《中华人民共和国网络安全法》于2017年6月1日开始生效，“个人信息保护”首次出现在我国基本法律中。时至今日《网络安全法》已实施满四周年，在此过程中，与个人信息保护相关的立法和配套的规范性文件不断出台和完善：从2017年3月发布的《民法总则》，到2020年5月发布的《民法典》；从2017年12月发布的首版国家标准《个人信息安全规范》到2020年的更新版，从2019年8月发布的《儿童个人信息网络保护规定》到2020年10月发布的《个人信息保护法（草案）》，个人信息的“保护伞”逐步落地。

在《个人信息保护法》尚未正式发布之前，《网络安全法》仍是我国关于个人信息保护的一部重要法律。为规范公安机关行使网络安全管理行政处罚裁量权，促进行政执法公平公正，保障网络安全，维护网络空间主权和国家安全、社会公共利益，依照《中华人民共和国行政处罚法》《公安机关办理行政案件程序规定》等有关规定，上海和北京两地都制定相应的裁量基准。《上海市公安局关于网络安全管理行政处罚的裁量基准》[1]（以下简称《上海基准》）于2021年3月8日起施行，有效期至2026年3月7日。在此之前，北京市公安局也发布了2021年的《北京市网络安全管理行政处罚裁量基准》[2]（以下简称《北京基准》）。下文将通过上述两个裁量基准中关涉个人信息保护规则的对比分析，来看看公安等执法机构是如何把个人信息的这把“保护伞”撑开来的，以期抛砖引玉，为相关单位履行个人信息保护义务提供指引。

一、网络运营者、网络产品或者服务提供者不履行个人信息保护义务之行政处罚措施对比

（一）法律依据

北京与上海两地对网络运营者不履行个人信息保护义务实施行政处罚的法律主要为《网络安全法》第二十二条第三款、第四十一条、第四十二条、第四十三条和第六十四条第一款，具体如下：

（二）两地裁量基准具体对比

北京市和上海市公安局都细化情节轻重的标准，将裁量基准分为以下三阶：

对比两地的裁量基准，主要区别有以下四点:

第一，在裁量基准第一阶中，《北京基准》的违法情节是“初次违反，且未造成危害结果”，而《上海基准》的违法情节是同样是初次违反，但“情节较轻”，即已经产生了危害结果，只是未达到第二阶的情节标准。由于《北京基准》中第一阶的违法情节要轻，所以相对而言各项处罚措施要明显轻于《上海基准》。

第二，《上海基准》第二阶裁量基准违法情节中所列出的六项违反个人信息保护义务的情形，都是《网络安全法》对个人信息保护的基础性规定，第二阶违法情节是具有其中的两项，第三阶是具有其中的多项也就是三项以上。

第三，在第二阶和第三阶裁量基准中，《上海基准》明显参考了两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》的相关规定，对泄露的信息类别进行了区分并量化，便于执法机构进行裁量，也有利于企业进行自查，非常值得借鉴和参考。特此将其类别量化指标列表如下：

第四，《北京基准》第二阶和第三阶的处罚措施，均轻于《上海基准》，直接体现是罚款金额要少，且在《上海基准》的第二阶裁量基准中，就已经出现了“并可以责令暂停相关业务、停业整顿”，这两项处罚措施在《北京基准》的第三阶中才出现。

二、非法获取、出售、向他人提供个人信息之行政处罚措施对比

（一）法律依据

主要为《网络安全法》的以下两条：

（二）两地裁量基准具体对比

《上海基准》细化情节轻重的标准，将裁量基准分为以下三种情形：

第一阶：初次违反规定，且情节较轻，尚不构成犯罪。其相应的处罚措施为：没收违法所得，并处违法所得一倍以上四倍以下罚款，没有违法所得的，处三十万元以下罚款。

我们可将第二阶和第三阶裁量基准归纳列表如下：

非法获取、出售、向他人提供个人信息的违法行为与因不履行个人信息保护义务致使个人信息泄露相比，由于前者带有主观故意，因此裁量基准中各类个人信息的数量只是后者的十分之一，更加严格。

相较而言，《北京基准》对于此项违法行为的具体情节没有分阶，裁量基准也是按照《网络安全法》第六十四条第二款的规定没收违法所得，并处违法所得1倍以上10倍以下罚款，没有违法所得的，处100万元以下罚款。由此可见，北京的公安机关对于此项违法行为的行政处罚自由裁量幅度较大，但笔者认为，在有上海等其他省市制定了具体基准的情况下，北京公安机关执法时会予以参考裁量。

此外，还需注意的是，非法获取、出售或者提供公民个人信息的相应类别超出了“50条”“500条”和“5000条”上限或违法所得五千元以上的，根据《刑法修正案》（九）以及两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》的相关规定，已构成“出售、非法提供公民个人信息罪”，应判处刑罚。

三、结语

目前，《网络安全法》是我国关于个人信息保护的重要法律依据之一，与之配套的《北京基准》与《上海基准》均对网络运营者、网络产品或者服务提供者不履行个人信息保护义务以及非法获取、出售、向他人提供个人信息等违法行为的裁量基准进行了分阶，尤其是《上海基准》还参照两高的司法解释，对被泄露、出售或非法提供的个人信息进行了分类和量化，起到极强的合规参考价值。在《个人信息保护法》尚未出台之前，我们建议北京和上海两地的企业可重点依据这两部行政处罚裁量基准进行自查，使得公司在个人信息保护层面面临的法律风险更为可控。

作者简介：张良 律师