张馨天

《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）第66 条规定了有关违法处理个人信息的行政处罚责任。该条针对不同情形的违法行为设置了包括警告、没收违法所得、责令改正、行政罚款等多种行政处罚类型，在保护范围上覆盖了个人信息从采集到处理的全流程。关于行政罚款处罚，第66 条在总结我国既往经验的基础上，顺应国际立法趋势，大幅提升情节严重违法行为的罚款数额上限，采用双罚制罚款方式，全面强化了违法处理个人信息的行政罚款责任。《个人信息保护法》自2021 年11 月1 日正式实施起已满一周年，第66 条理应成为违法处理个人信息行政执法的主要依据，适用于广泛的场景中。然而，当笔者以“北大法宝”为检索工具观察第66 条适用情况时发现，截至2022 年11 月1 日，涉及违法处理个人信息行政处罚的案例共2001 件，其中有1468 件（约占73%）存在罚款处罚，但仅有14 件（不足1%）适用了《个人信息保护法》，而将第66 条作为独立处罚依据的更是只有5 件。本文认为，尽管《个人信息保护法》的适用率偏低与法律实施时间较短有关，但同时也与第66 条对行政罚款主要是作原则性规定有关，还有不少未被法律直接明确的问题尚待解释。鉴于此，本文将主要围绕不同违法情形下罚款主体的确定、行政罚款双罚制处罚对象的明确、不同违法情形下罚款处罚的适用展开研究，并对罚款处罚的重点程序保障问题进行探讨，以期有助于行政罚款责任的准确适用。

一、不同违法情形下罚款主体的确定

根据《个人信息保护法》第66 条的规定，违法处理个人信息由“履行个人信息保护职责的部门”实施处罚。结合第60 条的规定可知，履行个人信息保护职责的并非单个部门，而是包括“国家网信部门”“国务院有关部门”以及依据国家规定有个人信息保护和监督管理职责的“县级以上地方人民政府有关部门”三类，数量众多。据此，如何确定“由谁罚”，成为罚款处罚正确实施的首要任务。本文认为，应当分三个层次进行筛选判断。

第一，“履行个人信息保护职责的部门”的整体范围确定。第66 条依据情节轻重实施分级处罚，对于一般情节的违法行为，所有“履行个人信息保护职责的部门”均有权实施罚款处罚。目前，实践中的履职部门涉及“国家网信部门”“国务院有关部门”“县级以上地方人民政府有关部门”。其中“国家网信部门”的范围较为明确，即为中央网信办和地方各级网信办，负责统筹协调个人信息保护工作和相关监督管理工作。“国务院有关部门”则是指国务院中负责个人信息保护和监管的部门，依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国电信条例》的相关规定，其主要包含负责网络安全和数据安全监管的电信、公安、国安、交通、自然资源、卫生健康、教育、科技部门等。此外，国务院其他部门在各自职责的范围内进行个人信息保护和监管时，均可理解为是履行个人信息保护职责的部门。〔1〕彭錞：《论个人信息保护法行政处罚制度——以〈个人信息保护法〉第66 条为中心》，载《行政法学研究》2022 年第4 期。“县级以上地方人民政府有关部门”包含的主体最为广泛，对此，现有法律法规、部门规章的相关规定大都是带有“等”字的非穷尽式列举。实际上，对于“履行个人信息保护职责的部门”是否要设置“县级以上人民政府有关部门”这一层级，在《个人信息保护法》的立法过程中始终存有争议。有的学者认为，设置层级过多容易出现地方保护主义和执法不统一的问题。还有的学者认为，个人信息保护和监督管理的任务繁重，仅设置国家和省级监管体制，难以应付大量的监管任务。〔2〕《周汉华：未来个人信息保护机构设置要明确独立性》，中国法学网，http://iolaw.cssn.cn/xzxz/202007/t20200729_5162071.shtml，2022 年11 月8 日访问。最终法律对此并未直接规定，也未放任由地方规定，而是要求具体参照国家有关规定予以确定，〔3〕《个人信息保护法》第60 条规定：“ 国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照本法和有关法律、行政法规的规定，在各自职责范围内负责个人信息保护和监督管理工作。县级以上地方人民政府有关部门的个人信息保护和监督管理职责，按照国家有关规定确定。前两款规定的部门统称为履行个人信息保护职责的部门。”以此平衡各级人民政府机构设置的差异性与个人信息保护和监督管理工作内容的广泛复杂性。〔4〕程啸：《个人信息保护法理解与适用》，中国法制出版社2021 年版，第462-464 页。需要强调是，除上述履行个人信息保护和监管职责的部门之外，其他行政机关均无权实施罚款处罚，即使是发生个人信息违法行为领域的主管部门，若其本身不属于“履行个人信息保护职责的部门”，则无权对个人信息违法行为施以罚款处罚。

