三、数据保护监管部门梳理
自《网络安全法》实施以来,网络安全相关的执法检查日益常态化。对于企业来说,充分了解各监管部门的职责范围和行政执法重点,能够帮助其更加依法合规地开展业务、面对监管检查。
1.行政执法主体
根据国务院于2004年印发的《全面推进依法行政实施纲要》(国务院令第十号)第7条第22项:“行政执法由行政机关在其法定职权范围内实施,非行政机关的组织未经法律、法规授权或者行政机关的合法委托,不得行使行政执法权……”可以认为,行政执法主体包括:(1)在法定职权范围开展行政执法行为的行政机关;(2)由法律、法规授权或者行政机关委托行使行政执法权的非行政机关。
具体到网络安全、个人信息安全保护领域,结合《网络安全法》等相关规定以及当前的执法实践可以看出,相关行政执法事项主要由网信部门、工信部门、公安部门以及市场监督管理部门负责。
尽管各部门有其法定的职责权限,其行政执法的对象和范围也各有侧重,但在具体开展行政执法的过程中,仍然存在一些困境。2017年12月24日举行的十二届全国人大常委会第三十一次会议上,关于检查网络安全法、加强网络信息保护的决定(即“一法一决定”)实施情况的报告明确指出:网络安全监管“九龙治水”现象仍然存在,权责不清、各自为战、执法推诿、效率低下等问题尚未有效解决,法律赋予网信部门的统筹协调职能履行不够顺畅。一些地方网络信息安全多头管理问题比较突出,但在发生信息泄露、滥用用户个人信息等信息安全事件后,用户又经常遇到投诉无门、部门之间推诿扯皮的问题。不少网络运营单位反映,行政执法过程中存在不同执法部门对同一单位、同一事项重复检查且检查标准不一等问题,不同法律实施主管机关采集的数据还不能实现“互联互通”,经常给网络运营商增加额外负担。
针对前述问题,除了依照相关法律法规及政策文件规定、在实践中进一步明确各职能部门的权责界限以外,各部门也越来越多地采用了联合协作等方式开展行政执法工作,以加强资源整合、信息共享,打破数据壁垒。例如,2019年初,中央网信办、工信部、公安部、市场监管总局共同发布了《关于开展App违法违规收集使用个人信息专项治理的公告》,联手在全国范围组织开展App违法违规收集使用个人信息专项治理行动。2019年5月至12月,前述四部门又联合开展全国范围的互联网站安全专项整治工作,对未备案或备案信息不准确的网站进行清理,对攻击网站的违法犯罪行为进行严厉打击,对违法违规网站进行处罚和公开曝光。
此外,具体到各个细分行业,不少行业主管部门也逐渐承担起对所在行业的网络信息安全的管理责任。例如,在金融行业,中国银行保险监督管理委员会、中国人民银行等会配合对金融相关的数据合规问题进行监督管理;在教育行业,教育部、国家新闻出版署等相关部门会参与到个人信息保护相关的治理行动中;其他领域的行政主管部门,如国家质量监督检验检疫总局、国家食品药品监管总局、国家宗教事务局、国家版权局等,也同样针对各自领域内的数据和信息进行相应的规范。
2.行政执法行为
从中共中央办公厅、国务院办公厅发布的《行政执法类公务员管理规定(试行)》[2],以及国务院办公厅印发的《推行行政执法公示制度执法全过程记录制度重大执法决定法制审核制度试点工作方案》(国办发〔2017〕14号)[3]等文件中均可以看出,行政执法行为应当包含行政许可、行政处罚、行政强制、行政征收、行政收费、行政检查六类。
在网络安全、个人信息安全保护领域,最主要和最常见的行政执法行为是行政检查和行政处罚,当然部分情况下也会涉及行政许可和行政强制。
从行政处罚措施上来看,根据《行政处罚法》第8条规定:“行政处罚的种类:(一)警告;(二)罚款;(三)没收违法所得、没收非法财物;(四)责令停产停业;(五)暂扣或者吊销许可证、暂扣或者吊销执照;(六)行政拘留;(七)法律、行政法规规定的其他行政处罚。”其中,就责令停产停业这一处罚,在互联网环境下,除了常规的停业整顿外,还包括关闭网站、关闭通讯群组、暂停系统运行、暂停新用户注册等形式。
(一)网信部门
1.部门简介
