解读 | 《工业和信息化领域数据安全行政处罚裁量指引（试行）》 - 新鲜讯息

近年来，网信办、工信部等行政执法机构公开的以《数据安全法》为行政处罚依据的典型案例已逾30起。然而，执法机关对此类案件的处罚标准缺乏统一尺度，特别是涉及企业数据安全问题的“同类案不同罚”的情形屡见不鲜。

为进一步衔接细化《数据安全法》相关罚则规定，构建行业数据安全行政处罚职权体系，统一数据安全行政处罚尺度，指导行业监管部门开展数据安全行政处罚工作，有效提升数据安全监管执法能力，工信部出台了《工信部出台工业和信息化领域数据安全行政处罚裁量指引（试行）征求意见稿）》（下文简称《裁量指引（征求意见稿）》）。《裁量指引（征求意见稿）》细化了违反数据安全保障义务的行为类型和对应的法律责任。

立法逻辑

1.违法性

《数据安全法》第四章中规定的数据安全保障义务是行为义务，即行政相对人未履行义务便已构成违法。《工业和信息化领域数据安全管理办法》（下文简称《管理办法》）细化了《数据安全法》的行为义务。

具体包括：（1）确定数据分类分级管理、重要数据识别与备案相关要求；（2）针对不同级别的数据全生命周期，提出相应安全管理和保护要求；（3）规定数据处理者的数据安全监测、预警以及数据安全事件处置等；（4）重要数据处理者每年开展一次风险评估，及时整改风险问题等。

《裁量指引（征求意见稿）》参照《数据安全法》、《管理办法》规定，将（1）不履行数据安全保护义务、（2）非法向境外提供数据、（3）不配合监管作为数据安全违法行为的触发条件。

2.法律责任

《数据安全法》第六章中规定了不履行数据安全保护义务的法律责任，处罚种类主要包括警告、罚款、责令暂停相关业务、停业整顿、吊销相关业务许可证、吊销营业执照，同时可对直接负责的主管人员和其他直接责任人员处以罚款等。

对于因未履行数据安全保障义务引发数据安全事件或存在较大可能引发数据安全事件的危害后果作为法定处罚的升格条件。《裁量指引（征求意见稿）》通过数据级别和数量、公共利益损害时间、直接经济损失、影响范围加以量化，并根据违反数据安全保护义务所产生的危害结果分为“较轻”、“较重”、“严重”三种情形。

3. 行政处罚裁量权适用规则及案例分析

《裁量指引（征求意见稿）》根据企业的违法性和法律责任对各项行政处罚的适用条件进行细化，明确了不予处罚、减轻处罚、从轻处罚和从重处罚四种行政处罚裁量权适用规则。

从已公开的32件数据安全领域的行政处罚典型案例分析，28例公布了所采取的行政处罚种类。其中4例执法机关作出不予处罚的决定，责令企业限期整改；12例被给予警告，并责令限期改正的行政处罚；共10例被处罚款，并责令限期改正的行政处罚，罚金主要集中在1万至10万元之间；有2例数据安全事件对社会和国家造成极大危害，行政机关对其处高额罚款，责令暂停相关业务等，或对相关人员涉嫌刑事犯罪的，依法追究刑事责任。

进一步归纳可以发现：

（1）不予处罚主要适用于虽未采取数据安全保障措施，但未造成实质性危害后果且企业及时完成整改的情形；

（2）处警告或罚款主要适用于造成数据泄露或存在较大泄露风险的违法行为；

（3）高额罚款并处以其他处罚主要适用于违反国家重要数据、核心数据管理制度，危害国家安全或造成严重后果的违法行为，罚款上限可高达1000万元。

执法动向

工信部已经先后出台了《工业和信息化部行政执法项目清单（2022年版）》、《工业和信息化行政处罚程序规定》和《裁量指引（征求意见稿）》等规范性文件，不断完善工信部的行政执法程序、提升行政执法能力。上述立法动向对外界释放了两点信号：