日起施行。根据威科先行法律信息库的数据显示,目前依据《个保法》进行行政处罚的案件共为件。《个保法》施行后,除了公安部门,各级网信部门也在积极研讨并推进新法的落地实施。但是当区县级网信部门在准备启动个人信息保护的行政执法检查工作时,发现《个保法》里好像找不到自身作为执法主体的法律授权依据。区县级网信部门履行个人信息保护监管职责主体资格的法律依据在哪?具体可以实施哪些处罚措施?本文特此就上述问题进行一些探讨。
关于区县级网信部门在《个保法》下的行政执法依据,虽然没有法律条款直接赋予行政执法权,但仍可以通过对《个保法》第六十条和第六十六条的解读获得行政执法的依据。具体分析和解读如下:
第六十条国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作。
县级以上地方人民政府有关部门的个人信息保护和监督管理职责,按照国家有关规定确定。
(2)国务院有关部门,具体指《消费者权益保护法》、《电信和互联网用户个人信息保护规定》、《个人信用信息基础数据库管理暂行办法》、《人口健康信息管理办法(试行)》等法律法规中规定的主管部门,如市场监管总局、工信部、中国人民银行、国家卫健委等。
(3)县级以上地方人民政府有关部门。县级以上地方各级人民政府,是指省、自治区、直辖市、自治州、设区的市、 县、自治县、不设区的市、市辖区的人民政府。所以,市辖区、不设区的市以及县级人民政府,都为县级以上人民政府。而县级以上地方人民政府有关部门,则具体指县级以上人民政府的网信部门、工信部门、公安部门、市场监管部门、卫生健康部门等。
根据本条第二款和第三款的规定,履行和人信息保护职责的部门包含县级以上地方人民政府有关部门,这主要是为了更大范围内动员和利用个人信息保护监管执法力量。[1]因为个人信息保护问题属于具有广泛性的民生问题,不仅包括当前互联网等线上业务模式收集使用个人信息,也包括传统线下消费者领域内的个人信息收集使用现象,赋予县级以上地方人民政府有关部门执法权,并由县级以上地方政府有关部门属地监管执法,有利于个人更为便利的维权。
第八条国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。
县级以上地方人民政府有关部门的网络安全保护和监督管理职责,按照国家有关规定确定。
第六十六条违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
就执法主体而言,本条针对不同情节的违法行为区分了不同层级的执法主体[2]:
针对一般情节的违法情形,履行个人信息保护职责的任何部门均有执法权。此处的“任何部门”当然包含县级以上地方人民政府有关部门,即包含区县级网信部门。此层级的执法主体可采取的行政处罚措施包括:责令改正、警告、没收违法所得,对单位的处罚金额在100万以下,对直接负责的主管人员和直接责任人处罚10万以下。
针对情节严重的违法行为,须由省级以上履行个人信息保护职责的部门进行行政执法。这是考虑到严重违法行为往往涉及更多利益环节、调查取证更为困难,故而由省级以上部门处理此类案件,能够有效确保执法的专业性和公正性。省级以上执法主体可实施的行政处罚措施包括:责令改正,没收违法所得,暂停相关业务或停业整顿,吊销营业许可、营业执照,对单位的罚款金额在100万以上五千万元以下或者上一年度营业额百分之五以下,对直接负责的主管人员和其他直接责任人员处罚金额10万以上100万以下,以及任职禁止。
除了对《个保法》进行解释,在现有的行政法规、部门规章及规范性文件中也能找到相关领域的执法依据。
如2019年2月起施行的《金融信息服务管理规定》明确规定,地方互联网信息办公室依据职责负责本行政区域内的金融信息服务的监督管理执法工作,金融信息服务提供者违反该规定第五条“金融信息服务提供者应当履行主体责任,配备与服务规模相适应的管理人员,建立信息内容审核、信息数据保存、信息安全保障、个人信息保护、知识产权保护等服务规范”的,由国家或地方互联网信息办公室依据职责进行约谈、公开谴责、责令改正、列入失信名单;依法应当予以行政处罚的,由国家或地方互联网信息办公室等有关主管部门给予行政处罚;构成犯罪的,依法追究刑事责任。
国家网信办于6月14日发布的修订版《移动互联网应用程序信息服务管理规定》第三条明确规定:地方互联网信息办公室依据职责负责本行政区域内应用程序信息内容的监督管理执法工作。而在第五条应用程序提供者和应用程序分发平台应当履行的信息内容管理责任中,则明确包含了“网络数据安全、个人信息保护、未成年人保护等管理制度”。
就行政执法现状而言,金融和移动应用程序领域的个人信息保护,因为有之前的一些政策法律规范的铺垫,因此针对个人信息保护的监管体系已经发展得比较成熟了。但除此之外的其他领域,在《个保法》相关配套措施尚未出台之前,笔者认为区县级网信部门可依据《个保法》第60条和第66条依法进行行政执法检查工作,并对一般情节的违法行为予以行政处罚。具体的行政处罚措施,首先应考虑实施“责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务”的处罚,只有当拒不改正违法行为时,更进一步的,才实施“对单位并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款”的双罚制予以行政罚款。
[1]张新宝主编:《中华人民共和国个人信息保护法释义》,人民出版社2021年11月版,第464页。
[2]龙卫球主编:《中华人民共和国个人信息保护法释义》,中国法制出版社2021年9月版,第310页。
•具有ISO27001国际注册信息安全管理体系认证、基金从业资格、企业法律顾问执业资格;
•先后在某跨国集团公司、某基金管理公司及信息安全公司担任法务负责人十余年;从2017年起专注于网络安全与数据合规领域,为若干大中型企业提供法律咨询服务。