近年来,网信办、工信部等行政执法机构公开的以《数据安全法》为行政处罚依据的典型案例已逾30起。然而,执法机关对此类案件的处罚标准缺乏统一尺度,特别是涉及企业数据安全问题的“同类案不同罚”的情形屡见不鲜。
为进一步衔接细化《数据安全法》相关罚则规定,构建行业数据安全行政处罚职权体系,统一数据安全行政处罚尺度,指导行业监管部门开展数据安全行政处罚工作,有效提升数据安全监管执法能力,工信部出台了《工信部出台工业和信息化领域数据安全行政处罚裁量指引(试行)征求意见稿)》(下文简称《裁量指引(征求意见稿)》)。《裁量指引(征求意见稿)》细化了违反数据安全保障义务的行为类型和对应的法律责任。
01
立法逻辑
1.违法性
《数据安全法》第四章中规定的数据安全保障义务是行为义务,即行政相对人未履行义务便已构成违法。《工业和信息化领域数据安全管理办法》(下文简称《管理办法》)细化了《数据安全法》的行为义务。
具体包括:(1)确定数据分类分级管理、重要数据识别与备案相关要求;(2)针对不同级别的数据全生命周期,提出相应安全管理和保护要求;(3)规定数据处理者的数据安全监测、预警以及数据安全事件处置等;(4)重要数据处理者每年开展一次风险评估,及时整改风险问题等。
《裁量指引(征求意见稿)》参照《数据安全法》、《管理办法》规定,将(1)不履行数据安全保护义务、(2)非法向境外提供数据、(3)不配合监管作为数据安全违法行为的触发条件。
2.法律责任
《数据安全法》第六章中规定了不履行数据安全保护义务的法律责任,处罚种类主要包括警告、罚款、责令暂停相关业务、停业整顿、吊销相关业务许可证、吊销营业执照,同时可对直接负责的主管人员和其他直接责任人员处以罚款等。
对于因未履行数据安全保障义务引发数据安全事件或存在较大可能引发数据安全事件的危害后果作为法定处罚的升格条件。《裁量指引(征求意见稿)》通过数据级别和数量、公共利益损害时间、直接经济损失、影响范围加以量化,并根据违反数据安全保护义务所产生的危害结果分为“较轻”、“较重”、“严重”三种情形。
3. 行政处罚裁量权适用规则及案例分析
《裁量指引(征求意见稿)》根据企业的违法性和法律责任对各项行政处罚的适用条件进行细化,明确了不予处罚、减轻处罚、从轻处罚和从重处罚四种行政处罚裁量权适用规则。
从已公开的32件数据安全领域的行政处罚典型案例分析,28例公布了所采取的行政处罚种类。其中4例执法机关作出不予处罚的决定,责令企业限期整改;12例被给予警告,并责令限期改正的行政处罚;共10例被处罚款,并责令限期改正的行政处罚,罚金主要集中在1万至10万元之间;有2例数据安全事件对社会和国家造成极大危害,行政机关对其处高额罚款,责令暂停相关业务等,或对相关人员涉嫌刑事犯罪的,依法追究刑事责任。
进一步归纳可以发现:
(1)不予处罚主要适用于虽未采取数据安全保障措施,但未造成实质性危害后果且企业及时完成整改的情形;
(2)处警告或罚款主要适用于造成数据泄露或存在较大泄露风险的违法行为;
(3)高额罚款并处以其他处罚主要适用于违反国家重要数据、核心数据管理制度,危害国家安全或造成严重后果的违法行为,罚款上限可高达1000万元。
02
执法动向
工信部已经先后出台了《工业和信息化部行政执法项目清单(2022年版)》、《工业和信息化行政处罚程序规定》和《裁量指引(征求意见稿)》等规范性文件,不断完善工信部的行政执法程序、提升行政执法能力。上述立法动向对外界释放了两点信号:
工信部依据执法类型构建了行政执法程序和行政处罚种类,监管模式或从专项整治向常态化监管的方向转变;
在常态化监管的背景下,工信部将坚持“边检查、边整改、边处置”的理念,要求企业发现问题及时纠正,达到 “以查促合规”的目的。
对于企业来讲,《裁量指引(征求意见稿)》已经明晰数据处理者的合规边界,有助于推动企业落地数据合规体系。
03
企业合规建议
根据以上监管动向,企业应在不同环节加强安全意识和合规水平。
在行政检查前:
(1)了解工业和信息化领域数据安全管理的执法重点和执法依据,构建企业在数据处理活动中应当遵守的安全保障机制,规范企业的数据处理行为,防范数据安全风险,包括制定和更新数据安全政策、进行内部审计和风险评估、开展员工培训、部署技术防护措施、定期开展应急响应演练等;
(2)提前知晓可能面临的行政处罚裁量幅度和标准,使企业在数据处理活动中有法可依、有法必依,促进企业依法合规经营,提升企业的信誉和竞争力。
在行政检查过程中:
(1)企业应当建立常态化迎检机制,积极配合检查,进对行政检查人员提供必要的协助和便利,确保检查顺利进行;
(2)与检查人员保持良好的沟通,对于任何疑问和要求及时响应和解释,以免因不配合监管而被行政处罚。
在行政检查结束后:
(1)检查中发现的问题进行整改,并根据反馈优化数据安全管理和操作流程;
(2)记录整个检查过程和后续的整改措施,必要时向相关部门报告进展和结果,以备行政机关复查整改落实情况;若复查仍存在上述问题,则可能因未及时整改而被行政处罚。
作者:冯天元,赛博研究院实习研究员
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...