“拨开云雾见月明”——《工业和信息化领域数据安全行政处罚裁量指引（试行）（征求意见稿）》解读 - 金杜律师事务所 - 宁宣凤

标签：合规业务-网络安全与数据合规，数字经济，汽车、制造业及工业-工业及制造业

2023年11月23日，国家工业和信息化部（“工信部”）官方网站公示《工业和信息化领域数据安全行政处罚裁量指引（试行）（征求意见稿）》（“《裁量指引》”）并面向全社会公开征求意见。根据相关起草说明，《裁量指引》用于指导行业数据安全监管部门合法、适当地行使行政处罚自由裁量权，统一裁量尺度，是工信部贯彻落实《数据安全法》，推动工信领域数据安全行政处罚工作制度化、规范化的重要规范。

在本文中，我们对《裁量指引》的规范目的及其所处法规体系背景进行了回顾，并且对《裁量指引》中规定的工信领域数据安全行政处罚机关和管辖确定规则，以及行政处罚情形和裁量适用规则进行了重点介绍和解读。我们认为，《裁量指引》经征求意见在正式通过后将提升行业数据安全监管职责效率和公平，帮助企业更好地识别和厘清数据安全监管责任和风险，从而更能有的放矢地开展数据合规工作。

一、《裁量指引》的规范目标与体系

不难理解，《裁量指引》的立规出发点是不断完善和强化工信领域的数据安全行政执法程序的制度化建设。在政府行政管理能力现代化的背景下，本次《裁量指引》聚焦工信领域各级主管部门在开展“行政处罚”这一可能对市场主体直接产生利益影响的具体行政行为时的规范和约束，在《数据安全法》和《网络安全法》等上位法的规定范围内，进一步细化行政处罚措施的裁量情形和适用规则。

从近期法规政策的出台和监管实际来看，数据安全领域监管朝着标准化、程序化和科学化方向发展的趋势不断清晰和明确。作为《数据安全法》规定的统筹行政部门执法程序的规范，《网信部门行政执法程序规定》已于2023年6月1日实施，为网信部门开展数据安全执法活动提供了规范化的法规依据。针对工信领域，《工业和信息化行政处罚程序规定》于今年4月审议通过并公布，于9月1日起正式施行。而对于“数据安全”相关事项的行政处罚而言，也需要统一的监管尺度以规范行政处罚决定的作出。工信部作为行业主管部门，在法律授权范围内不断完善行政管理职权，在形成《工业和信息化部行政执法事项清单（2022年版）》的基础上，制定本《裁量指引》，就14项涉及数据安全行政处罚事项予以进一步细化裁量基准。

此外，客观上说，《数据安全法》第六章“法律责任”中对于违反数据安全义务的规定相对宽泛和概括，在实践中企业自主判断其中监管处罚风险的难度相对较大，进而导致数据安全合规举措“眉毛鼻子一把抓”，这也是合规落地数据安全法律的一大现实问题。《工业和信息化领域数据安全管理办法（试行）》在上位法基础上进一步细化了工信领域数据处理者的数据安全义务，从实体规范上对工信行业数据安全提出了具体要求；而《裁量指引》是在《工业和信息化行政处罚程序规定》基础上针对涉数据安全行政处罚事项在程序规范上的完善，能够更好地帮助工信领域的企业加强安全风险预判和管理。由此，形成了工信部门和行业针对数据安全的“实体+程序”相对完整的数据安全监管职责体系。

二、《裁量指引》的规范重点内容解读

《裁量指引》共计五章26个条款，包含总则、裁量管辖、处罚情形、裁量规则、附则和具体的裁量基准附件。

1. 行政处罚机关与裁量管辖

《裁量指引》总则第三条明确了行政处罚机关包括工信部以及地方行政处罚机关，即各省（自治区、直辖市）、市（自治州、地区）及计划单列市、新疆生产建设兵团工业和信息化主管部门以及各省（自治区、直辖市）、市（自治州、地区）通信管理局和无线电管理机构。工信部负责组织制定修订工信领域数据安全行政处罚裁量制度规范，并指导、监督行业数据安全行政处罚工作。值得注意的是，依据《裁量指引》第七条第二款，工信部就数据安全违法行为情节严重、省级处罚机关发生管辖争议等情形可以指定管辖。地方行政处罚机关依职责分工分别负责本行政区域内工业、电信、无线电领域数据安全行政处罚工作。由此可见，数据安全行政处罚总体呈现三级监管体系，市级相关部门/机构即有处罚权。

