青衣江畔今昔巨变

但是，如此认定会造成多项逻辑障碍，尤其是前述面向非违法利益实施的行政没收。

列宁认为，党是无产阶级的先锋队，无产阶级的觉悟部分。只不过由于当今资本主义国家占绝大多数，这种不正当的倒成为天经地义的了。

? 进入 柯华庆 的专栏 进入专题： 党导法规 党内法规 。马克思主义政党要完成自己的历史使命——实现共产主义，首先必须夺取政权，因为无产阶级的政治统治是实现共产主义的首要前提。制度性就是法律的适用和法典化在很大程度上通过特定制度来实现或规定。【关键词】党内法规 法律 道德 变革性 党导法规 治国必先治党，治党务必从严，从严必依法度是党的十八大以来国家治理体系现代化的基本原则，全面依法治国和全面从严治党顺应新时代而生。党是阶级的先进部队，是阶级的领导者和组织者，绝不能把作为工人阶级先进部队的党同整个阶级混淆起来。

依规领导使依法治国和依规治党实现了有机统一，党导法规使依法治国和依规治党实现了一体化。习近平总书记在庆祝中国共产党成立九十五周年大会上所指出的：中国共产党之所以叫共产党，就是因为从成立之日起我们党就把共产主义确立为远大理想。其一，罚款是否以没有违法所得为前提？《网络安全法》第64条规定侵害个人信息权益没有违法所得的，处一百万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

《行政处罚法》第22条规定，行政处罚由违法行为发生地的行政机关管辖。对此，可依据《行政处罚法》第25条来解决：两个以上行政机关都有管辖权的，由最先立案的行政机关管辖。其二，个人连带受罚，即自然人因所在单位违法而受罚。[2]参见孙莹：《大规模侵害个人信息高额罚款研究》，载《中国法学》2020年第5期，第106-126页。

下表所总结的规则或可作为一个待批判的起点： 注释: [1]参见尹培培：《网络安全行政处罚的归责原则》，载《东方法学》2018年第6期，第49-59页。被害人承诺、义务冲突、紧急避险已被《个人信息保护法》第13条第1款第1、3、4项规定为个人信息处理的合法性基础，由此排除构成要件，而非违法阻却事由，据此处理个人信息不具有该当性而非违法性。

第二，有责性欠缺仅意味着行为人不必承担行政处罚责任，而非任何责任。基于新法优于旧法的原理，《个人信息保护法》生效后，处罚侵害个人信息权益的行为应适用其第66条，即不管有无违法所得，也无论是否没收违法所得，拒不改正的，一律处以罚款。因此，有必要尽快制订执法指南和裁量基准。再次，市场监管部门有权吊销营业执照。

根据前述规则仍无法解决处罚权管辖争议的，应按《行政处罚法》第25条第2款和《国务院关于进一步贯彻实施〈中华人民共和国行政处罚法〉的通知》第7条来处理，有争议的行政机关协商解决，协商不成的，多个行政机关属于同一主管部门的，由共同的上一级主管部门经报请或直接指定管辖。例如某律师以个人身份接受客户委托处理家事纠纷，若客户没有清晰、具体地指示收集哪些及如何收集个人信息，而是由律师自行确定，则律师是个人信息处理者。此外须做两点澄清：第一，《个人信息保护法》第66条规定了责令改正，这并非行政处罚，而是旨在消除违法行为危害后果、恢复行政管理秩序的行政处理，[27]不适用过错推定。进入专题： 个人信息保护法 行政处罚 。

Mona Naomi Lintvedt，Putting a Price on Data Protection Infringement，International Data Privacy Law，Vol.0，No.00，2021. [18]为避免下级机关处罚上级机关，建议省级以下的国家机关由上级履行个人信息保护职责的部门处罚，省级及省级以上机关由国家网信办处罚。针对拒不改正情节，第66条第1款第二、三分句设定了单位罚款100万元以下和责任个人罚款1万-10万元两项处罚。