第二，针对情节严重的个人信息违法行为，罚款主体范围有较大限缩。通过对第66 条第2 款规定进行文义解释可以得出：一是仅有“省级以上履行个人信息保护职责的部门”才有权对情节严重的违法处理个人信息行为处以罚款。这主要是考虑到对情节严重违法行为的罚款额度普遍较高，高额罚款处罚权下沉容易导致权力滥用，出现盲目“追求罚款”的执法利益化现象，进而使得平台运营的成本被大幅提高，侵害被处罚人的合法权益。同时，若使执法主体高度分散，则不易把控自由裁量的幅度与范围，不利于实现执法标准的统一。二是根据第66 条第2 款“……通报有关主管部门吊销相关业务许可或者吊销营业执照……”的规定可知，情节严重时罚款处罚的主体应当是有权实施责令改正、没收违法所得、罚款、责令暂停相关业务或者停业整顿等行政处罚的部门，而不是执行“吊销相关业务许可或者吊销营业执照”的行为的有关主管部门。三是由于对情节严重的个人信息违法行为，最高可处以“五千万元以下或者上一年度营业额百分之五以下”罚款，因此，处罚主体还应当属于其权限范围内允许开处这一高额罚款的部门。〔5〕孙莹：《违法处理个人信息高额罚款制度的理解与适用》，载《华东政法大学学报》2022 年第3 期。此外，本文认为即使省级履行个人信息职责的部门对于一般情形的罚款均享有处罚权，但为了提高执法效率，合理分配执法资源，除认为确有必要的外，仍应当由省级以下履行个人信息保护职责的部门实施相关处罚。

第三，在上述条件的基础上，还需考虑职能管辖权限协调问题以应对实践中复杂的执法情形。其一，从处罚主体层面看，对于同一个违法处理个人信息的行为，多个履行个人信息职能的部门都有管辖权的，根据《中华人民共和国行政处罚法》（以下简称《行政处罚法》）的有关规定，应当由最先立案的部门管辖。若发生管辖权争议的，应当协商解决，协商不成的，报请共同的上一级行政机关指定管辖；也可以直接由共同的上一级行政机关指定管辖。〔6〕《行政处罚法》第25 条规定：“两个以上行政机关都有管辖权的，由最先立案的行政机关管辖。对管辖发生争议的，应当协商解决，协商不成的，报请共同的上一级行政机关指定管辖；也可以直接由共同的上一级行政机关指定管辖。”其二，对于同一个违法行为，根据“一事不二罚”原则，不得给予两次以上罚款的行政处罚。对于同一违法处理个人信息的行为若同时违反多个法律规范，则应当按照罚款数额高的规定进行处罚。其三，对于情节严重，造成影响较大，罚款数额可能较高的案件，本文认为，在网信部门和其他省级以上履行个人信息职能的部门之中，应当优先由省级以上网信部门实施罚款。主要理由在于，网信部门在过去较长时间里一直承担着国家网络安全和信息化相关的管理工作，无论是在整体监管架构中还是具体操作层面都处于重要位置，专业化程度更高，更能够及时回应各行业、领域内的个人信息保护需求。〔7〕张新宝、葛鑫：《个人信息保护法（专家建议稿）》，载《网络信息法学研究》2019 年第2 期。由网信部门对情节严重的个人信息违法行为实施高额罚款，有助于发挥该部门熟悉个人信息处罚整体情况的优势，利于完善类案同罚、案例转化机制，强化示范和指导意义。

此外，对于网信办与其他履行个人信息保护职责的部门之间的协调问题也是法律适用不能忽视的问题。考虑到目前各部委、各机构对个人信息保护的侧重点不同，职能分工上又存在一定程度的重合。在当前以网信部门为统筹协调部门不同国家机关和部门协同享有行政监管执法权的监管格局下，为减少各行政部门在行政执法中的摩擦，防止出现“九龙治水”，在横向关系上，国家网信部门应当在了解掌握各领域、各部门在监管力量、人员配比、资源配比、现行监管标准差异性的基础上，充分落实《个人信息保护法》所赋予的统筹协调职权，可以考虑成立部级协调机构，探索多部门联合执法模式，共同商讨制定执法细则，尽可能实现对个人信息侵害风险源覆盖的整全性。〔8〕陈征：《论部门法基本权利的义务及其待解决的问题》，载《中国法学评论》2019 年第1 期。同时，国家网信部门应当尽快出台内部实施细则，明确权限边界、细化分工、建立统一又独立的监管体系，避免出现各级网信部门与国务院各部门之间职责边界不明，相同事项分散管理等问题。在纵向关系上，国家网信办还需处理好与各级网信部门之间的关系，合理配置执法权力，进一步细化各层级网信部门之间的管辖权，明确管辖权争议的处理原则，实现统筹协调，各司其职。

