三、數據保護監管部門梳理

自《網絡安全法》實施以來，網絡安全相關的執法檢查日益常態化。對于企業來說，充分了解各監管部門的職責范圍和行政執法重點，能夠幫助其更加依法合規地開展業務、面對監管檢查。

1.行政執法主體

根據國務院于2004年印發的《全面推進依法行政實施綱要》（國務院令第10號）第22條：“行政執法由行政機關在其法定職權范圍內實施，非行政機關的組織未經法律、法規授權或者行政機關的合法委托，不得行使行政執法權……”可以認為，行政執法主體包括：（1）在法定職權范圍開展行政執法行為的行政機關；（2）由法律、法規授權或者行政機關委托行使行政執法權的非行政機關。

具體到網絡安全、個人信息安全保護領域，結合《網絡安全法》等相關規定以及當前的執法實踐可以看出，相關行政執法事項主要由網信部門、工信部門、公安部門以及市場監督管理部門負責。

盡管各部門有其法定的職責權限，其行政執法的對象和范圍也各有側重，但在具體開展行政執法的過程中，仍然存在一些困境。2017年12月24日舉行的第十二屆全國人大常委會第三十一次會議上，關于檢查網絡安全法、加強網絡信息保護的決定（即“一法一決定”）實施情況的報告明確指出：網絡安全監管“九龍治水”現象仍然存在，權責不清、各自為戰、執法推諉、效率低下等問題尚未有效解決，法律賦予網信部門的統籌協調職能履行不夠順暢。一些地方網絡信息安全多頭管理問題比較突出，但在發生信息泄露、濫用用戶個人信息等信息安全事件后，用戶又經常遇到投訴無門、部門之間推諉扯皮的問題。不少網絡運營單位反映，行政執法過程中存在不同執法部門對同一單位、同一事項重復檢查且檢查標準不一等問題，不同法律實施主管機關采集的數據還不能實現“互聯互通”，經常給網絡運營商增加額外負擔。

針對前述問題，除了依照相關法律法規及政策文件規定、在實踐中進一步明確各職能部門的權責界限以外，各部門也越來越多地采用了聯合協作等方式開展行政執法工作，以加強資源整合、信息共享，打破數據壁壘。例如，2019年初，中央網信辦、工信部、公安部、市場監管總局共同發布了《關于開展App違法違規收集使用個人信息專項治理的公告》，聯手在全國范圍組織開展App違法違規收集使用個人信息專項治理行動。2019年5月至12月，前述四部門又聯合開展全國范圍的互聯網站安全專項整治工作，對未備案或備案信息不準確的網站進行清理，對攻擊網站的違法犯罪行為進行嚴厲打擊，對違法違規網站進行處罰和公開曝光。

此外，具體到各個細分行業，不少行業主管部門也逐漸承擔起對所在行業的網絡信息安全的管理責任。例如，在金融行業，中國銀行保險監督管理委員會、中國人民銀行等會配合對金融相關的數據合規問題進行監督管理；在教育行業，教育部、國家新聞出版署等相關部門會參與到個人信息保護相關的治理行動中；其他領域的行政主管部門，如國家質量監督檢驗檢疫總局、國家食品藥品監管總局、國家宗教事務局、國家版權局等，也同樣針對各自領域內的數據和信息進行相應的規范。

2.行政執法行為

從中共中央辦公廳、國務院辦公廳發布的《行政執法類公務員管理規定（試行）》[1]，以及國務院辦公廳印發的《推行行政執法公示制度執法全過程記錄制度重大執法決定法制審核制度試點工作方案》（國辦發〔2017〕14號）[2]等文件中均可以看出，行政執法行為應當包含行政許可、行政處罰、行政強制、行政征收、行政收費、行政檢查六類。

在網絡安全、個人信息安全保護領域，最主要和最常見的行政執法行為是行政檢查和行政處罰，當然部分情況下也會涉及行政許可和行政強制。

從行政處罰措施上來看，根據《行政處罰法》第8條規定：“行政處罰的種類：（一）警告；（二）罰款；（三）沒收違法所得、沒收非法財物；（四）責令停產停業；（五）暫扣或者吊銷許可證、暫扣或者吊銷執照；（六）行政拘留；（七）法律、行政法規規定的其他行政處罰。”其中，就責令停產停業這一處罰，在互聯網環境下，除了常規的停業整頓外，還包括關閉網站、關閉通訊群組、暫停系統運行、暫停新用戶注冊等形式。

