【完结篇】申军 | 救济途径与处罚: 《个人信息保护法》与GDPR的对照解读

作者简介

申军，法国执业律师。主要业务领域为金融、公司、并购、跨境投资和国际商事合同; 熟稔数据保护、数字货币、区块链与数字资产、人工智能与算法、数字市场竞争、数字领域知识产权、碳交易与碳金融、数字劳动平台等新兴法律领域。工作语言为中文、法文和英文。里昂第三大学商事法博士、商事法硕士，墨尔本大学银行与金融法硕士，华东政法学院法学学士。

《个人信息保护法》(以下称为“个保法”)将于2021年11月1日施行，其中的第7章(第66条至第71条)专门规定了法律责任。与之相比，欧盟《通用数据保护规章》(以下称为“GDPR”)第8章(第77条至第84条)规定了救济途径、责任与处罚，第6章亦涉及到具体的矫正措施。针对个保法与GDPR在前述方面的规定，笔者试着进行对照解读。特别声明的是，本文仅代表笔者的个人看法，不构成法律意见。

相关阅读

申军：《个人信息保护法》与GDPR专门用语的对照解读

【姊妹篇】申军：《个人信息保护法》与GDPR专门议题的对照解读

在进入正题之前，有必要简述一下个保法与GDPR中所规定的负责个人信息/数据保护的监管当局。

监管当局

GDPR将欧盟各成员国的数据保护机构称为独立监管当局(Independent supervisory authorities 或 Autorités de contrôle indépendantes)。这些当局在监督个人数据保护合规方面的权威，由《欧盟基本权利宪章》第8条第3款所确保。根据前述条款的规定，对个人数据保护规则的遵守，须遵循于一个独立当局的控管。这无疑彰显了相关保护所具有的宪法性价值。

该类独立监管当局在法国所对应的是国家信息技术与自由委员会(CNIL)。依照GDPR第52条和经修订的法国1978年《信息技术与自由法》(La Loi Informatique et Libertés)第2章的规定，CNIL由18位成员组成，包括但不限于法国众议员及参议员、现任及前任的法国最高(司法)法院和最高行政法院的成员等，是旨在实施GDPR的独立行政当局。

在执行与GDPR相符的任务和权力时，CNIL的成员免于任何直接或间接的影响，不寻求也不接受无论何方的指示。CNIL以决议方式做出的决定，需被上诉至法国最高行政法院(Conseil d’État)才有可能被推翻。与CNIL在欧盟层面对接的是欧洲数据保护委员会(EDPB或CEPD)。该委员会成立于2018年5月25日，即GDPR适用于欧盟全境的起始日，目的在于保障GDPR在欧盟各成员国的协调实施，促进各国监管当局之间的合作; 其替代了“第29条数据保护工作组”(WP29)。

相较于GDPR将个人数据保护的职能赋予欧盟各国单一的独立行政当局，个保法中所规定的履行个保职责和监督管理的部门则体现出丰富的层次。根据个保法第60条的规定，履行个保职责的部门包括国家网信部门、国务院有关部门和县级以上地方人民政府的有关部门。这些部门履行相关的个保职责，并可采取相应的措施(个保法第61条及第63条)。国家网信部门则统筹协调有关部门，推进相关个保工作(个保法第62条)。这种在个人信息保护方面的多部门、协同型的监督管理模式，与中国的国情相符。

从国家网信部门推进的5项个保工作的具体内容来看，其与CNIL的具体任务有可资比较之处。比如，二者均可制定个保/个人数据保护的具体规则、标准或指导原则; 前者有权针对人脸识别、人工智能等新技术、新应用制定专门标准，后者依照法国2016年《数字共和国法》(La loi pour une République numérique )赋予的任务，得思考数字技术的演进所引发的伦理挑战和社会问题，并因此组织开展公共辩论，相关议题包括数字技术对劳动的影响、人工智能及算法等; 前者支持研究开发和推广安全、方便的电子身份认证技术，后者则遵循“自设计之始即尊重私人生活”(Privacy by design)的逻辑，通过向尽可能位居行业上游的企业提供咨询，以助力达成针对私人生活保护技术的解决方案; 前者支持有关机构开展个人信息保护评估、认证服务，后者可以决定对与GDPR合规相关的人员、产品、数据系统、程序进行认证，批准相关的认证机构。

