【违法处理个人信息的行政责任】

第六十六条 【违法处理 个人信息的 行政责任】

【条文主旨】

本条是关于违法处理个人信息，或者处理个人信息未履行法定义务承担行政责任的规定。

【条文理解】

一、明确实施处罚的机关为履行个人信息保护职责的部门

个人信息保护涉及各个领域和多个部门的职责。根据本法第六十条前两款的规定，国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。此外，还包括国务院有关部门、县级以上地方人民政府有关部门，各部门在各自职责范围内履行监管责任。

二、明确处罚的情形

本条明确了处罚的具体情形，即违反本法规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务。“违反本法规定处理个人信息”既包括违反本法有关处理个人信息应当遵循的原则、方式、范围、处理规则等要求，也包括违反相关禁止性规定，如违反本法第十条非法收集、使用、加工、传输他人个人信息，非法买卖、提供或者公开他人个人信息；违法从事危害国家安全、公共利益的个人信息处理活动等。“未履行本法规定的个人信息保护义务”主要是指本法第五章有关个人信息处理者的义务规定，这里既有个人信息处理者内部加强管理的义务，如制定内部管理制度和操作规程、对个人信息实行分类管理、定期合规审计、进行个人信息保护影响评估、指定个人信息保护负责人等，也有对外应当履行的义务，如本法第五十七条规定发生或者可能发生个人信息泄露、篡改、丢失情况的，个人信息处理者负有立即采取补救措施并通知相关部门和个人的义务。

三、新增对应用程序违法处理个人信息责令暂停或者终止提供服务的规定

对应用程序违法处理个人信息责令暂停或者终止提供服务，是个人信息保护法草案三次审议稿新增加的内容。《全国人民代表大会宪法和法律委员会关于〈中华人民共和国个人信息保护法（草案）〉审议结果的报告》中提到，一些常委会组成人员和地方、部门、社会公众建议，进一步完善个人信息处理规则，特别是对应用程序（App）过度收集个人信息、“大数据杀熟”以及非法买卖、泄露个人信息等作出有针对性的规范。因此增加规定，在履行个人信息保护职责的部门应当组织对应用程序等个人信息保护情况进行测评、公布测评结果，对违法处理个人信息的应用程序，责令暂停或者终止提供服务。

应用程序违法处理个人信息遭诟病已久，主要表现为擅自收集或非法窃取、超范围过度收集、“一揽子”授权或“诱导、强迫提供”、第三方数据使用失范、数据泄露或非法提供、非法出售等，其危害性不言而喻。此外，小程序超范围收集个人信息的问题也较为严重。小程序除获取个人姓名、身份证号等敏感信息外，还需进行人脸识别。针对应用程序（App）违法违规收集使用个人信息的问题，中央网信办、工信部、公安部、市场监管总局四部门于2019年1月开展为期一年的“App违法违规收集使用个人信息专项治理行动”。2019年11月28日，上述四部门联合发布《App违法违规收集使用个人信息行为认定方法》，为相关执法提供指引。值得注意的是，2021年5月1日起施行的《常见类型移动互联网应用程序必要个人信息范围规定》还将“小程序”纳入监管，明确“App包括移动智能终端预置、下载安装的应用软件，基于应用软件开放平台接口开发的、用户无需安装即可使用的小程序”。本法将对违法处理个人信息的应用程序，责令暂停或者终止提供服务，增加为履行个人信息保护职责部门对违法主体可采取的处罚手段，从法律层面为执法者提供依据，也体现了本法“强监管”的要求。

四、实施“双罚制”，根据违法情节区分直接负责的主管人员和其他直接责任人员责任

本条两款均规定了主管人员和其他直接责任人的行政责任。对符合本条第一款规定的情形，处一万元以上十万元以下罚款。符合本条第二款“情节严重”情形的，由省级以上履行个人信息保护职责的部门处十万元以上一百万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。

对相关人员采取限制从业处罚措施是个人信息保护法草案三次审议稿新增加的内容。网络安全法亦有类似规定，如网络安全法第六十三条第三款规定：“违反本法第二十七条规定，受到治安管理处罚的人员，五年内不得从事网络安全管理和网络运营关键岗位的工作；受到刑事处罚的人员，终身不得从事网络安全管理和网络运营关键岗位的工作。”

