十国/地区数据保护法十大合规要点对比 | #10 数据保护监管机构与违反数据保护法的处罚规定

Original 王捷资深出海法律顾问出海互联网法律观察

2024-08-25

必读收藏

十国/地区个人信息保护法十大合规要点大比对

本文是“十国/地区数据保护法十大合规要点对比”系列的第十部分，也是最后一部分，主要是围绕数据保护监管机构与违反数据保护法的处罚规定进行解读、对比与分析。

第一部分请参见：十国/地区数据保护法十大合规要点对比 | #1 法律适用范围与域外适用效力

第二部分请参见：十国/地区数据保护法十大合规要点对比 | #2 个人信息处理规则与特别注意事项

第三部分请参见：十国/地区数据保护法十大合规要点对比 | #3 数据本地化存储要求

第四部分请参见：十国/地区数据保护法十大合规要点对比 | #4 数据跨境传输规则与要求

第五部分请参见：十国/地区数据保护法十大合规要点对比 | #5 数据主体在个人信息处理活动中的权利

第六部分请参见：十国/地区数据保护法十大合规要点对比 | #6 数据影响评估（DPIA/PIA）要求

第七部分请参见：十国/地区数据保护法十大合规要点对比 | #7 发生安全事件时数据泄露通知的要求

第八部分请参见：十国/地区数据保护法十大合规要点对比 | #8 数据保护官（DPO/个人信息保护负责人）任命要求

第九部分请参见：十国/地区数据保护法十大合规要点对比 | #9个人信息处理者的主要义务

第十部分：数据保护监管机构与违反数据保护法的处罚规定

数据保护监管机构，是指负责统筹数据保护工作、履行数据保护职责、对与个人信息与数据安全等有关事项进行监督、管理的负责部门。它有权对违反个人信息保护法律规定的数据处理活动进行调查、监督、采取措施、处理投诉/举报、对违法个人信息处理活动进行处罚等行为。

（一）我国个人信息保护法解读：

A．数据保护监管机构

1. 明确了履行数据保护职责的具体部门

首先，在本次个保法中，对履行我国个人信息保护职责的具体监管部门进行了明确，主要包括：

中央层面：国家网信部门

我国个保法明确了国家网信部门是负责统筹协调个人信息保护工作和相关监督管理工作的。可见，通过明确了中央网信办、国家网信办等国家网信部门的职能，更便于我国从统一的高度，建立一套集中、高效的个人信息保护监管体系。

中央层面：国务院有关部门

同时，明确了工业和信息化部、司法部、公安部、工商总局、中国人民银行等不同的国务院部门，在各自职权范围内，负责个人信息保护和监管工作，从而更好地照顾了不同行业、不同领域、不同部门在个人信息保护方面的差异性。

地方层面：县级以上地方人民政府有关部门

我国个保法，还从地方层面，明确了由县级以上地方人民政府有关部门，按照国家有关规定确定，履行个人信息保护和监督管理职责；从而更好地确保了个人信息保护工作在地方层面得到更为有效的落实和保障。

2. 明确了数据保护监管部门的具体职责

我国个保法明确了履行个人信息保护职责的部门的基本职责，归纳而言，包括以下职务与责任：

（1）教育：

开展个人信息保护的宣传教育；

（2）指导：

对个人信息保护工作进行指导；

（3）监督：

就个人信息保护工作进行监督；

（4）接受投诉：

接受与个人信息保护相关的投诉、举报；

（5）处理举报：

对与个人信息保护相关的投诉、举报进行处理；

（6）调查：

对违法的个人信息处理活动进行调查；

（7）处理：

发现违法的个人信息处理活动必须按法律规定进行严格处理；

（8）其他职责：

法律、行政法规规定的其他职务与责任。

3. 将评估标准与认证体系纳入到个人信息保护的服务体系建设中

我国个保法通过专门条款，明确了中央层面的数据保护部门的特殊职责，即，从了前述规定的基本职责外，国家网信部门和国务院有关部门，还应当：

制定个人信息保护的规则和标准：

不仅需要制定个人信息保护的具体规则、标准；还需要针对新技术、新应用，制定专门的个人信息保护规则、标准（例如小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等）；

支持认证技术：

对研究、开发和推广应用安全、方便的电子身份认证技术进行支持，并推进网络身份认证公共服务的建设；

支持个人信息保护评估、认证服务：

推进个人信息保护社会化服务体系的建设，并对有关机构开展个人信息保护评估、认证服务的工作给予支持；

完成投诉、举报机制：

这一点需要结合我国个保法第六十一条来看，通过明确了个人信息保护投诉、举报工作机制来进一步完善与个人信息保护有关的检举机制。

从投诉、举报主体来看，任何组织和个人都可以进行投诉、举报，而不管该主体是否与被投诉、举报的个人信息处理活动有关，这更有利于推动“个人信息保护，人人有责”的社会共同治理的氛围搭建。

