论个人信息保护行政处罚制度

1、论个人信息保护行政处分制度中华人民共和国个人信息保护法（以 下简称个人信息保护法）第66条对个人 信息保护领域的行政处分制度作出规定。相 较于全国人民代表大会常务委员会关于维 护互联网平安的决定第4条、消费者权 益保护法第56条、网络平安法第64 条等先期规范，个人信息保护法第66条 有了质的突破。广度上，其打击对象不再限 于侵害他人电子邮件等数据资料行为，保护 对象亦不再限于消费者，而是涵盖所有违法 处理个人信息行为和个人信息主体；深度上， 其新增责任人员从业禁止和高额罚款等处分 措施，强化违法威慑。然而，既有研究或聚 焦网络平安领域的行政处分，或论证对严重 个人信息侵权行为处以高额罚款的必

2、要性与 可行性，或介绍欧美个人信息保护领域的处 罚制度。以个人信息保护法第66条为切 入点，探讨我国个人信息保护行政处分制度 的文献迄今仍付之阙如。本文试图填补此空 公民个人信息权益、引发群体投诉或者案情 复杂的个人信息保护违法行为，应由国家网 信部门查处或指定省级网信部门查处。二、罚什么：应罚行为的构成要件应受行政处分行为的构成要件决定“罚 不罚”。学界对此素有争论，形成要件说和 阶层说。本文选取三阶层说作为分析框架， 因其可涵盖要件说无法容纳的违法阻却事由。(-)该当性应受行政处分行为之该当性是指其符合 法律、法规、规章规定的违法行为的事实特 征。以下从处分对象和处分行为两方面阐述 个人信

3、息保护法第66条确立的构成要件。首先，关于处分对象。个人信息保护 法第66条没有明确哪些主体应罚，但其第 二至五章设定的个人信息处理规那么、义务以 及个人在个人信息处理活动中的权利均指向 个人信息处理者，而根据第21条，个人信息 处理受托人也须实现个人信息保护法合 规。因此，作为个人信息处理者或个人信息 处理受托人的组织、个人违反个人信息保 护法，应依据第66条处分。关于应受处分的组织。法人和非法人组 织违反个人信息保护法都应受罚，但作 为机关法人的国家机关能否被处分？比拟法 上，以罚款为例，欧盟层面，根据关于欧 盟各类官方机构处理个人数据的条例( European Union Data Pr

4、otection Regulation, Regulation (EU) 2018/1725, 简称EUDPR)第66条第3项，欧盟数据保护 监 察专员 (European Data Protection Supervisor )有权对欧盟公权机构(Union institution or body )处以单次不超过5万 欧元、每年不超过50万欧元的行政罚款。欧 盟成员国层面，GDPR一般数据保护条例 第83条第7款做了留白处理，规定“成员国 可制定规那么来确定是否以及在什么情况下对 其境内设立的公权机构和组织施加行政罚 款”。各成员国有三类做法。一是规定公权 机构免予行政罚款，如奥地利、比利

5、时、克 罗地亚、芬兰、德国、列支敦士登等。二是 规定公权机构和非公权机构在行政罚款方面 没有区别，如挪威、葡萄牙等。三是规定特 定条件下行政罚款适用于公权机构，具体又 分两种情形：一种是限定对公权机构行政罚 款的最高额，例如波兰将上限设定为10万兹 罗提（约23300欧元）、罗马尼亚为20万列 伊（约42000欧元）、捷克为1000万捷克克 朗（约39万欧元）、丹麦为1600万丹麦克 朗（约合210万欧元）、希腊为1000万欧元。 这些罚款上限均低于非公权机构的罚款。另 一种那么是限定公权机构在特定情形下可被行 政罚款，例如爱尔兰规定公权机构只有在以 经济实体（undertaking）身份违规

6、处理个人 数据时才面临罚款，比利时规定公权机构在 市场上提供产品和服务时才可被罚款。上述 做法各有道理：对公权机构罚款的理由在于 其和非公权机构都是个人数据控制者或处理 者，应一视同仁；豁免的理由在于对公权机 构罚款，无非是公共财政左口袋出、右口袋 进，不仅徒增本钱，还会影响公务正常运转； 特定条件下处分公权机构的理由那么是罚款确 有阻遏作用，设置较低的罚款上限可防止处 罚过度，而限定公权机构只有在提供市场服 务或参与市场竞争时才可被罚款，那么是为了 防止其获得不正当竞争优势。反观我国，国 家机关原那么上不受行政处分，但当其以民事 主体身份处理个人信息，例如在购买办公用 品时基于个人同意或订立