个保法规定的履行个保职责部门在履责时可以采取的措施，与CNIL在对处理负责人或分包人进行控管时采取的措施各有异同。比如，两者均可询问或面谈相关当事人、调查情况，查阅、复制、读取与信息处理有关或是对控管程序有用的文件资料。

值得指出的是，与履行个保职责部门能采取的措施不同，CNIL不能实施现场检查和调查涉嫌违法的个人信息处理活动，亦不能查封或是扣押用于违法个人信息活动的设备、物品。反之，执行控管的CNIL人员(实践中一般包括法务人员和信息系统稽核人员) 可以读取相关当事人的信息技术编程及数据，若有必要可以要求将之誊写。

在介绍了GDPR与个保法治下相关监管当局的基本情况后，笔者现就如下议题进行比较分析。

起诉权、投诉权

就起诉权而言，根据笔者的观察，GDPR中所称的相涉个人(personne concernée, 即英文版的data subject、数据主体)可在2种情况下提起诉讼。

其一， 依据GDPR第79条的规定，如果相涉个人认为GDPR被赋予的权利因违法的个人数据处理遭到侵害，那么其就有权起诉处理负责人(responsable du traitement，即英文版的controller)或分包人(sous-traitant，即英文版的processor)。受理起诉的法院是处理负责人或分包人拥有的欧盟机构所在地的成员国法院。相涉个人亦可向其常住地所在的成员国法院起诉，除非处理负责人或分包人是执行公权力特权的成员国公共当局。需要指出的是，在此种情况下，相涉个人或是可以行使起诉权，或是可以在相关监管当局行使投诉权(以下会作阐明)，可以二者择其一。

其二，依照GDPR第78条第2款与第3款的规定，任何相涉个人有权起诉相关的监管当局，如果后者不处理前者依照GDPR第77条进行的投诉，或是在接到投诉的三个月内，不向前者通知相关处理的进展状况或结果。受理起诉的法院则是设立相关监管当局的成员国的法院。

就投诉权而言，GDPR第77条规定，相涉个人有权在相关监管当局进行投诉，如果其认为个人数据在被处理时未遵守GDPR的规定。所涉及的当局是指相涉个人的常住地或工作地所在的成员国的监管当局。投诉亦可向违反发生地的成员国监管当局提出。前述当局必须履行有关投诉处理及告知的义务，否则或会被相涉个人告上法庭。

可资补充的是，依据GDPR第80条第1款的规定，相涉个人有权委托在欧盟成员国有效设立的非牟利机构、组织或协会代为行使上述起诉权和投诉权; 后者的章程目标与公众利益相符，并在个人性质数据保护的框架下，在保护相涉个人的权利和自由的领域行事活跃。在成员国法律允许的情况下，此类协会还可以相涉个人的名义，依据GDPR第82条行使获得损害赔偿的权利(以下会做说明)。

此外，依照GDPR第80条第2款，欧盟各国当局可以在其国内法中规定，前述的非牟利机构能够无需相涉个人的委托，直接行使上述的投诉权及起诉权，如果有关机构认为GDPR规定的相涉个人的权利因相关数据处理受到侵害。

另外，不容忽视的是，根据GDPR第78条第1款的说法，任何自然人或法人若被一国监管当局做出的具有法律约束力的决定所涉及，那么其均有权提起诉讼。因此这里所指的不仅仅是相涉个人，而是任何被相关决定波及的自然人或法人，故而也或可包括对当局决定存有异议的处理负责人或分包人。