二、行政罚款双罚制处罚对象的明确

《个人信息保护法》第66 条的一大亮点是采用了行政处罚双罚制，但对于双罚制处罚对象的具体范围，存在解释空间。本文将从双罚制的确立、重点处罚的对象、排除适用的对象三个方面进行讨论。

（一）行政罚款“双罚制”的确立

所谓行政罚款双罚制，是指当出现单位违法处理个人信息的行为时，除了可以对单位处以罚款外，还可以对直接负责的主管人员和其他直接责任人员一并处以罚款。〔9〕刘骁军：《一个单位犯罪、两个犯罪构成——双罚制理论依据新探》，载《政治与法律》2001 年第1 期；喻少如：《论单位违法责任的处罚模式及其〈行政处罚法〉的完善》，载《南京社会科学》2017 年第4 期。本文专门提及行政罚款“双罚制”的确立问题，是在于相较刑法学对单位犯罪的系统研究，行政法学界对此问题尚未形成体系化的认识，〔10〕谭冰霖：《单位行政违法双罚制的规范构建》，载《法学》2020 年第8 期。在《行政处罚法》中也暂没有关于双罚制行政处罚的一般性规定。本文认为，将双罚制引入违法处理个人信息的行政罚款制度中具有重要意义。一方面，作为一种合理有效的处罚制度，在不少特别法领域，例如环境保护、食品药品、公共安全、金融监管等已被用来提升行政处罚的威慑力度。对于个人信息保护问题而言，近年来企业侵害个人信息权益，危害人民群众生命健康和财产安全的问题愈发突出，有必要在处罚形式和方法上做创新性探索。不仅如此，单位作为“拟制的人”，存在违法行为，必然和主管人员（企业高级管理人员）或其他责任人员有关，甚至在绝大多数情况下是由主管人员主导造成的。因此，有必要强化对企业高层人员的管理责任，只有使处罚穿透违法处理责任人，才能直击企业要害。另一方面，从全球立法趋势看，行政罚款双罚制已成为个人信息违法行为的常用处罚方式。欧洲《通用数据保护条例》（以下简称GDPR）规定，法律责任除了适用于公司，还适用于被认定为自身权利下的责任人或者作为代表公司的数据处理者；日本《个人信息保护法》第83 条有关个人信息处理业者的罚则规定，对于个人信息处理业者是法人的，对法人和高管、代表人同时进行处罚；韩国《个人信息保护法》第74 条有关联合罚则的规定明确，若存在法律规定的违法行为时，对该法人或者个人处七千万元以下的罚金。此外，新加坡《网络安全法》第36 条、菲律宾《数据隐私法》第34 条、泰国《个人数据保护法》第81 条、我国台湾地区“个人资料保护法”也都作了类似规定。〔11〕张继红、姚约茜：《“一带一路”沿线国家数据保护与网络安全法律指南》，知识产权出版社2020年版，第106-195 页。

在第66 条的具体适用上，对“直接负责的主管人员”和“其他直接责任人员”的范围划定，目前暂无明确标准。对此，本文认为应持合理谨慎的态度，既不能因为是单位行为而对本应负责的个人网开一面，也不得打击面过于宽泛。“直接负责的主管人员”，应当是在单位中承担一定的领导与管理职责，且对单位的违法行为负有直接责任的人员。例如，在单位实施的违法行为中起决定、批准、授意、纵容、指挥等作用的人。对此，实务界基本都将其限定为单位的法定代表人。〔12〕杨某某与中国证券监督管理委员会等一审行政判决书（北京市第一中级人民法院〔2018〕京01行初887 号行政判决书）；罗某某等诉中山市安全生产监督管理局处罚纠纷案（广东省中山市中级人民法院〔2017〕粤20 行终162 号行政判决书）；许某某与福州市城乡建设委员会处罚上诉案（福建省福州市中级人民法院〔2016〕闽01 行终465 号行政判决书）。对于“其他直接责任人员”，刑法学者一般将其界定为是“单位中具体完成单位违法行为的人员”。〔13〕黎宏：《论单位犯罪中“直接负责的主管人员和其他直接责任人员”》，载《法学评论》2000 年第4 期。从职级或权限上看，他们不属于单位的决策层成员，而是单位内部具体职能部门的工作人员，在单位业务活动中处于具体实施的某个环节。概言之，需在综合考虑个人身份、行为与违法后果间的应有关系之基础上，结合个案的违法事实予以认定。