（一）網信部門

1.部門簡介

網信部門在中央/國家層面包括中央網信辦和國家網信辦。國家網信辦與中央網信辦是“一個機構兩塊牌子”的關系，列入中共中央直屬機構序列[3]。

中央網信辦，即中共中央網絡安全和信息化委員會辦公室，其前身是于2014年2月27日成立的中央網絡安全和信息化領導小組；2018年3月，中共中央印發《深化黨和國家機構改革方案》，將中央網絡安全和信息化領導小組改為中央網絡安全和信息化委員會，中央網信辦為該委員會的辦事機構。中央網信辦自成立之初，即開展了“掃黃打非·凈網2014”專項行動、打擊整治“偽基站”專項行動、“劍網2014”專項行動等。

國家網信辦，即中華人民共和國國家互聯網信息辦公室，是經國務院批準設立的互聯網信息監管機構，成立于2011年5月初。《網絡安全法》為國家網信部門設定的職責主要包括：

《個人信息保護法》第60條規定，“國家網信部門負責統籌協調個人信息保護工作和相關監督管理工作。國務院有關部門依照本法和有關法律、行政法規的規定，在各自職責范圍內負責個人信息保護和監督管理工作”，亦明確了國家網信部門在個人信息保護領域統籌協調個人信息保護工作和相關監督管理工作的職責。

此外，2014年8月，國務院發布《關于授權國家互聯網信息辦公室負責互聯網信息內容管理工作的通知》（國發〔2014〕33號），授權國家互聯網信息辦公室負責全國互聯網信息內容管理工作，并負責監督管理執法。

2017年5月，國家網信辦又發布《互聯網信息內容管理行政執法程序規定》（以下簡稱《程序規定》），從部委規章的層面將互聯網信息內容管理的執法工作進行了程序上的統一協調安排。特別值得關注的是，《程序規定》第21條和第29條分別對“網絡巡查”和“遠程取證”等新型執法手段作了規定，在針對互聯網領域的行政執法實踐中更加具有可操作性。

2.行政執法情況

針對互聯網信息內容管理，網信部門進行了一系列專項執法檢查和行政處罰。

2019年初，國家網信辦啟動網絡生態治理專項行動，分為啟動部署、全面整治、督導檢查、總結評估四個階段，劍指各類網站、移動客戶端、論壇貼吧、即時通信工具、直播平臺等重點環節中12類違法違規互聯網信息，集中解決網絡生態重點環節突出問題。

2019年，全國網信系統通過約談、警告、限期整改、暫停更新網站，會同電信主管部門取消違法網站許可或備案、關閉違法網站，會同有關部門依法查處網上各類違法信息和違法行為，移送司法機關相關案件線索等方式，持續加大行政執法力度。例如：

續表

地方各級網信辦也積極開展各項行動，例如深圳市網信辦于2018年5月組織開展“一法一令”（《網絡安全法》和《互聯網新聞信息服務管理規定》）落實情況專項檢查行動，對各單位的法律法規落實情況進行執法監督檢查。

同時，針對關鍵信息基礎設施，近兩年來，各地網信辦也積極組織開展網絡安全檢查工作，通過現場查看、技術檢測、查閱資料、座談交流等方式，明確關鍵信息基礎設施的數量、管理、運維等狀態，其主要功能、服務范圍、遭破壞的危害性，以及運行環境、管理和防護等情況，對被檢查單位的網絡安全制度建設、風險隱患等方面存在的問題進行反饋，并提出整改意見。

（二）工信部門

1.部門簡介

工業和信息化部作為主管信息化事務的國務院部門，與其下屬的地方主管部門——通信管理局和各級經濟和信息化局（或工業和信息化廳）共同承擔保障網絡安全的部分職責。

工信部內設網絡安全管理局，承擔電信和互聯網行業網絡安全審查相關工作，指導督促電信企業和互聯網企業落實網絡與信息安全管理責任，組織開展網絡環境和信息治理，以及電信網、互聯網網絡數據和用戶信息安全保護管理等工作。

