【不履行数据安全保护义务的法律责任】
开展数据处理活动的组织、个人不履行本法第二十七条、第二十九条、第三十条规定的数据安全保护义务的,由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;拒不改正或者造成大量数据泄露等严重后果的,处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。
违反国家核心数据管理制度,危害国家主权、安全和发展利益的,由有关主管部门处二百万元以上一千万元以下罚款,并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依法追究刑事责任。
【释义】
本条规定的是开展数据处理活动的组织、个人不履行法定数据安全保护义务的法律责任,其中第2款是在本法第二次审议后新增设的,该款特别针对违反国家核心数据管理制度,危害国家主权、安全和发展利益的数据处理活动设定法律责任。
本法第3条第2款规定:“数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。”开展数据处理活动的组织、个人既是数据处理主体,又是数据安全保护义务主体,本法第27条、第29条、第30条对数据安全保护义务做出了规定,具体而言包括:建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施;重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任;加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告;重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。
对高风险数据利用活动进行国家安全审查和处置,是管控国家数据安全风险的必要手段。这种安全审查不是针对所有数据,而是针对关系国家安全、公共安全的高风险重要数据。[9]依照本法第21条之规定,关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度,若开展数据处理活动的组织、个人违反国家核心数据管理制度,造成危害国家主权、安全和发展利益的损害后果,则属于本条第2款规定的情形,承担更重的法律责任。
在具体理解上,本条有以下几个重点:
第一,本条的规范对象是开展数据处理活动的组织、个人。值得关注的是,在主体上,本条没有选用“网络经营者”“网络服务提供者”“单位”等概念,取而代之的是外延更加广泛的“组织”概念。“网络运营者”“网络服务提供者”等显然不足以涵盖所有参与数据处理活动的主体,而“组织”既可以涵盖私法人,也可以涵盖非法人团体以及法人以外的其他团体,但国家机关等公法人需要排除在外,因为本条关涉行政处罚,国家机关的违法惩戒通常在其内部关系中处理,无须通过行政处罚进行。如果公法人或公法人内部的机关能够成为裁罚的对象,则会使得行政行为形式理论被彻底打破,无助于行政法体系的维护,在诉讼法上更会产生“自己诉讼”的问题。[10]运用体系解释的方法也可以看出,本法第49条专门规定国家机关不履行数据安全保护义务的法律责任,而且第49条实质上采纳的是单罚制的路径(只处罚主管人员和责任人员),也体现出国家机关不能作为本法中承担法律责任的主体,因此本条之“组织”显然不包括国家机关。
第二,本条第1款是开展数据处理活动的组织、个人不履行本法第27条、第29条、第30条规定的数据安全保护义务的处罚规定。具体处罚措施包括:
1.责令改正。责令改正是一个包容性很强的概念,因为不同的违法行为、不同的违法形态有不同的改正方式,因而责令改正有不同的表现形式。除“责令改正”和“限期改正”两种表现形式外,根据现有法律、法规和规章的规定,责令改正还有多种变体形式,包括限期清除、责令停止侵权、限期完善设施等措施在表述上均有责令改正的形式。[11]也有学者认为责令改正形式多样,总体上可以分为责令停止违法行为和责令恢复原状两种类型。[12]数据处理是一个全流程概念,在不同的流程环节中,“责令改正”的具体内容也并不相同,应当由行政机关依据法定义务对违法行为作出具体指令。例如,如果重要数据的处理者未按照规定对其数据处理活动定期开展风险评估,属于不作为的违法行为,责令改正措施应当为依法定期开展风险评估。
