【条文主旨】
本条是关于履行个人信息保护职责的部门的规定。
【条文理解】
个人信息保护机构对于个人信息保护法律的实施十分重要,是个人信息保护立法的核心问题之一。从各国各地区的立法来看,个人信息保护机构的设置主要有三种立法模式:一是成立独立的个人信息保护专门机构,欧盟及其成员国、日本、韩国以及我国香港特别行政区、澳门特别行政区采取此种模式。比如,欧盟成立了欧洲数据保护监督机构和第29号工作组分别负责欧盟自身机构和其他领域的个人信息保护,英国内阁设立了信息专员办公室,法国总统府设立了国家信息与自由委员会,德国联邦议会设立了联邦数据保护与信息自由保护专员办公室。二是指定政府某一部门作为个人信息保护机构或在此一部门下设个人信息保护机构,俄罗斯和新加坡采取此种模式。比如,俄罗斯联邦通信和大众传媒部下设俄罗斯联邦通信、信息技术与大众传媒局,负责电子媒体、大众通信和信息通信等方面的监管,同时基于上述职责也负责个人信息保护执法活动。三是实行跨领域的执法机构加各行业监管部门的执法体制,美国采取此种模式。在美国,联邦贸易委员会作为消费者权益保护机构,对美国大部分商业实体隐私保护相关事宜具有管辖权。联邦贸易委员会负责隐私执法的部门是2006年在消费者保护局下成立的隐私和身份保护部,其通过政策、规则制定,采取多种执法手段来保护消费者个人信息。除联邦贸易委员会外,通信行业、金融服务等多个领域的行业主管部门在各自职责范围内有权开展个人信息保护执法工作。
个人信息保护工作专业性强,涉及当事人利益和社会公共利益,在信息化时代,涉个人信息违法犯罪行为存在空间跨度大、传播速度快、损害后果重、证据采集难、信息不对称等特点,单纯依靠私力救济不足以全面及时保护个人信息、打击侵害个人信息的违法犯罪行为,必须集合社会各方力量,形成公力救济与私力救济相结合、司法救济与行政救济相结合、行政机关各部门相互配合协作的个人信息保护大格局,才能全面、有效、及时满足信息化时代人民群众日益增长的个人信息保护需求。同时,在信息化时代,个人信息采集、处理、存储、使用等行为存在于社会生活的方方面面,个人信息保护涉及面广,我国多个行政部门根据法律、行政法规授权在各自职责范围内负有个人信息保护职责,只有加强统筹协调,才能防止多头重复执法、相互推诿扯皮等不良现象,形成保护个人信息、打击侵害个人信息违法犯罪行为的合力。为此,本条在借鉴域外经验基础上,立足我国国情,规定国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作;国务院有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作;县级以上地方人民政府有关部门按照国家有关规定承担个人信息保护和监督管理职责,从而形成了全方位、多层次、立体化个人信息保护格局。
一、国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作
国家网信部门,即国家互联网信息办公室,简称国家网信办,于2011年5月成立。2018年3月,国务院关于机构设置的通知指出,国家互联网信息办公室与中央网络安全和信息化委员会办公室合署办公,列入中共中央直属机构序列。国家网信办的主要职责是:落实互联网信息传播方针政策和推动互联网信息传播法制建设,指导、协调、督促有关部门加强互联网信息内容管理,负责网络新闻业务及其他相关业务的审批和日常监管,指导有关部门做好网络游戏、网络视听、网络出版等网络文化领域业务布局规划,协调有关部门做好网络文化阵地建设的规划和实施工作,负责重点新闻网站的规划建设,组织、协调网上宣传工作,依法查处违法违规网站,指导有关部门督促电信运营企业、接入服务企业、域名注册和管理服务机构等做好域名注册、互联网地址分配、网站登记备案、接入等互联网基础管理工作,在职责范围内指导各地互联网有关部门开展工作。
本条之所以规定由国家网信部门统筹协调个人信息保护工作和相关监督管理工作,主要是因为:第一,在互联网时代,互联网信息技术的发展使个人信息保护问题更加突出,且使个人信息保护问题具有了鲜明的时代特征:个人信息多以电子形式记录,个人信息的收集、存储、使用、加工、传输、提供等行为主体多为电子商务经营者、网络经营者或者提供互联网平台服务的信息处理者,个人信息处理亦多通过互联网应用程序或者其他互联网手段,非法收集、使用、传输他人个人信息、大数据杀熟、违法人脸识别等侵害个人信息的违法犯罪行为很多都是通过互联网发生,个人信息保护的重要手段如删除、屏蔽、断开链接等也是通过互联网完成。因此,几乎可以说,当代个人信息保护的各个环节都是围绕互联网展开。国家网信办是负责互联网信息安全保护的国家行政机关,由国家网信办负责统筹协调个人信息保护工作和相关监督管理工作,是适应个人信息保护问题互联网化的必然要求。第二,个人信息处理行为多与网络建设、网络服务、网络宣传、网络出版、网络创作等行为密切相关,而上述行为都属于国家网信办的监管范畴。同时,个人信息侵权和违法犯罪行为多与网络谣言、网络诈骗、网络暴力等违法犯罪行为密不可分,往往构成其他网络违法犯罪行为的基础行为。由国家网信办负责统筹协调个人信息保护工作和相关监督管理工作,便于统筹谋划、一并打击。第三,《个人信息保护法》与《