与GDPR对起诉权与投诉权的规定相比，笔者认为，个保法架构下的“个人”至少依法享有一项明确的起诉权。根据该法第50条的规定，如果个人信息处理者拒绝个人行使权利的请求，那么个人可以依法向人民法院提起诉讼。此处的“个人”应该是指其个人信息受到处理的个人，相当于GDPR中所规定的相涉个人，而不是指任何个人。

反之，倘若个人信息处理侵害了个人信息权益并造成损害，因此受到损失的个人能否起诉个人信息处理者，个保法没有明确提及。不过，通过对个保法第69条的解读，笔者认为，“个人”在前述情形下应被视为拥有起诉个人信息处理者的权利。按照该条的说法，个人信息处理者唯有证明自己没有过错，才不承担损害赔偿等侵权责任 (以下会作阐述)。基于侵权责任的存在与否需要法院的认定，因此受到损失的个人应能向个人信息处理者提起诉讼。

此外，如果收到投诉、举报的履行个保职责部门没有按照个保法第65条的规定履行法定义务，即未能依法及时处理，并将处理结果告诉投诉、举报人，那么投诉、举报的任何个人(不是“个人”)能否拥有起诉的权利？此点在个保法的条文中未予说明，故与GDPR的相关规定不同。然而值得留意的是，根据该法第68条的规定，履行个保职责的部门的工作人员如果玩忽职守，可被依法予以处分，直至因构成犯罪而遭刑事起诉。这可被理解为，对任何个人是否可因投诉没被及时处理而拥有起诉权的问题，虽然个保法未作表态，但是相关部门的具体工作人员或会因此受到行政处分甚至刑事处罚。相关工作人员还可因滥用职权、徇私舞弊受到相关处罚。

就个保法治下的投诉权而言，依照该法第65条，任何个人、组织可对违法个人信息处理活动行使投诉权、举报权，而不仅仅像GDPR所规定的仅限于相涉个人。接受、处理投诉的部门是履行个保职责的部门，理论上包括了县级、地市级、省级政府有关部门和国务院有关部门，乃至国家网信部门。可资思考的是，如果投诉涉及境外组织、个人在中国境内设立的机构所进行的违法处理活动，是不是只有一定层级的相关部门方能予以处理，或是只有国家网信部门方可接受投诉？这些都值得个保法的实施细则加以阐明。

至于我们常说的集体诉讼(class action或action de groupe) ，GDPR第80条第2款虽未提及相关字眼，但其内容明示了欧盟各成员国可在国内法中设立此类诉讼机制。这就是说，在相关成员国法律允许的情况下，为了捍卫不止一位相涉个人的利益，一个有资质的非牟利机构可以无需相关委托直接提告处理负责人或分包人。

以法国的情况为例，2016年11月18日的《21世纪司法现代化法》(La loi de modernisation de la justice du XXIe siècle)将可行使的集体诉讼延伸到个人数据保护的领域。依据1978年信息技术与自由法(经由2018年12月12日的政府法令修改)第37条的规定，可以提起相关集体诉讼的情形是: 处于相似情势的数个自然人遭受了损失，而相关损失是由有违GDPR的同一性质的行为所致。

此类诉讼可由原告机构在民事或行政法院提起，并由原告通知法国监管当局CNIL。其目的或是要求停止相关的违法行为，或是追究被告的责任，以求赔偿物质及/或精神损害，抑或是兼具前述两种目的。同样依据该法条，可以执行此类集体诉讼的机构包括: 正常申报至少5年的法国法治下的协会(其章程目标包括对私人生活或个人性质数据的保护); 依照法国消费法典的规定获得批准、在全国层面捍卫消费者的协会(当个人数据的处理影响到消费者时); 代表雇员或公务员的公会组织(当个人数据的处理影响到其负责捍卫的个人之利益时)。

个保法第70条对集体诉讼亦有规定，条件是个人信息处理者违反个保法进行了相关处理，并侵害了众多个人的权益。有权提起诉讼的包括人民检察院、依法规定的消费者组织以及国家网信部门认可的组织。不难看出，人民检察院提起的公益诉讼无疑堪称个保法的特色。

