作者:周杨
前言
网络安全、数据安全和个人信息保护已经成为当今数字化转型时代不可回避的合规热点,在近十数年的数字经济发展过程中,网络安全、数据安全和个人信息保护「四驾马车」的监管体系逐渐明确——以网信部门为统筹,工信部门、市监部门、公安部门共同联合并各司其职。由于各部门的监管职权与其部门历史职责定位具有紧密关系,且相互之间独立执法活动较多,过去的监管活动令参与到市场活动中的主体应接不暇。
随着今年3月《党和国家机构改革方案》对网信部门职权的划定,以及《网信部门行政执法程序规定》对其行政执法程序的进一步明确,网络安全、数据安全和个人信息保护无疑将迎来新一轮以网信部门为主导的监管挑战。在此前提之下,本文试图通过总结以网信部门为主的各监管部门职权及活动的方式,协助企业有序应对监管行政执法领域即将进入的深水区。
一、行政执法概述
行政法是我国法律体系中的重要分支,目前还未实现法典化,有关“行政法”的概念也因此缺乏明确的定义,一般将其视为有关行政的主体及职权、行为及程序、违法及责任和救济关系等法律规范的总称。作为成文法国家,我国行政法的法源一般源自制定法,大体包括四类:宪法与法律;地方性法规与自治条例、单行条例;行政立法;条约与协定。
一般而言,行政执法主要是指行政机关为贯彻落实法律、法规、规章的内容对国家和社会公共事务进行管理的行为,既包括行政机关或者法律、法规授权的组织行使行政职权,将普遍适用的法律规范作用于具体对象并直接产生法律效果的具体行政行为,也包括行政机关制定和发布具有普遍约束力的规范性文件的抽象行政行为。狭义的行政执法一般仅指具体行政行为,包括行政许可、行政处罚、行政强制、行政检查、行政确认等[1]。
行政执法主体必须是依法享有行政执法权的主体。判断一个主体是否为行政执法主体,关键在于该主体是否依法拥有行政执法权。根据宪法和有关法律规定,行政执法主体需要具备下述条件:
二、网络安全和数据保护领域执法
由于特殊的立法渊源,我国的网络安全和数据保护领域没有统一的执法机关,长期以来呈现“九龙治水”的多头监管局面,网信部门、工信部门、公安部门和市场监督管理以及其他行业主管部门等均在各自的职责范围内进行相关执法活动。
1 网信部门
概括而言,根据国务院办公厅2011年5月4日前就设立国家互联网信息办公室发出通知,国家互联网信息办公室的主要职责包括[2]:
1)落实互联网信息传播方针政策和推动互联网信息传播法制建设,指导、协调、督促有关部门加强互联网信息内容管理;
2)负责网络新闻业务及其他相关业务的审批和日常监管;
3)指导有关部门做好网络游戏、网络视听、网络出版等网络文化领域业务布局规划,协调有关部门做好网络文化阵地建设的规划和实施工作;
4)负责重点新闻网站的规划建设,组织、协调网上宣传工作,依法查处违法违规网站;
5)指导有关部门督促电信运营企业、接入服务企业、域名注册管理和服务机构等做好域名注册、互联网地址(IP地址)分配、网站登记备案、接入等互联网基础管理工作;
6)在职责范围内指导各地互联网有关部门开展工作。
在其众多职责中,网信部门的行政执法主要手段是行政处罚。在2023年2月3日发布的《网信部门行政执法程序规定》的第三章(行政处罚程序)对网信部门采取行政处罚的流程进行了较为详尽的规范。
不难看出,网信部门在2011年设立之初的职权范围主要围绕网络信息内容的管理。然而,十数年来科技和数据领域的飞速发展也在事实上推动着网信部门及其他部门职权的调整和变化。以《网络安全法》《数据安全法》《个人信息保护法》为前驱的三大数据保护法律赋予了网信部门在网络安全、数据安全和个人信息保护方面的各项统筹和执法权力,《网络安全审查办法》《关键信息基础设施安全保护条例》等法规则进一步细化了网信部门的具体职权。本文根据已有的相关立法以及官网出台的相关文件,整理了截至2023年4月网信办的相关职权范围:
2 工信部门
1)工业和信息化部