网信部门在中央/国家层面包括中央网信办和国家网信办。国家网信办与中央网信办是“一个机构两块牌子”的关系,列入中共中央直属机构序列[4]。
中央网信办,即中共中央网络安全和信息化委员会办公室,其前身是于2014年2月27日成立的中央网络安全和信息化领导小组,由中共中央总书记、国家主席、中央军委主席习近平担任组长;2018年3月,中共中央印发《深化党和国家机构改革方案》,将中央网络安全和信息化领导小组改为中央网络安全和信息化委员会,中央网信办为该委员会的办事机构。中央网信办自成立之初,即开展了“扫黄打非·净网2014”专项行动、打击整治“伪基站”专项行动、“剑网2014”专项行动等。
国家网信办,即中华人民共和国国家互联网信息办公室,是经国务院批准设立的互联网信息监管机构,成立于2011年5月初。《网络安全法》为国家网信部门设定的职责主要包括:
续表
此外,2014年8月,国务院发布《国务院关于授权国家互联网信息办公室负责互联网信息内容管理工作的通知》(国发〔2014〕33号),授权国家互联网信息办公室负责全国互联网信息内容管理工作,并负责监督管理执法。
2017年5月,国家网信办又发布《互联网信息内容管理行政执法程序规定》(以下简称《程序规定》),从部委规章的层面将互联网信息内容管理的执法工作进行了程序上的统一协调安排。特别值得关注的是,《程序规定》第21条和第29条分别对“网络巡查”和“远程取证”等新型执法手段作了规定,在针对互联网领域的行政执法实践中更加具有可操作性。
2.行政执法情况
针对互联网信息内容管理,网信部门进行了一系列专项执法检查和行政处罚。
2019年初,国家网信办启动网络生态治理专项行动,分为启动部署、全面整治、督导检查、总结评估四个阶段,剑指各类网站、移动客户端、论坛贴吧、即时通信工具、直播平台等重点环节中12类违法违规互联网信息,集中解决网络生态重点环节突出问题。
2019年,全国网信系统通过约谈、警告、限期整改、暂停更新网站,会同电信主管部门取消违法网站许可或备案、关闭违法网站,会同有关部门依法查处网上各类违法信息和违法行为,移送司法机关相关案件线索等方式,持续加大行政执法力度。例如:
地方各级网信办也积极开展各项行动,例如深圳市网信办于2018年5月组织开展“一法一令”(《网络安全法》和《互联网新闻信息服务管理规定》)落实情况专项检查行动,对腾讯公司、果酱直播等单位的法律法规落实情况进行执法监督检查。
同时,针对关键信息基础设施,近两年来,各地网信办也积极组织开展网络安全检查工作,通过现场查看、技术检测、查阅资料、座谈交流等方式,明确关键信息基础设施的数量、管理、运维等状态,其主要功能、服务范围、遭破坏的危害性,以及运行环境、管理和防护等情况,对被检查单位的网络安全制度建设、风险隐患等方面存在的问题进行反馈,并提出整改意见。
(二)工信部门
1.部门简介
工业和信息化部作为主管信息化事务的国务院部门,与其下属的地方主管部门——通信管理局和各级经济和信息化局(或工业和信息化厅)共同承担保障网络安全的部分职责。
工信部内设网络安全管理局,承担电信和互联网行业网络安全审查相关工作,指导督促电信企业和互联网企业落实网络与信息安全管理责任,组织开展网络环境和信息治理,以及电信网、互联网网络数据和用户信息安全保护管理等工作。
2.行政执法情况
2019年,工业和信息化部网络安全管理局组织对部分电信和互联网企业、域名机构的网络安全防护工作情况、网络与信息安全责任落实情况、网络数据安全保护责任及管理措施落实情况、电话用户真实身份信息登记情况等开展随机抽查。根据网络安全管理局发布的“2019年‘双随机一公开’检查结果公示”[5],检查发现的问题主要包括:(1)在网络安全防护方面,存在业务系统未开展定级备案、符合性评测和安全风险评估工作,未及时整改前期已发现的网络安全隐患,未开展网络安全事件应急演练等问题;(2)在网络与信息安全责任落实方面,存在互联网信息安全管理系统部分功能和性能指标不符合电信主管部门以及相关标准要求,未有效建立企业新业务安全评估、用户信息安全保护制度等问题;(3)在网络数据安全保护责任落实方面,存在未有效采取数据分类、敏感信息加密等保护措施等问题;(4)在电话用户真实身份登记方面,存在未严格落实电话用户真实身份信息登记、物联网卡安全管理相关规定等问题。
