【国家机关不履行数据安全保护义务的法律责任】
国家机关不履行本法规定的数据安全保护义务的,对直接负责的主管人员和其他直接责任人员依法给予处分。
【释义】
本条规定了国家机关不履行数据安全保护义务的法律责任。本条的特殊性在于,虽然违法主体是不履行法定义务的国家机关,但处罚的对象则是国家机关内的人员,属于单罚制。本条在本法历次审议中均未做出修改。
国家机关作为政务数据的收集者和使用者,应履行数据安全保护义务,保障政务数据安全,具体规定体现为本法第39条:“国家机关应当依照法律、行政法规的规定,建立健全数据安全管理制度,落实数据安全保护责任,保障政务数据安全。” 从学理上看,国家机关等机关法人的财产来源于国家财政拨款,收入上归国库,支出由财政预算负责[54],因此,本条对不履行网络安全保护义务的国家机关未规定罚款处罚,而是直接追究直接负责的主管人员和其他直接责任人员的责任。
对本条的理解,有以下几个重点:
第一,数据安全保护义务是一个内容多样并保持动态发展的义务体系,受数据安全情势的影响,可能会呈现出逐渐扩张的趋势,本条限定于“本法规定”内的数据安全保护义务,重点应为数据安全管理制度。因此,如果要对本条规制的违法行为进行类型化分析,应当包括未依照法律、行政法规的规定,建立健全数据安全管理制度,未落实数据安全保护责任等。
第二,本条规定的单罚制在学理上一般称为“代罚制”。[55]代罚制在我国刑律和治安管理处罚法律法规中都有体现,如《治安管理处罚法》第18条规定:“单位违反治安管理的,对其直接负责的主管人员和其他直接责任人员依照本法的规定处罚。其他法律、行政法规对同一行为规定给予单位处罚的,依照其规定处罚。”采纳代罚制的原因如前所述,盖因国家机关不能作为行政处罚的对象,对不履行数据安全保护义务实施制裁,只能对国家机关工作人员进行。
第三,本条规定的“处分”包括政务处分和公务员处分。政务处分是监察机关对公职人员的职务违法行为做出的处置决定,政务处分的设置不仅实现了党的纪律处分与行政纪律处分的衔接,而且覆盖所有公职人员。[56]《监察法》规定,监察机关依法履行监督、调查、处置的职责,有权对违法的公职人员依法做出政务处分决定(第11条);政务处分决定分为警告、记过、记大过、降级、撤职、开除六种(第45条第1款第2项),因此,结合本条规定,对于需要进行处分的直接负责的主管人员和其他直接责任人员,则由监察机关根据违法行为的性质、情节及危害程度,决定给予警告、记过、记大过、降级、撤职或者开除处分。政务处分是在我国监察体制改革后确立的,除政务处分外,我国还有依据《公务员法》进行的公务员处分,但二者种类完全相同,性质均属于内部纪律处分,具有融通性,只是两者适用主体、对象和情形不尽相同。[57]《公务员法》第61条规定:“公务员因违纪违法应当承担纪律责任的,依照本法给予处分或者由监察机关依法给予政务处分……对同一违纪违法行为,监察机关已经作出政务处分决定的,公务员所在机关不再给予处分。”通过处分手段,将有效倒逼主管人员和从事数据活动的公职人员采取措施履行数据安全保护义务,将有效促进数据安全管理制度法治化、规范化,保障政务数据安全稳定。
【关联规定】
《中华人民共和国监察法》第11条、第45条,《中华人民共和国公务员法》第61条
(撰稿人:何傲翾)