就管辖原则和管辖连结点的选择而言，《裁量指引》第五条明确了数据安全行政处罚管辖的“属地管辖”原则和“违法行为发生地”的具体范围。我们注意到，相比于《工业和信息化部行政处罚程序规定》第七条，该指引拓展了“网站建立者、管理者、使用者所在地”“计算机等终端设备所在地”和“数据集中存储地、交易地、出境活动所在地”等管辖连结点。其中，“网站建立者、管理者、使用者所在地”“计算机等终端设备所在地”的管辖连结点也可见于《网信部门行政执法程序规定》。而更进一步地，《裁量指引》将数据处理活动中的“存储”“交易”和“出境”等环节发生的地点，也作为行政处罚机关判断管辖的依据，构成了我们日常所谓的“属数”管辖。

出于更广泛地涵盖行政处罚机关行使处罚权的情形或条件的目的，丰富和细化管辖连结点规定本身是《裁量指引》所发挥的积极作用，不过若兼顾尽可能避免冲突管辖的要求，可能还需考虑到管辖连结点的分类维度不同是否会造成管辖范围的重叠和交叉问题。《裁量指引》目前分别从“实施违法行为（人）的住所地”等违法主体维度、“计算机等终端设备所在地”等违法客体或工具维度和“数据存储地、交易地和出境地”等违法行为维度等层面，对“违法行为所在地”进行了规范概念的解构，但由于分类的根据和确定管辖的逻辑并不相同，三个维度的管辖连结点很可能存在重复的情况。而在实践中，又考虑到数据本身的无形性、流动性和可复制性等突出特征，对于数据交易地、出境活动所在地的判断缺乏更为客观明确的外在判断标准，以不同维度确定“违法行为发生地”的含义可能会出现概念外延存在重复交叉的情况，比如终端设备（如大型存储服务器）所在地可能与数据集中存储地相互重叠。基于前述隐忧，我们理解在《工业和信息化行政处罚程序规定》第七条第二款中仅从违法主体维度出发规定的“违法行为发生地”仍然行之有效的情形下，相对谨慎地看待管辖连结点的拓展问题，以免造成实践中更多的冲突管辖问题。

此外，《裁量指引》第七条第二款中规定了工信部可以指定管辖的四类具体情形。其中关于第一项情形，即“数据安全违法行为情节严重的”，由于在该条中缺少进一步对“情节严重”判断标准的释明，从而可能在实践中产生指定管辖权范围不够明确的问题。而从体例解释角度来看，《裁量指引》第十五条中专门根据数据安全违法行为的危害程度界定了“后果严重情节”的情形，在规范的解释和适用方面，我们认为或许可以作为该条中对于情节严重可以由工信部指定管辖的判断参考依据。

此外，《裁量指引》本身虽未明确第九条所涉“工业和信息领域数据处理者”的含义，但依据《工业和信息化领域数据安全管理办法（试行）》第三条第四款，“工业和信息领域数据处理者”应包括数据处理活动中自主决定处理目的、处理方式的工业企业、软件和信息技术服务企业、取得电信业务经营许可证的电信业务经营者和无线电频率、台（站）使用单位等工业和信息化领域各类主体。

2. 行政处罚情形和裁量适用规则

（1）行政处罚范围

结合《裁量指引》第一条及第三章关于处罚情形的规定，该指引的行政处罚范围主要聚焦违反数据安全有关规定的行为，涉及部分违反网络安全有关规定的行为，未涉及个人信息保护方面。我们认为，个人信息保护的处罚监管可能适用工信部门制定的相应规则，如《电信和互联网用户个人信息保护规定》等。