（二）双罚制的重点处罚对象

《个人信息保护法》第66 条规定并未直接明确双罚制的具体适用范围。本文认为，罚款处罚对象应当是具备一定规模的企业，不包含小微型企业，重点处罚对象则为大型平台类企业。具体分析如下。

尽管第66 条并未对企业规模作出要求，也未规定实施罚款需将企业进行分类，但由于第62 条第二项规定，国家网信部门应统筹协调有关部门，针对小型个人信息处理者制定专门的个人信息保护规则及标准，因此从立法逻辑上说，小微型企业不应适用当前的个人信息保护规则标准。从实际情况考虑，小微型企业的个体影响力普遍较小，个人信息处理活动频繁程度与大型平台难以同频。若使小微企业承担过多义务，则会显著增加企业运营成本，十分不利于小微企业的发展经营。尤其是在当前疫情及经济形势比较艰难的情况下，一律适用第66 条罚款也与国家扶持小微企业发展的大政方针不符。当然，如此解释并非是指《个人信息保护法》的整体规制范围不包含小微企业，而是要通过授权相关部门制定针对此类企业的个人信息保护规则，来满足治理需求。

贮藏期间，样本初始菌落数为61CFU/g，随着贮藏时间的延长，菌落数随之增加，由表2可以看出，A、B，2组处理的抑菌效果明显高于C组。A组抑菌效果最好。

由于企业规模是罚款适用的关键要素，因此也有必要予以讨论。目前我国暂时没有企业规模划分的统一标准，本文认为可参照国家市场监督管理总局2021 年10 月29日发布的《互联网平台分类分级指南（征求意见稿）》。该指南将互联网平台划分为超级平台、大型平台和中小型平台三个层级，其中“超级平台”是指同时具备在中国的上年度年活跃用户不低于5 亿的超大用户规模、平台核心业务至少涉及两类平台业务的超广业务种类、上年底市值（估值）不低于10000 亿人民币的超高经济体量、具有超强的限制商户接触消费者（用户）的能力的平台。“大型平台”是指同时具备较大用户规模、较广业务种类、较多业务范围、较高经济体量和较强限制能力的平台。其中，较大用户规模，即平台上年度在中国的年活跃用户不低于5000 万；较广业务种类，即平台具有表现突出的主营业务；较高经济体量，即平台上年底市值不低于1000 亿人民币；较强限制能力，即平台具有较强的限制商户接触消费者的能力。“中小平台”则是指具有一定用户规模、有限业务种类、有限经济体量、有限限制能力的平台。国家网信部门可以据此制定个人信息违法行为罚款应依据的企业划分标准。

（三）双罚制排除适用的对象

通过对《个人信息保护法》的系统解释可知，第66 条罚款责任排除适用的对象有两类：一是作为特殊个人信息处理者的国家机关。在大数据时代的个人信息保护法治之中，国家不再以单纯超然于信息业者与信息主体双方之外的治理者角色出现。国家机关职能部门在履行法定职责的过程中，通过收集、存储、使用、加工、传输等方式随时掌握大量个人信息，并且大多为敏感重要的个人信息，其中政务部门代表国家成为最大的个人信息处理者。〔14〕张新宝、葛鑫：《个人信息保护法专家建议稿及立法理由书》，中国人民大学出版社2021 年版，第421 页。所谓将国家排除适用，并非是指国家机关的个人信息处理行为不受《个人信息保护法》的规制，而是仅限于第66 条。对于国家机关处理个人信息的特别规定，则体现在《个人信息保护法》第二章第三节第33 条至第37条。此外，第68 条还将国家机关及其工作人员分为履行个人信息保护职责的部门和不履行个人信息保护职责的部门两类，分别设置了相关国家机关及其工作人员的责任。二是因个人或家庭事务处理个人信息的自然人，并不是第66 条行政罚款处罚的对象。根据《个人信息保护法》第72 条规定，自然人因个人或者家庭事务处理个人信息的，不适用《个人信息保护法》。换言之，行政罚款责任所规制的自然人个人信息处理行为，必须是自然人因经济（商业）活动而处理个人信息的行为。如此设置的必要性在于，自然人因个人或家庭事务处理个人信息是为了维持正常的社会交往所必须的。正如GDPR 前言部分指出的，“无须给此等情形中的信息处理者施加各种法定义务，更无须个人信息保护机关强制介入”。即使有侵害发生，也只是经济技术地位对等的民事主体的侵害民事权益的行为，完全可以由《中华人民共和国民法典》（以下简称《民法典》）中的姓名权、肖像权、隐私权和个人信息保护制度等加以调整。〔15〕前引〔4〕，程啸书，第537 页。

