現(xiàn)行法律下個(gè)人信息保護(hù)監(jiān)管部門的確定

□ 文 許長帥

隨著數(shù)據(jù)安全的重要性不斷提升，《個(gè)人信息保護(hù)法》的出臺(tái)呼之欲出，而現(xiàn)階段確定監(jiān)管部門，是一個(gè)，還是多個(gè)，多部門之間分工如何，需要立足現(xiàn)行法律規(guī)定和已經(jīng)形成的監(jiān)管分工。目前已有的法律對(duì)個(gè)人信息保護(hù)監(jiān)管部門都有明確的規(guī)定，關(guān)于部門分工的確定也有統(tǒng)一、明晰的邏輯。

一、相關(guān)法律規(guī)定

（一）《消費(fèi)者權(quán)益保護(hù)法》

“個(gè)人信息保護(hù)”中的“個(gè)人”指自然人，個(gè)人信息保護(hù)義務(wù)的承擔(dān)者多為服務(wù)提供者或者商品的提供者（即經(jīng)營者）。個(gè)人在接受服務(wù)或者購買商品場景下的個(gè)人信息保護(hù)，是個(gè)人信息保護(hù)規(guī)制的重點(diǎn)。可貴的是我國《消費(fèi)者權(quán)益保護(hù)法》規(guī)定了個(gè)人信息保護(hù)制度，即第十四條規(guī)定“消費(fèi)者在購買、使用商品和接受服務(wù)時(shí)，享有人格尊嚴(yán)、民族風(fēng)俗習(xí)慣得到尊重的權(quán)利，享有個(gè)人信息依法得到保護(hù)的權(quán)利”。每個(gè)人都是消費(fèi)者，《消費(fèi)者權(quán)益保護(hù)法》規(guī)定了個(gè)人信息保護(hù)制度，基本上可以解決個(gè)人信息保護(hù)對(duì)法律制度的需求問題。

《消費(fèi)者權(quán)益保護(hù)法》第二十九條“經(jīng)營者收集、使用消費(fèi)者個(gè)人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，明示收集、使用信息的目的、方式和范圍，并經(jīng)消費(fèi)者同意。經(jīng)營者收集、使用消費(fèi)者個(gè)人信息，應(yīng)當(dāng)公開其收集、使用規(guī)則，不得違反法律、法規(guī)的規(guī)定和雙方的約定收集、使用信息。經(jīng)營者及其工作人員對(duì)收集的消費(fèi)者個(gè)人信息必須嚴(yán)格保密，不得泄露、出售或者非法向他人提供。經(jīng)營者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保信息安全，防止消費(fèi)者個(gè)人信息泄露、丟失。在發(fā)生或者可能發(fā)生信息泄露、丟失的情況時(shí)，應(yīng)當(dāng)立即采取補(bǔ)救措施”，確立了個(gè)人信息保護(hù)的原則和規(guī)則。

第五十六條“經(jīng)營者有下列情形之一，除承擔(dān)相應(yīng)的民事責(zé)任外，其他有關(guān)法律、法規(guī)對(duì)處罰機(jī)關(guān)和處罰方式有規(guī)定的，依照法律、法規(guī)的規(guī)定執(zhí)行；法律、法規(guī)未作規(guī)定的，由工商行政管理部門或者其他有關(guān)行政部門責(zé)令改正，可以根據(jù)情節(jié)單處或者并處警告、沒收違法所得、處以違法所得一倍以上十倍以下的罰款，沒有違法所得的，處以五十萬元以下的罰款；情節(jié)嚴(yán)重的，責(zé)令停業(yè)整頓、吊銷營業(yè)執(zhí)照：……（九）侵害消費(fèi)者人格尊嚴(yán)、侵犯消費(fèi)者人身自由或者侵害消費(fèi)者個(gè)人信息依法得到保護(hù)的權(quán)利的；……”，確定了個(gè)人信息保護(hù)的監(jiān)管部門。

根據(jù)第五十六條，確定個(gè)人信息保護(hù)監(jiān)管部門的規(guī)則是：

（1）其他法律、法規(guī)對(duì)處罰部門和處罰方式有規(guī)定的，則由該其他法律、法規(guī)規(guī)定的部門負(fù)責(zé)監(jiān)管，比如《郵政法》第七十六條和《快遞暫行條例》第四十四條規(guī)定了郵政部門對(duì)郵政企業(yè)、快遞企業(yè)違法提供用戶使用郵政服務(wù)或者快遞服務(wù)的信息（包含個(gè)人信息）行為的處罰，《征信業(yè)管理?xiàng)l例》第三十八條規(guī)定了國務(wù)院征信業(yè)監(jiān)督管理部門對(duì)征信機(jī)構(gòu)、金融信用信息基礎(chǔ)數(shù)據(jù)庫運(yùn)行機(jī)構(gòu)侵害個(gè)人信息行為的處罰。

