3月18日,國家網信辦發佈《網信部門行政執法程序規定》(以下簡稱“《執法規定》”),爲接下來的行政執法提供程序規則。通讀全文,《執法規定》釐定了“立案-調查取證-聽證-處罰決定-執行”的網信部門行政執法程序框架,體現出對執法相對人的程序保障。那麼,企業在面對網信部門行政執法時,當事人有哪些需要注意事項呢?本文將對此問題予以分析。
《執法規定》第一條明確指出其制定的法律依據是《網絡安全法》、《數據安全法》和《個人信息保護法》,該條開宗明義地指出《執法規定》的重點執法對象是數據違法行爲。比如,《網絡安全法》第四十一條至第四十三條規定了網絡運營者處理個人信息的義務,而該法第六十四條則授予了“有關主管部門”的行政處罰權力,這裏的“有關主管部門”就是指網信部門。《數據安全法》第二十七條規定了數據處理者“建立健全全流程數據安全管理制度,組織開展數據安全培訓,採取……技術措施……保障數據安全”的義務,第二十九條規定了數據處理者對數據安全缺陷、漏洞等風險的緊急補救義務、數據安全事件時的立即處置義務和告知用戶並向網信部門的報告義務。該法第四十五條授權“有關主管部門”對違反上述規定的行爲進行行政處罰。《個人信息保護法》第六十六條授權“履行個人信息保護職責的部門”對違反該法的行爲進行行政處罰。這裏的“履行個人信息保護職責的部門”指網信部門。該條第二款規定,對於情節嚴重的違法行爲,由省級以上網信部門進行“責令改正,沒收違法所得,並處五千萬元以下或者上一年度營業額百分之五以下罰款”的行政處罰。因此,行政相對人被網信部門立案調查後,應當依照上述法律規定來面對網信部門的調查。1、數據行政執法由哪個網信部門管轄?
根據《執法規定》第九條,縣級以上網信部門具有行政執法權,確定了網信部門的級別管轄。對於地域管轄,《執法規定》第八條則給給出了十分廣泛的管轄,“相關服務許可地或者備案地,主營業地、登記地,網站建立者、管理者、使用者所在地,網絡接入地,服務器所在地,計算機等終端設備所在地等”縣級網信部門均有管轄權。上述連接點中,可能產生爭議的是“主營業地”和“網絡建立者、管理者、使用者所在地”。原因是,何爲“主營業地”?依據什麼法律來確定“主營業地”?“網站建立者、管理者、使用者”一般都是法人主體,那麼法人所在地是以《民事訴訟法》中的登記地和主要辦事機構所在地來確定?登記地和主要辦事機構所在地如果不一致怎麼辦?這些可能產生的爭議的問題,將是以後網信部門執法的模糊地帶。當然,根據上述地域管轄規定,同一個違法行爲有可能受多個網信部門的管轄。此種情況下,由最先立案的網信部門管轄。[1]《執法規定》只是在第十八條規定了內部立案程序,但並沒有規定網信部門將立案調查告知當事人,只是在第十九條規定了首次調查取證時告知當事人有申請迴避的權利。因此,是否可以理解爲當事人只有網信部門首次向其調查取證時才能正式瞭解到其被立案了?從邏輯上看,是這樣的。但從第十七條規定的案件來源看,至少在網信部門自行“監督檢查中發現(的)案件線索”從而立案上,當事人能夠較早知道是否被立案。另外,在發生數據安全事故後,在報告網信部門並與之溝通過程中,應該可以知道是否被立案。毫無疑問,當事人被立案之後,首先應當配合調查。但這並不意味着當事人可以什麼都不做,等着網信部門調查。我們認爲當事人至少可以有以下作爲:處理數據違法行爲多種多樣,當事人知道被立案調查後,一定要向啓動調查程序的網信部門問清被立案調查的具體涉嫌違法行爲。這有這樣,當事人才能對標找差。
內部調查是數據合規的一項重要內容,其目的不是逃避處罰,而是更好地確定是否真的存在違法行爲,找出發生違法行爲的原因,鎖定相關責任人。爲了避嫌,當事人也可委託獨立的第三方進行內部調查。當然,爲了體現重視,當事人也可就被立案調查事項成立專門的調查組,由法務、合規、技術、第三方機構等人員參與。
雖然《執法規定》沒有規定內部調查等事後補救行爲能夠成爲從輕處罰的事由,但從《執法規定》的字裏行間,可以體現出內部調查等行爲能夠起到爭取從輕處罰的作用。比如,《執法規定》第三條就規定,網信部門行政執法應遵循“處罰與教育相結合”的原則。第三十條規定了不予處罰的事由包括“違法行爲情節輕微並及時改正,沒有造成危害後果”、“初次違法且危害後果輕微並及時改正”和“有證據足以證明沒有主觀過錯”。