7、、履行合同所必需 而收集个人信息，假设违反个人信息保护法， 那么可成为行政处分的对象。此外，国家机关 处理个人信息违法应按照个人信息保护法 第68条来处理。关于应受处分的个人。其一，个人独立 受罚，即自然人作为个人信息处理者或个人 信息处理受托人违法而受罚。例如某律师以 个人身份接受客户委托处理家事纠纷，假设客 户没有清晰、具体地指示收集哪些及如何收 集个人信息，而是由律师自行确定，那么律师 是个人信息处理者；假设客户具体指示，律师 只是遵嘱而行，那么律师是个人信息处理受托 人。无论哪种情形，律师违反个人信息保 护法均应受罚。又如作为组织雇员的自然 人，假设超越组织授权处理个人信息，那么构成

8、个人信息处理者，违法的应自己独立受罚。 其二，个人连带受罚，即自然人因所在单位 违法而受罚。个人信息保护法第66条设 立了双罚制，规定单位违法受罚的，直接负 责的主管人员和其他直接责任人员也受罚。 这意味着雇员在单位授权范围内按指示处理 个人信息，雇员并非个人信息处理者或个人 信息处理受托人，出现违法行为由作为个人 信息处理者的组织受罚，但雇员仍要连带受 罚。中国法上，单个自然人可成立个体工商 户、个人独资企业和一人有限责任公司，如 何连带处分须分情况讨论。个体工商户在民 法典中被规定于第一编第二章“自然人”， 其本质是自然人而非企业组织，故不适用双 罚制，不能在处分个体工商户后再连带处分 设

9、立个体工商户的个人，否那么会两次处分一 个法律主体的一个违法行为，违反一事不再 罚原那么，但可连带处分个体工商户雇佣的其 他直接责任人员。根据民法典第56条， 对个体工商户的罚款应由个体工商户设立者 的个人财产来承当。个人独资企业据民法 典第102条属于非法人组织，行政处分 法第2条将非法人组织定为处分对象，故 双罚制，处分企业的同时还可处分设立企业 的自然人。据民法典第104条，对个人 独资企业的罚款首先由企业财产承当，缺乏 的局部由设立人的个人财产承当补充责任。 一人有限责任公司属于营利法人，适用双罚 制，处分公司时可连带处分设立人。对公司 的罚款以公司财产承当，但根据公司法 第63条，公

10、司股东不能证明公司财产独立于 股东自己财产的，应以股东个人财产对罚款 其次，关于处分行为。个人信息保护法 第66条列举了 “违反本法规定处理个人信息” 和“处理个人信息未履行本法规定的个人信 息保护义务”两种受罚行为。二者如何区分？ 一种解释认为前者指向违反个人信息保护 法第二章“个人信息处理规那么”的处理活 动，后者指向违反第五章“个人信息处理者 的义务”的行为。另一种解释认为前者指向“处理行为本身的违法性”，后者指向“因 处理个人信息而附随的积极义务之违反”。 第一种解释会遗漏个人信息保护法第三、 四章，第二种解释较为模糊，例如很难把进 行自动化决策的信息处理者未提供不针对信 息主体个人特

11、征的选项这一违法行为非此即 彼地归类。诚然，个人信息保护法第66 条区分两种受罚行为在立法技术上值得商榷， 统一表述为“处理个人信息违反本法规定” 本可更加简明。但为了全面、准确和高效地 适用现行法，本文建议：第一，将“违反本 法规定处理个人信息”解释为违反个人信 息保护法第一至三章的行为，因为第二、 三章都是在规定个人信息处理规那么，前者涉 及所有处理行为，后者聚焦跨境提供行为， 第一章规定个人信息处理基本原那么，可作为 兜底性规范；第二，将“处理个人信息未履 行本法规定的个人信息保护义务”解释为违 反个人信息保护法第四、五章的行为， 因为两章皆是在规定狭义的个人信息保护义 务，前者聚焦信息