根据最高人民检察院在2021年8月22日下发的《关于贯彻执行个人信息保护法推进个人信息保护公益诉讼检察工作的通知》，应当严格保护的敏感个人信息、需要特别保护的特殊群体的个人信息、应当重点保护的个人信息、加强精准保护的特定对象的个人信息被予以区分; 各级检察院在履行公益诉讼检察职责时，需对前述方面从严把握。

笔者认为，这类公益诉讼无疑对于检察机关的人员及技术方面的配备提出了相应要求，相关团队对算法、人工智能、应用程序编程接口、数字平台等新技术、新场域的熟稔不可或缺。同样值得思考的是，是否需要按照案件的复杂性或影响力、抑或是涉外因素来确定由何种级别的人民检察院履行公益诉讼职责？比如，如果相关违法处理是由境外组织、个人在中国境内设立的机构所为，那么是否须由地市级以上检察院发起此类公益诉讼？

处罚

GDPR治下的处罚包括了行政罚款(administrative fines或amendes administratives)和多项矫正措施。矫正措施可被单独采取，或可与行政罚款一并祭出; 除警告措施外，其它措施均具法律约束力。鉴于篇幅关系，相关措施此处不予赘述。

行政罚款是GDPR赋予各国监管当局的重大权力，可由它们直接施加，以确保个人数据保护的有效性。依据GDPR第83条第1款的规定，每个监管当局应确保所施加的行政罚款是有效的、合乎比例的、有遏阻性的。加之该条亦强加了行政罚款的上限，因此该类罚款的刑罚性质不言而喻。基于此性质，GDPR在其立法动机阐述(considérant 或recital)第148项中规定，行政罚款的施加须受适宜的程序保障，以与欧盟法和欧盟宪章所规定的一般原则相符，这包括有效的司法保护和正当的法律程序。

GDPR第84条则规定，欧盟成员国应该可以决定GDPR被违反时其它可予实施的处罚机制，特别是针对不被处以行政罚款的违法行为，并采取所有必要措施以保障这些机制的推行。虽然该条没有直接点明刑事处罚，但是依然强调了相关处罚的有效性、适度性和劝阻性。

值得指出的是，GDPR在其立法动机阐述第149项中明确提到了刑事处罚(criminal penalties 或 sanctions pénales)，此类处罚可以允许剥夺因违反GDPR而实现的获利。但是该项阐述亦指出，成员国法律的刑罚适用与GDPR行政罚款的适用不应违反欧盟法院所诠释的一事不再理原则(principle of ne bis in idem 或 principe ne bis in idem); 前述原则出自罗马法，具体是指同样的事实不能被刑事追诉或处罚两次。

此外，由于GDPR第83条第2款规定行政罚款应由监管当局依据个案情势逐案评估，因此该机制并不被自动适用，固定罚款金额的做法亦不被允许。实际上，根据GDPR立法动机阐述第150项的规定，在决定是否施加行政罚款以及处以多少罚款金额时，监管当局应该特别考虑到相关违犯的性质、严重性、持续时间及后果，考虑到处理负责人或分包人为确保合规或为预防或减轻侵害而采取的措施。

具体来说，行政罚款可被归为三种(分别见诸GDPR第83条第4、5、6款)。第一种针对的是不履行GDPR规定义务的处理负责人、分包人、认证机构、负责跟踪行为典则的机构。此类罚款金额最高可达1千万欧元; 如果违反者是一个企业，则金额最高可达其上一会计年度全球营业额的2%，取二者金额中的较高者。

值得补充的是，同样依据前述动机阐述第150项，上述罚款所涉及的“企业”(undertaking 或 entreprise) 应被视为欧盟竞争法意义上的企业，需要遵循欧盟运作条约(TFEU或TFUE)第101条和第102条的规定。基于前述的2条规定，欧盟法院在2006年的一个判例中认为: 企业应被理解为一个经济单位，即便从法律角度而言，该经济单位由数个自然人或法人构成。

