“
《个人信息保护法》通过设立专章的方式,明确履行个人信息保护职责的部门,要求相关职责部门建立体系化、长期化、专业化的执法机制,确保《个人信息保护法》的落实与执行,有利于建立政府、企业、相关社会组织、公众共同参与个人信息保护的良好环境。
同时《个人信息保护法》在借鉴国际相对完善的个人信息保护原则和立法经验基础上,结合我国国情,通过立法将制度设计、维权途径、处罚力度等为个人信息提供了法律保障,完善了我国个人信息保护法律保护体系,提升了我国个人信息保护标准。
第七章规定了个人信息处理者的行政、民事、刑事三个层面的责任,并设置了信用惩戒制度、公益诉讼制度等,为个人信息保护提供全面的法律保护。《个人信息保护法》第八章附则,则列举了个人信息处理的例外情形,明确了相关重要定义,并公布了生效日期。
本篇为《个人信息保护法》逐条精解系列的最后一篇,点击文末链接可以查看往期解读。
”
校对 | 古锐 王军华 上海格联律师事务所
本文由作者向新则独家供稿
第六十条 国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作。
县级以上地方人民政府有关部门的个人信息保护和监督管理职责,按照国家有关规定确定。前两款规定的部门统称为履行个人信息保护职责的部门。
法条精讲:本条明确了履行个人信息保护职责的具体政府部门。
《个人信息保护法》明确了国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院各有关部门,包括工信部、司法部、公安部等在各自职权范围内负责个人信息保护和监管工作,对应不同行业进行针对性管理。第二款明确了由县级以上地方有关部门需按国家有关规定履行相关职责。法律的施行需要依靠国家强制力加以保障实施,个人信息保护工作既立体又繁杂,难以划归到某个具体部门,因此通过中央到地方的层级职责划分,符合当下个人信息保护工作的现实需求。第六十一条 履行个人信息保护职责的部门履行下列个人信息保护职责:
(一)开展个人信息保护宣传教育,指导、监督个人信息处理者开展个人信息保护工作;
(二)接受、处理与个人信息保护有关的投诉、举报;
(三)组织对应用程序等个人信息保护情况进行测评,并公布测评结果;
(四)调查、处理违法个人信息处理活动;
(五)法律、行政法规规定的其他职责。
法条精讲:本条规定了履行个人信息保护职责的部门的基本职责。在第六十条明确履行职责监管部门的基础上,本条明确了职责的部门的具体行政权力,包括开展宣传教育,指导监督个人信息保护工作,对APP就个人信息保护项目进行测评,并公布结果,接受处理个人信息相关投诉举报,调查处理违法个人信息处理活动等职责内容,并设置兜底条款,使得有关部门履行基本职责有法可依,有利于个人信息保护工作的有序开展。从另一个角度而言,行政权力也对应着行政义务,在本条而言是积极的作为义务。当相关部门有不作为或乱作为时,也将受到行政复议或行政诉讼的法治约束。第六十二条 国家网信部门统筹协调有关部门依据本法推进下列个人信息保护工作:
(一)制定个人信息保护具体规则、标准;
(二)针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用,制定专门的个人信息保护规则、标准;
(三)支持研究开发和推广应用安全、方便的电子身份认证技术,推进网络身份认证公共服务建设;
(四)推进个人信息保护社会化服务体系建设,支持有关机构开展个人信息保护评估、认证服务;
(五)完善个人信息保护投诉、举报工作机制。
法条精讲:本条明确了国家网信部门的主要统筹协调工作内容。国家网信部门作为个人信息保护工作的主要负责部门,发挥着统筹协调国务院有关部门及县级以上人民政府有关部门开展个人信息保护工作的重要作用,其主要工作内容是为个人信息保护相关制定具体规则和标准,使其他有关部门有规可循;支持开发新技术,推进网络身份认证公共服务建设,从技术角度推进个人信息安全保护工作;第(四)项与《个人信息保护法》第38、40条“跨境提供个人信息的需要经过国家网信部门组织的安全评估机制”相呼应;完善个人信息保护投诉和举报工作机制,便于个人更好的维护个人信息安全,保障个人信息权益。第六十三条 履行个人信息保护职责的部门履行个人信息保护职责,可以采取下列措施:
(一)询问有关当事人,调查与个人信息处理活动有关的情况;
(二)查阅、复制当事人与个人信息处理活动有关的合同、记录、账簿以及其他有关资料;
(三)实施现场检查,对涉嫌违法的个人信息处理活动进行调查;
(四)检查与个人信息处理活动有关的设备、物品;对有证据证明是用于违法个人信息处理活动的设备、物品,向本部门主要负责人书面报告并经批准,可以查封或者扣押。
履行个人信息保护职责的部门依法履行职责,当事人应当予以协助、配合,不得拒绝、阻挠。
