【学科类别】网络法
【出处】微信公众号：肖飒lawyer
【写作时间】2023年
【中文关键字】数据安全；行政处罚；征求意见
【全文】





　　近日，工业和信息化部网络安全管理局发布了《工业和信息化领域数据安全行政处罚裁量指引（试行）（征求意见稿）》（以下简称“《裁量指引》”），为贯彻落实《数据安全法》提供了具体指引。

　　一方面，对于监管部门而言，《裁量指引》构建完善细化了行政处罚裁量权的适用规则和裁量基准，使行业监管部门执法时有法可依、有章可循，对提升数据安全监管执法能力具有重要意义；另一方面，对于数据处理者而言，《裁量指引》进一步明确了行政处罚的触发条件以及影响行政处罚裁量的具体情节，有利于消除数据安全建设过程中的盲区，为数据处理者提供了数据合规建设的落地指引。

　　飒姐团队对《裁量指引》作出梳理后，将从行政处罚情形、处罚情节认定和处罚措施三个方面进行解读，从事前角度助力企业做好数据合规，从事后角度帮助企业采取正确补救措施以最小化损失与处罚。

　　01行政处罚情形

　　《裁量指引》以《数据安全法》为基准，将数据安全行政处罚的情形共分为三大类，即不履行数据安全保护义务、向境外非法提供数据以及不配合监管，三大类情形下又细化规定了共二十多项情形。其中，不履行数据安全保护义务的细化情景最为复杂，具体内容见下表：



　　以《数据安全法》规定的数据分类分级保护制度为例，《裁量指引》细化明确了数据处理者应“定期梳理数据，按照相关标准规范识别重要数据和核心数据并形成本单位具体目录”。此外，在建立数据全生命周期安全管理制度时，数据处理者也应当“针对不同级别数据明确数据收集、存储、使用、加工、传输、提供、公开、销毁、转移、委托处理等环节的具体分级防护要求和操作规程”。以数据安全管理制度中的人员为例，《裁量指引》规定应“根据需要配备数据安全管理人员，统筹负责数据处理活动的安全监督管理”“严格实施人员权限管理”“对从业人员开展数据安全教育和培训”“要求关键岗位人员签署数据安全责任书”等等具体要求。

　　可以发现，相较于《数据安全法》中一般性的制度建设表述，《裁量指引》提出了更多维度、更详细的要求，规定更加具有可操作性，对数据处理者完善数据合规建设提供了具有权威性的指引。但这些详细要求从另一方面而言也对数据处理者提出了更严格的要求与更大的挑战。相关行业的数据处理者应当严格对照《裁量指引》中所列的义务进行全面的自我梳理，及时补足数据合规中的遗漏之处，在事前建立起完善的合规体系。

　　02处罚情节认定

　　根据违法行为造成的后果轻重不同，《裁量指引》处罚情节分为三大类，即后果较轻情节，后果较重情节以及后果严重情节。具体规定见下表：



　　首先，违法行为涉及的数据级别和数量是处罚情节认定的重要因素。数据分类分级制度是《数据安全法》确立的重要制度，对于一般数据而言，需要达到一定数量级才能构成后果较重或后果严重；而对于重要数据、核心数据而言，由于其一旦遭到篡改、破坏等非法行为，就可能对公共利益或者个人合法权益造成严重危害，因此数量并非是重要的因素，只要涉及此类数据，就可能构成后果较重或严重。因此，数据处理者应当做好数据分类分级，并加强对其的安全保护义务。

　　其次，违法行为造成的损害后果本身是处罚情节认定的考量因素，具体包括公共利益损害时间、直接经济损失以及影响范围的大小。由于数据被泄露、非法利用等情形可能会造成一系列的连锁反应，导致相关的损失金额难以计算，基于行为与后果的因果关系以及现实可操作性，《裁量指引》规定经济损失限定于“直接经济损失”。

　　最后，《裁量指引》还规定了“其他”条款，以适应不断发展和变化的实践，实现对处罚情节的精准认定，做到责罚相当。

　　03处罚措施

　　《裁量指引》还规定了行政处罚裁量权的适用规则。一是明确行政处罚实施流程、依据和综合裁量原则。二是规定不予处罚、从轻或减轻处罚、从重处罚的适用情形。三是从处罚种类、幅度两方面明确不予处罚、减轻处罚、从轻处罚、从重处罚的具体内容。在附件《工业和信息化领域数据安全行政处罚裁量基准》中，还进一步细化了每种处罚措施的裁量阶次和处罚标准，提出给予违法主体罚款数额等差异化处罚幅度裁量参考。

　　具体内容见下表：



　　从不同处罚措施的情形中可以发现，数据处理者在违法行为发生后的改正行为对于处罚措施的裁量具有重要意义。这类数据处理者积极主动采取补救措施、改正违法行为，其主观上恶性较小，且客观上也减轻了危害后果，因此根据责罚相当原则，可以相应地减轻处罚。因此，在违法行为发生后，数据处理者应当主动采取改正措施，消除或减轻危害后果，并积极配合监管部门的要求。

　　04写在最后

　　《数据安全法》《网络安全法》《行政处罚法》等法律法规初步建立起了数据治理的体系，规定了数据处理者的法律义务、明确了其法律责任。《裁量指引》的发布进一步衔接细化了《数据安全法》相关罚则规定，是数据治理从法规迈向实践的重要一步，标志着数据安全监管的常态化时代已经来临。

　　飒姐团队认为，对于数据处理者而言，《裁量指引》的发布既是挑战也是机遇。对于未正确履行数据处理者义务的主体而言，监管的常态化以及行政处罚的落地无疑是极大的挑战。但是对于更广大意义上的数据处理者而言，《裁量指引》不仅为数据合规建设提供了更具操作性的指引，也使得行政处罚更加透明化，约束规范了行政处罚权，有助于保障数据处理者的权益。




【作者简介】
肖飒法律团队，一支以学术业务立身的法学硕博团队。垂直深耕于“金融+科技”行业，对创新业务有独特的研究优势和一线实务经验。团队创始人肖飒女士，系中国互联网金融协会申诉委员、中国银行法学研究会理事、首批北京市涉案企业合规第三方监督评估专业人才、中国人民大学法学院法硕实务导师、中国政法大学法律硕士学院兼职导师、中国社科院产业金融研究基地特约研究员、工信部信息中心《中国区块链产业白皮书》编委会委员。著有虚拟币规制畅销书《ICO黑洞》、合著学术书籍《网络金融犯罪的刑事治理研究》等。在《证券时报》《人民日报海外版》《财新》《经济观察报》等发表过近百篇署名文章。

稿件来源：北大法律信息网法学在线

原发布时间：2023/11/27 13:16:23