工业和信息化部作为国务院组成部门,其属于职权执法主体,于2008年4月26日根据第十一届全国人民代表大会第一次会议批准的国务院机构改革方案和《国务院关于机构设置的通知》(国发﹝2008﹞11号)设立,又根据《中央编办关于工业和信息化部有关职责和机构调整的通知》(中央编办发﹝2015﹞17号)对工业和信息化部机构职责进行了调整,将信息化推进、网络信息安全协调等职责划给中央网络安全和信息化领导小组办公室(国家互联网信息办公室)。目前,工业和信息化部的职权如下:
可以看到,工信部作为最为熟悉信息产业技术领域业务的监管方,其初始监管职权主要集中在网络建设、新技术安全管理、信息系统的安全和应急处置等方面。然而,几乎必然的,同样为了满足科技和数据领域的发展需求,工信部门的监管领域也逐步拓宽至网络安全与管理、数据处理与安全等方面,但仍偏重于技术监管方向。
2023年2月8日,工业和信息化部发布了《工业和信息化部行政执法项目清单(2022年版)》。“清单”共涉及296项行政执法事项,其中涉及网络安全领域38项、数据安全领域15项、个人信息保护领域4项,总计45项行政处罚、12项行政检查。具体而言,该清单列出了针对违规行为的具体行政处罚措施,包括网络安全违法行为、个人信息保护与数据安全违法行为等。清单中还明确了企业在网络和数据安全方面应当遵守的法律法规和标准。该清单可以说是对工信部门职权范围在网络安全、数据安全和个人信息保护领域的全面总结,本文试图列举如下:
2)地方通信管理局
根据《中央编办关于工业和信息化部有关职责和机构调整的通知》中央编办发﹝2015﹞17号第三条第2款的规定,信息通信管理局的主要职责是:
3)网络安全管理局
根据《中央编办关于工业和信息化部有关职责和机构调整的通知》中央编办发﹝2015﹞17号第三条第3款的规定,网络安全管理局的主要职责是:
3 公安部门
公安部门是我国国务院的国务院组成部门,属于职权行政执法主体,其职权众多且分布于各类规范性文件中。公安部门执法具有更新速度快、覆盖面广等特点。在网络安全、数据安全和个人信息保护领域,其职权范围具体如下表所示:
4 市场监督管理部门及其他行业主管部门
市场监督管理部门承担着市场交易活动中涉及的网络安全和数据保护的行政执法工作,主要包括对经营者的相关义务履行进行监督并对侵害消费者个人信息的行为进行处罚等。此外,金融行业等的主管部门也在各自领域内进行相关执法工作,鉴于本文只涉及讨论通用监管,在此不作展开讨论。
5 即将组建的国家数据局
2023年3月7日,十四届全国人大一次会议举行第二次全体会议,根据国务院关于提请审议国务院机构改革方案的议案,组建国家数据局。根据方案,国家数据局负责协调推进数据基础制度建设,统筹数据资源整合共享和开发利用,统筹推进数字中国、数字经济、数字社会规划和建设等,由国家发展和改革委员会管理。本次国务院机构改革将网信办下“中央网络安全和信息化委员会办公室”承担的研究拟订数字中国建设方案、协调推动公共服务和社会治理信息化、协调促进智慧城市建设、协调国家重要信息资源开发利用与共享、推动信息资源跨行业跨部门互联互通等职责,以及国家发展改革委承担的有关职责划入国家数据局。
从本次改革公布的内容来看,国家数据局汇聚的主要是数据要素开发和推进的职能,其主要关注的是如何利用数据要素并建设数据要素市场,而非数据安全和行业数据管理等职能。未来国家数据局如何与网信部门的其他行政职能进行衔接,协调与工信部门、国办电子政务办以及公安部等部门有关数据的职能尚待观察。
三、重点执法活动回顾与总结
(一)APP侵害用户权益专项整治工作
工信部门在2019年至今(2023年),每年均对APP侵害用户权益的行为开展专项整治工作,并与中央网信办、公安部、市场监管总局定期开展专项治理工作。根据2019-2022年工信部门发布的《工业和信息化部关于开展APP侵害用户权益专项整治工作的通知》《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》总结以下App治理工作组开展工作的重点:
(二)App违法违规收集使用个人信息专项治理
2019年1月25日,中央网信办、工业和信息化部、公安部和国家市场监管总局等四部门联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》,决定自2019年1月至12月,在全国范围组织开展App违法违规收集使用个人信息专项治理。根据《公告》,受中央网信办、工业和信息化部、公安部、市场监管总局委托,全国信息安全标准化技术委员会、中国消费者协会、中国互联网协会、中国网络空间安全协会成立App专项治理工作组。App专项治理工作组于2019和2020年对APP服务提供者[10]、 APP分发服务提供者[11]、软件工具开发包(SDK)提供者[12]、应用分发平台[13]四类整治对象进行了重点执法。2021年,国家计算机网络应急技术处理协调中心(CNCERT)与中国网络空间安全协会共同建立了App收集使用个人信息监测平台、App举报受理平台,并发布了《App 违法违规收集使用个人信息监测分析报告》。
从2019年和2020年发布的App违法违规相关通报可以发现:第一,对违法违规收集使用个人信息行为的发现力度、曝光力度、处罚力度正在逐步提升,并逐步完善主体责任。第二,通过对社会反映强烈的App存在的问题进行深度评估,完善具体评估依据,例如发布具有针对性的标准文件《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》及《App收集使用个人信息行为应用商店审核管理指南》等,为进一步明确评估尺度提供制度依据。
2021年,国家计算机网络应急技术处理协调中心(CNCERT)发布的《App 违法违规收集使用个人信息监测分析报告》中主要针对“个人信息收集”“知情同意”“权限”三大类型问题的监管现状进行了分析,在肯定专项治理工作整体改进了个人信息收集乱象的同时,指出未来需要在对超范围收集个人信息、未明示的敏感数据收集与“一揽子”同意、启动弹窗索要无关权限、同意前收集、频繁索权等违规行为进行加强监管。
(三)工信部执法活动
依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规,工业和信息化部负责组织第三方检测机构对移动互联网应用程序(APP)进行检查。并敦促通报存在问题的APP名单中的APP及时落实整改工作。对于逾期未整改、未反馈结果,或整改不到位的,监管机构将依法依规采取下架、行政处罚并纳入电信经营不良名单等进一步处理措施。
从工信部门近期发布的执法通知可以发现,工信部执法过程中违法违规行为的监督、检查力度将会提升。例如,2023年2月8日,工信部发布的《关于侵害用户权益行为的App通报》和《关于2022年第四季度电信服务质量的通告》两份文件中,首次提及“违规互联网弹窗信息推送服务”的违规行为,这意味着互联网弹窗信息推送服务已经纳入执法监管关注对象[14]。并且,文件中还提到要求加强源头管理,进一步扩大的监管范围,从多个环节多管齐下,严肃查处违规行为App违法违规行为。2023年2月28日工业和信息化部印发《关于进一步提升移动互联网应用服务能力的通知》。除了聚焦 APP 安装卸载、服务体验、个人信息保护、诉求响应等常见问题,还从行业协同规范发展、上下游联防共治的角度出发,提出要抓住当前移动互联网服务的5类关键主体[15]。
从工信部门发布的一系列指导执法活动的通知文件中可以发现,工信部门的执法活动除了聚焦维护App用户权益的核心目标,还逐渐从单点整治发展到行业全方位治理,不断扩大监管主体及范围,并细化监管标准。
(四)市场监督管理局及行业主管部门的执法活动
