汇业评论 | 个人信息保护的监管趋势与应对

文 | 李天航 合伙人   黄春林 合伙人 汇业律师事务所

近日，《个人信息保护法（草案）》（以下称“一审草案”）提请十三届全国人大常委会第二十二次会议审议。作为个人信息保护领域的基本法，我们结合该法对2020年个人信息保护监管情况进行盘点，并研判监管趋势，同时提出企业应对措施建议，供大家参考。

一、2020年个人信息保护监管情况盘点

（一）监管主体多门化

当前个人信息保护的监管仍然由网信部门综合协调，公安部门、工信部门、市场监督管理部门以及其他行业主管部门在各自职责范围内行使监督管理职责。本所从公开渠道检索，在个人信息保护领域作出行政处罚的案件共127起（116起处罚企业，11起处罚个人），涉及的国家机关有公安机关（85起）、工信部门（信息通信管理，1起）、市场监督管理部门（41起）。

公安机关和工信部门聚焦互联网领域的APP治理，根据《网络安全法》第二十二条第三款、第四十一条和第六十四条第一款，对APP主体违法违规收集、处理个人信息的行为进行处罚；市场监督管理部门聚焦消费者权益保护领域，依据《消费者权益保护法》第五十六条，对未经消费者同意收集其个人信息以及发送商业性信息的行为进行处罚。各部门由于职能定位不同，负责的个人信息保护场景不同，既有线上场景也有线下场景，此外，即使线上场景，公安、市场监督管理局跟工信部门也有不同分工。

（二）监管执法主动化

个人信息保护的监管执法由被动执法向主动执法转变。中央网信办、工业和信息化部、公安部、国家市场监管总局四部门7月22日在京召开会议，启动2020年App违法违规收集使用个人信息治理工作。该项工作自2019年即已开展，监管机关通过主动查处、发现APP违法违规收集、使用个人信息的行为。

（三）监管措施多样化

从我们检索案例以及实践经验来看，当前的监管措施形式表现更加多样化。网信部门以联合多部门进行专项执法并约谈相关违法违规主体为主；工信部门则依职权对相关APP进行检测调查，并采取通报、约谈、下架APP等措施；工信部今年共分三批通报了侵害用户权益行为的APP，对相关企业进行了集中约谈，并分三批下架了拒不整改的34个APP。

除了传统的行政处罚之外多采取柔性措施。行政处罚在监管中属于比较刚性的监管措施，而约谈比较柔性，对于企业来说也给予了整改落实的机会，因此，网信和工信部门更多的采取约谈的措施。例如，工信部网络安全管理局2020年3月21日就新浪微博App数据泄露问题开展问询约谈。

（四）处罚力度较轻，但APP下架和关闭网站影响较大

对于侵犯公民个人信息的处罚，《网络安全法》第六十四条第一款规定，可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款；情节严重的，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。《消费者权益保护法》第五十六条规定，可以根据情节单处或者并处警告、没收违法所得、处以违法所得一倍以上十倍以下的罚款，没有违法所得的，处以五十万元以下的罚款；情节严重的，责令停业整顿、吊销营业执照。

虽然前述法律规定的最高处罚较重，但是从127份处罚总体来看实际处罚力度较轻。市监部门处罚多以罚款为主，但基本都在2万元人民币以下；公安机关对企业多以训诫、警告、责令改正为主，基本没有罚款处罚，对个人处罚的11起全部为罚款；工信部门也以警告处罚为主。同时，未启动双罚制，没有对直接负责的主管人员和其他直接责任人员进行处罚。

虽然罚款等处罚力度较轻，但是127份处罚中还有一起责令关闭网站（APP）的处罚，同时，工信部也责令相关APP下架。这些措施将极大影响企业的正常经营。

二、《个人信息保护法（草案）》的监管制度

《个人信息保护法（草案）》作为个人信息保护领域的基本法，在监管制度方面与现行监管体制相比，呈现以下特点：

（一）监管格局仍系九龙治水

草案一审稿在监管主体（履行个人信息保护职责的部门）方面，未设置统一的监管部门，仍沿用《网络安全法》的监管体制，由国家网信部门统筹协调，其他各部门在各自职责范围内负责个人信息保护和监管工作。当前九龙治水的格局仍未改变。

（二）统一了适用场景

草案一审稿第三条将所有处理个人信息的行为，统一适用《个人信息保护法》，即不区分线上或者线下应用场景，处理个人信息的行为均适用统一的标准，遵从统一的合规义务。监管部门在日常监管中，只要发现违反《个人信息保护法》的情形，均可以直接适用该法进行查处。