从接受投诉、举报处理的部门来看，则只要是收到投诉、举报的部门，不管是中央层面的、还是地方层面的，只要是履行个人信息保护职责的部门都必须进行受理。因此，对应的数据保护监管部门不仅应当“公开接受投诉、举报的联系方式”，还应当依法进行“及时的处理”，并将处理结果“告知”投诉人、举报人。

4. 明确数据保护部门可以采取的措施

我国个保法明确了履行个人信息保护职责的部门在执法的过程中可以采取的措施，这些具体的措施包括：

（1）询问：

有权对个人信息处理活动有关的当事人进行询问，例如负责公司数据保护工作的负责人、高层管理人员、实施了侵犯个人信息行为的有关人员等；

（2）调查：

有权对与个人信息处理活动有关的情况展开具体的调查；

（3）查阅：

有权对当事人与个人信息处理活动有关的合同、记录、账簿以及其他有关资料进行查阅；

（4）复制：

有权对第（3）点提及的有关资料进行复制；

（5）实施现场检查：

有权对涉嫌违法个人信息处理活动进行现场的检查与调查；这可能意味着可能会对企业整个个人信息全生命周期的各节点进行具体的调查；

（6）检查设备、物品：

有权检查与个人信息处理活动有关的设备、物品；

（7）查封设备、物品：

对有证据证明是违法个人信息处理活动的设备、物品，有权进行查封；

（8）扣押设备、物品：

对有证据证明是违法个人信息处理活动的设备、物品，有权进行扣押。

我国个保法通过法律明确了履行个人信息保护的部门可以采取的具体措施，不仅为该等数据保护监管部门的执法行为提供了法律依据，明确了相关部门的职责范围，而且也帮助了被采取措施的行政相对人更好地了解数据保护监管部门的履责范围，在对有关部门进行有效监督的同时，亦应当予以协助、配合，不得拒绝、阻挠。

5. 明确了个人信息保护的约谈制度

我国个保法将“个人信息保护的约谈制度”进行了法定化，关于“约谈”的主要触发条件包括：

发现个人信息处理活动存在较大风险；或

发生个人信息安全事件的；

则，此时数据保护监管部门可以按照规定的权限和程序，对该个人信息处理者的法定代表人或者主要负责人进行约谈。如果不进行约谈的，则也可以要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。

而在完成约谈或完成合规审计后，该个人信息处理者应当按照要求采取对应的有效措施，对存在风险的个人信息处理活动或安全事件进行整改，从而达到有效消除个人信息隐患的目的。

如果过程中，还发现该等违法的个人信息处理活动是涉嫌犯罪的，则数据保护监管部门应当及时移送公安机关进行依法处理。

B．违反数据保护的处罚规定

1. 明确了违反个人信息保护规定的法律责任

行政责任

我国个保法借鉴了欧盟 GDPR中2000万欧元或者是上一年度全球营收的4% （两者取其高）的高额罚款规定，也对违反个保法规定处理个人信息，或者处理个人信息未履行个保法规定的个人信息保护义务的行为，设置了高额处罚规定，具体而言，处罚措施包括：

（a）责令改正

（b）给予警告

（c）没收违法所得

（d）对违法处理个人信息的应用程序，责令暂停或者终止提供服务；

（e）处以罚款：

在拒不改正的情况下，可以处以罚款，就罚款金额来说，区分一般情节和严重情节，具体而言，包括：

民事责任

民事责任明确了个人信息违法的过错推定原则。

这可能是作为个人信息处理者的企业、组织最值得关注的规定之一。我国个保法明确了个人信息民事侵权赔偿适用的是“过错推定原则”，这意味着“由于处理个人信息而侵害了个人信息权益并造成损害的，推定行为人有过错,如果行为人不能证明自己没有过错的,则应当承担损害赔偿的侵权责任”。

因此，对于作为个人信息处理者的企业、组织来说，过错推定原则的适用要求企业、组织在处理个人信息时候，需要高度、时刻注意如何证明自己是已经

（1） “严格制定了”企业内部的个人信息保护制度；

（2）并“严格地遵守和履行了”该等个人信息保护制度；

（3）并对该等个人信息的整体合规程进行了有效的“记录和留存证明”