第二种行政罚款所针对的，是所违反的规定涉及数据处理的基本原则、相涉个人享有的权利、向欧盟以外第三国或国际组织的个人数据传输，等等。此类罚款的最高金额可达2千万欧元或是企业上一年度全球营业额的4%，同样取金额为高者。第三种行政罚款则关乎不遵守由监管当局发出的命令(具体见诸GDPR第58条第2款) ，相关罚款金额的限度和选取与前述第二种的规定相同。

GDPR还藉由第83条第3款特别指出，如果在同一或相关处理操作中，处理负责人或分包人违反了GDPR的数项规定，那么行政罚款的总金额不得超过在最严重违反情形下被予确定的罚款金额。

与GDPR一样，个保法采取的处罚也包括了行政罚款和矫正措施(具体措施内容见诸第66条，此处同样不予详述)，行政罚款亦可和相关措施并合施加。相关罚款金额可在1百万元以下，也可在5千万元以下或是上一年度营业额的5%以下。

具体言来，前者是在出现违反该法处理个人信息、或是相关处理未履行该法规定的个保义务的情况下，由履行个保职责部门对拒不改正的当事人并处的罚款(其它措施包括给予警告和没收非法所得等); 后者是在前述违法行为存有严重情节，由省级以上的履行个保职责的部门在责令改正、没收违法所得之外并处的罚款。

基于其设定的金额上限以及数目的可观性(5千万元以下或营业额的5%以内)，笔者认为，此种在情节严重的情况下并处的行政罚款具有刑罚性质; 故在处以相关罚款时，或应遵守刑事法律的基本原则。另外，不像GDPR明确区分针对个人和企业的处罚金额，个保法第66条没有规定作为个人信息处理者的组织和个人在处罚金额上的不同。当然，该条所使用的 “营业额”一词，至少可被理解为有涉从事商业或经济活动的法人组织。

此外，个保法没有说明罚款所参照的营业额是否是指相涉组织的全球营业额。考虑到中国数据企业扬帆出海的现况与趋势，在笔者看来，如果相关企业在全球布局，以全球营业额作为科处罚款的基础，至少可以掌握相关企业的全球经营情况以及个人信息的跨境传输活动，包括其或有的具约束力的公司/企业规则(binding corporate rules或règles d'entreprise contraignantes)，以便更好地监管此类跨国数据企业的合规。

另外，依照个保法第66条第1款及第2款，违反个保法进行的处理、或是处理没有履行个保法规定的个保义务，可以导致直接负责的主管人或直接责任人被处以1-10万元以下罚款。这类人员还或会因为相关违法行为的严重性而被处以10-100万元以下的罚款，并可能会被暂时禁止在相关企业中执行一定的职能，特别是不得担任个保负责人(即GDPR中所称的DPO或DPD——数据保护干员或数据保护代表)。违反个保法的行为还可被计入信用档案(应该包括个人和企业的信用档案)，并予以公示(个保法第67条)，此点亦别具特色。这些方面在GDPR中均无对应的规定，大概是因为其通常属于欧盟成员国国内法的范畴，欧盟立法者不想介入其中。

再者，依据个保法第42条的规定，对于从事侵害中国公民个人信息权益、危害中国国家安全和公共利益的个人信息处理活动的境外组织与个人来说，国家网信部门可以将其列入限制或者禁止个人信息提供清单，予以公告，并采取限制或者禁止向其提供个人信息等措施。这种由国家层级的机构对境外相关组织、个人直接予以此类处罚，亦是个保法在处罚机制方面的一大特色。

最后需要指出，根据个保法第71条的规定，违反该法规定可能会受到治安行政管理处罚乃至被追究刑事责任。由于条文未予明确是何种个人或组织可被作为处罚对象，因此从理论上讲，个人信息处理者及其受托人、进行违规处理的主管负责人或直接责任人、履行个保职责的部门工作人员，均有可能受到前述两类处罚。违反个保法的法人组织，也或会承担刑事责任。