法条精讲:本条规定了职能部门履职时可以采取的措施。本条进一步明确相关部门在开展个人信息保护工作过程中可以采取的措施,不仅为相关部门实施的履职行为提供法律支持,也有助于其履职过程中的行政相对人了解相关部门的职责范围,明确其职责内容,便于监督相关部门的履职行为,促进个人信息保护工作的有序开展。该条第(四)项规定经本部门负责人批准可查封或扣押违法处理个人信息的设备和物品,开放了职能部门在履职过程中的权力,避免因层级审批等造成个人信息保护工作的程序性阻碍。第二款明确了当事人对于个人信息保护工作的协助配合义务,有利于从国家和个人层面实现良好互动,便于保障个人信息权益。第六十四条 履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈,或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。
个人信息处理者应当按照要求采取措施,进行整改,消除隐患。履行个人信息保护职责的部门在履行职责中,发现违法处理个人信息涉嫌犯罪的,应当及时移送公安机关依法处理。
与《网络安全法》第56条及《数据安全法》第44条类似,个人信息保护监管也将约谈制度法定化。实践中,在发现个人信息处理活动存在较大风险或发生个人信息安全事件的情形下,对涉事个人信息处理者进行约谈已经较为常见,如2021年9月,交通运输部会同中央网信办、工信部等五部门约谈美团出行、滴滴出行等11家网约车平台公司,约谈要求平台保障用户信息和数据安全,认真履行个人信息保护责任等。因此,个人信息处理者被职能部门约谈的新闻,只会越来越多,这给个人信息处理者带了更多的警示和教育,促其更好地执行《个人信息保护法》所确定的各项义务。 第六十五条 任何组织、个人有权对违法个人信息处理活动向履行个人信息保护职责的部门进行投诉、举报。收到投诉、举报的部门应当依法及时处理,并将处理结果告知投诉、举报人。
履行个人信息保护职责的部门应当公布接受投诉、举报的联系方式。
法条精讲:本条明确了个人信息保护相关的投诉、举报机制。
本条对于投诉、举报主体并未设限,任何组织和个人都可以进行投诉举报,这意味着个人信息处理者在进行个人信息处理活动中,受到国家有关部门、社会组织、新闻媒体、个人等各方的监督,有助于个人信息处理者严格遵守相关程序,审慎履行相关义务。本条第二款亦强调履行个人信息保护职责的部门应履行行政公开义务,公开接受投诉、举报的联系方式,与本法第62条第五项相呼应,推动投诉、举报处理流程的有序进行。第六十六条 违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
法条精讲:本条明确了个人信息处理者违法的行政法律责任。 本条借鉴了GDPR设置较高罚款的严厉处罚思路。通过设置高昂的罚款,大幅提高个人信息处理者违法成本, 从而有利于更好地对企业起到警示作用,督促企业切实履行个人信息安全保护义务,体现了我国打击个人信息违法行为、保障公民个人信息安全的决心。相较于二审稿,《个人信息保护法》新增了对违法处理个人信息的应用程序责令暂停或者终止提供服务,以及禁止责任人在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人的行政责任,进一步明确了个人信息保护的责任规则。 这一双罚制更直接将行政责任落实到自然人,无疑是一把悬在头上的达摩克里斯之剑,时刻警醒个人信息处理者守法行事。 第六十七条 有本法规定的违法行为的,依照有关法律、行政法规的规定记入信用档案,并予以公示。
法条精讲:本条明确了对个人信息违法行为人的信用惩戒制度。对于信用惩戒制度,《网络安全法》第71条及《电子商务法》第86条也有同样规定。对于企业而言,这意味着一旦发生个人信息违法行为并被记入信用档案,企业不仅将面临相应的索赔,亦可能会影响企业的商业声誉,甚至影响到企业的交易决策等。信用处罚也有利于在社会信誉评价层面起到普遍的警示作用,督促企业严格遵守《个人信息保护法》及相关法律法规,履行保障个人信息安全及权益的义务。第六十八条 国家机关不履行本法规定的个人信息保护义务的,由其上级机关或者履行个人信息保护职责的部门责令改正;对直接负责的主管人员和其他直接责任人员依法给予处分。
履行个人信息保护职责的部门的工作人员玩忽职守、滥用职权、徇私舞弊,尚不构成犯罪的,依法给予处分。
法条精讲:本条规定了国家机关不履行个人信息保护义务的法律责任,也就是消极不作为的行政责任。尽管《个人信息保护法》第二章第三节对国家机关处理个人信息时应履行的义务作出了特别规定,但并不意味着国家机关对于个人信息保护的义务限制在第三节当中。作为特别的主体,国家机关的义务与法律责任均以单独条款着重强调。本条第二款加强了履行个人信息保护职责的相关部门的工作人员的责任,若有玩忽职守、滥用职权、徇私舞弊等行为,即使尚未构成刑事犯罪,也会依据本法及相关法律法规给予相应行政处分,体现了国家对相关工作人员职责的严格要求,以及严厉打击侵犯个人信息权益和不履行个人信息保护义务的决心。第六十九条 处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。
前款规定的损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额。