2.行政執法情況

2019年，工業和信息化部網絡安全管理局組織對部分電信和互聯網企業、域名機構的網絡安全防護工作情況、網絡與信息安全責任落實情況、網絡數據安全保護責任及管理措施落實情況、電話用戶真實身份信息登記情況等開展隨機抽查。根據網絡安全管理局發布的“2019年‘雙隨機一公開’檢查結果公示”[4]，檢查發現的問題主要包括：（1）在網絡安全防護方面，存在業務系統未開展定級備案、符合性評測和安全風險評估工作，未及時整改前期已發現的網絡安全隱患，未開展網絡安全事件應急演練等問題；（2）在網絡與信息安全責任落實方面，存在互聯網信息安全管理系統部分功能和性能指標不符合電信主管部門以及相關標準要求，未有效建立企業新業務安全評估、用戶信息安全保護制度等問題；（3）在網絡數據安全保護責任落實方面，存在未有效采取數據分類、敏感信息加密等保護措施等問題；（4）在電話用戶真實身份登記方面，存在未嚴格落實電話用戶真實身份信息登記、物聯網卡安全管理相關規定等問題。

2019年7月，工信部開展為期一年的電信和互聯網行業提升網絡數據安全保護能力專項行動，通過集中開展數據安全合規性評估、專項治理和監督檢查，督促基礎電信企業和重點互聯網企業強化網絡數據安全全流程管理，及時整改消除重大數據泄露、濫用等安全隱患。在合規性評估和專項治理層面，包括：（1）開展網絡數據安全風險評估，針對物聯網、車聯網、衛星互聯網、人工智能等新技術新應用帶來的重大互聯網數據安全問題，及時開展行業評估和跨部門聯合評估工作。（2）深化App違法違規專項治理，持續推進App違法違規收集使用個人信息專項治理行動，組織第三方評測機構開展App安全滾動式評測，對在網絡數據安全和用戶信息保護方面存在違法違規行為的App及時進行下架和公開曝光；組織開展應用商店安全責任專項部署，督促應用商店落實App運營者真實身份信息驗證、應用程序安全檢測、違法違規App下架等責任。（3）強化網絡數據安全監督執法，持續開展數據泄露等網絡數據安全和用戶信息安全事件監測跟蹤與執法調查，對違法違規行為及時采取約談、公開曝光、行政處罰等措施，將處罰結果納入電信業務經營不良名單或失信名單。[5]

2019年10月，工信部開展App侵害用戶權益專項整治工作，針對違規收集用戶個人信息（私自收集個人信息、超范圍收集個人信息）、違規使用用戶個人信息（私自共享給第三方、強制用戶使用定向推送功能）、不合理索取用戶權限（不給權限不讓用、頻繁申請權限、過度索取權限）以及為用戶賬號注銷設置障礙（賬號注銷難）等方面，對App服務提供者進行檢查。同時也針對App分發服務提供者（包括應用商店和基礎電信企業營業廳等承擔App分發功能的各類企業）是否落實《移動智能終端應用軟件預置和分發管理暫行規定》進行檢查。[6]

此外，工信部門也會對部分存在違規收集、使用用戶信息等問題的企業進行巡查和約談。例如：2018年，工信部網絡安全管理局曾會同北京、上海等通信管理局，先后組織針對隨意調取手機攝像頭權限、用戶訂單信息泄露引發詐騙案件、用戶信息過度收集和濫用等網絡數據和用戶個人信息安全問題，對涉及的企業進行了情況問詢，結合情況問詢及調查核實情況，初步認定洋碼頭存在用戶個人信息安全管理制度不完善、用戶個人信息泄露補救措施不到位等問題，對該企業相關負責人進行了約談，責令企業限期整改，并提交整改報告。[7]2019年，針對媒體公開報道和用戶曝光的“某某”App用戶隱私協議不規范，存在數據泄露風險等網絡數據安全問題，工信部網絡安全管理局對某交友軟件相關負責人進行了問詢約談，要求其嚴格按照國家法律法規以及相關主管部門要求，組織開展自查整改，依法依規收集使用用戶個人信息，規范協議條款，強化網絡數據和用戶個人信息安全保護[8]。

在地方層面，各級通信管理局也會對數據和個人信息保護、災難備份等技術措施的標準符合性情況等進行檢查，評估仍然存在的網絡安全風險隱患。各地通信管理局已經開始對與個人信息有關的違規問題進行處罰，處罰原因主要包括：

續表

除地方通信管理局外，地方經信委也已經開始對個人信息保護相關違規行為進行處罰，主要原因包括：（1）掌握公眾信息的單位和個人，泄露、篡改、毀損、出售或者非法向他人提供在業務活動中收集的公民、法人或者其他組織的信息；（2）非法截取涉及國家安全、國家秘密或者公共安全以及單位和個人信息。

