2021年11月1日正式施行的《中华人民共和国个人信息维护法》(以下简称个人信息维护法)是我国第一部专门针对个人信息维护的统领性法令,其与网络安全法、数据安全法等法令一同构成规范性、系统性、完好性的维护系统,共同为公民个人信息权益维护供给切实有力的法令保证。该法所建立的法令职责专章是这部法令的中心内容之一,而其间第六十六条规矩的违法处理个人信息的行政职责规矩,又是个人信息维护法职责规范系统的中心条款,该条款的有用施行直接决议了该法的权威性和威慑力。第六十六条结合其他条款将处理个人信息的搜集、存储、加工、同享、转让、揭穿、毁掉等全流程归入规制规模;清晰了实行个人信息维护职责的部分在不同景象下的处分权限;将违法行为分为一般行为和情节严峻行为两类施行分级处分,对情节严峻的违法企业罚款限额最高可达五千万元以下或许上一年度营业额百分之五以下;规制违法企业的一起也处分相关职责人员,可在必定期限内对企业高层人员施行禁业约束。这些规矩安身本乡实践,接轨世界经历,回应社会需求,全面强化了违法处理个人信息行为的行政职责,呈现出很强的时代特色。
个人信息维护法出台曾经,个人信息的行政职责在准则安排上存在多方利益衡量,系统构建方面存在薄弱环节。一方面,立法全体水平相对其他职责系统尚不能满意法令实践需求,除网络安全法作为个人信息维护行政处分的主要根据外,其他相关法令法规大多仅抽象规矩了一些准则性内容,在法令过程中难以操作;有些规矩在内容上相对全面,但因为法令位阶较低,多为行政规章,法令拘束力不强。另一方面,相关立法过于涣散,短少上位法统领。违法处理个人信息的行政职责散见于近20余部法令法规和部分规章中。在短少专项立法统领的状况下,行政规范系统性不强,规范之间存有堆叠或缺漏,难以从更高层次对个人信息供给全面维护。规矩的缺失也给法令实践形成了困惑,处分的完成往往需求从很多不同规范中寻求根据,使得法令简单产生局限性,乃至呈现办理盲区。
个人信息维护法第六十六条经过对行政职责的全体规划,将现行法令法规中有关违法处理个人信息的行政职责规范统领起来,使本来碎片化的立法有了一致的上位法寻找。从系统构建上,专项立法进步了个人信息维护行政规范的全体法令位阶,并构成自上而下完好的行政职责法令系统。从法令内容上,第六十六条根据违法景象设置类型多样、梯次不同的行政职责,给法令供给了充沛的正当性根据,降低了个案的法令难度,有利于处分的准确性和公平性,也使行政职责条款在为个人信息供给及时有用维护的一起兼具了对社会行为的纠正功能。
对个人信息权益的全面维护,有必要凭借综合性的法令手法,由民法、刑法、行政法从不同的办理层面加以规范,才干完成协同办理。此前行政职责系统居于弱势,直接影响了刑事、民事职责功效的发挥。从刑事职责视点看,因为行政处分力度缺少,根据短缺,为冲击各类不合法供给和获取个人信息行为,扼制日益猖狂的数据黑色工业链,作为最严峻制裁规范的刑事职责系统走在了最前列,经过设置“危害公民个人信息罪”“拒不实行信息网络安全办理职责罪”,对违法处理个人信息行为施行了刑事处分。但是,刑事立法制裁目标仅包含不合法供给、出售、获取个人信息和部分实行信息网络安全办理职责致使用户信息传达、走漏的行为,关于其他不妥使用个人信息的行为短少规范。更重要的是,刑法作为惩治违法的最终手法,理应坚持其谦抑性,必要时用于惩治性质十分严峻的个人信息违法,不能过度介入到民事、行政以及其他还没有特别清晰规矩的范畴,也不该“放低”入刑规范,承当行政处分的功能,含糊罪与非罪的边界。
从民事职责视点看,尽管民法典、顾客权益维护法和《最高人民法院关于审理使用信息网络危害人身权益民事纠纷案件适用法令若干问题的规矩》等,经过清晰个人信息的界说、处理个人信息准则、个人信息主体权利、个人信息处理者的职责等来宣告个人信息受维护规模,要求危害个人信息的行为人承当民事职责,但考虑到民事侵权职责的定位是过后救助、危害添补,是在危害行为现已产生的根底上对受害人进行补偿,而不是从源头上扼制违法行为。一起因为危害个人信息的行为在技能的隐秘性、受损的不确定性等方面的特色,也决议了当事人会面对举证困难、因果关系难以确定等状况。
个人信息维护法第六十六条经过全面强化行政职责功效,充沛使用行政法令优势,经过积极主动地介入并阻止没有形成危害成果的违法行为,冲击遏止危害成果产生,极大地强化了对权利的事前维护。关于其他职责系统而言,行政职责系统的完善协助完成刑事职责从头定位,即只要在对公民个人信息形成严峻危害的景象下才触及刑事违法处分,使其回归应有的办理顺位。此外,行政处分成果可以在司法实践中为危害个人信息的民事职责供给根据支撑,从而使被危害人可以取得及时补偿,改进以往相对单一的依托民事职责和刑事职责追责的局限性,完成多元法令职责机制的协同办理。
个人信息维护法第六十六条大幅进步针对情节严峻违法行为的罚款上限。从全球规模看,近年来各国关于个人信息违法违规行为的法令职责的规矩都呈现出加剧趋势。如欧盟《通用数据维护法令》根据数据控制者或处理者违规行为的详细性质、景象,规矩了两档行政罚款:针对数据走漏告诉、隐私维护影响评价、数据保管等规矩相关的违法行为,其行政罚款的上限是1000万欧元或全球营收的2%之中的高者;针对数据处理基本准则、数据处理合法性根据、数据处理的有用赞同、特别数据处理等规矩相关的违规行为,行政罚款的处分上限是2000万欧元或许全球营收的4%之中的高者,具有很强的震慑力。个人信息维护法第六十六条适应我国人工智能、信息化迅猛发展的时代趋势,学习有利的域外立法经历,经过进步针对情节严峻违法行为的罚款上限,以高额处分来纠正、遏止违法行为的产生,完成高效、公平的法令作用。
在个人信息维护法出台曾经,法令关于我国个人信息的行政监管主体,一向选用抽象、归纳的表述,以“有关主管部分”代指,且在法令实践中对个人信息的监管和维护一般选用条块分割运转形式,由不同部分的行政规章赋予相应行政部分必定的法令权限。个人信息维护法充沛考虑到个人信息维护及其监督办理事项自身的层级和杂乱多样性,建立了契合数字经济发展布景下的办理和法令方法:经过建立国家网信办—国务院各部分—县级以上网信办整体结构,建立了一致办理和分工协作相结合的办理体制。一方面由国家网信部分作为个人信息维护监管作业的主管机关,担任统筹、和谐、辅导、监管的一致权威机构,防止法令力气涣散、推诿、低效等坏处;另一方面,考虑到个人信息维护作业浸透、融合于各工业范畴,存在合理分工的必要性,个人信息维护法结合现有功能定位、权利分配,由国务院主管部分持续行使对个人信息处理活动的监管与法令职权。一起,对我国现有的顾客权益维护法、《电信和互联网用户个人信息维护规矩》、《个人信用信息根底数据库办理暂行办法》和《人口健康信息办理办法(试行)》等法令法规对相应主管部分个人信息维护的监管职权予以沿袭,既完成对多范畴协同监管,又契合立法经济准则,削减立法和法令施行本钱,完成了法令作用和社会作用的一致。(张馨天)