市场监督管理局在网络安全领域的执法主要集中于在服务活动中对消费者的个人信息权益进行侵犯的行为。市场监管总局办公厅在2019年4月10日发布《市场监管总局办公厅关于开展“守护消费”暨打击侵害消费者个人信息违法行为专项执法行动的通知》。该行动主要针对房产租售、小贷金融、教育培训、保险经纪、美容健身、装饰装修、旅游住宿、快递、电话营销、网站或APP运营等侵害消费者个人信息违法行为多发高发的行业和领域开展。该行动重点打击的行为有以下三类:一是未经消费者同意,收集、使用消费者个人信息违法行为;二是泄露、出售或者非法向他人提供所收集的消费者个人信息违法行为;三是未经消费者同意或者请求,或者消费者明确表示拒绝的,向其发送商业性信息违法行为。从执法情况可知:侵害消费者个人信息违法行为主要高发在房产租售、装饰装修、教育培训等三个领域,共立案查处违法案件640件。
除了针对违法使用个人信息的行为进行打击,市场监督管理部门针对市场主体处理数据形成的数据产品和服务也有执法权。《深圳经济特区数据条例行政处罚裁量权实施标准》规定,市场监督管理部门对“数据交易”的生产、交易环节出现的违法使用个人数据(未获授权)和公共数据(未经依法开发)以及存在禁止交易情形的情况有实施行政处罚裁量的权力。《陕西省大数据条例》第七十四条规定,“反本条例第三十六条规定交易数据的,由县级以上市场监督管理部门或者相关行业主管部门按照职责责令改正,没收违法所得”。
(五)“清朗”系列专项行动
“清朗”系列专项行动是由国家网信办牵头,工信、公安、文化、工商、新闻出版广电等多部门共同参与的网络空间治理行动,治理范围覆盖门户网站、搜索引擎、网址导航、微博微信、移动客户端、云盘、招聘网站、旅游出行网站等各平台各环节,是对网络空间的一次“大清理”和“大扫除”,同时也是各部门行动成功联合的一次重要举措。
2022年3月17日,国务院新闻办公室举行2022年“清朗”系列专项行动新闻发布会。会上介绍了2022年“清朗”系列专项行动情况。其中,包括十个方面重点任务:打击网络谣言,整治MCN机构信息内容乱象,整治网络直播、短视频领域乱象,整治应用程序信息服务乱象,进一步规范传播秩序,算法综合治理,整治春节期间网络环境,整治暑期未成年人网络环境。具体的执法重点如下表所列:
“清朗”活动中与网络安全与数据安全领域相关的联合行动体现在算法治理活动部分。各部门之间的协调和分工井然有序,其中国家网信部门负责统筹协调全国算法推荐服务治理和相关监督管理工作,国务院电信、公安、市场监管等有关部门依据各自职责负责算法推荐服务监督管理工作。其中公安部门主要负责的是开展现场检查、组织自查自纠以及对违法行为实施罚款、查处封禁相关平台等执法行动。
(六)公安部净网专项行动
净网专项行动最早是在2013年由全国“扫黄打非”办公室准备开展的对制售传播淫秽色情出版物及网络信息活动专项整治行动。从2019年开始,为进一步深化打击整治网上违法犯罪乱象,努力建设高层次、高水平的平安网络,公安部自1月22日起在全国范围内组织开展“净网2019”专项行动。从此,净网专项行动的重点逐渐从“扫黄打非”的小范围治理转向“对各类网络违法犯罪的高压严打态势,深入整治网络黑灰产和网络乱象,不断净化网络生态”等针对网络违法犯罪“全链打击、生态治理”的全方位治理态势,全力营造清朗网络空间。根据公安机关“净网2021”专项行动和“净网2022”专项行动,可了解公安部门的执法重点及种类主要针对网络违法犯罪,围绕保护个人信息及净化网络环境的目的深入推进监督检查和行政执法。因此,其监管重点往往与网络乱象和黑灰产生态链条,以及有违积极促进互联网产业和生态健康有序发展的行为高度重合。其监管重点一是开展对非法网络电视平台的治理查处工作,严厉打击侵犯公民个人信息犯罪以及造谣引流等误导社会公众,严重扰乱网上秩序的行为;二是开展动态IP代理服务的集中整治工作,对重点基础资源生态进行治理;三是开展网络游戏整治工作,净化网络空间;四是开展严打网络犯罪黑产物料等非法产业链,对网络犯罪形成持续高压的治理态势。
