App个人信息保护的背后，理不清的监管人

2022-06-08

引言：

同样是App^[1]存在侵犯个人信息权益行为，为何处罚主体却不相同？

▲图一 公安机关给予警告处罚

▲图二 工信部给予下架处罚

自《个人信息保护法》（下称《个信法》）生效后，网信办、工信部、市监局、公安机关等各政府部门纷纷采取行动，彰显出我国对于保护公民个人信息的强监管态势。App运营者在不断加强个人信息与数据合规建设的同时，不免有些疑问：究竟是谁在管我？管些什么？各部门又有什么处罚权？

为此，我们特撰写本文，带领大家理清App个人信息保护背后的“监管人”。

一、App侵犯个人信息权益，谁来管？管什么？怎么罚？

对于个人信息保护监管模式，国际上通常存在“专门监管”与“分散监管”两种，如欧盟就是典型的“专门监管”模式，欧盟《通用数据保护条例》（下称GDPR）第51条明确要求欧盟成员国应当提供一个或多个独立的监管机构对GDPR的适用情况进行监督；美国则是“分散监管”的代表，通过多部法律授权金融、电信、教育等部门分散监管。

而我国最新出台的《个信法》，则结合了个人信息保护的监管需求和既往的执法实践经验，对履行个人信息保护职责的部门做出有特色的规定，形成以网信部门统筹协调、联合执法与单独执法相结合的执法方式，各履行个人信息保护职责的部门的职责范围各有侧重，处罚权限亦有所区别。

（一）App谁来管？

我国在App个人信息保护监管部门的规定上，实现了从“九龙治水，多头监管”到“网信统筹，协同监管”的跨越，既能够更有针对性的回应各行业领域面临的特性个人信息保护问题，又能在一定程度上缓解“九龙治水”时代面临的监管空白与监管重叠问题。

九龙治水，多头监管

此前，我国对于个人信息保护的监管大多处于“分散监管”的状态，将个人信息监管职责授权至网信办、工信部、市监局、公安机关以及各行业监管机构。但由于各监管部门信息难以联通，各部门权责不明，执法标准不一，存在监管重叠、监管空白以及用户投诉无门等情况，经常被诟病为“九龙治水，各自为政”。

网信统筹，协同监管

▲图三 《个信法》监管部门相关规定

考虑到“九龙治水”的诸多弊病，《个信法》在监管主体方面的立法逻辑有所突破，其中特别突出了个人信息保护的监管工作由“国家网信部门”统筹协调^[2] ，以此来预防多个监管部门各成一派、多头混治的情况。然而，由于其他各部门皆属于《个信法》规定的“履行个人信息保护职责的部门”，都可适用《个信法》《数据安全法》《网络安全法》，执法领域仍不免有重叠之处，需依靠各部门间信息报送等其他机制来解决。

除了网信部门依法履行个人信息保护的统筹协调职责，《个信法》规定的其他有个人信息保护和监管职责的“有关部门”亦有很多，详见下图所示：

▲图四 履行个人信息保护职责的部门

那么，上述“有关部门”又可依据何种“有关规定”对于App进行执法监管？具体的执法模式又是怎样的？

（二）App如何管？

由上文可知，我国履行个人信息保护职责的部门有很多，如网信办、工信部、信管局、公安机关、市监等等，实践中形成了联合执法+单独执法两种形式，对App进行监管：

联合执法，即以网信办牵头，其他部门共同参与，如网信办、工信部、公安部、市场总局四部门就联合开展的 App 违法违规收集使用个人信息专项治理行动；

单独执法，即各部门在自己的分管领域依据执法权限进行执法，比如小鹏汽车擅自采集消费者的人脸照片，被上海市徐汇区市监局处罚 10 万元此，此种情况下，各部门执法权限各有侧重，有自身独特的职责领域。

App个人信息保护执法方式简要列举如下图所示：

▲图五 App个人信息保护执法方式

（三）App怎么罚？

由图五可知，在App个人信息保护领域，各部门既有共性适用法律，也有自身特性法律法规依据，根据“法无授权皆禁止”的权力行使规则，各部门的处罚权限亦既有共性，又有各自独特领域。各部门具体行政处罚权限内容如下图所示：