12、处理者满足信息主体权利 的义务，后者涉及信息处理者安保措施、合 规审计、影响评估等义务。如此既能全面覆 盖个人信息保护法，也可更简便、清晰 地将违法行为归类。（二）违法性应受行政处分行为之违法性是指“符合 法律规范所描述的客观行为侵犯了行政法 益”。“通过利益权衡，将虽然符合构成要 件但不具有实质违法性的行为予以排除，这 就是违法阻却事由“。民法、刑法上的违法 阻却事由包括正当防卫、紧急避险、不可抗 力、被害人承诺、自损行为、义务冲突等。 根据行政处分法第33条第1款，假设个人 信息处理行为符合该当性构成违法，但因情 节轻微、及时改正且无危害后果，实质上没 有损害法律所保护的利益，即构成违法阻

13、却 事由，不予处分；假设违法行为首次发生且危 害后果轻微并及时改正的，也构成违法阻却 事由，由行政机关裁量决定是否处分。例如 2021年11月2日发布的吉林省人力资源 和社会保障厅包容审慎监管执法“四张清单” 就规定：人力资源服务机构在业务活动中收 集个人信息，首次出现因非主观故意未按规 定采取保密措施导致泄露，情节轻微，在未 造成较大社会影响或危害后果，用人单位主 动配合调查和接受教育，并在规定时限完成 整改的前提下，免于处分。（三）有责性应受行政处分行为之有责性是指作为谴 责对象的行为必须能为行为人意志控制，包 括责任能力和责任条件。前者指行为人是否 属于无责任能力人，后者指行为人是否有主

14、 观过错。关于责任能力，行政处分法第 30、31条规定不满十四周岁的未成年人以及 精神病人、智力残疾人在不能识别或控制自 己行为时违法的，不予处分。关于责任条件，行政处分法第33条第2款规定：“当事 人有证据证明没有主观过错的，不予行政处 罚。”此项规定标志着行政处分法从客 观归责原那么走向责任主义，将行为人主观过 错纳入行政违法行为的构成要件，只不过为 防止过分影响行政效率，在过错要件的认定 方法上选择了推定责任。因此，假设行为人能 够证明自己处理个人信息违反个人信息保 护法没有过错，就不存在有责性，应不予 处分。此外须做两点澄清：第一，个人信 息保护法第66条规定了责令改正，这并非 行政处

15、分，而是旨在消除违法行为危害后果、 恢复行政管理秩序的行政处理，不适用过错 推定。这就如同个人信息保护法第69条 对个人信息侵权损害赔偿责任也设定了过错 推定原那么，但并不适用于作为人格权的个人 信息权益之绝对权保护请求权即便侵害 个人信息权益者毫无过错，也应停止侵害、 排除阻碍或消除危险。同理，行为人违反个 人信息保护法，本质上是对国家建构的法 秩序之破坏，不一定给信息主体造成损害， 例如处理者不按该法第52条要求指定个人 信息保护负责人。此时假设处理者能自证无过 错，那么可免于处分，但行政机关仍应责令改 正，以消除危险。第二，有责性欠缺仅意味 着行为人不必承当行政处分责任，而非任何 责任。

16、据行政处分法第30条、第31条， 十四周岁以下的未成年人或精神病人、智力 残疾人违反个人信息保护法仍须承当被 “管教”或“看管和治疗”的责任，第33条 第3款规定因有责性或违法性欠缺而不受处 罚者需接受教育。三、怎么罚：情节认定与措施匹配网络平安法第六章、数据平安法 第六章以及GDPR第83条均针对不同违法行 为设置不同处分。个人信息保护法设定 行政处分的方式发生重大变化，其第66条并 未区分不同违法行为配以不同处分，而是根 据违法情节来决定处分。客观来讲，这有一 白，从“谁处分” “罚什么”怎么罚三 方面展开初步讨论。一、谁处分：处分主体与管辖协调（一）处分主体个人信息保护法第66条规定由“

17、履 行个人信息保护职责的部门”实施处分。根 据该法第60条，此类部门包括“国家网信部 门”“国务院有关部门”以及“县级以上地 方人民政府有关部门“。除网信部门外，还 有哪些机构属于“履行个人信息保护职责的 部门”？网络平安法第8条、数据安 全法第6条将电信、公安、国安、交通、 金融、自然资源、卫生健康、教育、科技部 门列为网络平安、数据平安监管部门，但也 采用“其他有关机关“和“等”的措辞来表 明列举是不穷尽的。事实上，由于个人信息 的泛在性，大量部门皆负有个人信息保护职 责。例如人社部门依据人力资源市场暂行 条例第三章监管人力资源服务机构，由此 对线上人力资源服务处理个人信息具有监管 职责。

