兰台商规丨实例探究个人信息违规的执法尺度

综合《网络安全法》《数据安全法》《个人信息保护法》（分别简称“《网安法》《数安法》《个保法》”）中涉个人信息违规行为的罚则安排，虽然责任形式包括警告、责令改正，根据情节单处或者并处警告、没收违法所得、罚款、暂停或终止提供服务、停业整顿、吊销业务许可或营业执照等，也包括对个人的罚款、禁业，但执法实践中公安网安依据《网安法》《数安法》《个保法》这三部法律及相关法规，执法实例的结果多数是 “警告”和/或“责令改正”，占到总数的90%¹以上，就罚款、责令停止服务等较严重的处罚实际较少。

既然无需缴纳罚款，也没有影响经营资质，受罚又怎样？

“警告”是正式的行政处罚的一种类型，具有法律效力，不同于日常生活中的口头警告，责令改正或限期改正，是与行政处罚一并提出的更正违法行为的要求。根据《行政处罚法》第九条列举的行政处罚类型，以及第二十八条第一款规定的“行政机关实施行政处罚时，还应当责令当事人改正或者限期改正违法行为”，受到“警告”意味着单位已经存在违法行为，且因此受到了行政处罚,由此产生的不利影响是多方面的。

1. 影响业务开展

因个人信息违规问题受到行政处罚，极可能对自身的业务开展构成不利影响。

（1）招投标资格或优势丧失。大量需要通过招投标方式选定供应商的项目中，招标方出于保障供应商的产品/服务质量、履约稳定性等考量，往往要求投标人近年不存在行政处罚，或者将存在行政处罚作为评标扣分项。即使因个人信息违法受到“警告”，仍然是受到行政处罚，将不满足前述供应商资格条件，或在评标中被削弱竞争优势。

（2）丧失合作机会。对于数据与个人信息合规要求较高的一些特殊行业，比如金融、汽车等，行业监管或行业标准层面已有对合作方管理的较高合规要求，相应行业内机构在选任合作方时需要评估审查，如《JR/T 0171-2020个人金融信息保护技术规范》第7.2.1 g)项，要求金融业机构“应对个人金融信息生命周期过程中相关的外包服务机构与外部合作机构进行审查与评估，评估其个人金融信息的保护能力是否达到国家、行业主管部门与金融业机构的要求”。若有意作为合作方的单位存在这类行政处罚，很难被行业内机构评估得出符合法律法规和国家标准的结论，进而决策确立合作，那么受到处罚的主体可能丧失与该等机构合作的资格和机会。

（3）应用程序被下架，影响业务连续性。部分应用商店或集成应用服务的平台，从风险控制角度，将规则设置得非常严格，并非仅在行政处罚明确对特定应用程序责令暂停服务的情形下才可下架程序，而是一旦“受到监管处罚”，或是“存在违法违规行为”，平台即有权采取临时性或永久性的限制措施。如前所述，即使是受到“警告”，也是因违法行为受到处罚，可能触发处理措施。对于业务依赖特定应用程序的单位，个人信息处理也涉及特定程序的，业务将可能会受到影响。对于主营业务高度依赖特定应用程序的单位，一旦沟通不畅遭到下架，单位参与的部分合同可能受到影响，比如《投资协议》中的投资人高度关注持续运营能力的，可能相应将其设置为违约情形或投资人可解约的情形。

2. 领导责任与内部追责

（1）领导与管理层责任。央国企、集团公司和大、中型企业多设置有涉及行政处罚的奖惩、追责类管理制度，比如内部考核制度、问责办法（多针对负责人和管理层）等。其中可能会规定在本单位被上级公司、监管机构、政府机构等通报批评、处罚，或出现其他给公司造成较大的经济损失、声誉负面影响等情况下，将会对个人惩戒或追责。单位受到前述警告处罚，或许不必然处罚前述条款，但若因处罚的公开引致单位负面舆论、股价下跌，很可能触发上述条款，那么担任负责人、管理层职务的人员则可能受到内部惩戒和追责。