各部门处罚权的共性部分：

▲图六 各部门处罚权的共性部分

各部门处罚权的特性部分图片

▲图七 各部门处罚权的特性部分

二、监管趋严，App运营者应如何应对？

由上文可知，我国已经通过“统筹部门”和“有关部门”，以联合执法与单独执法相结合的形式，建立起了有效的行政执法机制，能够推进个人信息保护的事前、事中、事后全流程监管，覆盖各行业领域。若App运营者未有效履行个人信息安全保障义务，在行政责任上将面临着最高被处以上一年度营业额5%以下的罚款的处罚（详见《平台“流水”= 营业额？5% 的罚款在“窥视”》），若构成刑法上的侵犯公民个人信息罪，则视情节轻重面临着三年以下有期徒刑或拘役至三年以上七年以下有期徒刑的刑罚。

上述规定固然严厉，但也能反映国家对于个人信息保护的重视程度，以及未来严打违法行为的力度。因此，我们建议App运营者与其心怀侥幸、被动承担风险，不如主动出击，积极进行个人信息保护合规建设：

（一）厘清自身个人信息保护义务

根据《个信法》，一般个人信息处理者、特殊个人信息处理者^[3] 、个人信息处理的受托人的对于个人信息保护的法定义务不尽相同，App运营者首先要明确自身属于何种个人信息处理主体，方能厘清自身需要履行何种义务，以便逐步落实（详见本团队文章《互联网平台“七步走”，从容应对<个信法>》）；

（二）写好、用好《隐私政策》

如App运营者需要处理用户的个人信息，应当具备《个信法》规定的合法性基础：即以“告知—同意”为核心的个人信息处理系列规则，而《隐私政策》就是App与用户的法定沟通渠道，App运营者可通过《隐私政策》告知用户如何处理其个人信息并取得用户同意，此外，App运营者还应根据《隐私政策》设定的规则，及时调整系统功能并确保与之相匹配，避免仅仅是“纸面上的合规”；

（三）建立个人信息安全内部管理制度

在组织架构及制度建设维度上，App运营者可以设立专职的个人信息保护负责人和个人信息保护工作机构，负责个人信息安全工作以及公司个人信息保护及数据安全相关制度的制定和执行（具体详见本团队文章《互联网平台如何打造数据安全合规体系之 ——数据安全应当责任到人》）；

在技术支持以及权限管理维度上，App运营者可以采用加密和脱敏处理、数据库密码轮换制度、按特权分散原则和最小授权原则配置访问权限等方式，进行内部管理；

（四）获得数据合规管理相应认证资质

数据合规认证资质：App运营者可以通获得数据合规相应认证资质（如ISO27001信息安全管理体系认证、网络安全等级保护等资质，详见本团队文章（《互联网平台如何打造数据安全合规体系之风险评估与数据安全管理制度》），不仅可以通过认证过程建立起一套完备的数据合规解决方案，也可在发生个人信息侵权事件时，向监管机构“自证清白”，

合规管理体系认证：如App违规风险较高，除数据合规相关资质外，App运营者可以考虑获得ISO37301合规管理体系认证，一方面能够有效预防与降低自身刑事犯罪风险，另一方面，一旦“失足”，亦能证明主观合规意愿，并为事后适用“合规不起诉”制度打下基础。（详见本团队解读《“合规不起诉”实施细则——图解<涉案企业合规建设、评估和审查办法>》）

三、结语

本文中，明确了我国在个人信息保护领域，已经形成以网信部门统筹协调、联合执法与单独执法相结合的执法方式，以推动个人信息保护领域的监管；并建议App运营者主动出击，通过厘清自身个人信息保护义务、写好用好《隐私政策》、建立个人信息安全内部管理制度、获得数据合规管理相应认证资质等方式，积极进行个人信息保护合规建设，以避免因侵犯个人信息权益被处以行政处罚乃至承担刑事责任。

参考文献：

[1]根据《常见类型移动互联网应用程序必要个人信息范围规定》第二条，App包括移动智能终端预置、下载安装的应用软件，基于应用软件开放平台接口开发的、用户无需安装即可使用的小程序。

[2]《个信法》第六十二条国家网信部门统筹协调有关部门依据本法推进下列个人信息保护工作：（一）制定个人信息保护具体规则、标准；（二）针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用，制定专门的个人信息保护规则、标准；（三）支持研究开发和推广应用安全、方便的电子身份认证技术，推进网络身份认证公共服务建设；（四）推进个人信息保护社会化服务体系建设，支持有关机构开展个人信息保护评估、认证服务；（五）完善个人信息保护投诉、举报工作机制。图4

[3]提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者

本文作者：

声明：            

本文由德恒律师事务所律师原创，仅代表作者本人观点，不得视为德恒律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容，请注明出处。