四、行政执法趋势分析
(一)App专项治理
从“App专项治理”的背景及通报情况,结合近期发布的法律规定、国家标准及相关指南来看,App监管中的几个态势值得关注:
1.随着相关法律以及各类细则的出台,政府监管向App提供者以及平台运营者提出了更为具体、细致的规范要求,并十分关注个人信息保护和数据安全问题;
2.监管要求强化了信息内容管理责任、风险监测及用户权益保障;
3.多部门联动加社会监督的新的治理格局将对监管技术提出更高的要求,以及对产业链的覆盖度将更完善。
(二)网信部门网络安全行政执法变化
网信部门的执法趋势可以从两方面进行把握,一方面,根据网信部门在2022年的执法的十大行动以及其中的两大重点“短视频/MCN”和“用户账号/网络水军”可以发现,网信部门的执法活动相较于工信部门的更注重对信息传播介质的监管,更关注互联网上传播的内容本身和促进内容传播的主体;另一方面,以生成式人工智能(AI Generated Content,AIGC)进行内容创作的生产方式正在对网络内容生产方面产生巨大的改变。虽然《互联网信息服务深度合成管理规定》自2023年1月10日起正式施行,但是目前监管部门对算法,特别是对AI(Artificial intelligence)技术形成规制的有效方式尚未明晰,相关法律文件也有待完善。针对AIGC技术,如何针对这部分发布的内容进行审核、如何规范利用AIGC技术生成内容的主体、AIGC技术的内容生成功能以及训练数据的合法合规性确认在法律层面需要如何规范、如何做到有效监管都是网信办在执法活动中亟待解决的问题。
在2023年3月7日发布的《国务院机构改革方案》中将与“国家互联网信息办公室”同机构的“中央网络安全和信息化委员会办公室”的有关协调数字化建设、推动信息资源互联互通等促进数字经济发展、推动产业与基础设施数据化信息化转型的相关职责被划入国家数据局。这将导致国家网信办对于数据安全、行业数据监管的职责更加集中,由此可以预测网信部门作为网络安全的主要机构之一,其权力将更集中于监管和执法,执法活动的频率、监管与对违法违规情况的打击力度将得到强化。与此同时,网信部门的执法也将逐步规范化。国家互联网信息办公室发布《网信部门行政执法程序规定》,其中对网信部门的行政处罚程序,包括立案、调查取证、决定和送达、执行和结案进行了具体的规定,逐步建立行政执法监督制度。
(三)工信部门网络安全行政执法变化
工业和信息化部在网络安全、数据安全领域的行政执法活动主要是联合中央网信办、公安部、市场监管总局等部门定期开展专项治理工作。从执法的内容看,过去几年的执法内容从对于App内部的权限索取、盗用身份信息、缺少隐私条款等具有多样性的问题逐渐聚焦为App违规收集与使用用户个人信息的问题。从执法的对象观察,工信部门对于App的专项治理的范围正在不断扩展,目前已经从App服务提供者拓展至App分发服务提供者、软件工具开发包(SDK)提供者,以及应用分发平台。未来的执法趋势将进一步以App对公民个人信息安全和合法权益的侵害为中心,逐步覆盖App产业链服务链上的主体,并将更加强调平台方的监管义务。
根据各地通信管理局近年来开展的电信和互联网行业网络、数据安全检查和应用合规检查,可以发现工信部门针对网络数据安全和应用合规的审查范围,包括审查对象、审查内容的范围以及审查力度都在扩展和强化。其甚至将通常由公安部门负责的互联网黑产、电信网络诈骗纳入了检查范围,并在检查维度上逐渐从网络安全向个人信息保护和数据安全治理等多维度展开。例如,上海市在2023年2月开展的“浦江护航”2023年电信和互联网行业数据安全专项行动就将试点实施电信和互联网行业首席数据官制度、开展重要数据和核心数据识别认定及目录管理、开展电信和互联网行业数据安全风险评估管理、开展常态化数据安全监测预警与通报处置等。
