【条文主旨】
本条是关于履行个人信息保护职责的部门的个人信息保护职责的规定。
【条文理解】
本条采取列举加兜底条款的形式,对履行个人信息保护职责的部门的个人信息保护职责作出明确规定。
一、开展个人信息保护宣传教育,指导、监督个人信息处理者开展个人信息保护工作
在信息化时代,收集、处理个人信息已经成为社会生活的普遍常态,全球数据量爆炸式增长,这在方便了人们日常生活的同时,也增加了个人信息权益被侵害的风险,个人信息被非法收集、处理和泄露等已经成为严重的社会问题。造成这些问题的原因,从个人角度讲,主要是因个人信息保护意识不强、能力不足,不能履行好个人信息保护第一责任人的责任,个人信息被他人违法处理却浑然不觉,甚至有意无意充当了自身个人信息权益被他人侵害的“帮凶”,等到发生严重后果时才“悔之晚矣”;从个人信息处理者角度来讲,主要是法治意识不强、法律知识贫乏,对合法与违法处理个人信息的边界认识模糊,对违法处理他人信息的严重后果预估不足,还有的是管理能力不强,造成其所控制的个人信息泄露、篡改、丢失。这就需要加强宣传教育,提高社会民众的个人信息安全防护意识、风险预判和防控能力,以及个人信息处理者的守法意识和依法处理个人信息能力,从源头上减少侵害个人信息权益的违法犯罪行为。本法第11条规定:“国家建立健全个人信息保护制度,预防和惩治侵害个人信息权益的行为,加强个人信息保护宣传教育,推动形成政府、企业、相关社会组织、公众共同参与个人信息保护的良好环境。”故本条将开展个人信息保护宣传教育,指导、监督个人信息处理者开展个人信息保护工作作为履行个人信息保护职责的部门的第一项职责予以规定。
开展个人信息保护宣传教育,对个人来讲,重点是讲清个人信息权益被侵害的严重危害后果,唤起对保护个人信息权益的重视;讲清个人信息权益保护的风险点和应对之策,提高其预防、化解风险的能力;讲清个人信息权益被侵害后的维权方法和救济手段,以便在损害发生后第一时间寻求法律救济。对个人信息处理者来讲,重点是讲清合法与违法的界限,让其知道哪些可为、哪些不可为;讲清违法处理个人信息的法律责任,让其心有所畏、行有所止;指导其排查个人信息处理过程中的风险隐患,有针对性地加强管理、堵塞漏洞。开展宣传教育、指导、监督的方法不一而足,比如,举办个人信息保护专题讲座,编发个人信息保护宣传册,组织专项普法活动,开展个人信息保护大排查,在执法过程中对具体的个人和个人信息处理者进行普法教育等。
二、接受、处理与个人信息保护有关的投诉、举报
当前,个人信息保护面临着维权渠道窄、成本高、侵权处罚力度不够等问题,制约着用户的维权意愿。对此,本法第65条规定:“任何组织、个人有权对违法个人信息处理活动向履行个人信息保护职责的部门进行投诉、举报。”所谓投诉,主要是指个人信息权益被侵害的个人或者利害关系人向有关部门反映被侵害的事实,请求有关部门处理违法行为、维护自身合法权益的行为。所谓举报,主要是指社会公众针对侵害本人或者他人个人信息权益的违法行为请求有关部门处理的行为。接受投诉、举报是履行个人信息保护职责的部门发现、处理侵害个人信息权益违法犯罪行为、维护个人信息权益的重要途径,故本条将接受、处理与个人信息保护有关的投诉、举报作为履行个人信息保护职责部门的重要职责予以规定,并在第65条重申“收到投诉、举报的部门应当依法及时处理,并将处理结果告知投诉、举报人”;第62条再次强调国家网信部门要统筹协调有关部门完善个人信息保护投诉、举报工作机制,足见投诉、举报相关工作职责的重要性。
根据本法第65条规定,收到投诉、举报的部门应当依法及时处理。所谓依法,就是按照法定的权限、程序、方式作出处理。投诉、举报属于本部门职责权限范围内的,要及时受理,不得敷衍塞责、有诉不理;不属于本部门职责权限范围内的投诉、举报,要根据有关规定告知投诉、举报人有管辖权的部门,或者移送有管辖权的部门。受理投诉、举报后,要根据投诉、举报人的诉求和反映问题的性质、种类,按照法律规定的程序、方式和种类作出处理,该调解的调解,该立案调查的立案调查,该处罚的依法处罚,该移送公安机关的要及时移送公安机关。处理完毕后,投诉举报承办部门应当将投诉举报的受理、不予受理、终止处理、终止调解、调解成功、立案、不予立案、作出行政处罚、不予行政处罚、移送等结果及时告知投诉、举报人。所谓及时,就是对投诉、举报要第一时间受理、处理、答复,不能久拖不决;
法律法规对处理投诉、举报的时限有要求的,要在法定权限内处理。例如,《