18、又如文旅部门是旅游经营活动的监管 主体，由此对该类活动中的个人信息保护负定道理，比方在违反个人信息处理者义务和 侵犯个人信息权利主体之间并不存在天然的 轻重之别。但第66条对如何认定违法情节未 加解释，对怎样量罚亦语焉不详。因此，有 必要进一步探讨该条中的违法情节和匹配措 施，为精准判定“罚多重”提供标准。（一）情节认定个人信息保护法第66条明文设定了 三种违法情节。一般情节应按前述个人信息 保护领域应受行政处分行为的三阶层构成要 件来认定，这里对后两种情节稍作展开。如 何认定“拒不改正” ?在行政处分领域，这 是一项常见的情节，网络平安法第59-62、68、69条和数据平安法第45条都有涉

19、及，可分两步认定：第一，履行个人信息保 护职责的部门作出并送达责令改正决定书。 第二，相对人收到责令改正决定书后，未在 规定期限内按要求停止违法行为、消除违法 后果或履行法定义务。有学者认为应考虑相 对人是否具有采取相应改正措施的能力，对 确因资源、技术等条件限制，没有或者一时 难以到达监管部门要求的，不认定为“拒不 改正“。这一见解难以成立，因为相对人至 少可以暂停个人信息处理，这并无资源、技 术等条件限制。所以，拒不改正必然基于有 违法性认识的主观故意。如何认定“情节严重”?先期司法解释和比拟法例可资参考。2017年两高关于办 理侵犯公民个人信息刑事案件适用法律假设干 问题的解释第5-6条

20、就刑法第253条 之一规定的“侵犯公民个人信息罪”列出情 节严重和特别严重的数种情形。GDPR第83 条第2款列举了十一项决定应否罚款及金额 的考量因素。这些本土和域外规范在认定个 人信息处理违法情节严重时主要考虑三类因 素：一是违法行为，包括主观过错程度、是 否滥用职权、持续时长、是否将个人信息用 于非法活动、侵害个人信息的性质和数量、 侵害个人信息主体的身份和数量；二是违法 主体，包括前期和后期行为，前者指违法主 体事前是否因个人信息违法而受处分、是否 遵守监管措施、自首或配合执法调查，后者 指违法主体事后是否主动采取措施减轻损害; 三是违法后果，包括是否获取经济利益、是 否造成严重私益或

21、公益损害。据此，有以下 情形之一的即可认定为个人信息保护法 第66条第2款所言的“情节严重”：（1） 个人信息违法行为出于故意、属于滥用职权、 持续时间较长、将个人信息用于违法甚至犯 罪活动、侵害敏感或私密个人信息、侵害个 人信息数量较大、侵害未成年人个人信息、 侵害个人信息主体数量较大；（2）个人信息 违法主体事前一定时间内曾因个人信息违法 受到刑罚或较重/屡次行政处分、不遵守责令 改正决定之外的监管机构决定、阻挠执法调 查、事后未主动采取措施尽量减轻损害；（3） 个人信息违法行为获得较大经济收益、对私 益或公益造成较大损害。之所以建议上述情 形择一即可构成“情节严重”，除能提高认 定效率外

22、，主要是因为个人信息保护法 第66条第2款设置了巨大的量罚空间，罚款 下限为100万（拒不改正情节的最高额）， 上限为5000万或上一年度营业额5%,完全 可以容纳内部差异极大的不同严重情节，上 述各项情形叠加可进一步构成“情节特别严 重”。同时，这也不会造成处分过重，因为 可依据行政处分法第32条从轻或减轻处 罚，比方故意违法收集少量个人信息且未造 成重大损害的，按照上述标准构成情节严重， 但只要主动消除或减轻违法行为危害后果的， 便可从轻或减轻处分。结合以上分析，可将个人信息保护法 第66条规定的三种违法情节细化扩展至五 种：情节轻微，即行为符合个人信息保护领 域应受处分行为三阶层构成要件