（三）赋予了调查权力

草案一审稿将该法认定为综合性法律，以实体法为主，又兼顾程序法的内容。在程序法方面，赋予了履行个人信息保护职责的部门以下四个方面的调查权力：

1. 询问当事人，调查与个人信息处理活动相关的情况；

2. 查阅、复制当事人与个人信息处理活动有关的合同、记录、账簿以及其他有关材料；

3. 实施现场检查，对涉嫌违法个人信息处理活动进行调查；

4. 检查与个人信息处理活动有关的设备、物品；对有证据证明是违法个人信息处理活动的设备、物品，可以查封或者扣押。

（四）加大了处罚力度

与《网络安全法》相比，草案一审稿都大幅提高了处罚的力度，在《网络安全法》基础上，增加一档处罚：

违反本法规定处理个人信息，或者处理个人信息未按照规定采取必要的安全保护措施的，由履行个人信息保护职责的部门责令改正，没收违法所得，给予警告；拒不改正的，并处一百万元以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

有前款规定的违法行为，情节严重的，由履行个人信息保护职责的部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。

三、个人信息保护监管趋势与应对

（一）监管趋势

从《网络安全法》正式施行至今，随着监管部门对个人信息保护领域的执法经验的累积，以及后续可能逐步推出的裁量标准和内部执法操作指引等文件的成熟，对个人信息保护的监管趋势将呈现以下特点：

一是主动执法与被动执法相结合，专项执法和主动执法的比重将逐步提升。随着APP专项治理的经验总结，APP、小程序、网站等公开的载体将成为主动执法的对象，尤其是随着《个人信息保护法》的正式实施，监管机关的执法权力得到进一步明确，监管部门的执法积极性将得到提高，类似的专项执法以及主动执法将是今后的常态。

二是处罚力度将逐步加大。虽然当前处罚力度不大，但是随着执法的不断推进以及企业二次甚至多次违法行为的累积，处罚力度会进一步加大。同时，监管部门的执法裁量标准将逐步完善，加之对标《个人信息保护法》的处罚规定，监管部门的整体处罚力度也将进一步提高。除此之外，APP下架、关闭网站等措施也将是监管部门采取的重点措施。

（二）应对建议

1.加强合规建设。随着监管力度的加强，企业一旦遭受处罚或者相关APP产品被下架，将可能严重影响正常经营。企业应当对个人信息处理活动提前做好相关合规工作，打好基础，防患于未然，避免被处罚情况的发生。

2.加强上下游关联性风险控制。当前数据流通情况比较普遍，企业处理个人信息过程中有诸多环节涉及上下游供应商或者委托第三方处理的情形，企业应当避免此类情形中因第三方对个人信息处理行为违法而导致承担相应法律责任。

3.加强应对行政调查的制度建设。企业应当健全完善应对监管机关调查和处罚的应对工作制度和应急机制，在企业遭受监管机关调查时，启动应急机制，采取积极应对措施，将被处罚的法律风险降至最低。

4.积极应对责令改正或者处罚的行政决定。对于监管机关作出的书面决定应当积极做好整改落实工作，加强与监管机关的过程沟通，避免行政法律责任升级为刑事法律责任。

近期培训预告：《个人信息保护法（草案）》主要内容、执法实践及国际比较

分享提纲：

一、《个人信息保护法》主要内容及对企业影响

二、2020年个人信息保护重要监管案例及执法应对

三、《个人信息保护法》与GDPR、CCPA等比较分析

分享嘉宾：黄春林律师、李天航律师、史宇航律师

李天航

汇业律师事务所合伙人

李天航律师，上海交通大学网络空间治理研究中心研究员。主要执业领域为网络安全与数据合规、公司业务合规、刑事法律风险防控、反舞弊调查、刑事辩护、刑民交织争议解决、劳动与人力资源。在网络安全与数据合规领域有丰富的实践经验，为多家全球领先企业提供法律合规服务，发表多篇实务文章。曾在上海市公安局法制办公室工作逾16年，负责大案要案指导和协调、刑事案件质量控制、刑事政策制定等。

黄春林

汇业律师事务所合伙人

黄春林律师，现为上海市律协互联网与信息技术专业委员会副主任，主要执业领域为网络与数据合规、高新技术及泛娱乐领域综合法律服务，常年为数十家境内外企业提供前瞻性法律服务解决方案，2019年在人民法院出版社出版专著《网络与数据法律实务：法律适用及合规落地》，多次被LegalBand、知产力等评为中国顶级律师之一。