（2）其他法律、法規(guī)沒有規(guī)定處罰部門和處罰方式的，由工商部門（現(xiàn)市場監(jiān)管部門）或者其他主管部門依據(jù)《消費(fèi)者權(quán)益保護(hù)法》監(jiān)管。根據(jù)《消費(fèi)者權(quán)益保護(hù)法》第三十二條“各級(jí)人民政府工商行政管理部門和其他有關(guān)行政部門應(yīng)當(dāng)依照法律、法規(guī)的規(guī)定，在各自的職責(zé)范圍內(nèi)，采取措施，保護(hù)消費(fèi)者的合法權(quán)益”的規(guī)定，市場監(jiān)管部門和其他主管部門之間，不是同時(shí)監(jiān)管關(guān)系，而是排斥關(guān)系。

（二）《網(wǎng)絡(luò)安全法》

個(gè)人信息保護(hù)問題被廣泛關(guān)注，是由于信息技術(shù)應(yīng)用的普及?！毒W(wǎng)絡(luò)安全法》規(guī)范了網(wǎng)絡(luò)環(huán)境下的個(gè)人信息保護(hù)問題。

《網(wǎng)絡(luò)安全法》第四十一條“網(wǎng)絡(luò)運(yùn)營者收集、使用個(gè)人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意。網(wǎng)絡(luò)運(yùn)營者不得收集與其提供的服務(wù)無關(guān)的個(gè)人信息，不得違反法律、行政法規(guī)的規(guī)定和雙方的約定收集、使用個(gè)人信息，并應(yīng)當(dāng)依照法律、行政法規(guī)的規(guī)定和與用戶的約定，處理其保存的個(gè)人信息”，和第四十二條“網(wǎng)絡(luò)運(yùn)營者不得泄露、篡改、毀損其收集的個(gè)人信息；未經(jīng)被收集者同意，不得向他人提供個(gè)人信息。但是，經(jīng)過處理無法識(shí)別特定個(gè)人且不能復(fù)原的除外。網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保其收集的個(gè)人信息安全，防止信息泄露、毀損、丟失。在發(fā)生或者可能發(fā)生個(gè)人信息泄露、毀損、丟失的情況時(shí)，應(yīng)當(dāng)立即采取補(bǔ)救措施，按照規(guī)定及時(shí)告知用戶并向有關(guān)主管部門報(bào)告”，確立了網(wǎng)絡(luò)環(huán)境下個(gè)人信息保護(hù)的原則和規(guī)則，制度內(nèi)容與《消費(fèi)者權(quán)益保護(hù)法》的相關(guān)規(guī)定基本相同。

關(guān)于監(jiān)管部門，第六十四條第一款規(guī)定“網(wǎng)絡(luò)運(yùn)營者、網(wǎng)絡(luò)產(chǎn)品或者服務(wù)的提供者違反本法第二十二條第三款、第四十一條至第四十三條規(guī)定，侵害個(gè)人信息依法得到保護(hù)的權(quán)利的，由有關(guān)主管部門責(zé)令改正，可以根據(jù)情節(jié)單處或者并處警告、沒收違法所得、處違法所得一倍以上十倍以下罰款，沒有違法所得的，處一百萬元以下罰款，對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處一萬元以上十萬元以下罰款；情節(jié)嚴(yán)重的，并可以責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照”，確定個(gè)人信息保護(hù)的監(jiān)管部門為“有關(guān)主管部門”。

關(guān)于“有關(guān)主管部門”的確定，結(jié)合第三十二條“按照國務(wù)院規(guī)定的職責(zé)分工，負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門分別編制并組織實(shí)施本行業(yè)、本領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施安全規(guī)劃，指導(dǎo)和監(jiān)督關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)行安全保護(hù)工作”的規(guī)定，“有關(guān)主管部門”指行業(yè)或者領(lǐng)域的主管部門。比如，互聯(lián)網(wǎng)金融主管部門是互聯(lián)網(wǎng)金融服務(wù)活動(dòng)中個(gè)人信息保護(hù)的監(jiān)管部門，互聯(lián)網(wǎng)交通主管部門是互聯(lián)網(wǎng)交通服務(wù)活動(dòng)中個(gè)人信息保護(hù)的監(jiān)管部門。