当然，若自然人所处理的个人信息涉及商业，超过仅是“因个人或者家庭事务处理个人信息”的范畴时，则重新归属于《个人信息保护法》适用的范围之中，也即成为第66 条罚款责任所适用的对象。不过，与现代信息网络科技中大规模自动化处理对个人信息权益可能造成的威胁相比，自然人处理者所能造成的经济、社会损害都十分有限，客观上难以成为第66 条罚款责任的适用重点。

三、不同违法情形下罚款处罚的适用

根据《个人信息保护法》第66 条的规定，不同违法情形下的罚款处罚构成要件存在差异，且在情节严重情形下，还涉及对“情节严重”的认定和罚款数额的计算问题，需分别予以讨论。

（一）对一般违法情形的罚款

《个人信息保护法》第66 条第1 款规范的是一般的个人信息违法行为。在此种情形下，对于拒不改正的个人信息处理者，可处100 万元以下罚款，对直接负责的主管人员和其他直接责任人员，可处1 万元以上10 万元以下罚款。

在构成要件方面，罚款处罚的适用条件是存在“违反本法规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务”的违法行为。从客观要件看，《个人信息保护法》对个人信息处理活动全流程规定了全面的原则与规则，涵盖了事前、事中、事后三个环节。在事前环节可能存在的违法行为主要包括：未事前取得同意、单独同意或者书面同意；非提供该产品或服务所必需，在未取得同意时拒绝提供产品或服务；未依法告知或公开重要事项；未进行个人信息保护影响评估；大型互联网平台未制定平台规则等。事中环节可能存在的违法行为主要包括：违规使用自动化决策；违反信息质量原则侵害个人更正权、补充权；分享个人信息的未取得个人单独同意；大型互联网平台服务未履行特别义务；未履行确保个人信息安全义务等。事后环节可能存在的违法行为主要包括：超期存储；未履行指定个人信息负责人等义务；未进行合规审计；在符合规定时未删除个人信息；未响应个人行使权利请求等。出现上述任何违反规定或义务的行为都可能承担《个人信息保护法》第66 条规定的行政罚款责任。此外，“违反本法规定处理个人信息”与“违反处理个人信息未履行本法规定的个人信息保护义务”中的“本法规定”仅是指《个人信息保护法》的规定，虽然目前还有其他法律法规对违法处理个人信息的行为作出规定，但这些规定均已被《个人信息保护法》所吸收，因此，对适用罚款处罚的违法行为进行解释时无需再参照其他法律法规。

在违法行为的主观要件方面，违法处理个人信息应当采用哪种归责原则存有争议。在传统行政处罚的框架下，行政责任采用“客观违法”的一元归责原则，即不考究违法行为人的主观心理状态，亦不区分信息处理者主观上是否存有故意和过失，只要客观上存在违法行为，都应当受到相应的行政处罚。需要指出的是，2021 年修订的《行政处罚法》第33 条作了关于过错推定原则的规定：“当事人有证据足以证明没有主观过错的，不予行政处罚。法律、行政法规另有规定的，从其规定。”不可否认，归责原则的变化将在一定程度上影响未来的执法实践，但对违法处理个人信息罚款执法而言，〔16〕张晓莹：《行政处罚的理论发展与实践进步——〈行政处罚法〉修改要点评析》，载《经贸法律评论》2021 年第3 期。本文认为，考虑到个人信息行政罚款责任的重点处罚对象为企业，而企业违反合规要求处理个人信息的行为通常是有计划的，即以降低企业成本、追求更多利益等为目的，在客观上几乎不会出现主观上无过错的违法处理个人信息行为。因此，当企业存在客观违法行为时，主观上也往往存在过错，进而也难以通过证明主观上无过错而被免于处罚。另外，从《行政处罚法》规定本身看，目前行政法学者普遍认为，尽管规定了过错推定原则，但并非意味着行政机关需要主动查证当事人的主观状态，而是只有在当事人拿出证据证明自身不存在主观过错的情况下，行政机关才附加了对证据的判断义务。〔17〕前引〔16〕，张晓莹文。同时，该条还采纳了较为严格的证明标准，即当事人的证据必须“足以证明”其并无主观过错，以避免免责条款被滥用。因此可以说，《行政处罚法》改为采用过错推定原则对于《个人信息保护法》的行政执法并不会产生颠覆性影响。当然，对于个人而言，如企业内部的相关负责人员，若能够证明自身已充分履职，尽到了必要的注意义务等，处罚主体可以对其免除处罚。