（三）公安部門

1.部門簡介

公安部門在網絡安全行政執法中被賦予的行政處罰權力如下：

續表

2018年11月1起正式施行的《公安機關互聯網安全監督檢查規定》則成為公安部門進行網絡安全監督檢查的執法依據。根據《公安機關互聯網安全監督檢查規定》，互聯網安全監督檢查工作由縣級以上地方人民政府公安機關網絡安全保衛部門組織實施。上級公安機關應當對下級公安機關開展互聯網安全監督檢查工作情況進行指導和監督。其中，網安部門的大致層級為：中央設公安部網絡安全保衛局，省（直轄市、自治區）級設網絡安全保衛總隊，地市級設網絡安全保衛大隊，區縣級設網絡安全保衛大隊，各派出所不設網安保衛部門。

2.行政執法情況

繼“凈網2019”專項行動順利、有效開展之后，2020年公安部在全國范圍內繼續組織開展“凈網2020”專項行動，打擊整治網絡違法犯罪活動，深入整頓網上秩序，進一步營造安全、清朗、有序的網絡環境。[9]

2019年11月以來，公安部加大打擊整治侵犯公民個人信息違法犯罪力度，組織開展APP違法違規采集個人信息的集中整治，全國公安機關網安部門按照公安部網絡安全保衛局的部署要求，集中發現、集中偵辦、集中查處。

此外，公安機關已于2018年起實行“一案雙查”制度，即在對網絡違法犯罪案件開展偵查調查工作時，同步啟動對涉案網絡服務提供者法定網絡安全義務履行情況的監督檢查。[10]

（四）市場監督管理部門

1.部門簡介

根據2018年3月18日全國人民代表大會發布并實施的《國務院機構改革方案》，決定組建國家市場監督管理總局，將國家工商行政管理總局的職責，國家質量監督檢驗檢疫總局的職責，國家食品藥品監督管理總局的職責，國家發展和改革委員會的價格監督檢查與反壟斷執法職責，商務部的經營者集中反壟斷執法以及國務院反壟斷委員會辦公室等職責整合，組建國家市場監督管理總局，作為國務院直屬機構。同時，組建國家藥品監督管理局，由國家市場監督管理總局管理。此后，各地市場監督管理局陸續成立。

盡管市場管理監督部門并非傳統意義上的信息安全保護部門，但其職責權限較為廣泛。作為負責市場綜合監督管理、負責市場主體統一登記注冊、負責組織和指導市場監管綜合執法工作、負責監督管理市場秩序、負責統一管理標準化工作、負責統一管理檢驗檢測工作及負責統一管理、監督和綜合協調全國認證認可工作的職能機構，不少涉及網絡安全、個人信息安全的群眾投訴、舉報案件是由各地市場監督管理局受理并進一步調查處理的，其與群眾聯系密切，實踐中在網絡安全、個人信息保護等領域的地位和作用也愈加重要。

2.行政執法情況

市場監管總局辦公廳通知于2019年4月1日至9月30日，在全國范圍內部署開展“守護消費”暨打擊侵害消費者個人信息違法行為專項執法行動，重點打擊侵害消費者個人信息違法行為。本次行動依照《消費者權益保護法》《電子商務法》《網絡安全法》《侵害消費者權益行為處罰辦法》等法律法規的相關規定，重點關注違法行為多發的房產租售、小貸金融、教育培訓、保險經紀、美容健身、裝飾裝修、旅游住宿、快遞、電話營銷、網站或APP運營等行業和領域，主要查處3類違法行為：一是未經消費者同意，收集、使用消費者個人信息；二是泄露、出售或者非法向他人提供所收集的消費者個人信息；三是未經消費者同意或者請求，或者消費者明確表示拒絕的，向其發送商業性信息。[11]

2019年11月18日，國家市場監管總局召開“守護消費”暨打擊侵害消費者個人信息違法行為專項執法行動專題新聞發布會，對侵害消費者個人信息違法行為專項執法行動進行了闡述，并通報了十大典型案例。從查辦案件的情況來看，當前侵害消費者個人信息違法行為主要高發在房產租售、裝飾裝修、教育培訓三個領域，最突出的違法行為是未經消費者同意，收集、使用消費者個人信息，具體數據如下[12]：