23、，但具有主 观状态属于过失、侵害个人信息或个人信息 主体数量较少、没有违法所得等情形；情节 较重，即行为符合个人信息保护领域应受处 罚行为三阶层构成要件，具有主观状态属于 重大过失、侵害个人信息或个人信息主体达 到一定数量、有违法所得等情形的；拒不改 正，即违法情节轻微或较重，经履行个人信 息保护职责的部门责令改正而不按照要求改 正的；情节严重，即具有上述一种严重违法 情形的；情节特别严重，即有上述多种严重 违法情形的。（二）措施匹配个人信息保护法第66条规定的多种 行政措施中，如前所言，责令改正并非行政 处分，既可与处分同时作出，亦可单独适用。 当个人信息处理行为符合前文已述的该当性 标准，

24、但不具有违法性或有责性时，不予处 罚，但仍应责令改正。除此以外，处理个人 信息违反个人信息保护法的，均应在责 令改正的基础上予以处分。针对一般情节，第66条第1款第一分句 设定了警告、没收违法所得、责令暂停或终 止违法处理个人信息的应用程序服务三种处 罚。上文细化的情节轻微和情节较重，前者 可适用警告，后者可单处或并处另外两种处 罚。针对拒不改正情节，第66条第1款第二、 三分句设定了单位罚款100万元以下和责任 个人罚款1万-10万元两项处分。有两个问 题值得说明。其一，罚款是否以没有违法所 得为前提？网络平安法第64条规定侵害 个人信息权益“没有违法所得的，处一百万 元以下罚款，对直接负责

25、的主管人员和其他 直接责任人员处一万元以上十万元以下罚款”。基于新法优于旧法的原理，个人信 息保护法生效后，处分侵害个人信息权益 的行为应适用其第66条，即不管有无违法所 得，也无论是否没收违法所得，拒不改正的， 一律处以罚款。其二，对责任个人罚款是应 当还是可以并处？从先期相关立法来看，网 络平安法第64条规定应当并罚，数据安 全法第45条第一分句那么规定可以并罚。个 人信息保护法第66条应理解为应当并罚， 因其未使用“可以”的措辞，而且据前文分 析，拒不改正足以说明责任个人对于违法状 态持续具有主观故意，理应处分。针对严重情节，第66条第2款规定对单 位的处分包括没收违法所得，并处下限为1

26、00 万、上限为5000万或上一年度营业额5%的 罚款，并可以责令暂停相关业务或停业整顿、 通报有关主管部门撤消业务许可或营业执照;对责任人的处分包括罚款10万TOO万元，并可以禁止其在一定期限内担任相关企业的 上文细化的情节严重和情节特别严重，前者 可对单位适用没收违法所得和罚款，对个人 适用罚款；后者可进一步对单位适用责令暂 停相关业务或停业整顿、撤消业务许可或营 业执照，对个人适用从业禁止。此外还有两 个问题值得进一步分析。事、监事、高管和个人信息保护负责人。第一，如何理解“上一年度营业额” ?个人信息保护法此规定受GDPR影响，但 也存在重要差异。GDPR第83条的罚那么包含 双层结构

27、：以1或2千万欧元为上限的罚款 适用于所有处分对象，以“上一财政年度全 球总营 业额(total worldwide annual turnover of the preceding financial year) 2%或4%为上限的罚款那么只适用于“经济实体”(undertaking) o根据GDPR鉴于条款第150 条(Recital 150),此术语应参照欧盟运 行条约(TFEU)第101, 102条禁止“经济 实体”限制市场竞争或滥用市场支配地位的 规定来解释。欧盟竞争法上，“经济实体” 指“所有从事同一经济活动的主体，无论其 法律地位或资金来源”。“同一经济活动” 的识别标准是所谓“

28、决定性影响(decisive influence),即“当一个企业对另一个施加 决定性影响，它们便形成同一个经济实体”，“即使子公司具有独立的法人地位，但，当 子公司不能独立决定自己的市场行为，而实 际上依照母公司发出的指令行事，其行为可 归责于母公司”。欧盟法院判例中，判断“决 定性影响”的考量因素包括一个企业对另一 企业是否控股、是否有人事任免权、是否参 与经营等。根据关于实施条约第81条和第 82条制定的竞争规那么的(EC)第1 / 2003号 理事会条例第23条，对违反竞争法行为的 罚款上限是违法者上一商业年度总营业额(total turnover in the preceding b

