3月18日,国家网信办发布《网信部门行政执法程序规定》(以下简称“《执法规定》”),为接下来的行政执法提供程序规则。通读全文,《执法规定》厘定了“立案-调查取证-听证-处罚决定-执行”的网信部门行政执法程序框架,体现出对执法相对人的程序保障。那么,企业在面对网信部门行政执法时,当事人有哪些需要注意事项呢?本文将对此问题予以分析。
《执法规定》第一条明确指出其制定的法律依据是《网络安全法》、《数据安全法》和《个人信息保护法》,该条开宗明义地指出《执法规定》的重点执法对象是数据违法行为。比如,《网络安全法》第四十一条至第四十三条规定了网络运营者处理个人信息的义务,而该法第六十四条则授予了“有关主管部门”的行政处罚权力,这里的“有关主管部门”就是指网信部门。《数据安全法》第二十七条规定了数据处理者“建立健全全流程数据安全管理制度,组织开展数据安全培训,采取……技术措施……保障数据安全”的义务,第二十九条规定了数据处理者对数据安全缺陷、漏洞等风险的紧急补救义务、数据安全事件时的立即处置义务和告知用户并向网信部门的报告义务。该法第四十五条授权“有关主管部门”对违反上述规定的行为进行行政处罚。《个人信息保护法》第六十六条授权“履行个人信息保护职责的部门”对违反该法的行为进行行政处罚。这里的“履行个人信息保护职责的部门”指网信部门。该条第二款规定,对于情节严重的违法行为,由省级以上网信部门进行“责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款”的行政处罚。因此,行政相对人被网信部门立案调查后,应当依照上述法律规定来面对网信部门的调查。1、数据行政执法由哪个网信部门管辖?
根据《执法规定》第九条,县级以上网信部门具有行政执法权,确定了网信部门的级别管辖。对于地域管辖,《执法规定》第八条则给给出了十分广泛的管辖,“相关服务许可地或者备案地,主营业地、登记地,网站建立者、管理者、使用者所在地,网络接入地,服务器所在地,计算机等终端设备所在地等”县级网信部门均有管辖权。上述连接点中,可能产生争议的是“主营业地”和“网络建立者、管理者、使用者所在地”。原因是,何为“主营业地”?依据什么法律来确定“主营业地”?“网站建立者、管理者、使用者”一般都是法人主体,那么法人所在地是以《民事诉讼法》中的登记地和主要办事机构所在地来确定?登记地和主要办事机构所在地如果不一致怎么办?这些可能产生的争议的问题,将是以后网信部门执法的模糊地带。当然,根据上述地域管辖规定,同一个违法行为有可能受多个网信部门的管辖。此种情况下,由最先立案的网信部门管辖。[1]《执法规定》只是在第十八条规定了内部立案程序,但并没有规定网信部门将立案调查告知当事人,只是在第十九条规定了首次调查取证时告知当事人有申请回避的权利。因此,是否可以理解为当事人只有网信部门首次向其调查取证时才能正式了解到其被立案了?从逻辑上看,是这样的。但从第十七条规定的案件来源看,至少在网信部门自行“监督检查中发现(的)案件线索”从而立案上,当事人能够较早知道是否被立案。另外,在发生数据安全事故后,在报告网信部门并与之沟通过程中,应该可以知道是否被立案。毫无疑问,当事人被立案之后,首先应当配合调查。但这并不意味着当事人可以什么都不做,等着网信部门调查。我们认为当事人至少可以有以下作为:处理数据违法行为多种多样,当事人知道被立案调查后,一定要向启动调查程序的网信部门问清被立案调查的具体涉嫌违法行为。这有这样,当事人才能对标找差。
内部调查是数据合规的一项重要内容,其目的不是逃避处罚,而是更好地确定是否真的存在违法行为,找出发生违法行为的原因,锁定相关责任人。为了避嫌,当事人也可委托独立的第三方进行内部调查。当然,为了体现重视,当事人也可就被立案调查事项成立专门的调查组,由法务、合规、技术、第三方机构等人员参与。
虽然《执法规定》没有规定内部调查等事后补救行为能够成为从轻处罚的事由,但从《执法规定》的字里行间,可以体现出内部调查等行为能够起到争取从轻处罚的作用。比如,《执法规定》第三条就规定,网信部门行政执法应遵循“处罚与教育相结合”的原则。第三十条规定了不予处罚的事由包括“违法行为情节轻微并及时改正,没有造成危害后果”、“初次违法且危害后果轻微并及时改正”和“有证据足以证明没有主观过错”。
