【条文主旨】
本条是关于履行个人信息保护职责的部门在履行个人信息保护职责过程中可以采取的措施的规定。
【条文理解】
一、关于履行个人信息保护职责的部门的理解
个人信息保护与消费者权益保护一样,既需要“公法保护”,也需要“私法保护”。公法保护就是依托行政监管,由行政机关对违反个人信息保护法律规范的行为进行查处和治理,行政相对人对行政机关的有关行为不服的,依法申请行政复议或提起行政诉讼。私法保护就是将个人信息保护纳入司法体系,为受到侵害的当事人提供救济。学界普遍认为,欧盟及其成员国对个人信息保护以公法为主,美国则以私法为主对其进行保护。我国的个人信息保护法对个人信息的保护,既包括公法保护,也包括私法保护。《个人信息保护法》第六章“履行个人信息保护职责的部门”和第七章“法律责任”明确了我国的个人信息保护的公法保护机制,包括:履行个人信息保护职责的部门、职责、措施、处罚等内容。
就公法保护个人信息而言,受传统影响,也有不同的行政监管模式。例如,GDPR在欧盟成员国层面并没有要求各成员国必须设立唯一的监管机构,但成员国需指定一个监管机关在数据保护委员会代表这些监管机关,并建立一致性机制以确保各监管机关的合作。GDPR第56条至第58条明确了主监管机关和所有监管机关拥有的职权。我国在个人信息保护法起草过程中对行政监管是否应当由独立、统一的部门来行使这一职责问题也存在很大争议。有意见认为,我们应当单设统一独立的监管机构,主要理由是国家机关也是被纳入监管范围的,需要一个独立监管机构。也有意见认为,现在应当尊重中国国情,各个业务部门分头去管也不是完全不行。值得注意的是,在《个人信息保护法(草案)》提交审议前,征求意见稿中曾设置了统一负责个人信息保护、监督、执法的工作机构,并规定了国家和地方的个人信息保护机构。但在公布的《个人信息保护法(草案)》中该条发生了变化,《个人信息保护法》最终确立多主体执法机构,国家网信部门作为统筹协调部门,多个执法部门依据各行业
法律法规对涉及个人信息保护的问题进行分段监管、分散执法的模式。中国个人信息保护的行政监管体系如有些学者所称,呈“九龙治水”之势,即按照现有法律、法规规定,网信办、市监总局、工信部、公安部以及教育、医疗、卫生、金融等相关领域的管理部门都负有监管职责。例如,针对涉及隐私的个人信息,《
治安管理处罚法》授权公安机关进行相应的监督处罚;在消费者保护领域,《
消费者权益保护法》规定工商行政管理部门有义务查处经营者侵害消费者个人信息依法得到保护的权利的行为;在电信业务领域,《电信和互联网用户个人信息保护规定》要求工业和信息化部和通信管理局对电信和互联网用户个人信息保护进行监管;在所有涉及网络运营者的范围内,《
网络安全法》规定非法使用他人信息尚部构成犯罪的,由公安机关负责执法;在征信业领域,《征信业管理条例》要求中国人民银行及其派出机构承担个人信息的监管责任。
关于履行个人信息保护职责的部门和基本架构,本法第60条规定,国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门(如公安部门、市场监督管理部门、工业信息部门、行业监管部门等)依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作。县级以上地方人民政府有关部门按照国家有关规定进行基层监管。由于履行个人信息保护职责涉及多个部门,为防止职责交叉重叠,互相推诿扯皮,《个人信息保护法》明确了三类职责部门的职责分工:第一,国家网信部门统筹协调职能。为充分发挥国家网信部门的统筹协调作用,保证个人信息保护法的贯彻实施,《个人信息保护法(草案二次审议稿)》增加了国家网信部门的统筹协调作用的规定。根据本法第62条规定,国家网信部门统筹协调有关部统筹协调工作主要包括以下内容:(1)制定个人信息保护具体规则、标准;(2)针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用,制定专门的个人信息保护规则、标准;(3)支持研究开发和推广应用安全、方便的电子身份认证技术,推进网络身份认证公共服务建设;(4)推进个人信息保护社会化服务体系建设,支持有关机构开展个人信息保护评估、认证服务;(5)完善个人信息保护投诉、举报工作机制。第二,国务院有关部门依法履行个人信息保护和监管工作,国务院有关部门主要包括:国务院电信主管部门、公安部门、国务院其他有关部门如市场、交通、金融、自然资源、卫生健康、教育、科技等领域的国务院主管部门,这些部门按照法律、行政法规规定的各自职责分工负责相关领域的个人信息保护工作。第三,县级以上地方人民政府有关部门按照国家规定确定个人信息保护和监督管理职责。
二、履行个人信息保护和监督管理职责监督手段
《个人信息保护法》第61条规定了履行个人信息保护职责部门的具体工作职责,包括:(1)开展个人信息保护宣传教育,指导、监督个人信息处理者开展个人信息保护工作;(2)接受、处理与个人信息保护有关的投诉、举报;(3)组织对应用程序等个人信息保护情况进行测评,并公布测评结果;(4)调查、处理违法个人信息处理活动;(5)法律、行政法规规定的其他职责。行政监管不仅可以贯穿事前预防、事中监督和事后处理等信息保护的全过程,也可以综合运用包括风险管理、调查和处罚等多种手段,还在制止侵权行为方面也具备快速和便捷的特点,充分应对现实中的各种挑战,从而为个人信息提供多角度和全方位的保障。[1]
