個保法系列解讀 | 最高處罰五千萬或5%營業(yè)額!違法要負(fù)這些責(zé)任
正式實施的《個人信息保護(hù)法》(以下簡稱“《個保法》”)已經(jīng)成為各類個人信息處理者的基本行為規(guī)范。為了幫助企業(yè)更好地了解《個保法》的合規(guī)要求,TalkingData法務(wù)合規(guī)部特別撰寫了系列文章,解析重點議題與對應(yīng)法條,供相關(guān)從業(yè)者參考。本文是本系列文章的最后一篇。
2021年11月1日正式實施的《個保法》已經(jīng)將個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等全流程都納入了監(jiān)管范圍,并設(shè)置專章來明確法律責(zé)任,針對一般違法行為和情節(jié)嚴(yán)重違法行為實施分類處罰,最高可處以五千萬元以下或者上一年度營業(yè)額百分之五以下罰款。本篇文章將對法律責(zé)任部分進(jìn)行解讀。
一、法律責(zé)任
1. 個人信息保護(hù)工作的監(jiān)管模式是什么?
國家網(wǎng)信部門負(fù)責(zé)統(tǒng)籌協(xié)調(diào)個人信息保護(hù)工作和相關(guān)監(jiān)督管理工作。國務(wù)院有關(guān)部門?在各自職責(zé)范圍內(nèi)負(fù)責(zé)相關(guān)工作。《個保法》明確了國家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)的權(quán)限。該規(guī)定與《移動互聯(lián)網(wǎng)應(yīng)用程序個人信息保護(hù)管理暫行規(guī)定(征求意見稿)》對國家網(wǎng)信部門的權(quán)限規(guī)定相一致。國家互聯(lián)網(wǎng)信息辦公室會同工業(yè)和信息化部、公安部、市場監(jiān)管總局聯(lián)合負(fù)責(zé)個人信息保護(hù)工作,各部門在各自職責(zé)范圍內(nèi)負(fù)責(zé)個人信息保護(hù)和監(jiān)督管理工作,若有沖突,由國家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)。此監(jiān)管模式在一定程度上增強(qiáng)了執(zhí)法口徑的一致性,但依然沒有設(shè)置獨(dú)立的監(jiān)管機(jī)構(gòu),在執(zhí)法上缺乏統(tǒng)一的執(zhí)法機(jī)構(gòu)。
2. 違反《個保法》的相關(guān)規(guī)定,相關(guān)企業(yè)應(yīng)承擔(dān)什么法律責(zé)任?
《個保法》整體上規(guī)定了較為嚴(yán)格的法律責(zé)任,并明確了責(zé)令違法處理個人信息的應(yīng)用程序暫停或者終止提供服務(wù)的罰則,為App監(jiān)管執(zhí)法提供了更為明確的上位法依據(jù)。《個保法》在個人信息保護(hù)部門的工作職責(zé)的部分也明確了對應(yīng)用程序個人信息保護(hù)情況測評的職責(zé),為此條款的落地實施提供依據(jù)。
主體 | 情形 | 處罰 |
個人信息處理者 | 違反本法規(guī)定處理個人信息,或未履行個人信息保護(hù)義務(wù)。 | 責(zé)令改正,給予警告,沒收違法所得,對違法處理個人信息的應(yīng)用程序,責(zé)令暫停或者終止提供服務(wù); 拒不改正的,并處一百萬元以下罰款;對直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處一萬元以上十萬元以下罰款; 情節(jié)嚴(yán)重的,責(zé)令改正,沒收違法所得,并處五千萬元以下或者上一年度營業(yè)額百分之五以下罰款,并可以責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、通報有關(guān)主管部門吊銷相關(guān)業(yè)務(wù)許可或者吊銷營業(yè)執(zhí)照;對直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處十萬元以上一百萬元以下罰款,并可以決定禁止其在一定期限內(nèi)擔(dān)任相關(guān)企業(yè)的董事、監(jiān)事、高級管理人員和個人信息保護(hù)負(fù)責(zé)人。 記入信用檔案,并予以公示。 構(gòu)成違反治安管理行為的,依法給予治安管理處罰;構(gòu)成犯罪的,依法追究刑事責(zé)任。 |
國家機(jī)關(guān) | 不履行個人信息保護(hù)義務(wù) | 責(zé)令改正; 對直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員依法給予處分。 |
3. 個人信息侵權(quán)案件是采用過錯推定原則嗎?