29、usiness year)的10%,当母公司或集团公 司在违法行为发生期间对所属子公司拥有且 实际行使“决定性影响”权，它们就能被视 为一个经济实体，计罚基准就可以是违法子 公司所属的母公司或集团公司的年度总营业 额，除非母公司或集团公司能够证明子公司 违背指令自行从事违法行为。GDPR第83条“上一财政年度全球总营业额的计罚基准 可照此解释。与GDPR相比，个人信息保护法第 66条既未就处分对象设置双层结构，也不要 求转介参照竞争法，由此可得三点结论：首 先，以“上一年度营业额”计算的罚款并不 仅适用于我国反垄断法上的“经营者”， 而是适用于所有处分对象。这意味着不从事 商品或服务交易的自然

30、人、法人和其他组织， 包括国家机关、非营利组织等，也可以此为 基准计算罚款。此类主体虽无狭义上的“营 业额”，但可将其年收入作为计罚基准。其 次，不同于GDPR处分“经济实体”，个人 信息保护法第66条设定的处分对象是违法 的信息处理者或受托人，无需穿透其独立法 律身份，追溯处分对其有决定性影响的主体。 竞争法之所以要刺破法律地位的面纱，对实 质上参与同一经济活动的众多主体统一处分， 目的是要准确反映市场力量构成，威慑以各 种形式不当集中市场力量的行为。但个人 信息保护法没有这方面的考虑。当然，假设 子公司违法行为是基于母公司或集团公司直 接、明确指令，那么后者构成实际违法的信息 处理者，可将

31、其上一年度营业额作为计罚基 准。再次，不同于反垄断法第46、47条 以“上一年度销售额”为计罚基准，个人 信息保护法第66条以“上一年度营业额” 作为基准。关于“上一年度”和“销售额” 如何理解，反垄断法无明确规定，多头 执法亦尺度不一。为降低个人信息保护领域 处分的不确定性，建议统一标准如下：“上 一年度”以处分决定作出时的上一自然年度 为准，因为这较之违法行为发生时点、立案 时点、财政年度等更易确定；“营业额”以 企业会计准那么第14号收入第2条规 定的“企业在日常活动中形成的、会导致所 有者权益增加的、与所有者投入资本无关的 经济利益的总流入”为准，计算范围那么应以 违法行为相关服务或市

32、场为准。这不仅更符 合过罚相适原那么，而且切实可行，因为个 人信息保护法第66条并未像GDPR第83条 那样明文规定“全球”营业额，但规定在没 收违法所得的基础上并处营业额一定比例的 罚款，说明罚款之前必须先确定违法行为相 关服务或市场，否那么无法认定违法所得。至 于具体金额确实定，没有必要如有学者建议 的照搬德国做法以估算的平均营业额为基准, 而应以违法者实际营业额计罚。有监管职责。简言之，举凡监管对象处理个 人信息的机构皆属于“履行个人信息保护职 责的部门”。鉴于个人信息保护法第61 条规定此类部门有权“处理”违法个人信息 处理活动，“处理”包括行政处分，故所有 履行个人信息保护职责的部门

33、皆是该领域行 政处分主体。（二）管辖协调第一，职能管辖之协调。具体存在两种 情况：其一，同一违法个人信息保护法律的 行为，既可由网信部门来处分，也可由特定 行业的主管部门来处分，遂产生管辖冲突。 对此，可依据行政处分法第25条来解决： “两个以上行政机关都有管辖权的，由最先 立案的行政机关管辖。对管辖发生争议的， 应当协商解决，协商不成的，报请共同的上 一级行政机关指定管辖；也可以直接由共同 的上一级行政机关指定管辖。”其二，同一 行为，既违反个人信息保护法律规范，也触 犯其他行政管理领域的规范，构成“想象竞 合”，网信部门与行业主管部门都可处分， 遂产生管辖冲突。例如某APP的隐私政策未第二