（2）对一般员工的影响。因个人信息违规，个人也存在受到行政处罚的可能，比如未认定职务行为等。受罚个人也许没有担任单位负责人或管理层职位，未落入前述奖惩、追责类制度的适用范围，但单位内部的劳动用工规章制度一般会规定禁止员工出现违法违规行为，或将给单位造成经济、声誉损失作为违反劳动制度的情形，并设置有相应的管理或处罚措施。个人若系因个人行为受罚或因本职履行不当导致单位因此受罚，将可能被认定存在违反用人单位规章制度的行为，影响其薪资、晋升，严重者甚至可能被单位解除劳动关系。

既有如此严重的违规后果，那么单位和个人均应当尽力避免受到上述处罚，但通过对实例的分析，当前行政执法存在以下特点，导致个人信息合规管理不当在实践中极易受到处罚。

特点一：合规要求高，违法认定门槛低

个人信息保护方面行政执法所依据的法律法规日渐完善，对处理者来说合规实操要求实际较高，而行政机关在执法实践中已经启动严格执法，对于一些常见的非合规操作均有处罚实例，应当给予重视。此外，处罚将考虑是否对个人信息构成风险，而不要求必须发生针对特定个人信息主体的损害后果。

实例中违法行为的表现可能包括制度与培训缺位、保护措施缺位或不当、未适当履行“告知—同意”的义务、涉个人信息处理的法定文本不当以及收集、提供、删除等具体处理行为违法等。笔者整理了实例中的部分违规表述，不难看出执法严格程度：单纯的弱口令、缺密码即可罚；制度或培训，缺失其一即可罚；隐私政策等文本违法或未实现“告知同意”可罚；小量级的不当收集或提供，以及无法说明来源的存储，亦可罚。

特点二：行政执法常态化、主动性强，违法线索来源丰富。

通过对已披露信息的总结分析，执法机关获取违法线索，绝大部分是日常检查中发现的。从被处罚主体及其违法行为内容来看，几乎广泛覆盖各行各业各类业务，如酒店、物业、房产经纪、车辆销售、医药、体育、文娱、市政服务、餐饮等，均出现多项集中的处罚实例，应为针对某特定行业组织集中检查的查处结果。由此，目前就个人信息保护（也包括涵盖个人信息的数据之安全管理）的行政执法已经趋于常态化。

除了日常检查以外，还有其他多项违法线索来源，比如网安巡查抖音等第三方平台时发现举报线索、公安机关侦查刑事案件中发现违规线索、处理者在数据泄漏后按应急机制报送后在调查中被发现，以及因自身权益被侵害报案并后续配合调查时被发现存在个人信息违法行为等等。这些情境中，执法机关会主动处理发现的违法行为，由此可见，涉个人信息的执法具有较强的主动性。

特点三：全面执法，应罚尽罚

在单位存在个人信息违法行为时，原则上处罚单位，但《网安法》《数安法》和《个保法》中均设置有可一并处罚个人的条款依据。

执法实例披露的处罚依据方面，处罚个人的主要依据为《数安法》第45条，截至目前，已确有多位责任人据此受罚（参见下表1-4号案例）。通过处罚内容分析，受罚个人并非必须是法定代表人或实际控制人，执法中会考虑主要责任在谁的问题，比如济公（网警）行罚决字[2023]17号文书写明了处罚人员身份是系统运维单位的直接负责的主管人员，同时未见其所在单位的法定代表人或实际控制人一并受到处罚。另也有就同一事件处罚多家单位和单位责任人的案例（参加下表4-6号案例），即同时处罚案发单位、负有责任的其他单位和负责有责任的人员。综合看来，对同一事件中的有过有责者，将应罚尽罚。

上述对个人的一并处罚，是基于同一违法事由对责任方进行处罚，若个人利用了在职的便利或是与工作相关的机会进行了侵害他人个人信息的行为，原则上对个人直接进行处罚，若此时存在单位未适当履行合规义务（一般是未建立制度、管理不当等不作为）促成个人的侵害，则单位有同时受处罚的可能，但此时的处罚事由实质非同一。