（2）行政处罚裁量情形

依据《裁量指引》第三章，数据安全行政处罚的情形主要包括不履行数据安全保护义务、向境外非法提供数据以及不配合监管共计28项细化情形，涉及的行为主体包括工业和信息化领域数据处理者、重要数据或核心数据处理者和关键信息基础设施运营者等。此外，行政处罚的具体情形可与《工业和信息化领域数据安全管理办法（试行）》中规定的义务相对应（参见下述表1、表2）。

其中，在第一类行政处罚情形“不履行数据安全保护义务”规定中，“未定期梳理数据，（未）按照相关标准规范识别重要数据和核心数据并形成本单位具体目录”，作为第一项违法行为情形予以明确。我们理解，根据《工业和信息化领域数据安全管理办法（试行）》，已对工信领域重要数据、核心数据的分级原则进行了描述式的定义，由工信部和地方行业监管部门组织开展重要数据和核心数据的识别认定和目录制定工作，工信领域的企业可在此基础上细分数据的类别和级别。但考虑到实践中工信领域重要数据和核心数据的识别和目录的制定工作将持续处于循序渐进的阶段，客观上无法一蹴而就，因此当作为一项行政处罚情形，明确企业所依据开展重要数据和核心数据识别并制定本单位具体目录的“相关标准规范”的边界和范围显得尤为关键。截至目前我们所观察的范围，我国当前对工信领域数据分类分级、重要数据识别的相关规定及标准包括但不限于《工业数据分类分级指南（试行）》《基础电信企业数据分类分级方法》《信息安全技术重要数据识别指南（征求意见稿）》等，制定机关或机构既包括工信部等政府部门，也包含行业协会和团体组织，文件效力层级自部门规范性文件、国家标准和团体标准或实践指南等也各不相同。而与此同时，该项行政处罚情形事实上直接来源于《工业和信息化领域数据安全管理办法（试行）》第七条第三款，而该条第一款即明确了“工业和信息化部组织制定……等标准规范”。基于此，在规范的理解和适用上，我们更倾向于或建议将《裁量指引》第十条第（一）项中的“相关标准规范”限缩为“工业和信息化部组织制定的相关标准规范”，以更好地指导工信领域数据处理者履行重要数据、核心数据识别以及具体目录制定的义务。

表1：涉及“不履行数据安全保护义务”及其对应规定

表2：涉及“向境外非法提供数据”及其对应规定

值得注意的是，《裁量指引》中将“不配合监管”作为一类行政处罚情形予以明确。但我们同时也注意到，该类行政处罚情形并未像其他两类一样作为具体的裁量情形体现在《裁量基准》附件中，可能导致在规范理解上的困惑。经我们仔细对比《工业和信息化部行政执法事项清单（2022年版）》数据安全相关的14个行政处罚职权事项中，也并未发现对应存在“不配合监管”相关的内容。而当我们在前述清单中拓展观察到“网络安全”相关行政处罚职权事项中，发现第210项行政处罚事项为“对通信网络运行单位未配合电信管理机构及其委托的专业机构开展检查活动的行政处罚”（对应《通信网络安全防护管理办法》第十九条），确与《裁量指引》中规定的“不配合监管”具有规范意义上的内在一致性。

我们认为配合监督检查作为工信领域企业的法定义务，具有相应的上位法依据和基础。但事实上，在《数据安全法》第四章“数据安全保护义务”中，仅第三十五条提及有关组织、个人予以配合调取数据的要求，但该条所规范的具体情形为“公安机关、国家安全机关因依法维护国家安全或者侦查犯罪”；而在《网络安全法》第四十九条第二款中已明确要求“网络运营者对网信部门和有关部门依法实施的监督检查，应当予以配合。”由此可见，《裁量指引》第十二条中规定的“不配合监管”作为行政处罚情形，在狭义的法律层面以《网络安全法》中对网络运营者施加的配合义务有可能更加“顺理成章”一些。由此，我们建议将“不配合监管”作为《工业和信息化部行政执法事项清单（2022年版）》第210项行政处罚事项的裁量情形，一并在附件《裁量基准》中予以规定和明确，以更为全面地指导工信领域企业理解和适用《裁量指引》。