法条精讲:本条规定了个人信息侵权行为的民事责任,且过错责任按照过错推定原则确定,侵权人有无过错的举证责任要求。就侵权损害赔偿的计算方式而言,本条与《民法典》第1182条规定的侵害人身权益情形下的侵权损害赔偿计算方式基本一致,但删去了“被侵权人和侵权人就赔偿数额协商不一致,向人民法院提起诉讼的”的表述。个人信息侵权赔偿亦存在权利性质的特殊性和损失难以计算的属性,实践中常面临个人信息主体多项权利被侵犯时如何计算赔偿额,以及不同地域是否存在统一的赔偿量化标准等问题,届时还有待司法审判的智慧与实践,以确定裁判标准。我们预计,后续可能会出台相关的特别司法解释来指导司法裁判。对于个人信息处理者来说,过错推定原则的适用意味着个人信息处理者必须时刻注意日常个人信息处理活动中严守合规制度,并做好相应的记录和存证,如纸质文件和电子签名等,以便完成无过错责任的举证要求。 第七十条 个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。
本条规定了人民检察院、法律规定的消费者组织(一般是各地的消费者协会)和由国家网信部门确定的组织,能够向法院提起公益诉讼,以应对个人信息侵权案件波及范围广、涉及主体众多、个体举证难、信息不对等系列问题,为保障公民个人信息权益与安全设置了多维度的维权途径,更为全面地规范个人信息处理行为。2021年4月22日,最高人民检察院发布了11件检察机关个人信息保护公益诉讼典型案例,“对互联网企业未履行个人信息管理和保护义务的,检察机关将通过公益诉讼要求其承担公益损害责任,推动落实企业主体责任。”。2021年8月26日,最高人民检察院下发的《关于贯彻执行个人信息保护法推进个人信息保护公益诉讼检察工作的通知》(目前尚未检索到全文,仅有部分内容的公开报道),明确各级检察机关在履行公益诉讼检察职责时应当突出重点,从严把握敏感个人信息、如军人、儿童、老人等特殊群体的个人信息、100万以上大规模个人信息等。《消费者保护法》第47条规定,对侵害众多消费者合法权益的行为,中国消费者协会以及在省、自治区、直辖市设立的消费者协会,可以向人民法院提起诉讼。结合《消费者保护法》第36条及本条规定,对侵害众多个人信息权益的,各地消费者协会可依法提起公益诉讼。对于“网信部门确定的组织”目前尚未明确,仍有待网信部门出台进一步的政策予以完善。第七十一条 违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。
法条精讲:本条明确了个人信息违法行为的治安管理处罚和刑事责任。本条与《网络安全法》第74条第2款、《数据安全法》第52条第2款基本一致,明确划分了个人信息违法行为可能引发的刑事责任及治安管理处罚。《中华人民共和国治安管理处罚法(修订公开征求意见稿)》(2017年1月16日发布的,尚未正式修订通过)第五十七条规定,对于:1)非法获取、持有、使用、出售、提供、传播公民个人信息的;2)违反国家规定,将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人的;3)因疏于管理,致使公民个人信息泄露的,均将接受拘留、罚款的行政处罚。违反《个人信息保护法》而构成犯罪的,将触犯《中华人民共和国刑法》第253条侵犯公民个人信息罪。网络服务提供者不履行相关信息网络安全管理义务,经监管部门责令改正而拒不改正,致使用户信息泄露,造成严重后果的,将触犯第286条之一条拒不履行信息网络安全管理义务罪被依法追究刑事责任。第七十二条 自然人因个人或者家庭事务处理个人信息的,不适用本法。法律对各级人民政府及其有关部门组织实施的统计、档案管理活动中的个人信息处理有规定的,适用其规定。
法条精讲:本条明确了特殊个人信息处理场景的法律适用。本条第一款明确,个人或家庭事务,处理个人信息的,不适用本法规定。因此个人因出国留学等事宜需要向境外提供其个人信息的,不受本法的规制。本条第二款明确了各级人民政府及其部门因组织实施统计、档案管理活动而处理个人信息的,不适用个人信息保护法,而适用特别法律规定,如国家人口普查统计人口信息,应当适用《统计法》。第七十三条 本法下列用语的含义:
(一)个人信息处理者,是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。(二)自动化决策,是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动。(三)去标识化,是指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程。(四)匿名化,是指个人信息经过处理无法识别特定自然人且不能复原的过程。法条精讲:本条规定了《个人信息保护法》的生效时间。
(本系列终)
附:《中华人民共和国治安管理处罚法(修订公开征求意见稿)》
来源“http://gaj.gxhz.gov.cn/dczj/t1653951.shtml”
相关文章链接:
《逐条精解:<个人信息保护法>51-59条
- END -
# 大鱼聊天室 #
12月25日(周六)晚8点,新则邀请到法天使-中国合同库创始人常金光,一起回顾「2021年,法律行业“年终总结”」。直播不可回看,欢迎扫码预约。
↓↓↓
# 推荐阅读 #