大规模侵害个人信息高额罚款研究
发布日期:2020-11-05 来源:《中国法学》2020年第5期 作者:孙莹

    随着信息技术的快速发展和互联网应用的普及,数据化、网络化、智能化已经渗透至经济社会的各个方面,不当收集、泄露、利用个人信息的大规模侵权行为也愈加普遍。当今对个人信息的侵害主要以“大规模”为表现形式,例如,以欺诈、诱骗、误导的方式收集个人信息,隐瞒产品或服务所具有的收集个人信息的功能,从非法渠道获取个人信息等大规模不当收集行为;因自身计算机系统缺陷、内部管理不善或第三方原因等导致的大规模泄露行为;滥用个人信息,不当加工个人信息,未经用户同意向第三方传输数据等大规模不当利用行为。本文所称的大规模侵害个人信息指代的是人数众多的不特定的个人信息权益主体因信息处理者同一个行为而遭受侵害的情形。如何增强法律的威慑力以遏制大规模侵害个人信息的发生,值得思考。
   一、遏制大规模侵害个人信息行为的意义
   与普通的个人信息侵权行为相较,大规模侵害个人信息涉及的受害人及信息数量巨大,已经成为个人信息权益受害的主要情形,是我国网络与信息安全领域的一个突出问题。遏制大规模侵害个人信息行为,意义重大。
   (一)保障自然人个人信息民事权益的需要
    大规模侵害个人信息侵犯了自然人的民事权益并会造成损害,但是此种损害具有不确定性与不可预期性。损害的不确定性是指损害的大小、损害的内容、损害何时发生不确定。自然人在主动或被动交出个人信息之后,对于信息处理者对个人信息的储存、使用、加工、传输、买卖、提供、公开、修改、删除、销毁等处理活动可能造成的损害无法预期。为保障自然人的个人信息权益,必须遏制大规模侵害个人信息行为。
    (二)维护公共利益和社会秩序的需要
    大规模侵害个人信息侵害了私人利益,同时也侵害了公共利益和社会秩序。在个人信息之上承载了公共信息安全这一公共利益(在经济学语境下可称之为“公共物品”)。
个人信息的公共属性在大规模侵害个人信息场合体现得尤为明显。可以说,在大规模侵害个人信息的场合,个体权利与公共利益、社会秩序及国家安全之间不存在价值平衡的问题,他们的价值具有统一性和一致性。遏制大规模侵害个人信息是维护公共利益和社会秩序及其国家安全的迫切需要。
    (三)调整失衡的企业和个人力量的需要
    由现实来看,大规模侵害个人信息的侵害人主要是企业。企业拥有着普通人几乎无法逾越的技术壁垒,从而使企业相对个人而言处于了绝对的控制地位,个人丧失了议价空间。企业凭借其资本与日益迭代更新的人工智能及算法,可以更加便捷地实施正当或不正当的信息收集与利用行为。而且,企业的逐利性会力图使个人信息的商业价值性得到最大程度展现。为了平衡个人信息权益保护与企业对个人信息的收集利用,就必须要遏制大规模侵害个人信息,调整失衡的企业和个人的力量。
    (四)规制互联网竞争生态的需要
    大规模侵害个人信息破坏了互联网的竞争生态,导致恶性竞争。企业的逐利性导致其通过不当途径大规模收集或利用个人信息的意愿增强。遏制大规模侵害个人信息,对规制互联网竞争生态有重要意义。
   二、高额罚款论的提出与论证
   面对大规模侵害个人信息,民法、刑法与行政法各司其职,通过民事追责、刑事定罪与行政执法,追究侵害人的民事、刑事与行政责任。对三种手段遏制大规模侵害个人信息的实效进行全面分析,是本文提出高额罚款论的基础。
    (一)民事追责与刑事定罪的局限
    1. 民事追责的局限
    民事追责具有下述局限性:其一,受害人对损害的存在、种类、范围和程度及损害与行为的因果关系举证困难。其二,针对大规模侵害个人信息,民事赔偿的功能主要是弥补受害人损失。其三,在大规模侵害个人信息场合,产生了“搭便车”困境,且难以解决。通过集团诉讼追究侵害人的民事责任无制度依据。其四,大规模侵害个人信息民事公益诉讼运行效果不佳。欠缺“损害赔偿请求权”尤其是“惩罚性赔偿请求权”的公益诉讼,显然无法对侵害人产生威慑力。
