《网信部门行政执法程序规定》要点解读
《网信部门行政执法程序规定》要点解读
2023年3月18日,国家互联网信息办公室发布了《网信部门行政执法程序规定》(以下简称“《规定》”),将于2023年6月1日正式实施。在《规定》颁布实施之前,网信部门的执法依据是2017年的《互联网信息内容管理行政执法程序规定》(以下简称“《信息内容管理规定》”)。《规定》聚焦网络安全、数据保护、个人信息保护领域,直面破坏网络安全、违法收集个人信息、数据泄露等实务乱象,以《行政处罚法(2021年修订)》对行政处罚程序的进一步完善为背景,对《信息内容管理规定》进行了全面修订,进一步明确了网信部门行政执法的范围,以适应现实监管需求,并为国家各级网信部门执法活动提供依据。《规定》具有诸多亮点,但也有个别条款可能尚需更详细的解释与说明。本文将结合《规定》的文本对其中的部分要点进行解读,供大家参考。
一、行政执法程序落地、拓展数据执法范围
数据合规的执法依据包括实体和程序两大方面,《规定》从程序方面强化了数据执法。从实体法来看,我国于2017年出台《网络安全法》,并于2021年相继出台《数据安全法》和《个人信息保护法》作为实体法,对网络运营者、个人信息处理者等相关主体在网络运营、数据处理以及个人信息保护方面的权利义务及法律责任进行了详细的界定和规范。从程序法来看,《规定》作为实体法的配套措施和行政执法的程序规则,从立案制度、立案标准、办案流程、办案时限等方面,完善了从立案到执行的全流程执法程序,为各级网信部门开展执法活动提供了具体的法律依据,使数据执法有法可依、有法必依。
二、完善行政执法流程、提供明确操作指引
(一)确保执法程序合理合法
本次《规定》从多个方面出发,对《信息内容管理规定》和《网信部门行政执法程序规定(征求意见稿)》(以下简称“征求意见稿”)的规定进行了调整和完善,以确保网信部门的数据执法程序符合合法性与合理性的要求。
关于案件调查取证的程序,《信息内容管理规定》仅规定了执法人员的人数要求。[1]在此基础上,《规定》第十九条第一款结合《行政处罚法(2021年修订)》第四十二条和第五十五条的规定,进一步提出了行政执法流程合法性的两类新要求:其一,明确了执法人员的资格条件,要求执法人员应当“具有行政执法资格”。其二,明确了执法人员出示执法证件的对象包括“当事人或者有关人员”。
关于询问笔录的形式,《规定》进行了补充和完善,具体内容如下:
点击可查看大图
如以上表格所述,首先,《规定》第二十四条对询问笔录的签名对象进行了细化,包括(1)执法人员;(2)询问对象,或者其他有关人员。同时,《规定》将“有关人员”修改为“其他有关人员”,表明询问对象同样属于“有关人员”,在表述上更加严谨。其次,无论是《信息内容管理规定》还是征求意见稿,虽均要求“有关人员”核对并确认询问笔录,但并未要求其签字,《规定》亦对这一点予以补充,并在第二十四条将“执法人员”也纳入了签字主体,对行政执法人员提出权责统一的要求。
关于行政处罚决定,相较于《信息内容管理规定》,《规定》在第四十一条新增了“法制审核”要求,明确在行政处罚决定涉及重大、复杂情形时,应当“由从事行政处罚决定法制审核的人员进行法制审核”,[2]呼应了《行政处罚法》第五十八条第一款的新增内容和修改精神,也体现了行政处罚决定的审慎要求。
(二)执法程序趋于严谨完善
本次《规定》不仅提出了更完善的合法性与合理性要求,而且在执法管辖范围、执法管辖级别、行政处罚种类、立案前措施等方面,都作出了进一步细化的规定,使网信部门的数据执法程序趋于严谨完善。