网络安全法》《
数据安全法》共同构成我国信息和网络安全领域完备、全面和系统的法律保护体系。根据《网络安全法》和《数据安全法》之规定,国家网信部门负责网络安全和网络数据安全的统筹协调和相关监督管理工作。由国家网信办统筹协调个人信息保护工作和相关监督管理工作,便于构建统一、协调、有力的国家网络安全监管体系。第四,个人信息保护与其他网络数据安全保护在手段上具有共通性,国家网信部门在相关领域具有丰富的监管经验和无可比拟的优势,由国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作,有利于提高个人信息保护的效率、质量和水平。
依照本条规定,在个人信息保护方面,国家网信部门主要承担两个方面的职责:
第一,统筹协调个人信息保护工作。所谓统筹协调,是指有关个人信息保护问题涉及多个部门工作职责,为避免推诿塞责、确保步调一致、形成保护合力,由国家网信部门把有关部门组织到一起,共同研究对策、形成工作方案,主要是个人信息保护政策、信息、资源、事件处置等方面的统筹协调。在这个过程中,国家网信部门未必是直接的、主要的监督管理部门,其统筹协调工作是“统揽而不包揽”。主要包括以下几个方面的工作:一是《个人信息保护法》明确的统筹协调工作,比如,本法第62条规定:“国家网信部门统筹协调有关部门依据本法推进下列个人信息保护工作:(一)制定个人信息保护具体规则、标准;(二)针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用,制定专门的个人信息保护规则、标准;(三)支持研究开发和推广应用安全、方便的电子身份认证技术,推进网络身份认证公共服务建设;(四)推进个人信息保护社会化服务体系建设,支持有关机构开展个人信息保护评估、认证服务;(五)完善个人信息保护投诉、举报工作机制。”二是涉及多个部门监管职责时的统筹协调。个人信息保护涉及多个部门的监管职责,在立法过程中,有人建议设立或明确统一的监管机构,有的建议厘清有关监管部门的职责,对无明确行业监管的领域要明确监管部门,避免多头执法或推诿扯皮。本条结合我国国情和既有法律规定,没有对有关部门的具体监管职责作出明确规定,而是明确国家网信部门为个人信息保护的统筹协调部门,其他部门根据法律、行政法规的规定在各自职责范围内履行个人信息保护职责。在具体监管中,如果有关部门因执法权限问题发生争议的,国家网信部门可统筹协调解决。三是《个人信息保护法》中有些工作任务未明确责任主体的,应当通过统筹协调进一步推进。如本法第12条规定:“国家积极参与个人信息保护国际规则的制定,促进个人信息保护方面的国际交流与合作,推动与其他国家、地区、国际组织之间的个人信息保护规则、标准等互认。”四是《个人信息保护法》提到的“依照有关规定”“遵守国家有关规定”,如果目前还没有规定或者规定不完善的,要统筹协调,抓紧制定或完善有关规定。
第二,相关监督管理工作。这是指国家网信部门对个人信息处理行为及相关违法行为负有直接的监督管理职责。比如,《个人信息保护法》第38条第1款规定:“个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;(四)法律、行政法规或者国家网信部门规定的其他条件。”第40条规定:“关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。”第45条第3款规定:“个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。”上述组织安全评估、个人信息保护认证管理、制定标准合同、规定个人信息转移条件等行为就是本条规定的监督管理行为。
二、国务院有关部门在各自职责范围内负责个人信息保护和监督管理工作
个人信息种类繁多,个人信息处理广泛存在于社会生活各个领域,涉及多个部门监管职责,国务院有关部门应当依照法律、行政法规有关规定,在职责范围内负责个人信息保护和监督管理工作。我国多部法律、行政法规对有关部门的个人信息保护职责作出规定。比如,根据《网络安全法》相关规定,国务院电信主管部门、公安部门等有关机关对与网络安全相关的个人信息负有保护和监督管理职责;依法负有网络安全监督管理职责的部门和人员,必须对在履行职责中知悉的个人信息严格保密,不得泄露、出售或者非法向他人提供。根据《数据安全法》有关规定,工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责,其中包括对个人信息数据安全的监管职责。根据《
消费者权益保护法》相关规定,工商行政管理部门负有消费者个人信息保护职责,对侵害消费者个人信息的行为,有权作出相关行政处罚。根据《