(四)公安部门网络安全行政执法变化
以下是2020-2022年公安机关网络安全行政执法对象的变化。从表格中可以发现,公安机关对于网络安全的执法主要围绕维护公民个人信息安全和合法权益、是否履行相关保护义务,以及相关网络犯罪展开。
其中,历年的执法重点始终集中于对个人信息的侵犯类型的案件,可见对于相关执法的关键目的之一在于规范个人信息处理活动,保护个人信息权益。根据公安机关“净网2022”专项行动公布的数据,截至2022年12月底,共侦办案件8.3万起,其中侵犯公民个人信息案件1.6万余起、“网络水军”案件550余起。因此,在2023年公安部门的执法,预计将重点关注侵犯个人信息相关犯罪,对非法采集、提供、倒卖个人信息违法犯罪的全链条进行覆盖面更广的打击。
注释
[1] 2021年7月15日发布的国家市场监督管理总局《市场监督管理行政执法责任制规定》第23条
[2] http://www.gov.cn/rsrm/2011-05/04/content_1857301.htm
[3] 即APP未明确告知收集使用个人信息的目的、方式和范围并获得用户同意前,收集用户个人信息
[4] APP收集个人信息,非服务所必需或无合理应用场景,超范围或超频次收集个人信息,如通讯录、位置、身份证、人脸等
[5] 即APP未经用户同意与其他应用共享、使用用户个人信息,如设备识别信息、商品浏览记录、搜索使用习惯、常用软件应用列表等
[6] 即APP未向用户告知,或未以显著方式标示,将收集到的用户搜索、浏览记录、使用习惯等个人信息,用于定向推送或精准营销,且未提供关闭该功能的选项
[7] 即APP安装和运行时,向用户索取与当前服务场景无关的权限,用户拒绝授权后,应用退出或关闭
[8] 即APP在用户明确拒绝权限申请后,频繁申请开启通讯录、定位、短信、录音、相机等与当前服务场景无关的权限,骚扰用户
[9] 即APP在用户未使用相关功能或服务时,提前申请开启通讯录、定位、短信、录音、相机等权限,或超出其业务功能或服务外,申请通讯录、定位、短信、录音、相机等权限
[10] 即互联网信息服务提供者提供的可以下载、安装、升级的应用软件,包括快应用和小程序等新应用形态
[11] 含应用商店和基础电信企业营业厅等承担APP分发功能的各类企业
[12] 即集成在手机APP里的第三方工具集合
[13] 包括网站、应用商店、APP等承担下载、安装、升级等分发服务的各类平台
[14] 2022年9月30日起正式施行《互联网弹窗信息推送服务管理规定》
[15] 即 APP 开发运营者、分发平台、SDK(软件开发工具)、终端和接入企业
作者介绍
周杨律师于2014年开始聚焦于网络安全、数据合规和电子商务领域,受托处理了包括银行、保险、房地产、能源、游戏、电子商务和车联网在内诸多行业领域的数据合规专项法律服务,在数据资产及流动情况的摸排及合规差异诊断、数据分类分级、数据跨境合规、集团数据共享合规、儿童数据保护合规、GDPR和CCPA专项合规、赴港上市数据安全专项合规等服务项目中,周律师为客户提供了高效且贴合实际的解决方案。
周律师参与了TC260主导的《信息安全技术 互联网平台及产品服务隐私协议要求》标准编纂工作,并参与编撰中国网络空间安全协会主编的《关键信息基础设施安全保护通识》《全球个人信息保护报告》等文件。
目前,周律师是北京市律师协会科技与大数据委员会委员,中南财经政法大学数字经济研究院、金融科技研究院高级研究院研究员;中国通信学会第一届网络空间安全战略与法律委员会委员;并已经通过国际Certified Data Privacy Solutions Engineer (CDPSE)认证。
(实习生莫梓楠对本文亦有贡献)
声明:本文来自北京市竞天公诚律师事务所,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