对于责令改正的性质,学界有行政处罚说、行政强制措施说、行政命令说和行政指导说等各类观点[13],但应当注意根据“依法减损合法权益或者增加新的义务”标准同作为行政处罚的责令停止行为、责令作出行为相区分。[14]此外,无论其性质为何,在网络空间中,“责令改正”程序具有防止损失扩大的“紧急保全”性质,因此即使开展数据处理活动的组织、个人不认同相应措施,也应及时改正,以避免损失的进一步扩大。[15]
2.给予警告。警告属于行政处罚中的名誉罚。我国学界有学者认为,《行政处罚法》还没有“名誉罚”的规定,应将“警告”归入“申诫罚”范畴,也有学者认为,《行政处罚法》两稿修订草案在原有处罚种类“警告”之后又设置了“通报批评”这一新的处罚种类,该处罚种类涉及对违法行为人的名誉甚至人格的影响,因此警告应归入“名誉罚”(也有学者称之为“荣誉罚”)的类别[16],总之,警告型的行政处罚行为针对的是行政相对人的人格性权益,通过制裁,产生名誉减损和社会评价降低的法律效果,因此,作为行政行为的“警告”所产生的法律效果,应该是对被处罚相对人个人利益的名誉减损或社会声誉的贬低。[17]但此处值得商榷的是,警告作为一项具体行政行为,一般发生在作出决定的行政机关和接受警告的行政相对人之间,在如此一种双方关系之中,难以实现被罚相对人个人名誉或社会声誉减损的法律效果,更像是一种“行政指导的事实行为”[18],除非是公开警告,才能在一定程度上起到名誉罚的效果。此外,通报批评、训诫等行为往往与警告的外观和后果高度相似[19],如何作出明确区分还有赖于执法和司法标准的统一。目前在实践中,已经有许多应用“通报批评”处罚的实例,如在2020年12月,工业和信息化部信息通信管理局联合下达通报,对近期违规收集用户个人信息的一批网约车App进行通报批评,对于倒逼相关企业采取更加规范的数据合规措施起到了促进作用,因而也可以考虑扩充本条处罚方式的种类,将“通报批评”纳入其中。[20]
3.罚款。相较于《数据保护法(二审稿)》,本条第1款对违反数据安全保护义务的情形设置了新的罚则,下调了一般数据类型中对违反数据安全保障义务的主体及责任人员的罚款金额。罚款是实践中最为常见的一种行政处罚手段,属于财产罚。“罚款”在我国台湾地区称为“罚锾”,是行政处罚中一种“主罚”:“罚锾系行政机关在法律授权范围内,以立法目的,针对行政不法行为所作具有经济性之制裁,本质上系属财产罚。罚锾既表明特定之金额,系最核心的行政罚,也是运用得最广泛及最简便的手段。”[21]尽管罚款具有易于掌握、责任明确的优点,但在以组织为主体的违法情境下也存在着威慑困境、溢出效应、价值虚化等现实困境,从而无法体现行政处罚非难违法行为的伦理价值[22],在实践中,亦应注重构建事前的合规机制,通过配备合规部门和管理人员、加强外部监督和提供有效合规激励等手段,促进数据安全保护机制落地实现。
除此之外,本款还设定了一个加重情节:“拒不改正或者造成大量数据泄露等严重后果。”对于本条规定而言,首先应当符合第1款第一句规定的基本成立条件,才可能因为具备加重情节进而承担更重的法律责任,若开展数据处理活动的组织和个人拒不改正或者造成大量数据泄露等严重后果,表明数据安全保护义务下的数据安全利益受到更严重的侵犯,理应受到更进一步处罚,具体包括:
(1)罚款。相比于不存在加重情节的违法行为,本句将对组织的罚款下限提高到五十万元,对直接负责的主管人员和其他直接责任人员的罚款下限提高到五万元。
(2)暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照。此类处罚属于行政处罚中的资格罚,资格罚脱胎于行为罚,资格罚最后的表现结果是对当事人行为的限制或者剥夺。[23]