从执法管辖范围看,根据《规定》第八条第一款,行政处罚由违法行为发生地的网信部门管辖。对于“违法行为发生地”的范围,《规定》第八条第二款在征求意见稿的基础上新增了“服务器所在地”,这与相关案件的管辖逻辑趋于一致。例如,《公安机关办理行政案件程序规定(2020修订)》第十一条规定,针对或者利用网络实施的违法行为,“用于实施违法行为的网站服务器所在地”公安机关可以管辖。《最高人民法院关于适用〈刑事诉讼法〉的解释》第二条也对相关刑事犯罪的管辖作出了类似规定。由此可见,《规定》将“服务器所在地”新增为“违法行为发生地”之一,将使数据执法的管辖范围与现行法规和实践更加契合。
从执法管辖级别看,与征求意见稿相比,《规定》第十一条新增了第三款,规定了行政处罚涉及国家安全时,设区的市级以下网信部门的上报制度。这与《国家安全法》第六十一条的规定相一致。[3]但至于上报的具体流程、期限、方式等事项,《规定》暂未作出明确要求。
从行政处罚种类看,与征求意见稿相比,《规定》第十五条新增了“降低资质等级”的行政处罚决定。此处新增内容也与《行政处罚法(2021年修订)》对行政处罚种类的调整保持了一致,体现处罚强度的阶梯性。
从立案前措施看,《信息内容管理规定》和征求意见稿均将“检测”和“检验”作为处理案件的措施,[4]但《信息内容管理规定》第二十二条和征求意见稿第二十三条却未在列举立案前措施时覆盖这两项。本次《规定》第二十三条在此基础上新增“检测”和“检验”两项,与后文第二十六条的“检测报告”和“检验报告”,以及第二十九条“需要检验、检测”相呼应,使立案前措施的列举更为完整。
三、强化主体权益保障、彰显柔性执法精神
《规定》重视柔性执法,强调保障执法程序中行政相对人的合法权益。包括以下几点:
(一)完善行政处罚听证制度
《规定》对行政处罚的听证程序作了补充完善。对于听证的范围,《规定》第三十六条吸收了《行政处罚法(2021年修订)》第六十三条的规定,将“吊销互联网新闻信息服务许可证”扩张为“降低资质等级、吊销许可证件”,新增“没收较大数额违法所得、没收较大价值非法财物”和“责令停产停业、责令关闭、限制从业”两种情形,并设置兜底条款。同时,《规定》第三十六条还适当延长了要求听证的期限,将当事人申请听证的时间从《信息内容管理规定》中的“三日内”延长至“五个工作日内”,承袭了《行政处罚法(2021年修订)》延长申请听证时间的精神,有效保障了行政处罚相对人的合法权益。此外,关于听证公开举行的原则,《规定》第三十七条引入了《行政处罚法(2021年修订)》第六十四条的规定,对公开听证的原则做了二次强调。鉴于听证是保障利害关系人利益的重要法律程序,《规定》对听证制度的细化与完善无疑有利于更好地保护当事人的合法权益。
(二)保障陈述权、申辩权,明确社会监督
与《信息内容管理规定》相比,《规定》在陈述权、申辩权方面,也进一步加强了当事人权益保障。从关于陈述、申辩的规定来看,《规定》第四十条在保留了《信息内容管理规定》第三十六条的基础上,于第三款进一步完善了有关当事人陈述、申辩的规定,如果“拒绝听取当事人的陈述、申辩”,网信部门不得作出行政处罚决定。不过,如果当事人明确放弃这些权利,则不影响行政处罚决定的作出。
此外,《信息内容管理规定》中缺乏社会监督的条款。本次《规定》在第五十四条重申了《行政处罚法(2021年修订)》第七十五条第二款的规定,[5]强调网信部门实施行政处罚时应当接受社会监督。
(三)强调柔性执法
值得注意的是,《规定》许多新增条款都强调了柔性执法,包括“一事不再罚”、“首违轻微改正不罚”、“最大限度减小损害”等多个方面。
