论个人信息保护行政处罚制度——以《个人信息保护法》第66条为中心

在个人信息保护领域,除网信部门外,监管对象处理个人信息的行政机关都具有行政处罚权。由此产生的职能管辖冲突应按《行政处罚法》第25条和一事不再罚原则来协调;地域管辖冲突以多元地域管辖联结点等规则来协调;层级管辖冲突视违法情节轻重来协调。处罚对象是作为个人信息处理者或个人信息处理受托人的组织和自然人,以民事主体身份处理个人信息的国家机关亦可受罚。受罚行为是负有责任能力和条件的主体违反《个人信息保护法》一至五章且不存在违法阻却事由的行为。违法情节可分轻微、较重、拒不改正、严重、特别严重,均应责令改正,并根据过罚相适原则进一步匹配处罚。