阳江市

例如，把乘坐飞机和G字头动车、在星级以上宾馆酒店住宿、旅游度假等已经愈来愈多地成为普通人民生活之一部分的行动方式，都不分具体情境地一律归为高消费，并予以限制，超出了固定保全大额财产的本意，实际上转变成行动方便的限制，属于不当联结。

第二类以英国和加拿大为代表，事中审查与事后审查发挥同等作用，均为对话式审查体制的重要环节。其《司法部法》第4.2条规定了宪章声明制度，要求司法部长在将法案引入联邦议会任何一院之前出具一份声明，阐述法案对受到1982年宪章保护的权利和自由的潜在影响，以使相关问题能够引起议员和社会公众的注意。

这就要求各相关主体在规范制定过程中的博弈不能以违反宪法为代价。在审议阶段，需要根据法律规范的不同类型采取不同的审查步骤。（三）双重审查标准之完善 根据党和国家加强宪法实施和监督的基本要求，我国法律规范的制定过程既是积极的宪法实施过程，规范制定主体要在分析相关事实的基础上选择合理的规制手段，也是消极的宪法实施过程，规范制定主体还要确保规范本身没有超出宪法许可的范围。其次，从规范层面看，虽然我国《宪法》和相关法律没有明确规定规范制定主体开展事中审查的职责，但它已经存在于《宪法》和《立法法》关于规范制定工作的基本要求之中。功能性审查报告形成之后，交由全国人大宪法和法律委员会作后续处理。

而在事中审查阶段，它主要表现为审查结论对规范制定过程的影响，不涉及此过程之外的其他机关或公民，相对容易界定，可以将其归入关于审查程序的讨论。在审议阶段，综合性审查主体是与法律案相关的、宪法和法律委员会之外的全国人大其他专门委员会，它们主要从政策性和技术性角度审查立法能否实现预定目标。三、怎么罚：情节认定与措施匹配 《网络安全法》第六章、《数据安全法》第六章以及GDPR第83条均针对不同违法行为设置不同处罚。

2017年两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第5-6条就《刑法》第253条之一规定的侵犯公民个人信息罪列出情节严重和特别严重的数种情形。这些本土和域外规范在认定个人信息处理违法情节严重时主要考虑三类因素：一是违法行为，包括主观过错程度、是否滥用职权、持续时长、是否将个人信息用于非法活动、侵害个人信息的性质和数量、侵害个人信息主体的身份和数量。三是违法后果，包括是否获取经济利益、是否造成严重私益或公益损害。不履行配合义务可依《治安管理处罚法》第50条处罚。

《个人信息保护法》有两点安排：其一，第60条将履行个人信息保护职责的部门限定于县级以上至中央政府有关部门，意味着乡镇政府部门不负有个人信息保护职责，亦无此领域的行政处罚权。[25]根据《行政处罚法》第33条第1款，若个人信息处理行为符合该当性构成违法，但因情节轻微、及时改正且无危害后果，实质上没有损害法律所保护的利益，即构成违法阻却事由，不予处罚。

阻挠公安机关、国家安全机关依法调查的，可依《数据安全法》第35条处罚。相较于《全国人民代表大会常务委员会关于维护互联网安全的决定》第4条、《消费者权益保护法》第56条、《网络安全法》第64条等先期规范，《个人信息保护法》第66条有了质的突破。地域管辖冲突以多元地域管辖联结点等规则来协调。关于责任能力，《行政处罚法》第30、31条规定不满十四周岁的未成年人以及精神病人、智力残疾人在不能辨认或控制自己行为时违法的，不予处罚。

[4]《网络招聘服务管理规定》第21条、36条。GDPR第83条的罚则包含双层结构：以1或2千万欧元为上限的罚款适用于所有处罚对象，以上一财政年度全球总营业额（total worldwide annual turnover of the preceding financial year）2%或4%为上限的罚款则只适用于经济实体（undertaking）。[21]龙卫球主编：《中华人民共和国个人信息保护法释义》，中国法制出版社2021年版，第309页。拒不改正的，由网信部门处100万元以下罚款。

[24]陈兴良：《违法性的中国语境》，载《清华法学》2015年第4期，第19页。文章来源：《行政法学研究》2022年第4期。

关键词:  个人信息保护法 行政处罚 管辖协调 处罚对象与行为 过罚相适 《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）第66条对个人信息保护领域的行政处罚制度作出规定。这属于不当得利返还，同样不适用过错推定原则，可作为监管部门责令改正决定的内容。

