2023年10月16日,新疆维吾尔自治区发布《网络安全管理行政处罚裁量权基准适用规定》(以下简称“《规定》”)以及《网络安全管理行政处罚裁量权基准》(以下简称“《基准》”),适用于在新疆维吾尔自治区行政区域内对违反网络安全管理法律、法规或规章的行为实施行政处罚,以规范网络安全管理的行政处罚裁量行为。
《规定》第5条明确行政处罚实行属地管辖。网信部门依职权管辖网络信息内容、网络安全、数据安全、个人信息保护等行政处罚案件。公安机关依职权管辖危害公共信息网络的违法犯罪案件。
同时,此次《基准》共列举了24项违法行为的处罚依据及裁量基准,其中大部分采取“轻微违法行为-一般违法行为-严重违法行为”的划分方式分别对适用情形与处罚后果予以明确。除网络安全以外,《基准》还涉及数据安全及个人信息保护相关违法行为的具体裁量。
我们将此次《基准》中与数据安全及个人信息保护相关的重要裁量细则梳理如下:
一、 处理个人信息未履行个人信息保护义务
《基准》专门就《网络安全法》第64条侵害个人信息权利有关规定以及《个人信息保护法》第66条法律责任规定明确了行政处罚的裁量基准,将违法行为划分为四档:
《个人信息保护法》第66条采取双罚制,在对个人信息处理者进行处罚的同时,亦对直接负责的主管人员和其他直接责任人员进行处罚。对此,《基准》明确了如下内容:
·轻微违法行为不触发对个人信息处理者的罚款处罚,但触发对直接负责人的主管人员和其他责任人员的罚款处罚。
·从一般违法行为开始触发个人信息处理者的罚款处罚,罚款梯度划分为0-30万-70万-5000万元或上一年度营业额的5%。
·从轻微违法行为开始触发直接负责人的主管人员和其他责任人员的罚款处罚,罚款梯度划分为1-3万-7万-10万-100万元。
值得注意的是,《基准》并未就《个人信息保护法》第66条中对直接负责人的主管人员和其他责任人员的禁业处罚作出进一步明确。
二、非法获取、出售、向他人提供个人信息
《基准》对《网络安全法》第44条“不得非法获取、出售或向他人提供个人信息”及罚则进行了明确。在划分“轻微-一般-严重”时,《基准》主要通过非法获取、出售或提供个人信息的条数加以确定。
值得注意的是,《基准》中可能影响人身、财产安全的敏感个人信息的处罚条数门槛显著低于一般个人信息,其中非法获取、出售或提供行踪轨迹信息、通信内容、征信信息、财产信息达到15-30条即构成“一般违法行为”并可能触发30万-70万元罚款。同时,出售或提供不论条数的行踪轨迹信息被他人用于从事非法活动的,均构成“严重违法行为”并可能触发70万-100万元罚款。
三、 未履行数据安全保护义务
数据安全保护义务主要规定于《数据安全法》第27条、第29条及第30条,主要涉及数据安全管理制度、安全措施及风险预防与处置措施,以及重要数据处理者的数据安全组织保障及风险评估要求。今年全国各地已陆续出现对于小规模企业未履行数据安全保护义务的行政处罚,执法趋势较为活跃。在此次《基准》中,未履行数据安全保护义务的“轻微违法行为”是指“初次违反规定,且未导致危害网络安全等后果”,此时将触发数额上限低于《数据安全法》第45条罚则中的罚款,最高为15万元;而触发第45条罚则中最高幅度罚款的“严重违法行为”,则需满足“多次发现”“拒不改正”或“造成严重后果”等条件。
四、从事危害网络安全活动
《网络安全法》第27条规定,任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动。对此,《基准》特别关注对“支付结算、证券交易、期货交易等网络金融服务的身份认证信息“的非法获取,获取三组以上不足五组即构成“一般违法行为”,对单位可处25万-50万元罚款。