从以上规定可以看出,网信部门处罚不是目的,目的是当事人“及时改正”。而这里的改正就是对数据合规的重视,建立数据合规管理体系,从人、财、物、制度、执行、监督等各方面体现对数据的合规管理。当然,对被立案调查后内部调查程序也是数据合规管理的一部分。根据《网络安全法》、《数据安全法》和《个人信息保护法》,“情节”是处罚的考虑因素之一,而内部调查当然是可以考虑的一项“情节”。
当然,内部调查是要有结果的内部调查。一般来说,内部调查应该包括查明涉嫌违法的事实、可以尽快采取的措施、收集证据、分析涉嫌违法行为原因、内部处罚相关人员、提出整改建议等。
需要强调的是,内部调查程序不能妨碍网信部门的调查取证。
第一,要关注的就是,启动执法程序的网信部门有无管辖权。正如上文所述,对于依据“主营业地”和“网站建立者、管理者、使用者所在地”连接点进行调查的,可以请网信部门作出说明。第二,要再一次关注网信部门立案调查的原因,是单一原因还是多重原因。第三,要关注网信部门委托的司法鉴定机构和有能力或有条件的机构,对相关专门问题有无相关资质。[2]第四,要关注网信部门的相关执法行为。比如,执法人员是否为两人,是否具有执法证,是否按照《执法规定》的期限处理相应事项。
《执法规定》第三十六条明确了当事人可以申请听证的五种情形,包括“较大数额罚款”、“没收较大数额违法所得、没收较大价值非法财物”、“降低资质等级、吊销许可证件”、“责令停产停业、责令关闭、限制从业”和“其他较重的行政处罚”。此时,网信部门的调查取证已经结束。因此,当事人自己的内部调查此时也应当结束,而且最好是早于网信部门结束,这样当事人才能在听证程序中充分表达自己的意见。既然是行政处罚,根据行政行为一般规定,听证程序中当事人应当就网信部门拟作出行政处罚的法律依据和事实依据提出自己的意见。这样看来,只有事先完成内部调查程序,听证才有意义。
《执法规定》第二十一条列举了执法人员可以收集的证据,包括“书证、物证、视听资料、电子数据 、证人证言、当事人的陈述、鉴定意见、勘验笔录、现场笔录等。”该条还规定,经查证属实的证据可以作为定案依据,以非法手段取得的证据则不行。而对于如何“查证属实”和何为“非法手段”并未明确规定。对此,我们认为,可以比照民事案件的证据规则对证据如何使用进行梳理。《执法规定》明确对网信部门的行政处罚决定可以申请复议或提起行政诉讼。而《执法规定》对于复议机关和行政诉讼的法院没有特别规定,那么则根据一般行政行为的规则确定。具体来说就是,可以向同级人民政府或向上一级网信部门申请复议。行政诉讼的话就向有管辖权的法院提起。目前,对于执法所依据的《网络安全法》、《数据安全法》和《个人信息保护法》并没有相关实施细则或司法解释,不排除随着网信部门行政执法的增多,针对网信部门的行政诉讼增加,从而出现单独的针对网信部门数据执法相关问题的司法解释。对该问题我们的回答是:貌似有。比如,《执法规定》第二十条规定,网信部门有权请求其他行政机关协助调查。但问题是,《执法规定》是网信办出台的部门规章,其效力不及于其他行政机关。如果其他机关不予协助,该怎么办?再比如,《执法规定》第二十八条规定的证据保全制度和第三十二条规定的查封扣押措施,根据《行政强制法》第九条,都属于行政强制措施。而设定行政强制措施的只能是法律或者在没有法律的情况下的行政法规,但绝不可能是部门规章。应当说,《执法规定》作为部门规章是无权为网信部门设定上述强制措施的。再看《执法规定》所依据的《网络安全法》、《数据安全法》和《个人信息保护法》,这三部法律也没有为网信部门设定上述行政强制措施。因此,《执法规定》为网信部门设定证据保全和查封扣押措施貌似已经超越法律权限了。网信部门在制定相关数据处理规则的同时,也开始了大规模数据执法的准备工作,《执法规定》就是一个表现。企业对数据的合规管理已经刻不容缓。我们认为,最好的应对就是建立数据合规体系并进行有效的运行。
[1] 《网信部门行政执法程序规定》第九条。
[2] 《网信部门行政执法程序规定》第二十六条。
