地址:成都市天府大道中段1388号花样年·美年广场,JR·Fantasia花漾锦江B栋10楼1007室
专业视野|我国个人信息保护行政监管的现状分析
发布时间:2023-07-18 08:10:38 浏览量:841
[摘要]个人信息保护行政监管历来存在“九龙治水”的情况,《个人信息保护法》也未设置单独、独立的监督机构监管个人信息保护,而是设定了“统筹监管下的协作监管(1+X)”的监管模式,包括国家网信办、工信部、公安部、市场监管总局四部委,以及国务院及地方政府的相关部门。从过往的监管行动来看,个人信息保护的行政监管呈现专项执行、联动执行、高频次、公开通报以及更加科学和技术化等趋势,但也存在监管分散、监管职责不清、程序不明,缺乏专业性、独立性等问题,亟待解决。
[关键词]个人信息保护;行政监管;联动执行;监管分散
数字经济时代,个人信息作为新的生产要素,作用越发凸显,不仅影响到个人权益、企业经营,更关系到公共利益和国家安全。伴随着信息技术的发展,个人信息违法违规收集和使用等问题愈加严峻,个人信息违法犯罪活动也日益增多,如何有效地监管个人信息的收集和处理,打击个人信息违法犯罪行为,平衡个人信息的保护和利用,已成为重要课题。行政监管是个人信息保护的主要方式和力量,介于民事和刑事之间,通常能够更加快速和有效地进行监管,更好地预防和制止风险,及时惩处或校正个人信息处理不当行为,行政执法也可以为涉及个人信息处理的企业提供合规指引、参考。近年来,监管机构不断通过各类执法行动对个人信息违法犯罪行为进行惩治和监管,取得了良好效果。但是,个人信息保护的行政监管机构众多,存在标准不一、监管领域不清等问题,既可能导致个人信息主体遭受侵害时救济途径不清,有可能造成企业因疲于应付监管而无法真正做好个人信息保护。因此,厘清个人信息保护行政监管的现状及问题,有利于行政监管发挥事前预防、事中监督和事后处理贯穿个人信息保护全过程的作用[],更好地保护个人信息权益。
一、个人信息保护行政监管的现状
个人信息保护的行政监管素来存在“九龙治水”的现象,网信部门、电信主管部门、公安部门、市场监管部门以及金融、教育、交通、医疗、卫生等相关领域的主管部门都负有监管责任。在《个人信息保护法》立法过程中,多位专家、学者呼吁立法设立统一、专门的监管机构,但刚颁布的《个人信息保护法》[]并未单独设置专门的机构监管个人信息保护,深入参与和推动个人信息保护立法的法学专家周汉华教授也对此表示遗憾[]。《个人信息保护法》设定的个人信息保护行政监管模式与既有监管模式没有太大不同,但又有所变化。没有太大不同,是指《个人信息保护法》没有设立统一、专门的监管机构,仍然延续了以往多方监管的模式,而有所变化是指《个人信息保护法》虽然延续了多方监管的模式,但明确了国家网信部门在个人信息保护监管中的统筹协调地位和作用,不再是单纯的监管部门“各司其职”的模式,该规定对解决个人信息保护监管中存在的监管分散、相互推诿等问题无疑具有现实意义。
依照《个人信息保护法》第六十条的规定,国家网信部门、国务院有关部门以及县级以上地方人民政府有关部门共同组成了我国个人信息保护的监管部门,法律上称之为“履行个人信息保护职责的部门”。《个人信息保护法》设定的监管模式可以归纳为“统筹监管下的协作监管(1+X)”模式[],“1”指国家网信部门,负责统筹协调个人信息保护工作和相关监督管理工作,“X”指国务院有关部门和县级以上人民政府有关部门,依照有关法律、行政法规的规定在各自职责范围内负责个人信息保护和监督管理工作[]。
“X”具体包括哪些部门,《个人信息保护法》未作明确规定,通过梳理现行法律法规可以确定,“X”既包括横向层面的公安部、工信部、国家市场监管总局等国务院有关部门,也包括纵向层面的各地网信办、通信管理局、市场监管部门等地方政府有关部门,同时还包括特定领域和特定行业的国家安全部门、中国人民银行、中国银行保险监督管理委员会、交通运输主管部门、卫生健康主管部门、教育主管部门等。(参见表1)