事实上，由于个人信息的泛在性，大量部门皆负有个人信息保护职责。再次，通过管辖协商和指定管辖解决管辖争议。以下从处罚对象和处罚行为两方面阐述《个人信息保护法》第66条确立的构成要件。这意味着雇员在单位授权范围内按指示处理个人信息，雇员并非个人信息处理者或个人信息处理受托人，出现违法行为由作为个人信息处理者的组织受罚，但雇员仍要连带受罚。限于篇幅，在两重意义上，这种分析是初步的。这不仅更符合过罚相适原则，而且切实可行，因为《个人信息保护法》第66条并未像GDPR第83条那样明文规定全球营业额，但规定在没收违法所得的基础上并处营业额一定比例的罚款，说明罚款之前必须先确定违法行为相关服务或市场，否则无法认定违法所得。

[27]参见夏雨：《责令改正之行为性质研究》，载《行政法学研究》2013年第3期，第40-42页。也可以直接由共同的上一级行政机关指定管辖。

其次，以立案时间先后来初步确定地域管辖权归属。然而，既有研究或聚焦网络安全领域的行政处罚，[1]或论证对严重个人信息侵权行为处以高额罚款的必要性与可行性，[2]或介绍欧美个人信息保护领域的处罚制度。

其中，违法主体地域管辖联结点包括实施违法行为主体的身份所在地（如信息服务许可地、网站备案地、工商登记地、身份证登记地、户籍所在地）、活动所在地（如主营业地、主要办事机构所在地、实际经营地、经常居住地）。一是规定公权机构免予行政罚款，如奥地利、比利时、克罗地亚、芬兰、德国、列支敦士登等。

结合以上分析，可将《个人信息保护法》第66条规定的三种违法情节细化扩展至五种：情节轻微，即行为符合个人信息保护领域应受处罚行为三阶层构成要件，但具有主观状态属于过失、侵害个人信息或个人信息主体数量较少、没有违法所得等情形。针对严重情节，第66条第2款规定对单位的处罚包括没收违法所得，并处下限为100万、上限为5000万或上一年度营业额5%的罚款，并可以责令暂停相关业务或停业整顿、通报有关主管部门吊销业务许可或营业执照。基于新法优于旧法的原理，《个人信息保护法》生效后，处罚侵害个人信息权益的行为应适用其第66条，即不管有无违法所得，也无论是否没收违法所得，拒不改正的，一律处以罚款。事实上，网络治理领域的规范不仅早已突破违法行为发生地的传统界定，而且比既有研究提供了更为丰富的地域管辖联结点。

针对一般情节，第66条第1款第一分句设定了警告、没收违法所得、责令暂停或终止违法处理个人信息的应用程序服务三种处罚。因此，有必要进一步探讨该条中的违法情节和匹配措施，为精准判定罚多重提供标准。

[2]参见孙莹：《大规模侵害个人信息高额罚款研究》，载《中国法学》2020年第5期，第106-126页。个人独资企业据《民法典》第102条属于非法人组织，《行政处罚法》第2条将非法人组织定为处罚对象，故双罚制，处罚企业的同时还可处罚设立企业的自然人。

广度上，其打击对象不再限于侵害他人电子邮件等数据资料行为，保护对象亦不再限于消费者，而是涵盖所有违法处理个人信息行为和个人信息主体。网络运营者阻挠检查的，可依《网络安全法》第69条处罚。

《网络安全法》《数据安全法》对个人信息保护领域处罚机关的行政层级没有规定。诚然，《个人信息保护法》第66条区分两种受罚行为在立法技术上值得商榷，统一表述为处理个人信息违反本法规定本可更加简明。[10]参见王锡锌：《网络交易监管的管辖权配置研究》，载《东方法学》2018年第1期，第153-155页。其一，个人独立受罚，即自然人作为个人信息处理者或个人信息处理受托人违法而受罚。

这就如同《个人信息保护法》第69条对个人信息侵权损害赔偿责任也设定了过错推定原则，但并不适用于作为人格权的个人信息权益之绝对权保护请求权——即便侵害个人信息权益者毫无过错，也应停止侵害、排除妨碍或消除危险。深度上，其新增责任人员从业禁止和高额罚款等处罚措施，强化违法威慑。

此外还有两个问题值得进一步分析。根据《个人信息保护法》第66条，可由网信部门警告、没收违法所得，对违法处理个人信息的应用程序责令暂停或终止服务，拒不改正的并处100万元以下罚款。

具体包括违法主体、违法行为和受害主体三类。二者如何区分？一种解释认为前者指向违反《个人信息保护法》第二章个人信息处理规则的处理活动，后者指向违反第五章个人信息处理者的义务的行为。