工信数据行政处罚裁量的三大创新和两点思考
日期:2023年11月29日 阅:48
近日,工业和信息化部发布了《工业和信息化领域数据安全行政处罚裁量指引(试行)(征求意见稿)》(以下简称《裁量指引》),对于工业和信息化领域数据安全行政处罚裁量权做出规范化、系统化的规定,这对于推进工信领域数据安全管理的法治化、规范化又迈出务实的一步。
近年来,工信部持续强化工信领域数据安全管理,并注重对制度成果的固化,相继发布了《工业和信息化领域数据安全管理办法(试行)》(以下简称《工信数据安全办法》)、《工业和信息化领域数据安全风险评估实施细则(试行)(征求意见稿)》等多项法规政策,工信领域数据安全法治化持续加速。以此为背景,本文结合学习情况,简述对《裁量指引》的学习和思考。
一 以三个创新务实保障工信数据安全要求落地
《裁量指引》的发布,从其整体内容来看,具有以下三项重要创新。
一是制度创新。《裁量指引》进一步填补了制度空白,健全了工信数据安全管理中对于法律责任和追究机制的规定。2022年底发布的《工信数据安全办法》作为工信领域数据安全管理的行业管理纲领,初步构建了工信领域数据安全的制度框架,涵盖数据分类分级、监测预警、认证评估等。其对于“法律责任”的规定则仅初步明确了处罚的大类,对于违反不同义务对应何种处罚、以及如何认定和裁量等具体问题,则未有明确规定,不利于相关要求的落地执行。《裁量指引》则是对这些框架规定的进一步细化和发展,具有制度的创新性。
二是监管创新。《裁量指引》以独立的规范性文件形式,对工信数据安全管理中“法律责任”的认定和追究问题做出专门规定。相比于一般的将管理要求和法律责任放在一起的集中式立法方式,其在形式上具有创新:不仅能够凸显数据安全行政裁量工作的重要性、也使责任追究更加明确、依据更加科学充分。此外,从行业间的横向对比来看,《裁量指引》也开创了工信领域数据安全行政裁量专门立法的先河,或对工信领域之外的其他行业数据安全行政裁量监管发挥一定引领借鉴作用。
三是规则创新。在网络安全领域,存在一个备受关注的话题,即“合规能否免责”?随着网络数据安全法规政策体系的完善,从业者需要开展的合规工作与日俱增,在此背景下,“合规能否免责”的追问也一直未停止。《裁量指引》在第十八条第(二)项明确提出:“数据处理者有证据足以证明没有主观过错的,依法不予行政处罚”。这种“无过错不处罚”的原则,无疑也是对“合规能否免责”争论的一种积极回应,对于鼓励数据安全参与者遵法守法,具有不可替代的鼓励和促进作用。
二 健全裁量制度的两点思考
《裁量指引》目前正处在征求意见阶段,从不同视角、不同立场都会有不同的认识和理解。以下尝试对于其内容的优化完善提出一些思考和建议。
一是建议进一步明确《裁量指引》与《工信数据安全办法》的衔接。目前无论是政策本身还是起草说明,都未明确提及《工信数据安全办法》。从《裁量指引》的内容来看,其兼具实体规则和程序规则二种属性,但对违法情形的规定并不完全一致。带来诸多问题,包括:在推进工信数据安全工作中,优先适用哪个文件?附件《裁量基准表》之外的违法行为如何裁量?等等。对此,建议一方面在《裁量指引》的立法依据或起草说明中,明确将《工信数据安全办法》作为依据之一;另一方面,对于《裁量指引》第十条规定的“不履行数据保护义务”情形、以及附件《裁量基准表》中的所规定的“违法行为”种类与《工信数据安全办法》保持一致。
二是建议进一步明确裁量的管辖原则。《裁量指引》第五条规定“违法行为发生地的行政处罚机关管辖”,从法理看采用的行政处罚管辖原则为属地管辖;但从该条第二款对具体违法行为发生地的列举情形看,住所地、注册地、备案地则是属人管辖的范畴。因此,建议该条进一步回归《裁量指引》的立法本意,明确属地管辖的基本管辖原则,将第二款中列举的具体情形加以区分明确。此外,第九条对于“一事不再罚”的规定,建议移至第四章“权适用规则”一章中。
三 夯实供给,助力合规
《裁量指引》完善和明确了工信数据违法行为的裁量规则,也从另一个侧面表明,“违法必究、执法必严”在工信数据安全管理工作中绝非一个简单的口号,而是实实在在推进的工作。
绿盟科技作为深耕网络数据安全多年的厂商,将以《裁量指引》为契机,发挥自身丰富的数据安全合规支撑和实战保障经验,依托强大的数据安全技术产品和服务能力,从三个方面持续强化数据安全供给能力。一是持续推进产品创新,围绕工信数据安全的监管和保障两类需求,重点夯实数据发现与风险评估、数据脱敏、数据安全管理平台等方向创新,持续完善数据安全产品供给。二是强化服务创新,围绕工信数据安全生命周期保护需求,重点强化数据安全培训和认证服务、数据出境安全服务等,持续完善数据安全服务供给。三是不断拓展应用保障,结合工信数据安全的重点领域和应用场景,如装备制造、工业企业和平台等,以实战化应用持续提升优化运营能力供给。