    2. 刑事定罪的局限
    刑事责任具有下述局限性:其一,对“不当利用”行为,尤其是“合法获取、不当利用”行为缺乏规范,因此,现行刑法对大规模侵害个人信息的打击范围有限。其二,刑罚趋于轻缓而且罚金数额相对较低,对侵害人威慑力不足。
    (二)强化行政执法的必要性
    由上可见,民事追责与刑事定罪的局限性导致其对侵害人的威慑力不足。基于行政执法的特性,强化行政执法是遏制大规模侵害个人信息的关键之举。其一,行政执法可以覆盖的大规模侵害个人信息的行为类型更加全面。其二,行政执法可以及时高效介入大规模侵害个人信息事件。其三,行政执法可以为大规模侵害个人信息的民事追责与刑事定罪提供支撑。
    (三)高额罚款论的提出
    针对大规模侵害个人信息的行为,行政机关享有广泛的行政职权且行政处罚手段多样。相较于其他种类的行政处罚,罚款的优势在于其可量化性,从而提高行政处罚的威慑性和精确性。
但是,目前我国行政法律法规对侵害个人信息行为的行政罚款多数采用封顶式,罚款额度各异,最高也未超过100万元,从具体的行政执法实践来看,罚款金额也普遍较低。与企业因侵权行为可获得的高收益相比,目前的罚款额度根本不足以遏制大规模侵害个人信息行为。提高罚款金额增加侵害人的违法成本是强化行政执法的应有之义和必然要求,也具有天然的正当性。基于此,本文提出提高现行法律针对大规模侵害个人信息的行政罚款金额,同时使罚款金额不受受害人实际损失或侵害人违法所得的限制。
    (四)高额罚款的经济学分析
    罚款的确定性与严厉性与侵害者的违法代价密切相关,并直接影响侵害者遵守法律的意向。因此,笔者尝试从经济学视角,基于“成本—收益”原理和贝叶斯纳什均衡,就加强行政执法实施高额罚款对遏制大规模侵害个人信息的有效性进行分析。若对大规模侵害个人信息处以罚款太少,远远低于其违法所得,将会进一步助长违法行为,导致大规模侵害个人信息的案件频繁发生;而加强执法频次且对大规模侵害个人信息实施高额罚款,则可以从根本上有助于促使信息处理者或控制者采取措施积极履行法律责任,进而构建“激励相容的个人数据治理体系”。
    三、对欧盟和美国高额罚款实施机制与实践的考察
    (一)对欧盟高额罚款实施机制与实践的考察
    GDPR整合成员国国内的独立数据保护机构,并强化此类机构在跨境案件中的合作,以及在欧洲数据保护委员会的内部合作,建立了创新的治理体系。伴随着引领世界个人信息保护法发展潮流的雄心,欧盟将其个人信息行政处罚权力大大扩张至欧盟之外,隐约搭建起了国际空间的个人信息执法霸权。罚款数额总额以英国、意大利、法国、德国居多,处罚的行为涵盖了技术和组织措施不足、无法确保信息安全,不遵守一般数据处理原则,数据泄露通知义务的履行不充分等11种类型。
    (二)对美国高额罚款实施机制与实践的考察
    美国的个人信息保护依循的是隐私保护路径。由于种种原因,美国联邦贸易委员会成为美国信息隐私方面最广泛、最具影响力的调节力量。其在调查大型企业,尤其是跨国企业的个人信息侵权问题上有明显的优势。在其执法活动中,采取高额的罚款日益成为越来越重要的执法手段。
   2019年7月,FTC宣布与Facebook达成一项创纪录的50亿美元和解协议。本案的罚款数额虽然非常高,但是仍有一些方面值得我们注意。第一,对于那些在市场占据头部地位的超大型企业,除了巨额罚款外,执法机构还应当针对具体情况设置其他有效的监管措施,避免超大型互联网公司期望的“以罚代管”的现象发生。第二,未来我国的执法机构在调查超大型互联网公司的大规模侵害个人信息行为时同样可能面临较高调查成本的问题。第三,尽管本案的罚款金额空前,但这种罚款比例并非我国在制定高额罚款时所能借鉴的标准。
   四、我国实施高额罚款的具体方案