（二）对情节严重违法情形的罚款

第66 条第2 款规定了对违法情节严重的从重处罚，但未划定“情节严重”的标准以及企业营业额的计算范围，使对个人信息违法情节严重的罚款处罚成为解释重点。

对于“情节严重”的认定，目前我国尚无统一标准。在比较法上，GDPR 第83条第2 款从客观层面、主观层面和造成损害结果等方面规定了情节严重的参考因素。本文认为，可主要从行为、后果、主观、主体四个方面来进行考量。在行为方面：（1）数额要素，包括违法处理个人信息行为的经济价值大小，被违法处理的个人信息数量以及获利情况；（2）行为手段，考查是否存在欺骗、贿赂、违规适用网络手段等；（3）行为对象，查明因违法行为而受到侵害的信息主体人数以及对象身份特殊性（如是否属于社会弱势群体的个人信息）；（4）考量行为次数及行为的持续时间等。在后果方面：（1）有无造成直接或间接的经济损失；（2）是否因违法行为造成人身伤害，包括精神损害以及对信息主体的正常生活造成的影响等；（3）造成负面影响的程度，如是否造成了恶劣的社会影响。在主观方面：在判断违法情节严重性时，可对个人信息处理者的主观恶意进行考察。具体包括其主观动机、目的、主观恶性程度等。在主体方面：主要是指违法处理个人信息的主体是否具有特殊身份，或者主体数量是否众多。除此之外，在具体执法中，还应当根据个案的具体违法情形，加入对情节严重的其他参考要素。比如虽然《个人信息保护法》等法律中没有规定“情节特别严重”的情形，但若出现诸如造成被害人轻伤等后果、违反国家核心数据管理制度并危害国家主权、安全和发展利益、数量或者数额达到第66 条第1 款规定标准五倍以上等情形时，可以认定为“情节特别严重”，并在罚款数额上加重处罚。〔18〕张新宝：《〈中华人民共和国个人信息保护法〉释义》，人民出版社2021 年版，第363-367 页。

在判断企业直接负责的主管人员和其他直接责任人员的违法情节时，应当主要考量其是否就个人信息的处理尽到了注意义务及监管职责。具体包括：（1）相关人员是否以《个人信息保护法》等法律法规为依据，建立了违法处理个人信息的内部监管制度；（2）是否督促和确保个人信息保护内部规定的有效实施，如监督企业员工在日常工作中遵循相关规定；（3）是否对职工进行处理个人信息的合规培训；（4）在出现相关违法行为时，是否积极配合调查、及时整改、防止损失扩大等。此外，与企业罚款不同，在确定具体罚款数额时，被处罚的负责人所在企业规模的大小不应作为决定性参考因素，否则易出现不公正的处罚结果，如直接负责的主管人员和其他直接责任人员违法情节较重，却因违法企业规模较小，而受到了较低数额的罚款，或反之，直接负责的主管人员和其他直接责任人员违法情节轻微，但因违法企业规模巨大而受到相应处罚区间内较大数额的罚款。

2.罚款数额的确定

在情节严重的情形下，第66 条第2 款对于企业的处罚共设置了“五千万元以下”和“上一年度营业额百分之五以下”两个罚款限额区间，其目的在于使罚款处罚标准兼具统一性、灵活性、严厉性，真正实现企业收入和影响越大，违法成本越高的效果。本文认为，对于一般企业，应采用“五千万元以下”的罚款限额，而对于大型企业，则采用“上一年度营业额百分之五以下”这种封顶附加营业额百分比式的罚款限额标准。如此理解的依据在于，对于一般企业的销售规模和社会影响力而言，最高可达5000 万元的处罚限额已具有足够的震慑力，但与之相反，对于企业收入以“亿”计量的大型或超大型平台企业，5000 万元处罚则可能不值一提。当罚款数额的计算采用“上一年度营业额的百分之五”这一方式时，则能够使罚款数额达到十亿甚至百亿级别，从而令大型企业真正感受到“切肤之痛”。

对于“上一年度营业额百分之五以下”这一标准的适用，还涉及企业营业额度的计算范围（主要指涉外企业）。在何种范围内对营业额进行计算，决定了企业（涉外）罚款的最终数额。目前学界对这一问题有两种不同的观点，一种认为应当参照比较法上的经验，以企业全球营业额为范围进行计算，另一种则认为应当以企业境内营业额为计算范围。作为《个人信息保护法》的留白，营业额度计算范围涉及的问题较为复杂。在互联网经济和全球经济一体化的背景下，营业额的确定涉及行政管辖权的边界问题，在当前数字经济全球博弈中，世界各国为增强对各类数据及个人信息的控制，纷纷采取技术手段、出台政策法规扩张管辖。以GDPR 为例，作为“全球最严格的数据保护法律”，通过设置长臂管辖规则，使得任何机构只要涉及对欧盟公民个人数据的处理，无论是否位于欧盟境内，都可能受GDPR 制约。从某种意义上来说，这实际是建立了数据领域的“世界性法律”。〔19〕刘天骄：《数据主权与长臂管辖的理论分野与实践冲突》，载《环球法律评论》2020 年第2 期。在违法处理数据的行政处罚方式上，GDPR当然也选择了以企业的全球营业额为基数计算罚款金额（第83 条规定的“不超过全球营业额的4%”）。然而，这种对长臂管辖的扩张是否应被借鉴，值得商榷。本文认为，罚款处罚应当以企业在中国境内的营业额为基准进行计算，具体理由如下：

