罚一劝百——网络与数据的规与罚

2021年，对于互联网及数据行业而言，在某种意义上，确实是里程碑式的一年。在《网络安全法》（以下简称“《网安法》”）正式实施4年后，《数据安全法》（以下简称“《数安法》”）和《个人信息保护法》（以下简称“《个保法》”）相继在各方的“殷切期望”中落地，对企业在网络安全、个人信息保护以及数据安全利用提出了更高的合规要求。但，一些企业似乎并不以为然，因为这类“违规”的成本貌似不大，即便有企业遭遇监管，也多以约谈、整改作为“象征性处罚”。对企业而言，既无经济上的损失，运营上的过多限制，更对“负责人”几无实质影响，那么，一些呼天喊地满口要做合规的人，似乎真有些杞人忧天了。

然而，在滴滴APP被要求下架、后续又被实施“网络安全审查”后，美团又因“二选一”被处以高达34亿人民币的巨额罚款，接踵而至的是各大APP因违反个人信息保护等义务，被通报甚至下架，全国各地如火如荼的开展“净网行动”，约谈、整改、处罚了一批又一批存在合规问题的企业及其负责人，即便是合规嗅觉不那么灵敏的人，也明显嗅到了“山雨欲来风满楼”的监管态势。虽然美团被处罚的依据是《反垄断法》，但这种以销售额百分比处罚的方式，也不禁让我们联想到，似乎同类的处罚方式也出现在了《个保法》的规定中，而再通览相关合规要求时更发现，“罚款”似乎是网络安全和数据保护中最为常见的处罚类型，可见“王谢堂前”不缺“燕”，一旦监管下定决心，数据合规领域的罚款“飞入寻常百姓家”那只是时间问题了。

考虑到《网安法》、《数安法》和《个保法》三驾马车统领的合规要求较为分散，难以让人形成系统的“风险意识”，本文将仅针对散见于法条中的“罚款”处罚，以由重至轻为序，将与处罚对应的合规要求进行归纳，以便读者能有效获得“风险数据”，从而更好的结合自身状况做好合规和成本的平衡。

“罚款”金额上限天梯

第一梯队：5/5/10

 1.违规处理个人信息或未履行个保义务，按5000万或年营收5%罚款

根据《个保法》第六十六条规定：违反本法规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务的，情节严重的，由省级以上履行个人信息保护职责的部门没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款。

我们理解，这里的“违反规定处理个人信息”以及“未履行个人信息保护义务”的情形，是涵盖了《个保法》规定的各项义务，如行政机关在判断上认为该情形构成“情节严重”的，则可能按照该标准处罚。这里按照营业额5%以下的罚款方式就类似《反垄断法》中依照销售额10%以下处罚的规定，只是，《个保法》中定额处罚“5000万以下”的标准，显然大幅拉高了赔偿的上限。因此，个人信息保护的重要性将不言而喻。

2.与个人信息及安全审查相关的“10倍”罚款

“10倍”罚款主要出现在了《网安法》的规定中，其中包括以下三类情形：

(1)侵害个人信息依法得到保护的权利的，按违法所得10倍

《网安法》第六十四条第一款规定，网络运营者、网络产品或者服务的提供者侵害个人信息依法得到保护的权利的，由有关主管部门责令改正，可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款。其中，有关“侵害个人信息依法得到保护的权利”之情形，主要包括以下几项：

a)网络产品、服务具有收集用户信息功能的，其提供者未向用户明示并取得同意；

b)网络运营者收集、使用个人信息，未能遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意；

c)收集与其提供的服务无关的个人信息，或违反法律、行政法规的规定和双方的约定处理个人信息；

d)泄露、篡改、毁损其收集的个人信息；

e)未经被收集者同意向他人提供个人信息；

f)网络运营者未能采取确保其收集的个人信息安全，防止信息泄露、毁损、丢失的技术措施和其他必要措施；

g)网络运营者未能在发生或者可能发生个人信息泄露、毁损、丢失的情况时，立即采取补救措施，并按照规定及时告知用户并向有关主管部门报告；

h)网络运营者未能取措施按照个人要求删除或者更正其个人信息。[1]

(2)非法获取、出售，提供个人信息，按违法所得10倍

《网安法》第六十四条第二款规定，窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息，尚不构成犯罪的，由公安机关没收违法所得，并处违法所得一倍以上十倍以下罚款。

(3)CIIO采购、使用未通过安全审查网络产品或服务，按采购金额10倍

《网安法》第六十五规定：关键信息基础设施的运营者（CIIO）使用未经安全审查或者安全审查未通过的网络产品或者服务的，由有关主管部门责令停止使用，处采购金额一倍以上十倍以下罚款。

同时，《关键信息基础设施安全保护条例》（以下简称“《关保条例》”）第四十一条亦规定：运营者采购可能影响国家安全的网络产品和服务，未按照国家网络安全规定进行安全审查的，由国家网信部门等有关主管部门依据职责责令改正，处采购金额1倍以上10倍以下罚款。

第二梯队：1000万

1000万级别的罚款，主要出现在了《数安法》中，包括“违反国家核心数据管理制度，危害国家利益”，以及“违反重要数据出境合规要求且情节严重”两种情形：

1)《数安法》第四十五条第二款规定：违反国家核心数据管理制度，危害国家主权、安全和发展利益的，由有关主管部门处二百万元以上一千万元以下罚款，并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照；构成犯罪的，依法追究刑事责任。

