消息 《个人信息保护法》将于2021年11月1日施行,作为个人信息保护领域的基本法,其全面规定了企业等个人信息处理者的义务及责任,并在三处明确提出合规要求。随着《个人信息保护法》的出台与实施,其与《数据安全法》《网络安全法》《刑法》中相关条款共同形成公法视角下的个人信息保护法律体系。一方面,面对强制合规义务及责任,企业应当建立合规管理体系,以践行处理个人信息的法定义务,避免因违法处理个人信息而受到处罚。另一方面,与强制合规并存的合规激励机制,如合规争取宽大行政或刑事处理,则使企业主动建立健全个人信息保护合规体系。
一、法律责任
应然状态下的法律责任是企业个人信息保护不完善时可能面临的合规风险,而不是企业承担责任的实然状态。行政和解制度、企业合规改革等合规激励机制,赋予企业以合规争取宽大行政处理及刑事处理的可能性,以此来减轻企业本应承担的责任,将较重的应然责任转为轻微的实然责任。
(一)应然状态下的法律责任
1、行政处罚
根据《个人信息保护法》《数据安全法》《网络安全法》 ,企业在处理个人信息时若违反禁止性规范或未严格落实义务性规范,可能面临履行个人信息保护职责的部门吊销营业执照等合规风险,具体如下。
(1)申戒罚。企业违反法律规定处理个人信息,或者处理个人信息未履行法律规定的个人信息保护义务的,由履行个人信息保护职责的部门给予警告。
(2)财产罚。企业违法处理个人信息拒不改正的,由履行个人信息保护职责的部门对企业及责任人员处以罚款,并没收企业违法所得。
(3)行为罚。一是限制开展经营活动。对违法处理个人信息的应用程序,责令暂停或者终止提供服务。二是吊销许可证件。违法处理个人信息情节严重的,吊销相关业务许可或者吊销营业执照。三是限制从业。禁止相关责任人员在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
2、刑事责任
根据我国《刑法》规定,企业若违反法律规定处理个人信息,或未尽到个人信息保护的义务,可触犯作为犯“侵犯公民个人信息罪”及不作为犯“拒不履行信息网络安全管理义务罪”。
(1)作为犯罪。《刑法》第二百五十三条之一为“侵犯公民个人信息罪”,根据此条规定,违反国家有关规定,向他人出售或者提供公民个人信息情节严重的,窃取或者以其他方法非法获取公民个人信息的,处有期徒刑或者拘役,并处或者单处罚金。