其一，在传统意义上，法律是一个国家主权意志的体现，原则上主权者的意志只可在一个领土和空间范围内具有主导性。若贸然对此作出突破，将可能涉及对其他国家主权的侵犯。就行政处罚而言，当其作为“治外法权”涉及域外管辖时，应当符合国际礼让原则，尊重国家的主权和利益。若将长臂管辖过度延伸，通过单方面数据管辖跨越主权、领土范围，不仅难以具备正当性和合理性，还必然会导致国家间的冲突矛盾不断。〔20〕《数据治理中的私权、公权和主权》，中南财经政法大学官网，http://ifgga0152c3876a48489ahufxfo oxc9nku6c0p.fhaz.libproxy.ruc.edu.cn/2019/0930/c3733a224260/page.htm，2022 年9 月2 日访问。其二，从处罚效果来看，将罚款数额的确定建立在查实企业海外营业情况的基础上，会极大增加罚款处罚的实现难度。从现状来看，我国暂不具备单方面进行调查和执法的能力，对案件事实的调查必将依赖于他国配合，尤其是对于经营范围涉及多国的企业，更是需要多国间的协调。在调查程序或成问题的情况下，执法效果则更难保证。其三，长臂管辖的扩张将使行政处罚复杂化。各国对违法处理个人信息的界定标准存在差异，若以企业全球营业额作为处罚基数，难以避免地需要考虑他国对我国法律的承认问题，甚至可能需要通过外交方式实现对违法企业的处罚。其四，从执法实践来看，在2021 年4 月市场监管总局公布的对阿里巴巴集团的反垄断行政处罚决定中，即是以其2019 年中国境内营业额的4%实施罚款。这一处罚在违法处理个人信息行政罚款规定的理解适用上具有先例性。此外，2022 年7 月网信办对滴滴公司的罚款同样是按照2022 年国内营业额的5%实施处罚。

总而言之，以中国境内为基准计算企业营业额，是在兼顾国家安全与发展的基础上，保持个人信息行政管辖的礼让性和谦抑性，尝试构建国际更为和谐的数据及个人信息管辖关系。这同时也是对习近平总书记有关“构建人类命运共同体”理念的充分贯彻落实，以身作则杜绝数据霸权主义，构建“网络空间命运共同体”，追求共建共治、互利共赢。〔21〕叶开儒：《数据跨境流动规制中的“长臂管辖”——对欧盟GDPR 的原旨注意考察》，载《法学评论》2020 年第1 期。另外，考虑到“一国两制”的大政方针，我国企业在港澳台地区的营收也应当排除在营业额计算的范围之外。

四、罚款处罚的重点程序保障问题

对于违法处理个人信息的企业及个人进行罚款时，应当依据程序正当原则，为行政相对人的基本权利提供保障。根据《行政处罚法》规定，除了违法处理个人信息行为事实确凿，或依据相关法律规定，对违法处理者处以200 元以下，对法人或者其他组织处以3000 元以下罚款或者警告的行政处罚的情况下，可以依据简易程序，其他数额的罚款都应当遵循《行政处罚法》的普通程序实施处罚。本文在此仅对违法处理个人信息罚款处罚中需要特别注意的程序问题进行讨论，其他程序则统一参照《行政处罚法》的一般性规定执行。