   与欧盟及美国相较,我国目前缺乏统一的个人信息保护行政监管执法机构并赋予该机构以必要的法定职权,导致罚款裁量基准体系不系统与裁量肆意,从而削弱了执法力度与效果。本文根据我国的实际提出以下具体方案。
    (一)赋予网信办实施高额罚款的行政处罚权
    为了解决目前大规模侵害个人信息案件中执法力量分散、执法机构职责交叉的问题,建议考虑赋予网信办高额罚款的行政处罚权,并由网信办负责建立联合执法机制。其一,赋予网信办高额罚款的行政处罚权,符合新时代党和国家机构改革朝向国家治理现代化的目标。其二,赋予网信办高额罚款的行政处罚权符合依法治国的要求。
    考虑到大规模侵害个人信息案件在审查中要求行政机关具有很强的专业性,本文建议将大规模侵害个人信息案件的管辖权限定在国家网信办和各省级网信办。对具体案件的管辖权可综合参考侵权企业规模、受害人数加以划分。
    (二)高额罚款的参考因素
    大规模侵害个人信息高额罚款作为一种行政处罚,也应遵循合理行政原则,即在进行罚款金额的设定时应考虑到罚款的有效性、成比例性和劝诫性。结合大规模侵害个人信息的特征,对其实施高额罚款应当考虑以下要素:第一,受害人数量多少。根据受害人人数的多少认定侵权情节的严重性。受害人达到5000人及以上可定义为受害人人数特别众多。第二,对受害人造成的损害的大小。由于大规模侵害个人信息所致损害具有不确定性与不可预期性,其发生还具有隐蔽性,因此应尽可能细化其考量因素。第三,侵害的公共利益的严重程度。在具体个案中应考虑案件波及的领域和影响的程度。
    (三)高额罚款的计算标准
    2019年,德国数据保护监管机构基于GDPR第83条设计了罚款的计算模式。该计算模式已经在德国被运用,并且可能将使高额罚款成为常态。结合我国的情况,本文试对我国针对大规模侵害个人信息高额罚款的数额判定步骤作以下说明:
    步骤一,区分企业规模大小。可以根据2017年国家统计局发布的《统计上大中小微型企业划分办法》中对信息技术服务业中的大、中、小、微企业的营业数额进行划分。
    步骤二,确定不同规模企业的平均年度营业收入。这一步骤是为了阐明在此基础上确定的步骤三中的罚款基数。
    步骤三,核定罚款基数。其中,对年度营业收入4亿以上的企业进行罚款的最高限额为其实际年度营业收入的2%-4%。
    步骤四,依据违法行为严重程度明确因数,乘以罚款基数。
    步骤五,依其他情形对罚款数额进行调整。在此需要考虑的情形包括违法行为的整体情形以及其他情形,例如企业是否积极弥补漏洞、及时通知大规模侵犯个人信息的受害者等。
    (四)高额罚款的听证、复议程序
    为保护行政相对人的基本权利,本文认为,在确立大规模侵害个人信息高额罚款制度中,也应当规定相应的听证程序,并提供相应的复议程序保障。
    结 语
    信息社会的个人信息保护事关每个个体的福祉。综合运用各类法律责任,提高法律威慑力,遏制大规模侵害个人信息的发生,意义重大。需要说明的是,本文倡导高额罚款论,但绝不否认民事赔偿与刑事制裁的作用,也绝不否认罚款以外的行政处罚手段的作用。以我国《个人信息保护法》的起草为契机,本文提出,就当前大规模侵害个人信息的遏制,当务之急是解决侵害人违法与侵权的低成本问题,关键之举是强化行政执法,其核心是实施高额罚款,目的是对侵害人形成更强的威慑力。由省级以上网信办对企业实施的大规模侵害个人信息行为作出行政处罚,罚款金额以不同类型企业的平均年度营业收入为标准,并参考侵权行为的危害程度综合计算得出。通过提高现行法的罚款金额,增加了侵害人的违法成本,能够对其形成较强的威慑力。同时,高额罚款平等适用于实施大规模侵害个人信息的中外企业,尤其是在中国境内从事互联网行业的大型跨国公司,以顺应全球个人信息保护的强监管趋势。

责任编辑:马毓晨
本站系非盈利性学术网站,所有文章均为学术研究用途,如有任何权利问题请与我们联系。
^