2)《数安法》第四十六条规定：违反本法第三十一条规定，违反网安法及其他法律规定的重要数据出境合规要求，情节严重的，处一百万元以上一千万元以下罚款。

从近阶段的监管方向看，重要数据的出境合规，相较而言会是更为常见的合规要求。对于大型平台或企业而言，1000万的罚款金额也并不是可以“忽视”的损失，对中小规模的企业而言，更可能是致命打击。从目前的合规要求来看，虽然有关CIIO的认定还在逐步推进中，重要数据的出境细则也尚处在落地过程中，但显然并不是遥遥无期；同时，随着重要数据的逐步落地，国家核心数据的具体范围和管理制度必将同步加速明确和完善，很多企业早已未雨绸缪地开展相关合规评估工作，以避免在合规落地后猝不及防地遭受处罚风险。

第三梯队：500万

500万档的罚款，主要见于《数安法》规定的违规向外国司法、执法机构提供数据的情形，造成严重后果的情况下，处罚上限将提高至500万元。

这一合规要求对跨国企业而言尤其需要关注，在境外司法或执法机构要求境外母公司或控制人提供数据时，如果涉及境内子公司相关数据的，应当特别注意对该合规要求的审查，以避免因违反该合规要求而产生不必要的罚款损失。

第四梯队：200万

200万的罚款只有一档，及《数安法》规定的“违反数据安全保护义务且造成严重后果”的情形。但正如第一梯队中的处罚情形，“数据安全保护义务”同样包括了诸多具体要求，其中包括：

1)《数安法》第二十七条规定的“安全保障义务”，包括建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施等。同时，利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度的基础上，履行上述数据安全保护义务。

2)《数安法》第二十九条规定的“风险控制措施”，包括加强风险监测、发现数据安全缺陷或漏洞等风险时的补救措施、发生数据安全事件的处置措施，以及将风险及时告知用户及向主管部门报告的义务。

3)《数安法》第三十条规定的“重要数据处理者定期风险评估义务”，具体内容包括对数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告。同时，该条还对评估报告的要素提出了具体要求。

第五梯队：100万及以下

除以上四个梯队的高额罚款外，违反网络安全和数据合规义务的罚款金额多为100万以下的罚款，对于并未形成较大危害后果的违规行为，法律主要以“警示”为主，辅以适当惩戒，以此督促企业尽快履行相应义务，避免造成更为严重的后果。由于所涉及的义务类型较多，我们将“三驾马车”下的相关合规义务和处罚金额梳理如下，以便读者了解查阅。

（点击图片可放大观看）

除罚款外，在涉及违反重要数据保护义务（如违反国家核心数据管理制度、CIIO违反数据出境义务等）或存在“拒不履行”、“情节严重”等情形时，对企业的实质性处罚往往还包括暂停或终止业务、停业整顿、吊销业务许可证以及吊销营业执照等，一旦企业的经营被动停滞，其受到的实际损失甚至可能远高于罚款。此外，违规企业还可能被记入信用档案并公示（《个保法》第六十七条、《网安法》第七十一条），该处罚亦可能对企业的运转造成长期的实质影响，需企业引起充分重视。

“负责人”的个人责任

网络安全和数据合规的行政处罚特征明显，类似于刑法中“单位犯罪”的处罚方式，往往会在追究企业违规责任的同时，一并处罚对企业负有安全管理义务的“相关负责人”，以此提醒管理人员引起重视并切实承担起保护职责。该处罚的形式往往也是以罚金形式作出，罚款的金额一般跟随企业违反合规义务的罚款天梯，处以5万元至100万元不等的相应处罚。而这里的“相关负责人”，依据法律法规的定义，通常是指“直接负责的主管人员和其他直接责任人员”。根据我们的经验和了解到的部分处罚案例看，包括但不限于DPO、法定代表人、CEO、技术负责人、法务主管等对违规行为具有主要管理权限和职责的人员，以及与违规行为具有直接关联的高访问权限相关岗位人员（直接责任人员）等，均有可能基于实际情况被同时实施罚款处罚。

另外值得进一步关注的是，除罚款外，相关负责人在企业违反部分管理义务时，还可能受到“市场禁入”的处罚。如，违反《个保法》规定处理个人信息，或者处理个人信息未履行个人信息保护义务，情节严重的，其直接负责的主管人员和其他直接责任人员将被处十万元以上一百万元以下罚款外，还可能被禁止在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。

而《网安法》第六十三条也规定：从事危害网络安全的活动，或者提供专门用于从事危害网络安全活动的程序、工具，或者为他人从事危害网络安全的活动提供技术支持、广告推广、支付结算等帮助，受到治安管理处罚的人员，五年内不得从事网络安全管理和网络运营关键岗位的工作；受到刑事处罚的人员，终身不得从事网络安全管理和网络运营关键岗位的工作。

诚如《行政处罚法》开宗所言，实施行政处罚，纠正违法行为，是以坚持处罚与教育相结合，教育公民、法人或者其他组织自觉守法。罚款只是手段而不是目的。当下，数据显然已被公认为第五大生产要素，数据本身以及数据所依托的最主要载体——“网络”之安全，以及企业基于安全意识作出的合规管控部署，势必成为关乎个人、企业、社会乃至国家利益的至关重要的保障。如果通过了解“罚款”所对应的合规义务，能够有效使得网络运营者和数据处理者们意识到合规的重要性，并在投入和平衡合规成本的前提下切实付诸实施，那么罚款之法即为“善法”，互联网和数据市场将能够在善法和高新技术的加持下稳步且蓬勃发展，为我们伟大祖国的崛起添砖加瓦！

注释1：《网安法》第二十二条第三款，以及第四十一条至第四十三条之规定