第三,本条新设的第2款,其正当性来源是国家主权、安全和发展利益。政务大数据汇聚各级政府部门的业务数据和相关公共数据,记录着社会主体活动的方方面面,具有巨大的价值[24],而关系国家安全、国民经济命脉、重要民生、重大公共利益等的数据与国家的经济运行、社会治理、公共服务、国防安全等方面密切相关,并极可能遭到以数据为目标的跨境攻击,必须予以强有力的安全保障。本款从国家战略高度审视核心数据安全问题,将之置于当下发展和未来建设的重要位置,设定了财产罚和资格罚等两种具体处罚,并大大提高了罚款金额的下限。由此可能会引发一个问题,财产罚和资格罚并用,是否违反行政处罚的“一事不再罚”原则,答案显然是否定的。对于罚款以外的其他类型处罚,如没收违法所得、暂扣或吊销许可证等,原则上可以并处。因为不同类型的处罚在制裁效果和目的上都有较大差异,允许并处更有利于行政目的的实现。[25]而本款中更为重要的一点在于,和我国刑法规定相衔接,对于构成犯罪的违法行为,将由刑法规定追究刑事责任。这一句话主要涉及的是行刑规范的衔接问题,具体来说是两个方面:
1.本款规定与刑法规定的衔接。“构成犯罪的,依法追究刑事责任”的表述,一般被称为非刑事法律中的附属刑法规范,按照该条款与刑法典的关系,可以区分为照应式规范、填充式规范与区分式规范。[26]从我国现行《刑法》的规定与刑事审判实践来看,涉及数据利益保护和数据安全的罪名,主要包括侵犯商业秘密罪(第219条)、侵犯公民个人信息罪(第253条)、非法获取计算机信息系统数据罪(第285条第2款)、拒不履行网络安全管理义务罪(第286条第1款)、破坏计算机信息系统罪(第286条第2款)等,可以看出,我国《刑法》和司法解释中对于数据犯罪的处置规则大致能概括为两种路径: 一是基于数据的本质属性,将其作为信息以非无权形式加以保护;二是依据数据的技术特性、将其作为计算机系统的内在组成部分加以保护。[27]也有学者批评,以计算机类罪名为主保护数据服务会导致计算机犯罪的口袋化,“以财产类罪名为主、以计算机类罪名为辅”的模式更符合数字经济时代财物的变迁趋势[28],但从另一方面来看,财产类罪名却无法规制本款的违法行为,因为本款所保护的法益是国家主权、安全和发展利益,应当以刑法分则“危害国家安全罪”予以规制,单从以上各罪保护的法益来看,更多地还是集中在知识产权、公民人身权利、民主权利和社会管理秩序上。但如前所述,核心数据和国家安全紧密关联,将其认定为“国家秘密”也并无不妥,除上述罪名外,亦可通过认定为境外窃取、刺探、收买、非法提供国家秘密、情报罪(第111条)等罪名实现刑事制裁的目的。因此,本款应当属于填充式规范,对刑法中空白罪状的规定起填补作用。即使本款设置了这样一条衔接规定,在实务中亦应注意:刑法作为其他法律的保障法,处于补充性的地位,且刑法同时具有独立性, 对于经济、行政法规规定要追究刑事责任的行为能否构成刑事犯罪,还应坚持刑法的独立性判断原则。虽然依照本法规定,本条所指行为为违法行为,但是否构成犯罪只能依据《刑法》,如果在《刑法》中找不到相应规范,则不能认定为犯罪。[29]
2.行政处罚与承担刑事责任的衔接。根据《行政处罚法》 第8条第2款、第27条和国务院《行政执法机关移送涉嫌犯罪案件的规定》规定,如果违法行为已构成犯罪,应当依法追究刑事责任,行政机关不得以行政处罚代替刑事处罚,必须依法向公安机关移送;行政机关已经作出人身罚或者财产罚的行政处罚,相关的行政处罚和刑事处罚应进行折抵。值得考虑的是,当前网络犯罪和数据安全犯罪的一个显著趋势是跨地区跨境作案常态化,涉案证据大多数甚至全部是电子数据,且分散于境内外的网络服务器中,案件的侦破、取证、抓捕罪犯、挽回损失等困难大,能够进入司法程序的案件有限[30],因此对于行刑处罚的衔接,一个可以考虑的原则是“同步协调”原则,即无论是行政执法机关,还是刑事司法机关,一旦发现同一违法、犯罪行为的线索,就先立案、先调查、先处罚,行政执法机关针对涉嫌犯罪行为采取移送而不停止调查及处罚,刑事司法机关针对需要及时采取能力(资格)罚的犯罪行为则商请行政执法机关及时作出处罚决定。[31]
【关联规定】
本法第21条、第49条,《中华人民共和国行政处罚法》第8条、第9条,《中华人民共和国刑法》第111条、第219条、第253条、第285条、第286条
(撰稿人:何傲翾)