五、对经营主体的罚款由省级行政机关实施

对违法企业处以高额罚款，能够对企业起到震慑作用，体现了本法保护个人信息的力度。根据本条第二款的规定，违法处理个人信息情节严重的，由省级以上履行个人信息保护职责的部门处以五千万元以下或者上一年度营业额百分之五以下罚款。值得注意的是，对经营主体的罚款只能由省级行政机关实施。

关于罚款的数额，反垄断法规定为“上一年度销售额百分之一以上百分之十以下”，此条规定为“上一年度营业额百分之五以下”。“销售额”与“营业额”存在一定区别。《中华人民共和国增值税暂行条例》第六条规定：“销售额为纳税人发生应税销售行为收取的全部价款和价外费用，但是不包括收取的销项税额。销售额以人民币计算。纳税人以人民币以外的货币结算销售额的，应当折合成人民币计算。”《中华人民共和国增值税暂行条例实施细则》第七条规定：“纳税人兼营非增值税应税项目的，应分别核算货物或者应税劳务的销售额和非增值税应税项目的营业额；未分别核算的，由主管税务机关核定货物或者应税劳务的销售额。”此条表述为“营业额”，将非增值税应税项目纳入罚款计算基数，更为周延。

【适用指南】

本条是关于行政责任的规定，还应注意与行政处罚法的衔接问题。行政处罚法第十七条规定：“行政处罚由具有行政处罚权的行政机关在法定职权范围内实施。”行政处罚会限制公民、法人的权利或者设定新的义务，必须经法律、法规、规章特别授予。尽管履行个人信息保护职责的行政机关均承担一定的行政职能，但并不都有行政处罚权。对于违法处理个人信息，或者处理个人信息未履行法定义务的主体实施行政处罚，应由履行个人信息保护职责且具有行政处罚权的行政机关实施。与此同时，行政处罚必须在法定职权范围内实施，不能超越职权实施行政处罚。比如市场监督管理部门不能实施应当由税务部门实施的处罚；县级以上行政机关未依法取得授权不得实施应由省级以上行政机关实施的处罚。

“直接负责的主管人员”一般是指对违法行为起主要决策作用的主管人员。“其他直接责任人员”一般是指在直接负责的主管人员的授意、指挥、组织下，积极参与实施违法行为的单位内部人员。

关于“责令改正”是否属于行政诉讼受案范围的问题。行政处罚法第九条规定：“行政处罚的种类：（一）警告、通报批评；（二）罚款、没收违法所得、没收非法财物；（三）暂扣许可证件、降低资质等级、吊销许可证件；（四）限制开展生产经营活动、责令停产停业、责令关闭、限制从业；（五）行政拘留；（六）法律、行政法规规定的其他行政处罚。”第二十八条第一款规定：“行政机关实施行政处罚时，应当责令当事人改正或者限期改正违法行为。”实践中，行政机关在实施行政处罚、行政强制等过程中，往往会责令行政相对人改正违法行为。由于责令改正并不是法律明确的行政处罚种类，司法实践中，对“责令改正”是否属于行政诉讼受案范围的问题存在争议。一种意见认为，行政责令改正通知书属于行政程序中的过程性行政行为，不对行政相对人的权利义务产生实际的影响，不具有可诉性。另一种意见认为，责令停止或者改正违法行为一经作出便对行政相对人设定了义务，无论该行政行为是否合法，若行政相对人不执行该责令行为，就会受到行政处罚或者其他形式的不利后果。责令停止或者改正违法行为是行政执法过程中的一种独立的行政行为，如果行政相对人实施的合法行为被行政主体错误地责令停止，就会导致行政相对人的合法权益受到侵害。因此，为保障被责令单位或者个人的合法权益，应当赋予被责令单位或者个人法律救济的途径。对比两种意见不难发现，司法实践中，行政机关作出的责令改正对当事人的实体权利义务是否产生直接影响，是责令改正是否可诉的判断标准。如果在提起诉讼时责令改正行为和行政处罚行为俱已存在，责令改正的行为要素和法律效果已被行政处罚行为吸收，对行政处罚提起诉讼即相当于对责令改正行为提起诉讼；若行政处罚被撤销，则责令改正行为自然失去了法律效力。如果责令改正行为作出后，不再作出其他行政行为，则责令改正行为就属于独立的行政行为，影响了相对人的权利和义务，应被纳入行政诉讼的受案范围。

【相关规定】

《中华人民共和国行政处罚法》第十七条；《中华人民共和国网络安全法》第六十三条；《中华人民共和国增值税暂行条例》第六条；《中华人民共和国增值税暂行条例实施细则》第七条。