消费者权益保护法》第46条规定:“消费者向有关行政部门投诉的,该部门应当自收到投诉之日起七个工作日内,予以处理并告知消费者。”
三、组织对应用程序等个人信息保护情况进行测评,并公布测评结果
当前,以移动互联网为代表的现代信息技术日新月异,不断推动各类App蓬勃发展,App在架数量和用户规模持续扩大。据有关统计,截至2020年底,我国国内市场上监测到的App数量为345万款。应用程序在大大方便人们的生产生活的同时,也出现了未经授权擅自收集、过度和非必要收集、频繁索取和强制收集、通讯录窃取、相册非授权读写、私自共享给第三方、大数据杀熟等严重侵害个人信息权益问题,严重侵扰了人们的生活安宁和信息自主权,成为个人信息保护的关键领域。2019年,工业和信息化部开展了App侵害用户权益专项整治工作,中央网信办、工业和信息化部、公安部和国家市场监督管理总局在全国范围内组织开展App违法违规收集使用个人信息专项治理工作,加大个人信息保护力度。随后,工业和信息化部等部委充分利用技术检测优势,开展App用户权益保护测评工作,取得一定成效,但也存在法律依据不足、测评结果运用不足等问题,一定程度上掣肘了工作的开展。
本法对近年来App应用程序快速发展带来的个人信息保护问题作出回应,明确规定收集个人信息应当限于实现处理目的的最小范围,基于个人同意处理个人信息的,个人有权撤回其同意;自动化决策应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇;通过自动化决策方式向个人进行信息推送、商业营销的,应提供不针对其个人特征的选项或提供便捷的拒绝方式;将生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息以及不满14周岁未成年人的个人信息列为需要单独同意的敏感信息。不仅如此,本法还要求提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当成立主要由外部成员组成的独立机构进行监督,制定有关个人信息保护的平台规则,定期发布个人信息保护社会责任报告等。以上规定,可谓给平台企业和App应用程序戴上了紧箍。本条进一步将组织对应用程序等个人信息保护情况进行测评作为履行个人信息保护职责部门的职责明确规定,为近年来的App治理行动提供了合法性支撑。尤其重要的是,本条授权履行个人信息保护职责的部门公布测评结果,这有助于企业自查自纠,便于有关部门对相关违法行为及时作出处理,也有助于用户在使用应用程序时注意保护自己的个人信息。
四、调查、处理违法个人信息处理活动
调查、处理违法个人信息处理活动是履行个人信息保护职责部门的重要职责,是指履行个人信息保护职责的部门根据投诉、举报或者通过其他途径发现的违法线索,对涉嫌违法个人信息处理活动进行调查,并根据调查结果依法作出处理的行为。履行个人信息保护职责的部门通过调查、处理违法个人信息处理活动,打击侵害个人信息权益的违法犯罪行为,震慑潜在的违法犯罪行为,依法保护个人信息权益。依照本法第63条规定,履行个人信息保护职责的部门履行个人信息保护职责,可以采取下列措施:(1)询问有关当事人,调查与个人信息处理活动有关的情况;(2)查阅、复制当事人与个人信息处理活动有关的合同、记录、账簿以及其他有关资料;(3)实施现场检查,对涉嫌违法的个人信息处理活动进行调查;(4)检查与个人信息处理活动有关的设备、物品;对有证据证明是用于违法个人信息处理活动的设备、物品,向本部门主要负责人书面报告并经批准,可以查封或者扣押。根据调查结果,履行个人信息保护职责的部门要根据不同情形依法作出处理。对确实构成违法个人信息处理行为的,要依法及时制止、责令改正,防止损害的扩大;对当事人请求调处的相关纠纷,依照法定权限进行调解工作;对于调解不成,又不属于本部门职责范围内事项的,可以告知当事人通过仲裁、诉讼等途径解决纠纷;对于符合本法第70条规定的违法个人信息处理行为,支持法律规定的消费者组织和由国家网信部门确定的组织依法向人民法院提起诉讼;对于尚未构成犯罪的违法个人信息处理行为,依据本法第66条及其他法律、法规的有关规定,给予警告、罚款、没收违法所得、责令暂停或者终止提供服务、责令停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照等行政处罚;发现违法处理个人信息涉嫌犯罪的,应当及时移送公安机关依法处理。