表1 我国个人信息保护的部分行政监管机构
|
地位/作用 |
领域/行业 |
监管机构 |
|
统筹协调 |
网络安全、互联网信息内容管理 |
国家互联网信息办公室 |
|
协作 (国务院有关部门) |
电信和互联网 |
工业和信息化部 |
|
网络安全、互联网违法犯罪活动 |
公安部 |
|
|
市场监督管理、消费者保护 |
国家市场监督和管理总局 |
|
|
金融(银行/保险) |
中国人民银行、中国银行保险监督管理委员会 |
|
|
交通 |
交通运输部 |
|
|
医疗、卫生健康 |
国家卫生健康委员会 |
|
|
新闻出版、广播电视 |
国家新闻出版署、国家广播电视总局 |
|
|
教育 |
教育部 |
|
|
国家安全 |
国家安全部、国家密码管理局 |
|
|
协作 (地方政府有关部门) |
地方网信办、通信管理局、公安机关、市场监督和管理机关、教育局、卫生健康主管部门、交通运输主管部门等 |
|
二、常见的个人信息保护行政监管机构
(一)国家网信办
国家网信办,全称为“中华人民共和国国家互联网信息办公室”,设立于2011年5月,是隶属于国务院的办事机构。根据国务院的授权,国家网信办主要负责我国互联网信息内容管理工作,并负责监督管理执法[]。《个人信息保护法》颁布前,国家网信办作为“国家网信部门”,与公安部、工业和信息化部共称为互联网监管的“三驾马车”,在个人信息保护监管上扮演了非常重要的角色。统计近两年有关个人信息保护监管的执法行动以及有关执法案例,国家网信办可谓是最为活跃的个人信息保护监管机构之一。《个人信息保护法》颁布后,国家网信办作为个人信息保护的统筹协调部门,确立了一个比较明确的主导地位,被赋予的权力更多了,将来对个人信息保护的监管力度势必会只增不减[]。
国家网信办作为个人信息保护的主要监管机构,近年来也出台了许多有关个人信息保护的部门规章及规范性文件,包括《儿童个人信息网络保护规定》《汽车数据安全规定若干规定(试行)》《网络安全审查办法》《移动互联网应用程序信息服务管理规定》等。此外,各地网信部门(“地方网信办”)作为地方政府部门承担了国家网信办在本辖区的监管职责,与国家网信办一样,都是个人信息保护的主要监管机构。
值得一提的是,国家网信办与中央网信办是一个机构两块牌子,列入中共中央直属机构序列。中央网信办,全称为“中共中央网络安全和信息化委员会办公室”,是“中央网络安全和信息化委员会”的办事机构,而中央网络安全和信息化委员会是原“中央网络安全和信息化领导小组”根据2018年《深化党和国家机构改革方案》改组而来,主要负责我国网络安全和信息化领域重大工作的顶层设计、总体布局、统筹协调、整体推进、督促落实。上述机构设置实际强化了国家网信办的统筹协调地位,更有利于国家网信办开展个人信息保护监管工作。
(二)工业和信息化部
工信部,即“中华人民共和国工业和信息化部”,2008年在国务院机构改革中由原信息产业部、国防科工委和国务院信息化办公室组建而成,是国务院的电信主管部门。根据中央机构编制委员会办公室文件的最新规定,工信部的主要职责包括互联网行业管理、信息通信管理、网络与信息安全管理等内容[]。工信部作为互联网行业和电信行业的主管部门,很早就关注到了个人信息保护问题,曾在2013年就出台了《电信和互联网用户个人信息保护规定》,对电信业务经营者、互联网信息服务提供者收集用户信息行为提出了很多原则和要求,并规定了行政处罚措施[]。
工信部同为“三驾马车”之一,曾多次单独或与其他部门联合开展个人信息保护的监管执法行动,包括2019年1月与其他部门联合开展的App违法违规收集使用个人信息专项治理行动[],2020年7月单独开展的纵深推进App侵害用户权益专项整治行动等[]。在多部法律法规中,工信部被赋予了个人信息保护监管职责,是我国个人信息保护最重要的监管机构之一。同样,工信部自身也出台了多个部门规章、规范性文件,对涉及有关电信和互联网的个人信息进行保护和监管。除工信部外,各省、自治区、直辖市的通信管理局与工信部统称为“电信管理机构”,承担工信部在地方辖区内的监管职责。
(三)公安部
公安部,全称为“中华人民共和国公安部”,是国务院的组成部门,全国公安工作的最高领导机关和指挥机关。公安部是国家网信办、工信部之外的另外一架互联网监管马车,主要从保障网络安全的角度切入,负责防范和打击互联网上的违法犯罪活动[]。公安部内设网络安全保卫局(“公安部网安局”),作为全国公安机关网络安全保卫工作的领导机关和指挥机关,负责全国互联网安全监督管理,维护互联网公共秩序和公共安全,防范和惩治网络违法犯罪活动。
公安部除了根据刑法等规定对侵犯公民个人信息的犯罪行为进行立案查处外,还可以根据《网络安全法》《数据安全法》《未成年人保护法》《居民身份证法》《计算机信息系统安全保护条例》《关键信息基础设施安全保护条例》等法律法规的规定对有关个人信息的违法行为进行行政监管,采取治安处罚等措施。公安部以及各地的公安机关,参与到个人信息保护的监管之中,不仅能够加强监管作用,更能起到震慑作用。
(四)国家市场监管总局
国家市场监管总局,即“中华人民共和国国家市场监督管理总局”,是国务院直属机构,主要负责组织和实施市场监督管理和执法等工作。国家市场监管总局对于个人信息保护的监管主要体现在消费者保护领域和市场秩序监管方面,根据《网络安全法》《电子商务法》《消费者权益保护法》《侵害消费权益行为处罚办法》等法律法规的规定,市场监督管理部门有权对有关个人信息的违法违规行为进行监管和查处,负有个人信息保护的监管职责。2019年3月,国家市场监管总局开展了名为“守护消费暨打击侵害消费者个人信息违法行为专项执法行动”[]。因为个人信息违法违规收集使用行为通常会涉及消费者权益保护问题和市场管理问题,所以市场监督管理部门同样是个人信息保护的重要监管机构,广泛地参与到多个有关个人信息保护监管的执法行动中。除国家市场监管总局外,各地的市场监管部门在本辖区内也负有个人信息保护的监管职责。
(五)其他有关机构
从以往的执法行动以及执法案例来看,国家网信办、工信部、公安部、国家市场监管总局及其地方分支机构,是个人信息保护的常见监管机构,在个人信息保护方面发挥了不可替代的作用。除此之外,还有在特定领域和特定行业的一些常见监管机构,比如监管个人金融信息的“一行两会”[],监管个人健康医疗信息的国家卫生健康委员会,监管个人交通运输信息的交通运输部,监管个人教育信息的教育部,以及这些机构的分支或派出机构等。相关监管机构也多次通过制定部门规章、规范性文件以及开展专项执法行动等方式对进行个人信息保护和监管工作。
三、个人信息保护行政监管的执法实践
(一)主要执法方式和特点
我国对于个人信息的保护实际是刑事先行,通过2009年的《刑法修正案(七)》、2015年的《刑法修改案(九)》和2017年“两高”侵犯公民个人信息案司法解释[]等规定建立和完善了“侵犯公民个人信息罪”的刑事追责制度。2016年徐玉玉被骗死亡案件[]发生后以及2017年《网络安全法》施行以后,个人信息保护问题受到全社会的关注,监管机关也逐渐重视个人信息保护问题。分析有关监管机构近年来的各类执法行动及执法案例发现,个人信息保护监管的主要执法方式和特点包括:
1.专项执法、联合(联动)执法居多。
2019年至今,国家及地方的网信办、电信管理机构、公安机关、市场监管部门、教育主管部门等监管机构开展多达10余次的专项执法行动或整治行动,针对个人信息违法违规收集使用等问题进行专门、集中的监管执法或整治。专项执法行动的时间跨度大、覆盖范围广,并且呈现多部门联合(联动)执法、综合治理的趋势,多个部门以建立工作组的形式,形成个人信息保护监管的协同机制,共同采取执法行动和监管举措。(参见表2)
表2 2019-2021年部分个人信息保护执法行动
|
日期 |
监管机构 |
执法行动名称 |
执法方式 |
|
2019年1月23日 |
中央网信办、工信部、公安部、国家市场监管总局 |
《中央网信办、工业和信息化部、公安部、市场监管总局关于开展App违法违规收集使用个人信息专项治理的公告》 |
专项执法、联合执法 |
|
2019年1月23日 |
公安部 |
“净网2019”专项行动 |
专项执法 |
|
2019年3月12日 |
国家市场监管总局 |
《市场监管总局办公厅关于开展“守护消费”暨打击侵害消费者个人信息违法行为专项执法行动的通知》 |
专项执法 |
|
2019年6月28日 |
工信部 |
工业和信息化部办公厅关于印发《电信和互联网行业提升网络数据安全保护能力专项行动方案》的通知 |
专项执法 |
|
2019年8月10日 |
教育部、中央网信办、工信部、公安部、民政部、国家市场监管总局、国家新闻出版署、全国“扫黄打非”工作小组办公室 |
《教育部等八部门关于引导规范教育移动互联网应用有序健康发展的意见》 |
专项执法、联合执法 |
|
2019年10月31日 |
工信部 |
《工业和信息化部关于开展App侵害用户权益专项整治工作的通知》 |
专项执法 |
|
2020年4月17日 |
江苏省网信办、江苏省公安厅、江苏省市场监管局、江苏省通信管理局 |
《关于开展App违法违规收集使用个人信息专项治理的公告》 |
专项执法、联合执法 |
|
2020年7月22日 |
工信部 |
《工业和信息化部关于开展纵深推进App侵害用户权益专项整治行动的通知》(工信部信管函〔2020〕164号) |
专项执法 |
|
2021年2月24日 |
中国银保监会、中央网信办、教育部、公安部、中国人民银行 |
《关于进一步规范大学生互联网消费贷款监督管理工作的通知》 |
专项执法、联合执法 |
|
2021年4月16日 |
天津市网信办、天津市公安局、天津市市场监管委、天津市通信管理局 |
《关于开展天津市2021年度App网络安全专项治理的通知》 |
专项执法、联合执法 |
|
2021年6月1日 |
浙江省网信办、浙江省公安厅、浙江省市场监管局、浙江省通信管理局 |
《关于联合开展浙江省2021年度App违法违规收集用使用个人信息专项治理的公告》 |
专项执法、联合执法 |
|
2021年9月1日 |
交通运输部、中央网信办、工信部、国家市场监管总局 |
《五部门联合约谈11家网约车平台公告》 |
专项执法、联合执法 |
2.高频次、公开通报违法违规行为。
根据《App违法违规收集使用个人信息专项治理报告(2019)》统计[],仅2019年一年,中央网信办等四部门联合开展的App专项治理行动,对用户常用的千余款 App 进行了评估,向256 款App的运营者通报问题,督促其完成1267个重点问题的整改工作,建议有关监管部门下架未落实整改要求App共11款;工信部开展的电信和互联网行业提升网络数据安全保护能力专项行动以及App侵害用户权益专项整治行动,对236款App运营者下发整改通知书,公开通报56款App、下架3款App;公安部开展的“净网2019”专项行动,检测评估3.1万余款App,调查核查App违法违规线索3129条,整改2090款App,查处1121款App,集中曝光100款存在违法违规收集使用个人信息行为的App;市场监管总局开展的“守护消费”暨打击侵害消费者个人信息违法行为专项执法行动,立案查处各类侵害消费者个人信息案件1474件,查获涉案信息369万余条,罚没款1946万余元;组织执法联动4225次,开展行政约谈3536次。截止2021年9月,仅工信部就已发布共计18批关于侵害用户权益行为的App通报,要求有关App限期整改[]。个人信息违法违规行为高频次执法监督,全网公开通报,引起了全社会的广泛关注,起到良好的监管效果。
3.专业机构参与,监管更加科学化和技术化。
个人信息保护监管中,不仅涉及到法律问题,还涉及复杂的商业和技术问题,如网络爬虫、SDK、API、人工智能、大数据、算法等。因此,在个人信息保护的监管执法行动中,监管机构往往会委托或授权了有关专业机构或技术组织参与,对个人信息违法违规行为进行实际测评和分析。在中央网信办等四部门联合开展的专项治理行动中,全国信息安全标准化技术委员会、中国消费者协会、中国互联网协会、中国网络空间安全协会就曾作为专业机构受托参与执法行动,依据国家有关法律规定和标准,参与编制评估要点,并组织对有关个人信息收集使用情况进行评估。部分专业机构,不仅参与测评,还会将监测结果进行对外通报[]。专业机构的介入使监管更加严格、全面,同时使监管更加科学化、技术化,企业在接受监管时不仅要提供书面文件还可能要接受一定的技术检测,从而大大减少“明修栈道、暗度陈仓”的情况[]。
(二)主要监管举措和违法后果
《个人信息保护法》颁布前,《数据安全法》《网络安全法》《电子商务法》《消费者权益保护法》《电信条例》等法律法规对违法个人信息活动的监管举措和违法后果均作了相应规定。结合监管机构执法实践,监管机构在处理违法个人信息活动时通常采用的监管举措包括非正式的约谈、公开通报或公开曝光,以及正式的限期整改或改正、罚款、没收违法所得、暂停相关业务或下架相关产品、停业整顿、停止服务接入、吊销业务许可或吊销营业执照等。同时,监管机构还可将违法违规行为记入信用档案并公布。对于国家机关及工作人员的违法违规行为,监管机构可以责令限期改正并可给予行政处分。不同的监管措施意味着当事人面临的违法后果不同,轻则可能被公开通报或公开曝光,造成信用受损,重则可能被罚款、业务暂停、产品下架、停业整顿,导致业务或服务中断,更重者可能面临业务许可或营业执照吊销等处罚,最终无法再继续提供服务或经营。近期发生的“滴滴事件”便是如此,因“滴滴出行”存在严重违法违规收集使用个人信息问题,国家网信办等监管机构对其进行了网络安全审查,并采取了停止新用户注册、通知下架“滴滴出行”App等监管措施[][]。
《个人信息保护法》对违反个人信息活动的监管举措及违法后果作出更为细化和明确的规定,包括接受投诉、举报、组织测评并公布测评结果等监管手段,以及监管机构可以采取的询问和调查情况、查阅和复制资料、现场检查、扣押物品、约谈和合规审计等具体措施。根据《个人信息保护法》第六十六条的规定,当事人违法处理个人信息或未履行个人信息保护义务的,除了可能受到上述处罚外,相关主管人员或直接责任人还将受到禁业限制的处罚,即相关人员在一定期限内不能担任相关企业的董事、监事、高级管理人员和个人信息保护负责人[]。除了行政处罚措施外,《个人信息保护法》设立了个人信息保护公益诉讼制度,针对违法处理个人信息,侵害众多个人权益的,人民检察院、法律法规规定的消费组织和国家网信部门确定的组织可针对违法处理个人信息可依法向人民法院提起诉讼。该制度无疑增加了监管机关的监管权限,扩宽了监管路径,有效地衔接了行政监管和司法监管。
四、个人信息保护行政监管的问题及完善建议
(一)监管机构众多,监管分散,监管职责需进一步厘清
个人信息保护监管机构众多,“九龙治水”式的多头监管既可能造成监管分散,监管机构相互推诿、逃避责任的问题,又可能导致竞相监管、重复监管的问题。首先,《个人信息保护法》虽然建立了“1+X”的监管模式,规定由国家网信部门作为个人信息保护的统筹协调机构,并规定国家网信部门可采取的统筹协调措施,但国家网信部门毕竟不是统一、独立的个人信息保护监管机构,其与工信部、公安部、国家市场监管总局同属于国务院的组成部门,并无级别之分,权限分工也并未明确和细化,其能否在未来统筹协调好个人信息保护工作仍有待检验;其次,有关个人信息保护的行政法律有近20部,部门规章有50余部,地方性法规及规范性文件更是上百余部[],国家网信办及其他监管机构的职责也并非只有个人信息保护监管,各个监管机构如何确定监管范围、职责内容,执法方式,避免权责不清,仍难以确定;最后,《个人信息保护法》中规定监管机构及监管举措等,并未明确执行处罚权主体,只说是省级以上的有关部门,但究竟是哪个部门,只有将来在实践中再予以逐步明确[]。