同時(shí)，《網(wǎng)絡(luò)安全法》對(duì)網(wǎng)絡(luò)服務(wù)活動(dòng)以外的個(gè)人信息保護(hù)問題進(jìn)行了規(guī)范，即第四十四條規(guī)定“任何個(gè)人和組織不得竊取或者以其他非法方式獲取個(gè)人信息，不得非法出售或者非法向他人提供個(gè)人信息”，并且明確公安機(jī)關(guān)為經(jīng)營或者服務(wù)活動(dòng)以外場合個(gè)人信息保護(hù)的監(jiān)管部門，即第六十四條第二款規(guī)定“違反本法第四十四條規(guī)定，竊取或者以其他非法方式獲取、非法出售或者非法向他人提供個(gè)人信息，尚不構(gòu)成犯罪的，由公安機(jī)關(guān)沒收違法所得，并處違法所得一倍以上十倍以下罰款，沒有違法所得的，處一百萬元以下罰款?！?/p>

二、監(jiān)管部門的確定

（一）分業(yè)監(jiān)管

無論《消費(fèi)者權(quán)益保護(hù)法》還是《網(wǎng)絡(luò)安全法》，確定個(gè)人信息保護(hù)的監(jiān)管部門，堅(jiān)持了“分業(yè)監(jiān)管”原則。分業(yè)監(jiān)管，即行業(yè)或者領(lǐng)域的主管部門負(fù)責(zé)對(duì)本行業(yè)或者本領(lǐng)域經(jīng)營活動(dòng)、服務(wù)活動(dòng)中個(gè)人信息保護(hù)問題進(jìn)行監(jiān)管?！多]政法》、《傳染病防治法》、《執(zhí)業(yè)醫(yī)師法》、《律師法》、《公證法》等也是按照“分業(yè)監(jiān)管”原則，確定行業(yè)或者領(lǐng)域的主管部門負(fù)責(zé)本行業(yè)或者領(lǐng)域的個(gè)人信息保護(hù)監(jiān)管工作。

經(jīng)營或者服務(wù)活動(dòng)中的個(gè)人信息收集、使用行為，不是孤立的法律現(xiàn)象，獲取和使用個(gè)人信息不是目的，均是為了進(jìn)行經(jīng)營或者服務(wù)，二者是部分與整體的關(guān)系。因此對(duì)個(gè)人信息進(jìn)行保護(hù)，不應(yīng)脫離具體的法律關(guān)系，不能以部分代替整體。對(duì)個(gè)人信息進(jìn)行保護(hù)，應(yīng)回歸具體的法律關(guān)系，如買賣房屋、客運(yùn)服務(wù)、電信服務(wù)、在線購物等，由經(jīng)營或者服務(wù)活動(dòng)的主管部門對(duì)經(jīng)營或者服務(wù)活動(dòng)中的個(gè)人信息保護(hù)問題進(jìn)行監(jiān)管。

（二）兜底監(jiān)管

分業(yè)監(jiān)管，是確定監(jiān)管部門的一般原則。在不能確定監(jiān)管時(shí)，法律規(guī)定了兜底監(jiān)管部門，分為兩種情形：

一是在經(jīng)營或者服務(wù)活動(dòng)中的個(gè)人信息保護(hù)，根據(jù)《消費(fèi)者權(quán)益保護(hù)法》第五十六條“法律、法規(guī)未作規(guī)定的，由工商行政管理部門或者其他有關(guān)行政部門責(zé)令改正，可以根據(jù)情節(jié)單處或者并處警告、沒收違法所得、處以……罰款”的規(guī)定，市場監(jiān)管部門為兜底監(jiān)管部門。

二是在經(jīng)營或者服務(wù)活動(dòng)以外的場合，根據(jù)《網(wǎng)絡(luò)安全法》第四十四條“任何個(gè)人和組織不得竊取或者以其他非法方式獲取個(gè)人信息，不得非法出售或者非法向他人提供個(gè)人信息”和第六十四條第二款“違反本法第四十四條規(guī)定，竊取或者以其他非法方式獲取、非法出售或者非法向他人提供個(gè)人信息，尚不構(gòu)成犯罪的，由公安機(jī)關(guān)沒收違法所得，并處違法所得一倍以上十倍以下罰款，沒有違法所得的，處一百萬元以下罰款”的規(guī)定，公安機(jī)關(guān)為兜底監(jiān)管部門?！?/p>