事前预防、事中监督、事后处理是履行个人信息保护职责部门三大手段。《个人信息保护法》中规定的事前预防措施主要有:(1)敏感个人信息的行政许可制度。《个人信息保护法》第32条规定:“法律、行政法规对处理敏感个人信息规定应当取得相关行政许可或者作出其他限制的,从其规定。”(2)向境外提供个人信息安全评估制度。《个人信息保护法》第40条规定:“关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。”(3)个人信息保护负责人制度。《个人信息保护法》第52条第1款规定:“处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。”(4)个人信息保护影响评估制度。《个人信息保护法》第55条规定:“有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录:(一)处理敏感个人信息;(二)利用个人信息进行自动化决策;(三)委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;(四)向境外提供个人信息;(五)其他对个人权益有重大影响的个人信息处理活动。”事中监督主要包括以下制度:(1)行政约谈。行政约谈是执法部门在个人信息保护监督工作比较典型的事中监督措施。2018年,支付宝曾因在“年度账单”查看中默认用户同意《芝麻服务协议》,而被国家网信办网络安全协调局约谈,并被要求排查整顿。《个人信息保护法》第64条第1款规定:“履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈,或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。个人信息处理者应当按照要求采取措施,进行整改,消除隐患。”(2)合规审计。《个人信息保护法》中的合规审计包括两种:第一种是个人信息处理者内部定期合规审计。《个人信息保护法》第54条规定:“个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。”第二种是强制要求个人信息处理者进行合规审计,《个人信息保护法》第64条对此作出了规定。
事后处罚是行政执法全流程的后盾。《个人信息保护法》第61条明确了个人信息保护职责部门应当调查、处理违法个人信息处理活动,并在第七章规定了违法处理个人信息或为落实安全保护义务的法律责任。
三、履行个人信息保护职责的部门处理违法处理个人信息处理活动可以采取的主要措施
履行个人信息保护职责的部门在发现个人信息处理者违法处理个人信息活动的,在作出处理之前,必须全面、客观、公正地调查,收集有关证据。针对违法处理个人信息处理活动的调查、处理流程,本条列举了主管部门可以采取的主要措施:
1.询问有关当事人,调查与个人信息处理活动有关的情况。询问是每个案件必须进行的一种重要的调查行为,目的是收集和核对证据材料,核对案件的真实情况。根据《
行政处罚法》的相关规定,询问必须由法定人员进行,一是要求法律规定的有相应行政职权的机关或组织指派的办案人员。二是应当符合法定人数。询问当事人,办案人员不应不少于二人。询问对象包括个人信息处理者的个人信息保护负责人、相关工作人员或者遭受侵害的个人。
2.查阅、复制当事人与个人信息处理活动有关的合同、记录、账簿以及其他有关资料。履行个人信息保护职责的部门在调查、处理过程中可以查阅、复制当事人与个人信息处理活动有关的合同、记录、账簿以及其他有关资料。该项措施是行政机关收集和保存证据重要手段。
3.实施现场检查,对涉嫌违法的个人信息处理活动进行调查。履行个人信息保护职责的部门在处理涉嫌违法的个人信息处理活动时享有调查、检查权。实施现场检查是调查活动的重要方法,是履行个人信息保护职责的部门为调查违法行为,获取相关信息,强制要求当事人配合,进入其经营场所、办公场所进行检查的行政行为。
4.检查与个人信息处理活动有关的设备、物品;对有证据证明是用于违法个人信息处理活动的设备、物品,向本部门主要负责人书面报告并经批准,可以查封或者扣押。调查是为了查明违法行为,获得证据或者查获违法行为人依法进行的专门调查工作和采取有关的行政强制措施活动。检查是行政机关依法对相对人是否遵守法律、法规和行政规章的情况进行了解的行为。检查是行政机关依法对相对人是否遵守法律、法规和规章的情形进行了解的行为,是国家行政执法机关查处行政违法案件的重要手段。履行个人信息保护职责的部门在调查、检查过程中,可以查验与个人信息处理活动有关的设备、物品,包括计算机、服务器等。如果证据证明查验的有关设备、物品是从事违法处理个人信息活动中使用的,应当根据本法规定的程序,可以对查验的物品进行查封或扣押。本条规定的查封或扣押措施对应《
行政强制法》第9条第2项查封场所、设施或者财务和第3项,扣押财物。查封是行政机关限制当事人对其财产的使用和处分的强制措施,主要是对不动产或者其他不便移动的财产,由行政机关以加贴封条的方式限制当事人对财产的移动或者使用。扣押是行政机关解除当事人对其财物占有,并限制其处分的强制措施。
四、当事人的配合义务
本条规定,履行个人信息保护职责的部门依法履行职责,当事人应当予以协助、配合,不得拒绝、阻挠。例如,执法人员在调查时,当事人或者有关人员应当如实回答询问,并协助调查或者检查,不得拒绝或者阻挠调查活动。对于涉及违法处理个人信息的案件,在履行个人信息保护职责的部门进行调查时,个人信息处理者有义务协助、配合执法机关的调查取证活动,否则可能构成本法第66条规定的“拒不改正”“情节严重”的情形,进而加大处罚力度,亦可能构成《治安管理处罚法》“阻碍国家机关工作人员依法执行职务”的行为情节严重者可处5日以上10日以下拘留及罚款。协助、配合义务是法律上的强制性规定,当事人没有选择适用的空间。
【条文适用】
第一,根据《个人信息保护法》第60条规定,国家网信部门负责统筹协调个人信息保护工作和监督管理工作。国务院有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作。如前所述,国家网信部门在个人信息保护中的作用是统筹协调,而非是独立、统一的个人信息保护监管机关。国务院有关部门“依照本法和有关法律、行政法规的规定”,在其职责范围内负责相关个人信息保护和监督管理工作。其他法律、行政法规对行政机关的个人信息保护职责有规定的,该机关同样也拥有个人信息保护领域的执法权。因此,所有履行个人信息保护职责的部门,包括国家网信部门、国务院有关部门以及县级以上地方人民政府有关部门在执行检查都可以适用本条规定的措施。
第二,本条为给执法行为提供充分保障规定了执行调查措施。一方面,行政执行措施应当坚持适当原则,采用的执行措施应当以实现行政管理为目的。例如,本条规定“查阅、复制当事人与个人信息处理活动有关的合同、记录、账簿以及其他有关资料”,应当将查阅、复制的对象限定在与被调查违法行为相关的合同、记录、账簿以及其他有关资料上。另一方面,其他法律、行政法规对执行措施的行使条件和程序有明确规定的,还要依据其他法律、行政法规的规定执行。
第三,本条只是规定了履行个人信息保护职责部门在执法过程中可以采取的行政执法措施的类别,对于从调查到作出处罚决定的具体流程,还要根据《行政处罚法》等相关规定明确主管机关和当事人的权利义务。(1)主管机关在调查前应当履行告知义务。主管机关应当及时告知个人信息处理者的个人信息违法事实,并采取信息化手段或者其他措施,为其查询、陈述和申辩提供便利。不得限制或者变相限制个人信息处理者享有的陈述权、申辩权。(2)当事人享有申辩、陈述权。主管机关必须充分听取个人信息处理者的意见,对其提出的事实、理由和证据,应当进行复核;个人信息处理者提出的事实、理由或者证据成立的,主管机关应当采纳。(3)执法检查与取证。根据《行政处罚法》的规定,如涉及通过走访现场进行取证的,应由2名以上执法人员,持调取证据的法律文书,经出示执法证件后实施。针对个人信息保护领域的取证更多地表现为电子证据的调取,行政机关的电子取证可能涉及平台数据和用户所提供的数据,其中包含用户的个人信息的数据如电子邮件、即时通信记录、博客、微博、网页历史记录、IP地址、手机短信、电子痕迹等均可能成为取证对象。(4)处罚决定和处罚种类。行政调查终结后主管部门将对调查结果进行审查并视情况作出行政处罚决定或决定不予行政处罚。《个人信息保护法》第七章法律责任中第66条规定:“违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。”(5)听证。《行政处罚法》对较大数额的罚款、没收大额违法所得、吊销许可证、责令停产停业等较重的行政处罚要求行政机关应当组织听证。
第四,当事人能否针对行政执法措施请求救济的问题。若企业对执法检查和取证本身有异议,当事人能否单独就行政执法措施请求司法救济?我们认为,某些行政执法措施行为具有过程性,并非完整的具体行政行为,因此企业无法单独以该行为提起行政复议或行政诉讼。但如果行政机关对相关证据实行了查封、扣押的强制措施,则企业可以要求执法人员解释所扣押的材料/数据与检查文件以及检查本身之间的相关性,可以要求执法人员交付查封、扣押决定书和清单,企业可以通过提起行政复议和行政诉讼进行救济。公权力机关调取证据的范围尚无规范进行具体限制,但其仍然是有权力边界的,即不得侵害公民的合法权益。执法检查和取证应当始终符合比例原则,明确具体取证目的(目的正当),确保取证和检查有助于查明案件(适当性),执法检查和取证对个人信息处理者和个人信息主体的损害最小(必要性),并且应当充分评估取证过程对个人信息的处理、披露等对个人信息主体的损害,以及取证对个人信息处理者的损害,最终与该取证行为可获得的证明利益对比,从而达到比例上的均衡(均衡性)。