2019年7月,工信部开展为期一年的电信和互联网行业提升网络数据安全保护能力专项行动,通过集中开展数据安全合规性评估、专项治理和监督检查,督促基础电信企业和重点互联网企业强化网络数据安全全流程管理,及时整改消除重大数据泄露、滥用等安全隐患。在合规性评估和专项治理层面,包括:(1)开展网络数据安全风险评估,针对物联网、车联网、卫星互联网、人工智能等新技术新应用带来的重大互联网数据安全问题,及时开展行业评估和跨部门联合评估工作。(2)深化App违法违规专项治理,持续推进App违法违规收集使用个人信息专项治理行动,组织第三方评测机构开展App安全滚动式评测,对在网络数据安全和用户信息保护方面存在违法违规行为的App及时进行下架和公开曝光;组织开展应用商店安全责任专项部署,督促应用商店落实App运营者真实身份信息验证、应用程序安全检测、违法违规App下架等责任。(3)强化网络数据安全监督执法,持续开展数据泄露等网络数据安全和用户信息安全事件监测跟踪与执法调查,对违法违规行为及时采取约谈、公开曝光、行政处罚等措施,将处罚结果纳入电信业务经营不良名单或失信名单。
2019年10月,工信部开展App侵害用户权益专项整治工作,针对违规收集用户个人信息(私自收集个人信息、超范围收集个人信息)、违规使用用户个人信息(私自共享给第三方、强制用户使用定向推送功能)、不合理索取用户权限(不给权限不让用、频繁申请权限、过度索取权限)以及为用户账号注销设置障碍(账号注销难)等方面,对App服务提供者进行检查。同时也针对App分发服务提供者(包括应用商店和基础电信企业营业厅等承担APP分发功能的各类企业)是否落实《移动智能终端应用软件预置和分发管理暂行规定》进行检查。
此外,工信部门也会对部分存在违规收集、使用用户信息等问题的企业进行巡查和约谈。例如:2018年,工信部网络安全管理局曾会同北京、上海等通信管理局,先后组织针对随意调取手机摄像头权限、用户订单信息泄露引发诈骗案件、用户信息过度收集和滥用等网络数据和用户个人信息安全问题,对涉及的携程、腾讯、洋码头、弹幕网络科技、爱奇艺、探探等企业进行了情况问询,结合情况问询及调查核实情况,初步认定洋码头存在用户个人信息安全管理制度不完善、用户个人信息泄露补救措施不到位等问题,对该企业相关负责人进行了约谈,责令企业限期整改,并提交整改报告。[6]2019年,针对媒体公开报道和用户曝光的“ZAO”App用户隐私协议不规范,存在数据泄露风险等网络数据安全问题,工信部网络安全管理局对陌陌相关负责人进行了问询约谈,要求其严格按照国家法律法规以及相关主管部门要求,组织开展自查整改,依法依规收集使用用户个人信息,规范协议条款,强化网络数据和用户个人信息安全保护[7]。
在地方层面,各级通信管理局也会对数据和个人信息保护、灾难备份等技术措施的标准符合性情况等进行检查,评估仍然存在的网络安全风险隐患。各地通信管理局已经开始对与个人信息有关的违规问题进行处罚,处罚原因主要包括:
续表
除地方通信管理局外,地方经信委也已经开始对个人信息保护相关违规行为进行处罚,主要原因包括:(1)掌握公众信息的单位和个人,泄露、篡改、毁损、出售或者非法向他人提供在业务活动中收集的公民、法人或者其他组织的信息;(2)非法截取涉及国家安全、国家秘密或者公共安全以及单位和个人信息。
(三)公安部门
1.部门简介
公安部门在网络安全行政执法中被赋予的行政处罚权力如下:
续表