(二)未设立独立监管机构,监管可能缺乏专业性和独立性
个人信息保护不仅是法律问题,更有复杂的商业和技术问题,各行业和各领域都可能发生违法收集、使用个人信息的问题。多位专家都曾反复呼吁和建议我国借鉴欧盟、日本、韩国、中国香港和澳门地区等境外国家或地区的立法模式,设立独立、专门的个人信息保护监管机构,如此不仅可以避免在对国家机构及其工作人员进行监管时发生监管冲突,更能突显个人信息保护监管机构应有的“独立性”和“专业性”。但遗憾的是,囿于国家严控政府机构编制的政策方针,《个人信息保护法》最终未能采纳相关建议。
没有独立的监管机构之所以可能导致监管缺乏专业性和独立性,主要原因在于:其一,监管机构因为自身的职责多和工作重心有所偏向等原因,不能长期地、专注地关注个人信息保护中发生的各类复杂的商业和技术问题,乃至于在监管时缺乏专业性;其二,实际负责个人信息保护的机构仍需存于各有关部门,这些部门在组织、人力和资金上的独立性均难以确保,这将尤其影响到在国家机关作为个人处理者的案件中执法的公正性和效率性[]。
(三)监管执法程序不清,执法方式不明,行政救济制度缺失
法谚云:“无救济则无权利”,如果个人权利受到侵害却没有充分的救济途径,不仅使其权利受到损害,更会降低法律的权威性和政府的公信力[]。《个人信息保护法》中比较详尽的规定了监管机构可以采取的监管措施,以及当事人可能面临的违法后果,但并未明确监管机构在个人信息保护监管中的具体执法程序、执法方式和当事人享有的行政救济权利及行权方式等内容。在消费者保护领域,国家市场监管总局颁布了《侵害消费者权益行为处罚办法》,对侵害消费者权益实施行政处罚的程序作出规定;在关键信息基础设施供应链安全和网络信息内容领域,国家网信办颁布了《网络安全审查办法》《互联网信息内容管理行政执法程序规定》,对关键信息基础设施运营者采购网络产品和服务,数据处理者开展数据处理活动时实施网络安全审查,以及互联网信息内容管理等内容作出较为明确的规定。但至今为止,我国尚未出台有关个人信息保护的监管执法程序、执法方式和当事人受到行政处罚后的救济程序。多头监管的情况下,如果没有统一、规范的执法制度,将增加监管机构滥用执法权、错误执法或随意执法的风险;而没有建立明确的救济制度,也可能导致当事人在遭遇上述执法风险时举足无措,权利无法得到有效救济。
个人信息保护行政监管中存在的上述问题关乎到我国《个人信息保护法》的落地执行及实施效果,更可能影响我国个人信息保护工作的推进和整体评价,亟待解决。在《个人信息保护法》即将施行且个人信息保护监管的主要模式和机制已经基本确定的情况下,国家网信部门必须充分发挥统筹协调作用,通过制定实施细则或条例等方式明确各监管机构的监管范围、职责、执法程序、方式以及当事人的救济程序。同时国家网信部门应当尽快会同其他监管部门在国家层面建立统一的联动和协调机制,制定监管机构协同监管及冲突解决的办法,保障各监管机构遇到监管问题时能够得以及时解决。最后,我国仍可继续探索包括设立独立监管机构或其他行之有效的个人信息保护监管机制,不断完善个人信息保护的行政监管体系制度。
作者:四川瑞利恒律师事务所 吴锦熤
来源:成都市律师协会网络与高新技术法律专业委员会
此文系作者个人观点,不代表成都市律师协会立场
欢迎全市律师踊跃投稿,投稿邮箱:cdlxxc@163.com
- 地址:成都市高新区天府大道中段1577号中国欧洲中心12楼
联系电话:028-86267893(会员部) 86267993(维权惩戒) 61988861(党委办公室)
邮箱:cd_bar@163.com ; cdla602@163.com (办公室);cdlxhyb@163.com (会员部);cdlsxh603@163.com (维权惩戒部)
办公时间:工作日9:00-12:00;13:00-17:00
©2019-2022 成都市律师协会版权所有 | 蜀ICP备17040215号 | 技术支持:竹子建站
![图文组件]( "图文组件")
微信公众号
