工信数据安全行罚如何定？裁量指引拟定超1亿条一般数据泄露属后果严重情节

21世纪经济报道 记者郑雪 北京报道

11月23日，工信部官网公布《工业和信息化领域数据安全行政处罚裁量指引（试行）（征求意见稿）》（以下简称《裁量指引》）并向公众公开征求意见。

《裁量指引》明确行政处罚由违法行为发生地管辖、一事不再罚等要求。同时将数据安全违法行为的危害程度分为“较轻”“较重”“严重”三类，如超过1亿条一般数据被篡改、破坏、泄露或者非法获取、非法利用，或者涉及2个以上数据处理者的重要数据、核心数据属后果严重情况，行政执法机关将结合实际情况和适用条件，作出最终裁决。

行政裁量管辖方面，一是明确管辖监督、属地管辖、移送管辖、交叉管辖等不同层级的管辖争议解决方式。《裁量指引》规定，行政处罚由违法行为发生地的行政处罚机关管辖。

二是明确住所地、网络接入地等数据安全违法行为发生地范畴。具体来看，违法行为发生地包括实施违法行为的住所地、实际经营地、工商注册地（工商注册地与实际经营地不一致的，应按实际经营地），网络接入地等。同时规定，对两个及以上行政处罚机关对同一违法行为均有管辖权的，应该由最先立案的行政处罚机关管辖。

三是明确一事不再罚等要求。其中，对工业和信息化领域数据处理者的同一个数据安全违法行为，不得给予两次以上罚款的行政处罚。

哪些情况会触发行政处罚？《裁量指引》给出两类大的情况：一是数据安全行政处罚情形方面，以《数据安全法》为基准，《裁量指引》提出不履行数据安全保护义务、向境外非法提供数据、不配合监管等三类违法行为触发条件。其中不履行数据安全保护义务方面，包含未定期梳理数据，按照相关标准规范识别重要数据和核心数据并形成本单位具体目录；未建立数据全生命周期安全管理制度等情形。

二是综合涉及数据级别和数量、公共利益损害时间、直接经济损失、影响范围等因素，对数据安全违法行为的危害程度划分为“较轻”“较重”“严重”等情节。其中，数据级别和数量划定上，参考1000万条以下、1000万条-1亿条、超1亿条的一般数据标准；参考2个以上数据处理者的重要数据、核心数据标准。直接经济损失的基准线为1000万元以内、1000万元-5000万元、超5000万元。

根据《裁量指引》，1000万条以下一般数据被篡改、破坏、泄露或者非法获取、非法利用；对公民、法人和组织合法权益、社会公共利益造成损害的持续时间较短，或直接经济损失在1000万元以内，属后果较轻情节。

超过1000万条一般数据被篡改、破坏、泄露或者非法获取、非法利用；或者涉及重要数据、核心数据的；对公民、法人和组织合法权益、社会公共利益造成损害的持续时间较长，或直接经济损失超过1000万元且在5000万元以内的，属后果较重情节。

超过1亿条一般数据被篡改、破坏、泄露或者非法获取、非法利用；或者涉及2个以上数据处理者的重要数据、核心数据的；对公民、法人和组织合法权益、社会公共利益造成损害的持续时间较长，或直接经济损失超过5000万元的，属后果严重情节。

《裁量指引》亦规定了其他符合“较轻”“较重”“严重”情节的情况。

行政处罚裁量权适用规则方面，《裁量指引》明确不予处罚、从轻或减轻处罚、从重处罚的适用范围和具体内容。

在不同裁量阶次罚款数额方面，从轻或减轻处罚的罚款数额，应当为从最低限到不超过最高限70%的这一部分，且从轻处罚后的罚款数额不得低于法定最低罚款数额；从重处罚上，罚款数额应当从最低限的2倍到最高限这一部分。

值得注意的是，《工业和信息化领域数据安全行政处罚裁量基准》（以下简称《裁量基准》）也随此次《裁量指引》一同公开。各级行政处罚机关应当依据《裁量基准》确定的行政处罚种类和幅度实施行政处罚。

《裁量基准》明确不予处罚、从轻处罚、减轻处罚、从重处罚四个裁量阶次；综合考虑危害程度等因素，细化各项行政处罚的适用条件；细化处罚标准，提出给予违法主体罚款数额等差异化处罚幅度裁量参考。行政执法机关可结合相关适用条件、根据《数据安全法》等具体条款，对相关主体作出不予处罚、从轻处罚、减轻处罚、从重处罚的决定，具体的处罚手段则包括责令改正、给予警告、罚款、暂停相关业务等。

据介绍，《裁量指引》由正文及附件裁量基准组成。其中，正文共五章二十六条，附件共十四条，主要内容分为总则、行政裁量管辖、行政处罚情形、行政处罚裁量权适用规则、行政处罚裁量基准(附件)五部分。