另外，我们理解，作为处罚情形的“不配合监管”和《裁量指引》第二十条中规定的作为裁量规则的“拒不配合行业监管部门查处违法行为”也存在一定区别。前者作为判定处罚的情形之一，发生在“行政处罚机关开展数据安全监督检查过程”中，这意味着企业在面对监管部门的常态化监管时应当积极配合，该处罚情形并不以发现除配合义务以外的其他违法行为为前提。也即，企业即便没有其他违法行为，在常态化监管语境下若不履行配合监管义务（如报送、备案、提供相关材料说明或技术支持等），即可能构成处罚对象；在此基础上若另有拒绝配合监管部门调查的情节，则可能额外构成从重处罚情节。作为裁量规则，“拒不配合行业监管部门查处违法行为”需要以数据处理者本身已从事违法行为为前提，且在接受调查或被查处期间仍然存在阻碍或者拒不配合的，则针对原有的违法行为（而非针对“不配合监管”行为）予以从重处罚。因此，在处罚规则的理解上，“不配合监管”作为裁量情形时，可能需以“法律法规作出规定且经主管部门要求”为前提，避免在企业不完全知情或者未能明确监管要求的配合程度时落入该处罚范围。

（3）行政处罚的情节

《裁量指引》第十三条至第十五条将行政处罚的裁量情节分为了三大类，分别为较轻情节、较重情节和严重情节。

表3：行政处罚裁量情节分类及判断标准

综合来看，上述三个裁量情节的判断标准，主要从违法行为本身的性质、违法后果的严重程度等维度来进行考量。其中，违法行为本身的性质主要通过引入数据级别和数量进行量化判断，违法后果的严重程度则主要通过违法行为对公共利益产生的影响范围、直接经济损失、持续时间等结合判断。

（4）行政处罚裁量适用规则

《裁量指引》第四章提出了四类裁量阶次，即不予处罚、减轻处罚、从轻处罚和从重处罚。

表4：行政处罚裁量阶次分类及对应情形

从上述规范中可以看出，行政处罚机关实际作出处罚决定可能需同时包含客观和主观两大要件：一是违法行为造成了危害后果；二是现有证据表明数据处理者对从事违法行为或造成的后果存在主观过错。值得注意的是，上述规定并未明确说明危害后果仅局限于产生数据泄露等实害后果，由此我们理解，此处的“危害后果”也可能包含因数据安全保障措施存在漏洞等而产生的潜在危险。

与此同时，即便数据处理者存在受胁迫、诱骗等意思不自由、不真实的情形而实施的违法行为，也可能因为未尽到安全保障义务而受到处罚。换句话说，在数据安全处罚事件中，数据处理者可能同时构成“受害者”和违法行为主体。例如2023年10月，网信部门通报了江西省南昌市某企业因删库勒索事件被处罚。[1]如遭遇黑客攻击网络系统而被其勒索，企业往往面临着巨大的数据泄露风险，2022年12月，某新能源汽车制造商就因遭黑客掌握其百万条用户数据遭遇勒索，若这些数据被黑客大范围泄露，则可能对公共利益造成较为严重的危害和影响。在此情况下，企业主张自身“无过错”的可能性较低，因为黑客攻破其系统的行为已经可从侧面说明企业在信息安全管理上存在客观漏洞。因此，企业如遇主观意思不自由而导致数据安全危害后果的，还是应当主动报告并全力配合监管部门进行调查，采取必要措施尽可能降低可能的数据泄露风险，从而争取从轻或减轻处罚的裁量阶次。

此外，我们注意到，从轻和减轻处罚的判定情形在《裁量指引》第十九条中的规定未做进一步区分，也即在相同的情形下，执法机关对于采用“从轻”还是“减轻”的处罚有一定的自由裁量权。但在《裁量指引》的附件《裁量基准》内，可以窥见从轻和减轻处罚的细微差别，即主要根据企业的整改效果和态度来判断。若企业能够在规定期限内提前改正到位的，则可能适用减轻处罚；若采取积极有效措施，但未能在规定期限内完全改正到位的，则可能适用从轻处罚。