损害/损失、侵权责任

GDPR所规定的任何个人遭受的损害，依照其英文版的说法，可以是物质损害或非物质损害(material or non-material damage，GDPR第82条第1款)。引人注目的是，前述GDPR条款的法文版显示的则是物质或精神损害(dommage matériel ou moral)。就法国司法实践而言，与个人数据保护相关的损害亦为物质损害或精神损害; 前者是指个人数据的处理导致的对于个人财产或金钱利益的损害，后者是指对于个人的感情福祉、荣誉与声誉的损害。

相较而言，个保法第69条论及的损失没有具体的分类。依照此条的说法，个人信息处理者的处理活动侵害个人信息权益造成的“损害”，会使个人蒙受“损失”。而前者若对发生的“损害”不能自证没有过错，就须对后者承担相应的损害赔偿责任。此外，按照该条第2款的规定，个人受到的损失存有难以确定的情况。此点可被合理解读为，或者是实际的物质损失确实难被确定，或者是受到的损失可以是精神损失，所以需要根据实际情况确定赔偿数额。在笔者看来，个保法虽未列明损失究竟是哪一种，但可被理解为不排除精神损失。

至于损害赔偿的责任问题，GDPR第82条未言明所称责任(liability或responsabilité)的具体性质，但规定因违反GDPR而遭受损害的任何个人均有权向处理负责人或分包人要求赔偿损失。这种事实、损害、因果关系等三要素的汇集，显示了GDPR所指的责任是民法法系中的轻罪性民事责任(responsabilité civile délictuelle)，或是普通法法系中的侵权(tort)。因此，如果个人受到的损害源自对于GDPR的违反，那么GDPR即可要求对此予以赔偿。

值得析明的是，依据该条第2款及第3款的规定，处理负责人只要参与了违法的处理活动便需对损害担责，而分包人则是唯有在其不遵守分包人的特殊义务、或是在处理负责人的合法指示之外行事、又或是行事与其合法指示相悖时，才对损害负责; 相应的免责情形则是二者能够证明引发损害的事实不能归咎于他们自身。 

对比来看，个保法明确指出了损害赔偿等侵权责任(个保法第69条第1款)。鉴于侵权责任是非合约性质的责任，强调的是补偿性和强制性，所以此项责任的规定意在捍卫任何因个人信息权益被侵害而遭受损失的个人。这意味着，与个人信息处理者没有合同关系的个人在自己遭受损失时，也或可依照侵权责任法获得赔偿。依照笔者的上述解读，相关的受损当事人可向个人信息处理者主张物质乃至精神损失。此外，就过错推定原则而言，和GDPR一样，个保法亦规定，个人信息处理者如果不能证明自己没有过错，即应承担相关侵权责任。

综上所述，个保法和GDPR在救济途径和处罚方面的规定各具特色。如何运用好相应的机制，以鞭策、鼓励处理个人信息/数据的组织和个人更好地履行相关合规要求，以激励个人信息/数据受到处理的个人更好地捍卫其被依法赋予的权利，在遭受损失时获得应有的法律补偿，值得不懈的探索与研究。

中国法律评论

我刊由中华人民共和国司法部主管、法律出版社有限公司主办。国家A类学术期刊，中文社科引文索引（CSSCI）来源期刊，人大复印报刊资料重要转载来源期刊。我刊秉持“思想之库府，策略之机枢”之理念，立足于大中华，聚焦中国社会的法治问题，检视法治缺失与冲突，阐释法律思想，弘扬法律精神，凝聚法律智慧，研拟治理策略，为建设法治中国服务，为提升法治效能服务，为繁荣法学服务。

《中国法律评论》唯一投稿邮箱：

chinalawreview@lawpress.com.cn

中法评微信公众号投稿邮箱：

stonetung@qq.com

刊号：CN10-1210/D.

订刊电话：010-83938198

订刊传真：010-83938216