從以上規定可以看出,網信部門處罰不是目的,目的是當事人“及時改正”。而這裏的改正就是對數據合規的重視,建立數據合規管理體系,從人、財、物、制度、執行、監督等各方面體現對數據的合規管理。當然,對被立案調查後內部調查程序也是數據合規管理的一部分。根據《網絡安全法》、《數據安全法》和《個人信息保護法》,“情節”是處罰的考慮因素之一,而內部調查當然是可以考慮的一項“情節”。
當然,內部調查是要有結果的內部調查。一般來說,內部調查應該包括查明涉嫌違法的事實、可以儘快採取的措施、收集證據、分析涉嫌違法行爲原因、內部處罰相關人員、提出整改建議等。
需要強調的是,內部調查程序不能妨礙網信部門的調查取證。
第一,要關注的就是,啓動執法程序的網信部門有無管轄權。正如上文所述,對於依據“主營業地”和“網站建立者、管理者、使用者所在地”連接點進行調查的,可以請網信部門作出說明。第二,要再一次關注網信部門立案調查的原因,是單一原因還是多重原因。第三,要關注網信部門委託的司法鑑定機構和有能力或有條件的機構,對相關專門問題有無相關資質。[2]第四,要關注網信部門的相關執法行爲。比如,執法人員是否爲兩人,是否具有執法證,是否按照《執法規定》的期限處理相應事項。
《執法規定》第三十六條明確了當事人可以申請聽證的五種情形,包括“較大數額罰款”、“沒收較大數額違法所得、沒收較大價值非法財物”、“降低資質等級、吊銷許可證件”、“責令停產停業、責令關閉、限制從業”和“其他較重的行政處罰”。此時,網信部門的調查取證已經結束。因此,當事人自己的內部調查此時也應當結束,而且最好是早於網信部門結束,這樣當事人才能在聽證程序中充分表達自己的意見。既然是行政處罰,根據行政行爲一般規定,聽證程序中當事人應當就網信部門擬作出行政處罰的法律依據和事實依據提出自己的意見。這樣看來,只有事先完成內部調查程序,聽證纔有意義。
《執法規定》第二十一條列舉了執法人員可以收集的證據,包括“書證、物證、視聽資料、電子數據 、證人證言、當事人的陳述、鑑定意見、勘驗筆錄、現場筆錄等。”該條還規定,經查證屬實的證據可以作爲定案依據,以非法手段取得的證據則不行。而對於如何“查證屬實”和何爲“非法手段”並未明確規定。對此,我們認爲,可以比照民事案件的證據規則對證據如何使用進行梳理。《執法規定》明確對網信部門的行政處罰決定可以申請複議或提起行政訴訟。而《執法規定》對於複議機關和行政訴訟的法院沒有特別規定,那麼則根據一般行政行爲的規則確定。具體來說就是,可以向同級人民政府或向上一級網信部門申請複議。行政訴訟的話就向有管轄權的法院提起。目前,對於執法所依據的《網絡安全法》、《數據安全法》和《個人信息保護法》並沒有相關實施細則或司法解釋,不排除隨着網信部門行政執法的增多,針對網信部門的行政訴訟增加,從而出現單獨的針對網信部門數據執法相關問題的司法解釋。對該問題我們的回答是:貌似有。比如,《執法規定》第二十條規定,網信部門有權請求其他行政機關協助調查。但問題是,《執法規定》是網信辦出臺的部門規章,其效力不及於其他行政機關。如果其他機關不予協助,該怎麼辦?再比如,《執法規定》第二十八條規定的證據保全制度和第三十二條規定的查封扣押措施,根據《行政強製法》第九條,都屬於行政強制措施。而設定行政強制措施的只能是法律或者在沒有法律的情況下的行政法規,但絕不可能是部門規章。應當說,《執法規定》作爲部門規章是無權爲網信部門設定上述強制措施的。再看《執法規定》所依據的《網絡安全法》、《數據安全法》和《個人信息保護法》,這三部法律也沒有爲網信部門設定上述行政強制措施。因此,《執法規定》爲網信部門設定證據保全和查封扣押措施貌似已經超越法律權限了。網信部門在制定相關數據處理規則的同時,也開始了大規模數據執法的準備工作,《執法規定》就是一個表現。企業對數據的合規管理已經刻不容緩。我們認爲,最好的應對就是建立數據合規體系並進行有效的運行。
[1] 《網信部門行政執法程序規定》第九條。
[2] 《網信部門行政執法程序規定》第二十六條。
Chrome
Firefox
Safari
IE9及以上