对于“一事不再罚”,《行政处罚法(2021年修订)》第二十九条在保留《行政处罚法(2017年修订)》第二十四条的基础上,新增了“同一个违法行为违反多个法律规范应当给予罚款处罚的,按照罚款数额高的规定处罚”的罚则,《规定》第十六条重申了上述“一事不再罚”原则。
对于“行为轻微纠正不罚”,《行政处罚法(2017年修订)》第三十八条规定,对于违法行为轻微并及时“纠正”,没有造成危害后果的,不予行政处罚。2021年,中共中央、国务院印发《法治政府建设实施纲要(2021-2025年)》,明确要求全面推行轻微违法行为依法免予处罚清单。为与其精神相契合,《行政处罚法(2021年修订)》第三十三条完善了上述条款,上述规定同样反映在《规定》第三十三条中:第一,将“纠正”改为“改正”,突出强调了违法行为主体需要在主观上意识到自己行为的违法性;第二,新增“初次违法”的规定,对于“初次违法”的行为,如果危害后果轻微,且当事人能够及时改正,网信部门可以选择不予行政处罚。
对于“最大限度减小损害”,相较于征求意见稿,《规定》遵循比例原则的要求进行了调整,内容如下:
点击可查看大图
从上述表格可以看出,《规定》在行政执法措施的实施对象、场景上都进行了更多限制,有助于减小执法活动对当事人的不必要损害,更好地保障当事人的权益。
四、部分规则尚待细化与明确
尽管《规定》已经在行政执法程序及当事人权益保障的多个方面进行了优化调整,但其中亦有部分规定可能尚待有关部门进一步予以细化与明确。
(一)级别管辖的具体划分尚待明确
从级别管辖规定来看,《规定》第十一条删除了征求意见稿第九条关于管辖的详细规则,[6]仅保留“法律、行政法规、部门规章明确规定”的引致条款。这可能导致级别管辖缺乏统一、准确的判断标准,故有待网信部门在实践中进一步确定。
(二)跨部门协助取证机制尚待完善
从跨部门协助规定来看,《规定》第二十条第一款在征求意见稿的基础上,增加了“有关机关”作为委托协助调查取证的对象,扩大了委托的对象范围。然而,《规定》第二十条第二款仅仅明确了收到协助调查函的“网信部门”的协助义务,并未对“有关机关”应当如何提供协助进行说明,“有关机关”的内涵也有待明确。我们理解,这可能是因为《规定》由网信部门制定,无法直接约束非网信部门体系的其他“有关机关”,因此,为保障该规定未来能够顺利落实,可能也需要“有关机关”出台内部指引和配合机制。
(三)证据类型的具体内容尚待探索
从证据类型规定来看,《规定》第二十一条在列举的证据类型最后新增了“等”字,为证据类型保留了解读空间。[7]但《民事诉讼法》《刑事诉讼法》和《行政处罚法》中均采用逐条封闭式列举证据类型的方式。因此,“等”字的具体内涵仍有待未来实践进一步探索。
(四)认错认罚快速办理制度尚待细化
从认错认罚规定来看,《规定》第三十五条新增了“认错认罚快速办理”程序,[8]对提高执法效率、保障当事人权益具有积极意义。然而,第三十五条仅要求“快速”办理案件,但对于“快速”程序下案件的办理时限以及整体程序如何简化等事项尚不明确,亦需要后续进一步予以细化。
结语
综上所述,《规定》作为数据合规执法活动的重要依据,是保障网络信息安全、强化个人信息保护的重要一环,为行政执法活动程序提供了明确指引。不过,在实际开展执法活动时,部分规则仍有待网信部门予以进一步细化与明确。与此同时,我们也建议企业应尽快采取措施以满足监管要求,包括对内部信息系统和数据处理情况进行自检自查和有效评估,制定个人信息保护、数据安全相关制度,并且密切关注监管动态、适时对自身合规情况予以完善,以应对可能在未来更为频繁与常见的执法活动。
[注]