从而更好地完成了“自证合规+合规留痕”的整套合规动作。

而对于损害赔偿损失的确定，则以“可证明损失或获益的，以具体损失或获益承担赔偿责任；难以计算损失或获益的，根据实际情况确定”作为计算赔偿额的原则。

治安管理处罚责任与刑事责任

我国个保法通过“违反本法规定，构成违反治安管理行为的，依法给予治安管理处罚；构成犯罪的，依法追究刑事责任”的规定，明确就个人信息违法行为可能引发的治安管理处罚责任与刑事责任进行了明确的划分。

信用惩戒责任

本次个保法还特别规定了“对违反个人信息保护规定的主体施以信信用惩戒制度”，明确了会将作为个人信息处理者的企业、组织的违反个人信息保护规定的违法行为，记入信用档案，并予以公示，以达到提高了个人信息违法成本，起到社会警示作用的目的。

2. 明确国家机关不履行个人信息保护义务法律责任

国家机关不履行个保法关于个人信息保护义务的规定，需要承担对应的法律责任，包括：

由其上级机关或者履行个人信息保护职责的部门责令改正；

对直接负责的主管人员和其他直接责任人员依法给予处分；

履行个人信息保护职责的部门的工作人员玩忽职守、滥用职权、徇私舞弊，尚不构成犯罪的，依法给予处分。

3. 明确了个人信息的公益诉讼制度

公益诉讼制度，一般在侵害众多消费者合法权利等损害社会公共利益的情况下发生并提起。而本次个保法特别明确了与“侵犯个人信息”相关的公益诉讼制度。

触发条件

可以提起个人信息公益诉讼的触发条件是：“违反个保法的规定” + “侵害众多个人的权益的行为”，该等行为被认为是民事诉讼法中规定的“损害社会公共利益的行为”，因此可以提起个人信息公益诉讼。

起诉主体

起诉主体主要包括：

（a）人民检察院；

（b）法律规定的消费者组织；

（c）由国家网信部门确定的组织。

司法实践中，人民检察院和消费者保护协会为保护大多数消费者主体的公共利益，也经常作为公益诉讼的起诉主体，在接下来的个人信息保护中，也将可以作为公益起诉主体以更好地维护了大多数公众的个人信息主体权益。

（二）海外主要个人信息保护法律对比：

总体来说

已有较多国家成立了独立的数据保护执法机构，在各国的数据保护工作中，数据保护监管机构承担着非常重要的责任，是一国数据保护立法是否可以得到有效的推动、落实与执行的关键环节，在设有独立的数据保护监管机构的国家中，数据保护监管机构不仅可以围绕数据保护工作进行制度、政策、指南等规定；也可以对数据保护工作进行指导、监督；更可以对违法个人信息处理活动进行检查、调查、采取措施、作出处罚，以从统一、集中的高度构建一套有效的国家层面的个人信息保护的治理体系，从而更好地推动个人信息保护的系统建设，保障每个公民的个人信息权利与权益。

作者介绍

王捷

执业律师，垦丁W&W国际法律团队创始人，联合国世界丝绸之路委员会专家，广东省法学会信息通讯法学研究会理事，荷兰RuG国际经济法与商法硕士，专注于网络法领域的研究和实务，特别是互联网产品合规、出海合规以及全球数据保护与个人信息保护合规，已为多家知名互联网公司及大中型外资企业提供专业法律服务，覆盖智能终端制造、IOT、人工智能、云计算与服务、社交网络平台、移动互联网、电子商务及平台、短视频视听直播、网络游戏、以及个人信息保护、数据安全等行业领域。

王捷律师曾在阿里巴巴大文娱集团、国际律所与海外仲裁委员会工作，拥有10年的科技型公司实务经验与中外律所从业背景，深耕海内外多条业务线。专业能力模块包括产品风险管控、业务流程搭建、风险分析评估、数据保护与合规、纠纷案件处理、竞对攻防布局、政府监管合规、海外公司治理、投资项目管理等。她能更准确理解客户核心需求，快速响应并提供基础到战略的有效支持，并为各类出海互联网企业拓展印度、东南亚、中东、非洲、欧美等新兴及重要市场提供有效的合规解决方案与落地支持。

同时为出海互联网法律观察公众号主理人，合著《互联网全球数据合规法律观察报告》，并输出多篇专业互联网与数据合规文章，部分文章刊登于威科先行专业数据库中。

联系方式：

夏律

垦丁律师事务所W&W国际法律团队律师助理。

协助全球数据合规资讯周刊编写，追踪各国数据合规执法状况。

互联网出海法律实务群

为您提供独家出海资讯、最新信息动态

与同行们一起交流时事热点、分享经典案例

尽享互联网出海法律干货

快添加主理人微信（jie-72）加入我们吧！

近期更新：

越南发布新跨境广告法令下的跨境广告服务商的合规要求

大数据杀熟-互联网法律人的周末私享会