34、，如何理解禁止责任人员“在一定 期限内担任相关企业的董事、监事、高级管 理人员和个人信息保护负责人”？ “一定期 限”不是终身禁入，后者应由法律明文规定， 例如平安生产法第92条第3款。“一定 期限”不宜超过五年，因为刑法第37条 之一所规定的最长从业禁止期也才五年。“相 关企业”应指同一细分领域的企业，否那么禁 业范围过宽。结语本文聚焦个人信息保护法第66条, 对个人信息保护行政处分制度展开分析。限 于篇幅，在两重意义上，这种分析是初步的。 一方面，本文无法就管辖纠纷解决程序、受 罚行为具体认定、违法情节竞合、行民衔接、 行刑衔接等问题展开；另一方面，本文对违 法情节的细化及所匹配的处分措施

35、仍是粗线 条的，大有可完善空间。但本文的初步分析 说明：个人信息保护领域行政处分复杂性高， 极易在多头执法体制和巨大量罚空间下，偏 离过罚相适的正轨。因此，有必要尽快制订 执法指南和裁量基准。包括收集使用个人信息的规那么，据APP违 法违规收集使用个人信息行为认定方法第 1条应认定为“未公开收集使用规那么”。这 同时违反消费者权益保护法第29条、电 信和互联网用户个人信息保护规定第8条 和个人信息保护法第17条。对此，根据 消费者权益保护法第56条，可由市场监 管部门警告、没收违法所得、处以违法所得 一倍以上十倍以下的罚款，没有违法所得的， 处以50万元以下的罚款，情节严重的，责令 停业整顿、

36、撤消营业执照；根据电信和互 联网用户个人信息保护规定第22条，由电 信管理机构警告，可并处1万元以下的罚款； 根据个人信息保护法第66条，可由网信 部门警告、没收违法所得，对违法处理个人 信息的应用程序责令暂停或终止服务，拒不 改正的并处100万元以下罚款。此类想象竞 合带来的管辖争议应按照一事不再罚原那么解 决，即同类处分应择一重处，由具有最高处 罚幅度的执法部门行使管辖权，不同类处分 应并行适用，由各类处分的执法部门同时行 使管辖权，具体分配通过部门协商来确定。据此，对某APP的违法行为应予如下处分： 首先，市场监管部门、电信主管部门和网信 部门均可警告，市场监管部门和网信部门均 可没收违

37、法所得、责令停止服务，但只能由 其中一个部门实施，具体由先立案的部门执 行或通过部门间通报协商确定。其次，市场 监管部门、电信主管部门和网信部门均可罚 款，但根据行政处分法第29条，应“按 照罚款数额高的规定”由一个机关罚款。关 于何为“罚款数额高”，理论上有实际数额 高和法定数额高两种见解。本文赞同后一观 点，除因其更符合法条文义外，还基于三点 理由：其一，解决管辖争议贵在简便高效， 假设等到各处分机关分析案情并初步决定罚款 数额，再从中选择数额高额的部门来执行处 罚，未免过于繁琐；其二，尽管法定罚款数 额高不等于实际罚款数额高，但法定额高本 身就表达了立法者对特定违法行为危害性的 判断，应

38、当优先考虑；其三，以法定罚款额 高为标准不会影响实现过罚相适，反而能让 有最大量罚空间的处分机关去确定与违法行 为相应的罚款。至于如何“就高”，对固定 数额的罚款，可直接适用罚款数额高的规定 处分；对有幅度的罚款，“就高”应先比拟 罚款上限，适用罚款上限高的规定；没有罚 款上限或者罚款上限一致的，适用罚款下限 高的规定。据此，前述APP违法行为，无违 法所得的，应由市场监管部门处50万元以下 罚款；有违法所得的，由市场监管部门处违 法所得一倍以上十倍以下罚款；拒不改正的， 由网信部门处100万元以下罚款。再次，市 场监管部门有权撤消营业执照。第二，地域管辖之协调。行政处分法 第22条规定，“行政处分由违法行为发生地 的行政机关管辖”。传统理解中，“发生地” 区别于准备地、着手地、经过地、结果地， 凸显受罚行为的核心要件是违法。但网络空 间对行为发生地中心主义带来巨大冲击，因 为网络违法行为的发生地难以确定，即便可 以确定，也往往不是确定处分管辖权的最适 宜标准。对此，学界提出两种解困方案：“一 元化”方案建议在大型网络交易平台所在地 设立专门机构集中管辖。且不管这仍有待落 实，即便实现，也难以适用于不发生在大型 网络交易平台上的个人信息处理违法行为