2018年11月1起正式施行的《公安机关互联网安全监督检查规定》则成为公安部门进行网络安全监督检查的执法依据。根据《公安机关互联网安全监督检查规定》,互联网安全监督检查工作由县级以上地方人民政府公安机关网络安全保卫部门组织实施。上级公安机关应当对下级公安机关开展互联网安全监督检查工作情况进行指导和监督。其中,网安部门的大致层级为:中央设公安部网络安全保卫局,省(直辖市、自治区)级设网络安全保卫总队,地市级设网络安全保卫大队,区县级设网络安全保卫大队,各派出所不设网安保卫部门。
2.行政执法情况
2019年中,公安部部署了本年度网络安全执法检查工作,以国家关键信息基础设施、重要信息系统和大数据等相关应用系统为重点检查对象,组织网络安全技术检测和现场检查工作。
2019年,公安部在全国范围内继续组织开展“净网2019”专项行动,各地公安机关网安部门高度重视,加大互联网安全监管力度,依法严厉打击侵犯公民个人信息、黑客攻击破坏等突出网络违法犯罪活动,依法严厉打击涉“暗网”等新型犯罪活动。
2019年11月以来,公安部加大打击整治侵犯公民个人信息违法犯罪力度,组织开展APP违法违规采集个人信息集中整治,全国公安机关网安部门按照公安部网络安全保卫局的部署要求,集中发现、集中侦办、集中查处整改了100款违法违规APP及其运营的互联网企业。本次行动,重点针对无隐私协议、收集使用个人信息范围描述不清、超范围采集个人信息和非必要采集个人信息等情形,责令限期整改27款,处以警告处罚63款,处以罚款处罚10款,另有2款被立为刑事案件开展侦查,相关案件正在侦查中。
同时,国家网络安全通报中心就此次整改发布了四起典型案例:
此外,公安机关已于2018年起实行“一案双查”制度,即在对网络违法犯罪案件开展侦查调查工作时,同步启动对涉案网络服务提供者法定网络安全义务履行情况的监督检查[8]。
(四)市场监督管理部门
1.部门简介
根据2018年3月18日全国人民代表大会发布并实施的《国务院机构改革方案》(2018),决定组建国家市场监督管理总局,将国家工商行政管理总局的职责,国家质量监督检验检疫总局的职责,国家食品药品监督管理总局的职责,国家发展和改革委员会的价格监督检查与反垄断执法职责,商务部的经营者集中反垄断执法以及国务院反垄断委员会办公室等职责整合,组建国家市场监督管理总局,作为国务院直属机构。同时,组建国家药品监督管理局,由国家市场监督管理总局管理。此后,各地市场监督管理局陆续成立。
尽管市场管理监督部门并非传统意义上的信息安全保护部门,但其职责权限较为广泛。作为负责市场综合监督管理、负责市场主体统一登记注册、负责组织和指导市场监管综合执法工作、负责监督管理市场秩序、负责统一管理标准化工作、负责统一管理检验检测工作及负责统一管理、监督和综合协调全国认证认可工作的职能机构,不少涉及网络安全、个人信息安全的群众投诉、举报案件是由各地市场监督管理局受理并进一步调查处理的,其与群众联系密切,实践中在网络安全、个人信息保护等领域的地位和作用也愈加重要。
2.行政执法情况
市场监管总局办公厅通知于2019年4月1日至9月30日,在全国范围内部署开展“守护消费”暨打击侵害消费者个人信息违法行为专项执法行动,重点打击侵害消费者个人信息违法行为。本次行动依照《消费者权益保护法》《电子商务法》《网络安全法》《侵害消费者权益行为处罚办法》等法律法规的相关规定,重点关注违法行为多发的房产租售、小贷金融、教育培训、保险经纪、美容健身、装饰装修、旅游住宿、快递、电话营销、网站或APP运营等行业和领域,主要查处3类违法行为:一是未经消费者同意,收集、使用消费者个人信息;二是泄露、出售或者非法向他人提供所收集的消费者个人信息;三是未经消费者同意或者请求,或者消费者明确表示拒绝的,向其发送商业性信息。
2019年11月18日,国家市场监管总局召开“守护消费”暨打击侵害消费者个人信息违法行为专项执法行动专题新闻发布会,对侵害消费者个人信息违法行为专项执法行动进行了阐述,并通报了十大典型案例。从查办案件的情况来看,当前侵害消费者个人信息违法行为主要高发在房产租售、装饰装修、教育培训三个领域,最突出的违法行为是未经消费者同意,收集、使用消费者个人信息,具体数据如下:
