工信数据安全行罚如何定?裁量指引拟定超1亿条一般数据泄露属后果严重情节
21世纪经济报道 记者郑雪 北京报道
11月23日,工信部官网公布《工业和信息化领域数据安全行政处罚裁量指引(试行)(征求意见稿)》(以下简称《裁量指引》)并向公众公开征求意见。
《裁量指引》明确行政处罚由违法行为发生地管辖、一事不再罚等要求。同时将数据安全违法行为的危害程度分为“较轻”“较重”“严重”三类,如超过1亿条一般数据被篡改、破坏、泄露或者非法获取、非法利用,或者涉及2个以上数据处理者的重要数据、核心数据属后果严重情况,行政执法机关将结合实际情况和适用条件,作出最终裁决。
行政裁量管辖方面,一是明确管辖监督、属地管辖、移送管辖、交叉管辖等不同层级的管辖争议解决方式。《裁量指引》规定,行政处罚由违法行为发生地的行政处罚机关管辖。
二是明确住所地、网络接入地等数据安全违法行为发生地范畴。具体来看,违法行为发生地包括实施违法行为的住所地、实际经营地、工商注册地(工商注册地与实际经营地不一致的,应按实际经营地),网络接入地等。同时规定,对两个及以上行政处罚机关对同一违法行为均有管辖权的,应该由最先立案的行政处罚机关管辖。
三是明确一事不再罚等要求。其中,对工业和信息化领域数据处理者的同一个数据安全违法行为,不得给予两次以上罚款的行政处罚。
哪些情况会触发行政处罚?《裁量指引》给出两类大的情况:一是数据安全行政处罚情形方面,以《数据安全法》为基准,《裁量指引》提出不履行数据安全保护义务、向境外非法提供数据、不配合监管等三类违法行为触发条件。其中不履行数据安全保护义务方面,包含未定期梳理数据,按照相关标准规范识别重要数据和核心数据并形成本单位具体目录;未建立数据全生命周期安全管理制度等情形。
二是综合涉及数据级别和数量、公共利益损害时间、直接经济损失、影响范围等因素,对数据安全违法行为的危害程度划分为“较轻”“较重”“严重”等情节。其中,数据级别和数量划定上,参考1000万条以下、1000万条-1亿条、超1亿条的一般数据标准;参考2个以上数据处理者的重要数据、核心数据标准。直接经济损失的基准线为1000万元以内、1000万元-5000万元、超5000万元。
根据《裁量指引》,1000万条以下一般数据被篡改、破坏、泄露或者非法获取、非法利用;对公民、法人和组织合法权益、社会公共利益造成损害的持续时间较短,或直接经济损失在1000万元以内,属后果较轻情节。
超过1000万条一般数据被篡改、破坏、泄露或者非法获取、非法利用;或者涉及重要数据、核心数据的;对公民、法人和组织合法权益、社会公共利益造成损害的持续时间较长,或直接经济损失超过1000万元且在5000万元以内的,属后果较重情节。
超过1亿条一般数据被篡改、破坏、泄露或者非法获取、非法利用;或者涉及2个以上数据处理者的重要数据、核心数据的;对公民、法人和组织合法权益、社会公共利益造成损害的持续时间较长,或直接经济损失超过5000万元的,属后果严重情节。
《裁量指引》亦规定了其他符合“较轻”“较重”“严重”情节的情况。
行政处罚裁量权适用规则方面,《裁量指引》明确不予处罚、从轻或减轻处罚、从重处罚的适用范围和具体内容。
在不同裁量阶次罚款数额方面,从轻或减轻处罚的罚款数额,应当为从最低限到不超过最高限70%的这一部分,且从轻处罚后的罚款数额不得低于法定最低罚款数额;从重处罚上,罚款数额应当从最低限的2倍到最高限这一部分。
值得注意的是,《工业和信息化领域数据安全行政处罚裁量基准》(以下简称《裁量基准》)也随此次《裁量指引》一同公开。各级行政处罚机关应当依据《裁量基准》确定的行政处罚种类和幅度实施行政处罚。
《裁量基准》明确不予处罚、从轻处罚、减轻处罚、从重处罚四个裁量阶次;综合考虑危害程度等因素,细化各项行政处罚的适用条件;细化处罚标准,提出给予违法主体罚款数额等差异化处罚幅度裁量参考。行政执法机关可结合相关适用条件、根据《数据安全法》等具体条款,对相关主体作出不予处罚、从轻处罚、减轻处罚、从重处罚的决定,具体的处罚手段则包括责令改正、给予警告、罚款、暂停相关业务等。
据介绍,《裁量指引》由正文及附件裁量基准组成。其中,正文共五章二十六条,附件共十四条,主要内容分为总则、行政裁量管辖、行政处罚情形、行政处罚裁量权适用规则、行政处罚裁量基准(附件)五部分。