居民身份证法》,公安机关对于公民申请领取、换领、补领居民身份证登记的指纹信息,对因制作、发放、查验、扣押居民身份证而知悉的公民个人信息,应当予以保密,对国家机关或者金融、电信、交通、教育、医疗等单位的工作人员泄露在履行职责或者提供服务过程中获得的居民身份证记载的公民个人信息的行为,有权给予行政处罚。根据《
邮政法》有关规定,邮政管理部门对与邮政相关的个人信息负有保护职责,对于邮政企业、快递企业违法提供用户使用邮政服务或者快递服务的信息的行为,可以给予相关的行政处罚。此外,《
电子商务法》以及教育、医疗等有关
法律法规亦对个人信息保护和监督管理工作主体作出规定。
三、县级以上地方人民政府有关部门按照国家有关规定承担个人信息保护和监督管理职责
在本法起草过程中,有观点认为应当在国家层面设立或明确统一的监管机构,且可根据需要在主要区域设立分支机构,避免地方逐级设立机构。根据我国国情,一般而言,国务院有关部门负有相应的行政管理职责的,县级以上地方人民政府对应部门也负有相应的行政管理职责。根据本条规定,国务院有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作。相应地,县级以上地方人民政府对应的部门一般也应当在各自职责范围内负责个人信息保护和监督管理工作,但不同层级的部门可能监督管理权限不同,必须依据国家有关规定行使监管权力。我国多部法律、行政法规、部门规章乃至国家政策性文件都对相关部门个人信息保护和监督管理工作进行了规定,故本条规定,县级以上地方人民政府有关部门的个人信息保护和监督管理职责,按照国家有关规定确定。这里面隐含着四层意思:第一,负责个人信息保护和监督管理工作的职能部门按照国家有关规定确定。比如,根据上述有关法律规定,地方以上人民政府网信、电信、公安、教育、医疗、交通、邮政等部门都有个人信息保护和监督管理工作。对于一些行政管理事项在县级以上地方人民政府的职责划分,有时候在国家层面不作规定,而是授权地方政府根据自身情况确定。比如,《电子商务法》第6条规定:“国务院有关部门按照职责分工负责电子商务发展促进、监督管理等工作。县级以上地方各级人民政府可以根据本行政区域的实际情况,确定本行政区域内电子商务的部门职责划分。”由于个人信息保护涉及自然人重大人身、财产权益,有必要建立条线结合、上下联动的保护机制,不宜由地方政府自行作出部门职责划分,必须根据国家有关规定确定。第二,个人信息保护和监督管理的职责内容按照国家有关规定确定。如本法第61条规定:“履行个人信息保护职责的部门履行下列个人信息保护职责:(一)开展个人信息保护宣传教育,指导、监督个人信息处理者开展个人信息保护工作;(二)接受、处理与个人信息保护有关的投诉、举报;(三)组织对应用程序等个人信息保护情况进行测评,并公布测评结果;(四)调查、处理违法个人信息处理活动;(五)法律、行政法规规定的其他职责。”第三,个人信息保护和监督管理的具体职责及其对应的部门层级按照国家有关规定确定。比如,本法第66条规定:“违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。”本条对不同层级的履行个人信息保护职责的部门的行政处罚权限和种类作出了明确规定。第四,个人信息保护和监督管理的措施手段按照国家有关规定确定。比如,本法第63条规定:“履行个人信息保护职责的部门履行个人信息保护职责,可以采取下列措施:(一)询问有关当事人,调查与个人信息处理活动有关的情况;(二)查阅、复制当事人与个人信息处理活动有关的合同、记录、账簿以及其他有关资料;(三)实施现场检查,对涉嫌违法的个人信息处理活动进行调查;(四)检查与个人信息处理活动有关的设备、物品;对有证据证明是用于违法个人信息处理活动的设备、物品,向本部门主要负责人书面报告并经批准,可以查封或者扣押。”
【条文适用】
一、关于履行个人信息保护职责的部门
根据本条第3款规定,前两款规定的部门统称为履行个人信息保护职责的部门,故本法所称的履行个人信息保护职责的部门是具有特定内涵的专门概念,专指履行个人信息保护职责的有关国家行政机关,其外延包括履行个人信息保护职责的国家网信部门、国务院有关部门、县级以上地方人民政府有关部门,不包括司法机关。本法第64条第2款规定:“履行个人信息保护职责的部门在履行职责中,发现违法处理个人信息涉嫌犯罪的,应当及时移送公安机关依法处理。”可见,公安机关在行使与个人信息保护相关的行政管理职权时,属于本法意义上的履行个人信息保护职责的部门;公安机关在履行追查犯罪的司法职能时,不属于本法意义上的履行个人信息保护职责的部门。
二、关于履行个人信息保护职责的性质
根据本条第1款规定,国家网信部门主要承担两方面职责,即统筹协调个人信息保护工作和相关监督管理工作。其中统筹协调的对象主要是有关履行个人信息保护职责的部门,其不主要针对行政相对方作出决定,原则上不属于行政法意义上的可诉行政行为,相应地也就不具有可诉性。至于与个人信息保护相关的监督管理工作,其主要是针对行政相对方作出行政行为,在符合《
行政诉讼法》规定的条件时,可以提起行政诉讼。如本法第66条第2款规定的针对违法个人信息处理行为的行政处罚行为,相对方不服的,可以提起行政诉讼。
