中国信通院-研究成果-CAICT观点
 
研究成果
CAICT观点
现行法律下的中国个人信息保护监管部门
作者:许长帅            发布时间:2018-11-28

  罗马不是一天建成的,法律制度也不是凭空而来的,需要立足已有规定逐步完善。出台统一的个人信息保护法,需要确定监管部门。监管部门是一个还是多个,多部门之间分工如何,需要立足现行法律规定和已经形成的监管分工。现行法律对个人信息保护监管部门有明确的规定,关于部门分工的确定也有统一、明晰的逻辑。

  一、相关法律规定

  (一)《消费者权益保护法》

  “个人信息保护”中的“个人”指自然人,个人信息保护义务的承担者多为服务提供者或者商品的提供者(即经营者)。个人在接受服务或者购买商品场景下的个人信息保护,是个人信息保护规制的重点。可贵的是我国《消费者权益保护法》规定了个人信息保护制度,即第十四条规定“消费者在购买、使用商品和接受服务时,享有人格尊严、民族风俗习惯得到尊重的权利,享有个人信息依法得到保护的权利”。每个人都是消费者,《消费者权益保护法》规定了个人信息保护制度,基本上可以解决个人信息保护对法律制度的需求问题。

  《消费者权益保护法》第二十九条“经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。经营者收集、使用消费者个人信息,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息。经营者及其工作人员对收集的消费者个人信息必须严格保密,不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施,确保信息安全,防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时,应当立即采取补救措施”,确立了个人信息保护的原则和规则。

  第五十六条“经营者有下列情形之一,除承担相应的民事责任外,其他有关法律、法规对处罚机关和处罚方式有规定的,依照法律、法规的规定执行;法律、法规未作规定的,由工商行政管理部门或者其他有关行政部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处以违法所得一倍以上十倍以下的罚款,没有违法所得的,处以五十万元以下的罚款;情节严重的,责令停业整顿、吊销营业执照:……(九)侵害消费者人格尊严、侵犯消费者人身自由或者侵害消费者个人信息依法得到保护的权利的;……”,确定了个人信息保护的监管部门。

  根据第五十六条,确定个人信息保护监管部门的规则是:(1)其他法律、法规对处罚部门和处罚方式有规定的,则由该其他法律、法规规定的部门负责监管,比如《邮政法》第七十六条和《快递暂行条例》第四十四条规定了邮政部门对邮政企业、快递企业违法提供用户使用邮政服务或者快递服务的信息(包含个人信息)行为的处罚,《征信业管理条例》第三十八条规定了国务院征信业监督管理部门对征信机构、金融信用信息基础数据库运行机构侵害个人信息行为的处罚。(2)其他法律、法规没有规定处罚部门和处罚方式的,由工商部门(现市场监管部门)或者其他主管部门依据《消费者权益保护法》监管。根据《消费者权益保护法》第三十二条“各级人民政府工商行政管理部门和其他有关行政部门应当依照法律、法规的规定,在各自的职责范围内,采取措施,保护消费者的合法权益”的规定,市场监管部门和其他主管部门之间,不是同时监管关系,而是排斥关系。

  (二)《网络安全法》

  个人信息保护问题被广泛关注,是由于信息技术应用的普及。《网络安全法》规范了网络环境下的个人信息保护问题。《网络安全法》第四十一条“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息”,和第四十二条“网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告”,确立了网络环境下个人信息保护的原则和规则,制度内容与《消费者权益保护法》的相关规定基本相同。

  关于监管部门,第六十四条第一款规定“网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定,侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照”,确定个人信息保护的监管部门为“有关主管部门”。

  关于“有关主管部门”的确定,结合第三十二条“按照国务院规定的职责分工,负责关键信息基础设施安全保护工作的部门分别编制并组织实施本行业、本领域的关键信息基础设施安全规划,指导和监督关键信息基础设施运行安全保护工作”的规定,“有关主管部门”指行业或者领域的主管部门。比如,互联网金融主管部门是互联网金融服务活动中个人信息保护的监管部门,互联网交通主管部门是互联网交通服务活动中个人信息保护的监管部门。

  同时,《网络安全法》对网络服务活动以外的个人信息保护问题进行了规范,即第四十四条规定“任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息”,并且明确公安机关为经营或者服务活动以外场合个人信息保护的监管部门,即第六十四条第二款规定“违反本法第四十四条规定,窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的,由公安机关没收违法所得,并处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款。”

  二、监管部门的确定

  (一)分业监管

  无论《消费者权益保护法》还是《网络安全法》,确定个人信息保护的监管部门,坚持了“分业监管”原则。分业监管,即行业或者领域的主管部门负责对本行业或者本领域经营活动、服务活动中个人信息保护问题进行监管。《邮政法》《传染病防治法》《执业医师法》《律师法》《公证法》等也是按照“分业监管”原则,确定行业或者领域的主管部门负责本行业或者领域的个人信息保护监管工作。

  经营或者服务活动中的个人信息收集、使用行为,不是孤立的法律现象,获取和使用个人信息不是目的,均是为了进行经营或者服务,二者是部分与整体的关系。因此对个人信息进行保护,不应脱离具体的法律关系,不能以部分代替整体。对个人信息进行保护,应回归具体的法律关系,如买卖房屋、客运服务、电信服务、在线购物等,由经营或者服务活动的主管部门对经营或者服务活动中的个人信息保护问题进行监管。

  (二)兜底监管

  分业监管,是确定监管部门的一般原则。在不能确定监管时,法律规定了兜底监管部门,分为两种情形:一是在经营或者服务活动中的个人信息保护,根据《消费者权益保护法》第五十六条“法律、法规未作规定的,由工商行政管理部门或者其他有关行政部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处以……罚款”的规定,市场监管部门为兜底监管部门;二是在经营或者服务活动以外的场合,根据《网络安全法》第四十四条“任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息”和第六十四条第二款“违反本法第四十四条规定,窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的,由公安机关没收违法所得,并处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款”的规定,公安机关为兜底监管部门。

  

许长帅  高级工程师,浙江工业大学奉化智慧经济研究院工业和信息化法律服务中心副主任

0
新闻动态 研究成果 业务介绍 品牌活动 ITU中国 文化建设 招贤纳士 关于我们
CAICT观点
成果概况
创新推广
微信扫一扫
添加信通院公众号
Copyright ? 2018-2023 浙江工业大学奉化智慧经济研究院 版权所有
京ICP备09013372号 京公网安备11010802027721号
网站声明   联系我们