《個保法》明確指出個人信息侵權(quán)行為的歸責(zé)原則為過錯推定,如果處理行為對個人信息權(quán)益造成損害,個人信息處理者不能證明自己沒有過錯的,應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任。舉證責(zé)任倒置在一定程度上解決了“誰主張誰舉證”原則導(dǎo)致的個人信息主體維權(quán)成本高且舉證難的問題。其實早在龐理鵬訴中國東方航空股份有限公司、北京趣拿信息技術(shù)有限公司隱私權(quán)糾紛案中企業(yè)就被要求證明自己不存在過錯,并最終因無法證明自身無過錯而敗訴。《個保法》的過錯推定要求與之前的司法實踐也是一致的。
為了避免此類風(fēng)險,建議相關(guān)企業(yè)在合作前做好個人信息合規(guī)審查,并在合作中留存好相應(yīng)的處理記錄以備查。在方月明訴北京金色世紀(jì)商旅網(wǎng)絡(luò)科技股份有限公司、中國東方航空股份有限公司合同糾紛案中,法院就指出企業(yè)提供的對外合作協(xié)議、任命數(shù)據(jù)保護(hù)官的通知、等保測評報告等證據(jù)可以證明其已經(jīng)履行了個人信息保護(hù)義務(wù),相關(guān)個人信息處理者可以參考此判決,注意留存等保證明、合作協(xié)議、數(shù)據(jù)處理日志、用戶授權(quán)文件等資料來證明合規(guī)性。
4. 多位個人信息處理者共同處理個人信息,應(yīng)如何分擔(dān)責(zé)任?
個人信息處理者共同處理個人信息,侵害個人信息權(quán)益造成損害的,應(yīng)當(dāng)依法承擔(dān)連帶責(zé)任。兩個以上的個人信息處理者共同決定個人信息的處理目的和處理方式的,應(yīng)當(dāng)通過協(xié)議等方式約定各自的權(quán)利和義務(wù),明確各自的法律責(zé)任,并建議進(jìn)一步細(xì)化無過錯方向過錯方的內(nèi)部追責(zé)機(jī)制。
二、司法實踐情況調(diào)研
《個保法》于2021年11月1日正式實施,最高人民法院也對《民事案件案由規(guī)定》進(jìn)行了修訂,“個人信息保護(hù)糾紛”現(xiàn)已成為了一個單獨(dú)適用的民事案由,個人信息司法保護(hù)已進(jìn)入了新的保護(hù)階段。但可能因為《個保法》剛生效不久,截至2022年1月13日,在裁判文書網(wǎng)和威科先行法律數(shù)據(jù)庫的案例部分均未檢索到適用《個保法》的判決。相關(guān)的司法實踐情況還有待觀察。
《個保法》的出臺進(jìn)一步完善了中國個人信息保護(hù)立法體系,和《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》共同構(gòu)建了更為完善的數(shù)據(jù)安全和個人信息保護(hù)框架,并規(guī)定了相應(yīng)的罰則來增強(qiáng)《個保法》的威懾力。TalkingData作為信通院“個人信息保護(hù)合規(guī)審計推進(jìn)小組”的首批成員,會在嚴(yán)格遵守《個保法》的相關(guān)規(guī)定的基礎(chǔ)上積極推進(jìn)個人信息保護(hù)工作,完善公司內(nèi)部的合規(guī)體系。
推薦閱讀:
TalkingData——用數(shù)據(jù)說話
每天一篇好文章,歡迎分享關(guān)注