[16]各成员国有三类做法。受罚行为是负有责任能力和条件的主体违反《个人信息保护法》一至五章且不存在违法阻却事由的行为。

针对处理个人信息违法行为，上述任一地域管辖联结点所在行政区域的履行个人信息保护职责的部门都有处罚管辖权，按照《行政处罚法》第25条第1款，应由最先立案的机关行使管辖权。二者如何区分？一种解释认为前者指向违反《个人信息保护法》第二章个人信息处理规则的处理活动，后者指向违反第五章个人信息处理者的义务的行为。GDPR第83条的罚则包含双层结构：以1或2千万欧元为上限的罚款适用于所有处罚对象，以上一财政年度全球总营业额（total worldwide annual turnover of the preceding financial year）2%或4%为上限的罚款则只适用于经济实体（undertaking）。[3]以《个人信息保护法》第66条为切入点，探讨我国个人信息保护行政处罚制度的文献迄今仍付之阙如。2017年两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第5-6条就《刑法》第253条之一规定的侵犯公民个人信息罪列出情节严重和特别严重的数种情形。处罚对象是作为个人信息处理者或个人信息处理受托人的组织和自然人，以民事主体身份处理个人信息的国家机关亦可受罚。

[11]参见熊樟林：《行政处罚地域管辖权的设定规则——〈行政处罚法（修订草案）〉第21条评介》，载《中国法律评论》2020年第5期，第38-42页。此外还有两个问题值得进一步分析。

[6]参见孙莹主编：《个人信息保护法条文解读与适用要点》，法律出版社2021年版，第189页。层级管辖冲突视违法情节轻重来协调。

一方面，本文无法就管辖纠纷解决程序、受罚行为具体认定、违法情节竞合、行民衔接、行刑衔接等问题展开。[24]民法、刑法上的违法阻却事由包括正当防卫、紧急避险、不可抗力、被害人承诺、自损行为、义务冲突等。

同理，根据《行政处罚法》第28条，当事人有违法所得的，也应退赔。[25]参见杨立新主编：《侵权责任法》，复旦大学出版社2010年版，第115-132页。违法情节可分轻微、较重、拒不改正、严重、特别严重，均应责令改正，并根据过罚相适原则进一步匹配处罚。同时，这也不会造成处罚过重，因为可依据《行政处罚法》第32条从轻或减轻处罚，比如故意违法收集少量个人信息且未造成重大损害的，按照上述标准构成情节严重，但只要主动消除或减轻违法行为危害后果的，便可从轻或减轻处罚。

但第66条对如何认定违法情节未加解释，对怎样量罚亦语焉不详。[31]所以，拒不改正必然基于有违法性认识的主观故意。

违法行为地域管辖联结点包括服务器所在地、网络接入地、终端设备所在地、所使用的网络平台运营者所在地。（二）措施匹配 《个人信息保护法》第66条规定的多种行政措施中，如前所言，责令改正并非行政处罚，既可与处罚同时作出，亦可单独适用。

若客户具体指示，律师只是遵嘱而行，则律师是个人信息处理受托人。例如2021年11月2日发布的《吉林省人力资源和社会保障厅包容审慎监管执法四张清单》就规定：人力资源服务机构在业务活动中收集个人信息，首次出现因非主观故意未按规定采取保密措施导致泄露，情节轻微，在未造成较大社会影响或危害后果，用人单位主动配合调查和接受教育，并在规定时限完成整改的前提下，免于处罚。

《个人信息保护法》有两点安排：其一，第60条将履行个人信息保护职责的部门限定于县级以上至中央政府有关部门，意味着乡镇政府部门不负有个人信息保护职责，亦无此领域的行政处罚权。[23]熊樟林：《行政处罚责任主义立场证立》，载《比较法研究》2020年第3期，第142页。其次，市场监管部门、电信主管部门和网信部门均可罚款，但根据《行政处罚法》第29条，应按照罚款数额高的规定由一个机关罚款。第一，如何理解上一年度营业额？《个人信息保护法》此规定受GDPR影响，但也存在重要差异。

[10]参见王锡锌：《网络交易监管的管辖权配置研究》，载《东方法学》2018年第1期，第153-155页。也可以直接由共同的上一级行政机关指定管辖。

其三，以法定罚款额高为标准不会影响实现过罚相适，反而能让有最大量罚空间的处罚机关去确定与违法行为相应的罚款。二是违法主体，包括前期和后期行为，前者指违法主体事前是否因个人信息违法而受处罚、是否遵守监管措施、自首或配合执法调查，后者指违法主体事后是否主动采取措施减轻损害。

[9]但网络空间对行为发生地中心主义带来巨大冲击，因为网络违法行为的发生地难以确定，即便可以确定，也往往不是确定处罚管辖权的最适宜标准。此类想象竞合带来的管辖争议应按照一事不再罚原则解决，即同类处罚应择一重处，由具有最高处罚幅度的执法部门行使管辖权，不同类处罚应并行适用，由各类处罚的执法部门同时行使管辖权，具体分配通过部门协商来确定。