五、法律、行政法规规定的其他职责
除了本条规定以外,本法、其他有关法律、行政法规对履行个人信息保护职责部门的职责有规定的,从其规定。例如,本法第38条、第40条规定的组织安全评估,即为国家网信部门的重要职责。又如,本法第32条规定:“法律、行政法规对处理敏感个人信息规定应当取得相关行政许可或者作出其他限制的,从其规定。”本条规定的行政许可或者作出其他限制,就是有关履行个人信息保护职责部门的个人信息保护职责。再如,本法第62条规定的“制定个人信息保护具体规则、标准”以及“针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用,制定专门的个人信息保护规则、标准”,也是相关履行个人信息保护职责部门的重要职责。
【条文适用】
一、注重事前预防
个人信息权益侵权行为往往损害后果巨大,且造成的损害往往具有不可逆转性。加强事前防范,从源头上预防违法处理个人信息行为的发生,在个人信息保护方面具有特别重要的意义。对此,本法要求个人信息处理者要制定内部管理制度和操作规程,加强信息分类管理,采取相应的加密、去标识化等安全技术措施,合理确定个人信息处理的操作权限,定期对从业人员进行安全教育和培训,制定并组织实施个人信息安全事件应急预案等,预防可能发生的安全风险。同时,本条将履行个人信息保护职责部门的预防性职责置于首位,强调履行个人信息保护职责的部门要注重开展个人信息保护宣传教育,指导、监督个人信息处理者开展个人信息保护工作,同时要组织对应用程序等个人信息保护情况进行测评,并公布测评结果,这些都是“治未病”的重要举措。履行个人信息保护职责的部门要深刻领会立法意图,切实纠正以往重事后处罚、轻事前预防和事中监管的不良做法,把预防性职责摆在工作职责首位,加强事前预防和日常监管,切实预防和减少侵害个人信息权益违法犯罪行为的发生。
二、注重过程监管
以往,政府对互联网监管主要采用事后监管模式,而本法采用的是合作型监管模式,即由政府发布标准,企业自行建立数据合规体系、健全监督管理机制,自我管理、自我监督,实现他律和自律的有机互动。例如,本法第52条第1款规定:“处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。”第54条规定:“个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。”根据第55条规定,个人信息处理者在处理敏感个人信息、利用个人信息进行自动化决策、委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息、向境外提供个人信息等情况下,应当事前进行个人信息保护影响评估,并对处理情况进行记录。根据第58条规定,提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督;遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务;定期发布个人信息保护社会责任报告,接受社会监督。在强调企业自主监管的同时,强化过程监管,企业的合规动作本身也是履行个人信息保护职责的部门监管的对象。根据本法第66条规定,不管是否出现数据泄露等问题,只要上述合规要求不达标,处理个人信息未履行本法规定的个人信息保护义务的,也有可能面临行政处罚。
三、加大处罚力度
本法不仅强化了履行个人信息保护职责部门的事前预防和过程监管职责,还强化了事后监管力度,尤其是加大了行政处罚的力度。个人信息权益既是自然人的重要人身权益,又蕴含着巨大的财产价值,违法行为人可以通过收集、加工个人信息获取经济利益,巨大的利益诱惑可能会使违法者铤而走险,从事违法处理个人信息行为。只有加大行政处罚力度,让违法者得不偿失,才能从根本上遏制侵害个人信息权益行为高发的态势。为此,本法第66条规定:对情节严重的违法处理个人信息行为,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处5000万元以下或者上一年度营业额5%以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处10万元以上100万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。处罚的力度是空前的。
