《评估办法》没有额外规定违规责任与惩罚措施,而是援引了《网络安全法》《数据安全法》《个人信息保护法》的相关罚则。同时,若数据处理者构成犯罪的,将依法追究刑事责任,具体而言:
根据《网络安全法》第六十六条,CIIO 违反规定,在境外存储网络数据,或者向境外提供网络数据的,由有关主管部门责令改正,给予警告,没收违法所得,处 5 万元以上 50 万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处 1 万元以上 10 万元以下罚款。
根据《数据安全法》第四十六条,违反规定向境外提供重要数据的,由有关主管部门责令改正,给予警告,可以并处 10 万元以上 100 万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处 1 万元以上 10 万元以下罚款;情节严重的,处 100 万元以上 1,000 万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处 10 万元以上 100 万元以下罚款。
根据《个人信息保护法》第六十六条,若企业违法处理个人信息,未履行相关合规流程的,则可能面临最高 5,000 万元以下或者上一年度营业额 5%以下罚款、停业整顿、吊销相关业务许可或者吊销营业执照等严厉的处罚。同时,直接负责的主管人员和其他直接责任人员,也有可能被处以 10 万元以上 100 万元以下罚款,并在一定期限内禁止担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
根据《中华人民共和国刑法》(下称《刑法》)第二百五十三条之一,违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。
窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
来源:环球律师事务所等团队