的規(guī)范化，應在理解該制度實施目標和任務的基礎上，在以后的實施中通過細則等形式明確該責任的構成要件、執(zhí)法主體、執(zhí)法對象、執(zhí)法標準和執(zhí)法程序等內容。