广和

2021年4月10日，国家市场监督管理总局作出了国市监处〔2021〕28号行政处罚决定书。该决定书对阿里巴巴集团处以其2019年度中国境内销售额4557.12亿元4%的罚款，计182.28亿元。这开创了国内反垄断处罚的最高记录。因而，反垄断合规成为企业合法经营的重要关注方向。相比反垄断法来说，处罚力度更大的《中华人民共和国个人信息保护法（草案）》在第十三届全国人大常委会第二十二次会议上进行了审议并公开征求意见。当前，这并未引起企业足够的重视。笔者希望通过本文的分析，建议企业从早、从严开展个人信息保护合规研究及落实工作，以便从容应对该法生效后的合规工作，促进企业健康、良性发展。

一、与《反垄断法》相比，《个人信息保护法（草案）》对于违法行为的处罚力度更严

1.《反垄断法》第四十六条、四十七条规定，对于违反反垄断法规定的，反垄断执法机构责令停止违法行为，没收违法所得，并处上一年度销售额百分之一以上百分之十以下的罚款。《个人信息保护法（草案）》第六十二条规定，违反本法规定处理个人信息，或者处理个人信息未按照规定采取必要的安全保护措施，情节严重的，由履行个人信息保护职责的部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款。

2.《反垄断法》对于违反该法的处罚为上一年度营业额百分之一以上百分之十以下，对于同等性质的的违法行为，营业额较低的企业处罚金额的总额相对也更低。根据《个人信息保护法（草案）》，违反该法规定作出处罚并不单独以营业额来确定处罚金额，如上一年度营业额的5%不足五千万，以五千万作为顶格处罚金额，如上一年度营业额的5%超过五千万，以营业额的5%作为顶格处罚金额。这意味着营业额低于十亿元的企业违反《个人信息保护法（草案）》情节严重的，均在五千万元顶格处罚的范围之内，甚至有可能出现营业额为五百万元的企业违法顶格处罚金额为五千万元，从这个角度而言，《个人信息保护法（草案）》的处罚堪称“史上最严”。

二、与《反垄断法》相比，《个人信息保护法（草案）》适用对象及处罚对象更广

1.《反垄断法》的适用对象为经营者及社会团体，《个人信息保护法（草案）》的适用对象为组织和个人，对于非经营者也适用该法，其中包括国家行政机关、法人和非法人组织。

2.《反垄断法》除对拒绝、阻碍反垄断执法机构调查行为可对个人处10万元以下的罚款外，对于非经营者身份的个人（如主管人员、直接责任人）没有处罚规定。

3.《个人信息保护法（草案）》对违反该法规定的直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款，对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。国家机关不履行本法规定的个人信息保护义务的，由其上级机关或者履行个人信息保护职责的部门责令改正；对直接负责的主管人员和其他直接责任人员依法给予处分。

三、与《反垄断法》相比，《个人信息保护法（草案）》对违法行为的处罚措施更严

《反垄断法》对经营者违反本法规定实施集中的，由国务院反垄断执法机构责令停止实施集中、限期处分股份或者资产，不涉及停业、吊销营业执照等严厉处罚。

而《个人信息保护法（草案）》对于违反该法的行为除责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款外，并可以责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照。

四、与《反垄断法》相比，违反《个人信息保护法（草案）》的性质更严重

违反《反垄断法》的行为不受《治安管理处罚法》、《刑法》调整，但违反《个人信息保护法（草案）》，除对组织和个人处罚外，构成违反治安管理行为的，依法给予治安管理处罚；构成犯罪的，依法追究刑事责任。

五、与《反垄断法》相比，《个人信息保护法（草案）》的执法机构更多元

1.《反垄断法》的执法机构为国务院规定的承担反垄断执法职责的机构，主要包括：国家市场监督管理总局，负责非价格垄断协议、非价格滥用市场支配地位、滥用行政权力排除限制竞争行为的反垄断执法；国家发改委负责价格方面的反垄断执法；商务部负责经营者集中行为的反垄断审查。

2.《个人信息保护法（草案）》规定，国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照本法和有关法律、行政法规的规定，在各自职责范围内负责个人信息保护和监督管理工作。对个人信息保护有执法权的部门相对较多，有网信、公安、工信、教育、卫生、金融等各个部门，各部门有权根据各自的监管职责细化各监管领域的个人信息保护标准、措施，如人民银行2020年2月13日发布《个人金融信息保护技术规范》，国家市场监督管理总局2020年12月4日发布《信息安全技术健康医疗数据安全指南》等，《个人信息保护法》颁布生效后，企业除须满足该法的监管要求外，同时也需要满足行业监管要求。

QQ图片20210425102010.png

综上所述，从国际方面看，诸多国家对个人信息保护进行了专门立法。企业违反隐私保护法律巨额罚单不断。在Facebook与剑桥分析公司不恰当地分享8700万用户信息的行为中，Facebook被美国联邦贸易委员会（FTC）罚款50 亿美元。谷歌因违反《通用数据保护条例》(GDPR)被法国数据监管机构 CNIL处以 5000 万欧元的高额罚款。英国航空公司也因违反《GDPR》，在数据安全事件中泄露约 50 万名乘客的私人信息被英国数据保护监管机构处罚，罚款总额为 1.8339 亿英镑（约合 2.3 亿美元）。

从国内方面看，我国对个人信息保护的监管日趋严厉。民众对个人信息保护的呼声也越来越高。2021年“3•15晚会”曝光的多起侵害公民个人信息的案件引起举国关注。《个人信息保护法》将可能在不久后颁布。古语有云：“凡是预则立，不预则废”。面对当前企业个人信息保护合规的严峻形势，笔者建议企业尽快吃透《网络安全法》及《个人信息保护法（草案）》精神，研究好开展个人信息保护合规工作的应对之策。广和讼狮团队专注个人信息合规法律服务，希望能为更多企业提供优质地法律服务，促进企业健康、稳健发展。

广和讼狮网络安全与个人信息保护合规法律服务团队介绍

（一）讼狮概况

广和律师事务所“讼狮”法律服务团队（以下简称“广和讼狮”）是由在信息隐私、网络安全和数据保护等涉网法律服务领域有着丰富经验的律师和专家组成，是一个专注于为客户提供优质互联网法律服务的专业法律团队。广和讼狮成员包括资深律师、数据保护官（EXIN DPO)、信息安全官（EXIN ISO)、注册信息安全专业人员（CISP）、国际隐私专家（CIPT）、海归精英、等保测评专家、国际战略咨询专家、电子鉴定专家，个体强且具有团队协作精神，共同为客户提供全方位的法律服务。

广和讼狮团队成员长期从事隐私保护、网络安全、涉网民事纠纷、涉网行政争议、涉网刑事诉讼、涉网公司业务、企业出海经营等方面的法律服务，在该领域积累了丰富的实践经验，曾为平安保险集团、招商、顺丰、华大基因等一大批优秀企业提供服务。我们致力于为不同行业的客户提供信息和数据安全、隐私保护及网络安全方面的合规性法律服务，包括但不限于互联网信息安全、互联网金融、电子商务、人工智能、网络游戏、区块链等领域。

广和评述|广和视点 | 营业额五百万可能被罚五千万 从阿里巴巴集团被罚182.28亿看个人信息保护合规的重要性

广和评述|广和视点 | 营业额五百万可能被罚五千万从阿里巴巴集团被罚182.28亿看个人信息保护合规的重要性