（一）保密义务

鉴于个人信息保护执法的特殊性，在对违法处理个人信息行为进行处罚的过程中，尤其需要注意对个人信息的保密工作，以防出现二次侵害。一方面，行政机关本身作为相关个人信息的处理者和持有者，需要严格遵守《个人信息保护法》对个人信息处理行为的原则及一般要求，在行使询问、查阅、复制、现场检查等权力时严格遵守信息处理者的保密义务。〔22〕孔祥稳：《论个人信息保护的行政规制路径》，载《行政法学研究》2022 年第1 期。另一方面，还要符合《个人信息保护法》第33 条至第37 条对于国家机关处理个人信息的特别规定，对于处理个人信息应当依照法律、行政法规规定的权限和程序进行，不得超出履行法定职责所必需的范围和限度。当国家机关不履行个人信息保护义务时，应当依据《个人信息保护法》第68 条，由其上级机关或者履行个人信息保护职责的部门责令改正，并对直接负责的主管人员和其他直接责任人员依法给予处分。行政处罚过程中，凡是可能在行政处罚中接触到个人信息的人员，都属于应当保密的主体，如办案人员、审核人员、听证人员、鉴定人员等。当出现泄露、非法使用或者允许他人披露使用等对行政相对人的个人信息造成侵害时，当事人可以依法要求行为人承担相应的民事、行政或刑事责任，并依照《中华人民共和国国家赔偿法》以及《民法典》等相关规定取得相应赔偿。

（二）听证程序

按照《行政处罚法》规定，对于较大数额罚款，没收较大数额违法所得，没收较大价值非法财物，降低资质等级、吊销许可证件，责令停产停业、责令关闭、限制从业，以及其他较重的行政处罚，行政机关应当根据听证笔录作出处罚决定。尽管法律对于“较大数额罚款”的认定没有统一标准，需要因地制宜，且因“行业”制宜，〔23〕袁雪石：《中华人民共和国行政处罚法释义》，中国法制出版社2020 年版，第338-344 页。但依据原信息产业部发布的《通信行政处罚程序规定》，对公民罚款在1 万元以上，对法人或者其他组织罚款在10 万元以上，为数额较大的罚款。〔24〕工信部于2019 年12 月发布了《通信行政处罚程序规定》（修订草案征求意见稿），其中第53 条有关听证的适用情形规定中对罚款数额进行了调整：“对自然人处以1 万元以上、对法人或者非法人组织处在法定最高罚款数额的百分之五十以上且超过10 万元的罚款”，基于新的规定尚未正式通过，此处仍以现行规定为准。据此，对于违法处理个人信息的行政罚款在罚金达到上述金额时（在执法中可依据各地区情况进行调整）可将其列为可以申请听证的范围。在适用听证程序时，应当注意：（1）关于告知与通知。行政机关在作出处罚决定时应当告知当事人有要求举行听证的权利，并在举行听证前通知当事人听证的相关信息。（2）公开问题。根据《行政处罚法》规定，除了涉及国家秘密、商业秘密或者个人隐私以外，听证都应当公开举行，但由于个人信息保护案件具有特殊性，即此类案件必然会涉及信息主体的个人（隐私）信息，甚至信息数量巨大，为保护信息主体的个人信息免受二次侵害，应当不予公开听证。〔25〕孙莹：《大规模侵害个人信息高额罚款研究》，载《中国法学》2020 年第5 期。（3）关于听证的效力。听证作为正式的陈述、申诉程序，其具有效力上的强制性。应当听证而未听证的，属于违反法定程序的行为，行政处罚决定应当被撤销。对于在听证中当事人的陈述、质证及辩论都应在听证笔录中体现，并作为罚款处罚（及其他处罚决定）认定的依据。（4）关于听证主持人。由于违法处理个人信息在许多情况下存在比较强的技术特征，与个人信息获取、处理技术相关，对于听证主持人的选择在注重其独立性的同时，还应当关注其专业素质。此外，国家网信部门可组建具备相关专业素质的队伍，或与相关领域的专家、学者合作，用以保证听证的效果及处罚结果的公正。

（三）复议程序

除听证权利的保障以外，违法处理个人信息的罚款还应当设立行政复议程序。根据《中华人民共和国行政复议法》的相关规定，对于县级以上地方各级人民政府工作部门的具体行政行为不服的，申请人可以选择向该部门的本级人民政府，或上一级主管部门申请行政复议。对国务院部门或者省、自治区、直辖市人民政府的具体行政行为不服的，可向作出该具体行政行为的国务院部门或者省、自治区、直辖市人民政府申请行政复议。因此，具体到违法处理个人信息行政处罚的复议，对各级网信部门或人民政府中负责个人信息保护和监管的部门所作出的处罚决定不服的，可以向本级或上一级网信部门、人民政府中负责个人信息保护和监管的部门申请行政复议。对于情节严重的违法行为，由于处罚主体为省级以上履职部门，因此对于处罚结果不服的应当向省级网信部门、省级人民政府中负责个人信息保护和监管的部门，或向国家网信部门、国务院有关部门申请复议。此外，对处罚结果有异议的当事人也可以在收到处罚决定书的规定时间内直接向具有管辖权的法院提起行政诉讼。逾期不申请行政复议或提起行政诉讼，且未按照处罚决定履行的，将被人民法院依法强制执行。