就在《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》或“本法”)被通过的当天,中国人民银行总行公布了对多家银行以及相关个人的行政处罚,多因违反信用信息采集、提供、查询的相关管理规定。其中交通银行股份有限公司以及相关部门的责任人、华夏银行股份有限公司、兴业银行股份有限公司因违反前述规定分别被罚款69万元、486万元、5万元(银罚字【2021】23-24号、25号、26号) 。《个人信息保护法》的通过将为中国个人信息与数据保护带来了更全面、系统的法制保障,其通过不仅对国内的信息处理主体产生深远影响,同样适用于规范在境外处理中国境内自然人个人信息的活动。
没有救济的权利不是真正的权利。明确监管责任与法律责任是《个人信息保护法》真正落到实处的制度保障。《个人信息保护法》规定个人信息保护由国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作。职能部门有权采取必要的手段进行调查取证,必要时可以查封或者扣押相关的设备和物品。发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈,或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。对于履行个人信息保护职责的部门在履行职责中,发现违法处理个人信息涉嫌犯罪的,应当及时移送公安机关依法处理。
《个人信息保护法》还对典型的违法行为规定了包括罚款在内的处罚措施。对于违法行为情节严重的处以五千万元以下或者上一年度营业额百分之五以下罚款(《反垄断法》类似规定为上一年度销售额百分之一以上百分之十以下)。尽管在条文中未明确前述营业额是否是全球范围内的营业额,但这几乎是肯定的。这对于互联网巨头而言,以营业额为基数的罚款具有相当的威慑力。《个人信息保护法》的处罚规则整理如下表所示。
此外,为了解决自然人在个人信息权受侵害时面临的举证难、维权难的问题,《个人信息保护法》在第六十九条规定,处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。因此,互联网平台在涉及个人信息权益受损的争议案件中,举证责任应向互联网平台倾斜,即承担没有过错的举证责任,否则应当承担相应的赔偿责任。
在处理个人信息处理者违反规定,侵害众多个人权益的,《个人信息保护法》第七十条规定,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。此类具有公益性质的诉讼,在《个人信息保护法》实施前,最高人民检察院于2021年4月22日发布11件检察机关个人信息保护公益诉讼典型案例。对互联网企业未履行个人信息管理和保护义务的,检察机关将通过公益诉讼要求其承担公益损害责任,推动落实企业主体责任。
在最高检发布的11件典型案例中,行政公益诉讼案件主要涉及:(1)教育、市场监管、公安、网信、农业农村等行政机关个人信息监管、政府信息公开问题;(2)快递、医疗机构、校外培训机构等泄露个人信息问题。民事公益诉讼案件包括:(1)互联网企业违法违规收集个人信息和非法获取个人信息并进行消费欺诈等问题;(2)刑事附带民事公益诉讼案件涉及通过技术软件、物业服务等不同手段非法获取并交易个人信息问题,除了依法打击行为人侵犯公民个人信息的犯罪行为,检察机关还将网络运营者作为共同被告要求承担公益损害责任。最高检2020年9月出台《关于积极稳妥拓展公益诉讼案件范围的指导意见》,明确将个人信息保护作为网络侵害领域的办案重点。截至目前,全国已有25个省级人大常委会作出关于加强检察公益诉讼工作的决定,其中有19个省份明确要求检察机关积极稳妥开展个人信息保护领域公益诉讼。
GDPR对于一般性的违法,罚款上限是 1000 万欧元,或者在承诺的情况下,最高为上一个财政年度全球全年营业收入的 2%,两者中取数额大者(Infringements of the following provisions shall, in accordance with paragraph 2, be subject to administrative fines up to 10 000 000 EUR, or in the case of an undertaking, up to 2 % of the total worldwide annual turnover of the preceding financial year, whichever is higher);对于严重的违法,罚款上限是 2000 万欧元,或者在承诺的情况下,最高为上一个财政年度全球全年营业收入的 4%,两者中取数额大者(Infringements of the following provisions shall, in accordance with paragraph 2, be subject to administrative fines up to 20 000 000 EUR, or in the case of an undertaking, up to 4 % of the total worldwide annual turnover of the preceding financial year, whichever is higher)。
早在GDPR生效不久,隐私保护组织noyb.eu分别代表4位欧盟公民向奥地利、比利时、法国、德国的当地监管机构提起申诉,控诉Google, Facebook, WhatsApp ,Instagram四家公司违反GDPR的规定,请求对其发起进一步调查、确定其用户权利是否被侵犯,并请求禁止其相关数据处理行为,并处以惩戒性罚金。2019 年 7 月 8 日,英国数据安全监管部门——信息专员办公室(ICO)宣布,对英国航空公司 2018 年泄露40多万客户的个人和财务资料事件开出 1.83 亿英镑巨额罚单。ICO在历时近两年的调查后得出了结论:英国航空公司没有落实到位的安全措施来处理大量的个人数据,明确表示其违法了GDPR。尽管这一罚款最终定格在2000万英镑,但仍然是该监管机构有史以来开出的最高罚单,它声称必须考虑到“新冠疫情带来的经济影响”。同样是客户数据泄露事件,ICO对万豪开出了1840万英镑的罚单。
亚马逊在向美国证券交易委员会提交的Form 10-Q中披露:“2021年7月16日,卢森堡国家数据保护委员会(CNPD)认定亚马逊欧洲总部在对个人数据的处理方面不符合欧盟《通用数据保护条例》(GDPR)的要求,因而被处以7.46亿欧元罚款并责令整改。我们认为,CNPD的决定有失正当,并将对此竭力抗辩。”
后记——展望
《个人信息保护法》对个人信息整个生命周期作出全面的规定,但制度的落地仍需监管机构、个人信息处理者与用户的共同努力。围绕《个人信息保护法》以及《网络安全法》与《数据安全法》,相关的配套规范也将陆续出台或生效,为中国数字经济行稳致远提供法制保障,中国的个人信息保护与数据安全也将开启新的篇章。