具体来看，对于从重处罚情形中的第（一）类情形，即“两年内因同类数据安全违法行为被处罚3次以上的”，我们理解此处的“同类”违法行为，可能还需要进一步明确其分类维度的具体含义，以更好地起到规范指引作用。一方面，其是否意为《裁量指引》第十条、第十一条及第十二条所规定的“不履行数据安全保护义务、向境外非法提供数据、不配合监管”此三大类违法行为裁量情形？如按此类划分，则各大类违法行为所包含的具体裁量情形共计28项之多，进而可能导致“同类”违法行为的认定过于宽泛，进而导致据此加重企业从重处罚的压力；另一方面，其是否等同属于附件《裁量基准》中所列举的14项违法行为？但进一步地，可以注意到，附件《裁量基准》中将14项违法行为对应裁量情形的划分，可能存在着某一具体裁量情形同时属于两类违法行为的情况，如企业因同一裁量情形而同时涉及两类违法行为的，则可能也会触发“两年内因同类数据安全违法行为被处罚3次以上的”适用情节（例如“未建立数据全生命周期安全管理制度”同时构成第1项“建立健全全流程数据安全管理制度”和第3项“未采取相应技术措施和其他必要措施”的两类违法行为）。尽管我们倾向于上述第二种解释，将其作为同类违法行为的解释在实践中会更为合理， “同类”违法行为的认定标准仍待进一步澄清。

（5）《裁量基准》附件的编制思路与参照方法

《裁量基准》附件中14项“违法行为”和“行政处罚依据”均来源于《数据安全法》的相关规定，与《工业和信息化部行政执法事项清单（2022年版）》中列明的“数据安全”相关行政处罚事项具有一一对应关系；而28个“裁量情形”则来源于《工业和信息化领域数据安全管理办法（试行）》中细化的各项法定义务；“裁量阶次”“具体标准”“适用条件”源于《裁量指引》第三章、第四章中对裁量情节和适用规则的规定。《裁量基准》附件为执法机关和数据处理者针对各类违法行为及其判定标准提供了明晰的指引，也为各行业、各地区进一步细化执法裁量基准提供了参考。

另外，我们注意到，《裁量基准》中所列的第13项违法行为，即“对从事工业和信息化领域数据交易中介服务的机构，未要求数据提供方说明数据来源，审核交易双方的身份，并留存审核、交易记录的行政处罚”，尚未包含在目前《裁量指引》征求意见稿中第三章所列举的具体违法裁量情形之内。由于《裁量指引》第五条所规定的管辖地中既已包含数据的“交易地”，加之该项违法行为的行政处罚依据为《数据安全法》第三十三条，我们理解，数据交易行为也理应属于《裁量指引》的规范之内。因此，我们认为，如将《裁量基准》中的第13项规定的数据交易相关违法行为所对应的具体裁量情形列于《裁量指引》第十条规定之中，将使得《裁量指引》规定的内容更为完整、全面。

三、《裁量指引》的预期成效和积极意义

《裁量指引》的制定和出台，一方面是行政执法部门有效提升执法程序化和科学性的良好之策。考虑到行政处罚对于相关利益主体的影响往往较大，尽管该指引目前还处于征求意见的状态，也诸如本文中相关浅显观察和浅薄建议，部分条款或指引规范的理解和使用也可能存在由制定机关进一步澄清和完善的空间，但从法规体系的建构层面来看，该指引是行政处罚机关必不可少的工作指引规范，也是主管部门为数据安全领域合理合法行政，提升监管职责效率和公平迈出的坚实一步。

另一方面，虽然《裁量指引》是执法部门针对自身从事处罚活动所制定的指引规范，但其公开的意义绝不局限于主管部门内部。对于工业和信息化领域数据处理者而言，该指引传达出了官方“以裁量基准释明法律责任”的积极信号，这对于提升工信领域市场主体的数据安全监管风险的可预期性和稳定性有着切实意义，企业因此能够更好地开展内部风险排查和整改工作，提高企业开展数据安全合规的实际效益。

感谢实习生徐越方洲对本文作出的贡献。

扫码订阅“金杜律师事务所”，了解更多业务资讯