特点四：多个机关同步执法

打击个人信息违法行为的行政执法，执法主体以公安机关和市场监督管理局为主。以《网安法》《数安法》《个保法》为执法依据的执法主体则主要是公安机关网络安全保卫部门，主要查处单位和个人具有网络运营者、数据处理者、个人信息处理者身份的，违反前述法律规定侵害他人个人信息的行为，以及单位不履行网络安全、数据安全、个人信息保护义务的行为。此即为本文主要讨论的公安网安视角涉个人信息行政执法。

除此以外，还有公安依据《治安管理处罚法》的执法和市场监督管理局依据《消费者权益保护法》（简称“《消保法》”）第29条和第56条执法这两个路径，前者以处罚个人为主，后者以处罚单位为主。如金融等强监管行业还设置有专门针对本行业的更细化的保护要求及罚则，行业监管部门亦有权处罚，但其在法律位阶层面的依据仍然可能援引《网安法》《数安法》《个保法》《消保法》，具体尚需区分行业逐一展开讨论。就当前多机关对涉个人信息违法行为同步执法的实际，未因《网安法》《数安法》《个保法》受到公安网安的查处，并不意味着能排除被其他执法主体认定违法进而受到处罚的可能。

1. 公安机关治安处罚

对侵害他人个人信息的违法行为，公安机关可以适用《治安管理处罚法》第42条第一款第(六)项进行治安管理处罚。第42条规定：“有下列行为之一的，处五日以下拘留或者五百元以下罚款；情节较重的，处五日以上十日以下拘留，可以并处五百元以下罚款：……（六）偷窥、偷拍、窃听、散布他人隐私的。”第18条规定有“单位违反治安管理的，对其直接负责的主管人员和其他直接责任人员依照本法的规定处罚。其他法律、行政法规对同一行为规定给予单位处罚的，依照其规定处罚”，这一路径的执法，主要针对侵害他人隐私的行为，目前适用《治安管理处罚法》第42条的实例均为处罚个人，既有罚款、也有拘留这种限制人身自由的责任形式。

从实例角度，该路径执法与公安网安的个人信息行政执法相比，平均责任较重，处罚的违法行为更倾向于侵害个人“隐私”的行为，以及涉嫌侵害公民个人信息罪而最终未认定犯罪的违法行为。

2. 市场监管执法

市场监督管理局依据《消保法》第29条和第56条第一款第（九）项，可以对经营者侵害个人信息的行为予以处罚。第29条规定了经营者收集、使用消费者个人信息的合规要求，比如不得违反法律、法规的规定和双方的约定收集、使用信息；对收集的消费者个人信息必须严格保密；采取技术措施和其他必要措施确保信息安全；在发生或者可能发生信息泄露、丢失时，立即采取措施；未经同意不得随意发送商业性信息等等。如有违反，根据《消保法》第56条规定，经营者承担的责任形式可能包括单处或者并处警告、没收违法所得、处以违法所得一倍以上十倍以下的罚款，没有违法所得的，处以五十万元以下的罚款；情节严重的，责令停业整顿、吊销营业执照。

从实例角度，与公安网安的个人信息行政执法相比，市监执法的法律依据中的责任形式与《个保法》相当，但实践中经营者实际承担的平均责任较重，主要体现在罚款额度上²。

个人信息违规的行政处罚对单位的新业务开展和既有业务连续性，均有不利影响，甚至可能导致相关个人被追责，处理者单位与个人对此后果的严重性均应有所认识。法律条文与实践处理在客观上确难以做到无缝衔接，这是个人信息合规工作的难点之一，故在充分重视个人信息合规工作的基础上，对当前涉个人信息的多机关同步常态化执法、全面执法且具有强主动性的执法态势，也应始终保持关注，以便理解与落实法律法规规定的处理者义务。

· 往期推荐

作者：李佳慧  律师

商事合规

兰台商事合规领域专注于“强监管”行业合规业务，服务的客户包括多家银行、保险、金融租赁、财务公司、消费金融等金融企业，以及金融交易场所、小贷公司、融担公司、商业保理、典当行、网贷机构、股权众筹、地方资产管理公司等类金融企业、大型国有企业、国有金融企业等，同时还担任包括人民银行、金融工作局、国资委等监管机构的法律顾问，提供各项合规核查的服务。