App合规监管背后：监管机构的分工与职责

App合规监管背后：监管机构的分工与职责

迈入数字经济时代，移动互联网应用程序（App）得到广泛应用，在促进经济社会发展、服务民生等方面发挥了不可替代的作用。同时，App诱导下载、强制授权、超范围收集个人信息的现象大量存在，其中涉及的网络安全与数据合规问题也得到监管机构极大重视。
当下，开发使用App的不仅是互联网企业，消费、金融、地产、医疗等诸多行业都将App作为推动主营业务的工具之一。随着个人信息保护监管力度加强，App合规治理受到不同机构的多方监管。《网络安全法》第八条规定，我国网信部门负责统筹协调网络安全工作和相关监督管理工作，国务院电信主管部门、公安部门和其他有关机关在各自职责范围内负责网络安全保护和监督管理工作。
实务中，用户个人信息保护已然牵涉国家互联网信息办公室、工业和信息化部通信管理局、公安机关和国家市场监督管理局（合称为“四部门”），同时根据具体行业领域的不同，还会涉及一行三会（央行、保监会、银监会、证监会）、邮政管理机构、征信监督管理机构等其他部门。那么，对于企业而言，App合规监管背后，究竟涉及哪些主要监管机构？不同机构的监管职权又如何划分？本文将对主要监管机构就个人信息保护的职责分工和监管举措进行解析。


一、国家互联网信息办公室


国家互联网信息办公室（“网信办”）属于中央直属机构，与中央网络安全和信息化委员会办公室属于“一个机构两块牌子”，后者更加关注经济、政治、文化、社会及军事等各领域的网络安全和信息化重大问题。同时，各行政区域分设有地方互联网信息办公室。


在职权划分方面，首先需要明确的是，网信办属于网络个人信息保护的统筹和协调机关。2017年实施的《网络安全法》明确规定由网信部门负责统筹协调网络安全工作和相关监督管理工作。个人信息保护属于网络信息安全的一部分，也是网络安全的重要议题之一。因此，各机构在这一领域的监管工作同样由网信办负责统筹。
其次，网信办主要针对“互联网信息内容”实施监管。2012年，在网信办成立之初，国务院新闻办公室就官宣其主要职责是“落实互联网信息传播方针政策，指导协调和督促有关部门加强互联网信息内容管理”。[2]2014年国务院正式发文授权网信办负责全国互联网信息内容的管理和执法监督工作。[3]
那么，互联网信息内容是否涉及用户的个人信息保护？答案是涉及。个人信息保护包含信息的收集、使用、加工、传输等全过程，收集使用个人信息而加工制作的互联网信息内容，属于网信办的直接监管范围。[4]此外，如果这类信息涉及政治、军事、外交、社会突发事件及儿童信息等，网信办会更密切地关注和审查。
最后，网信办有独立实施检查调查和约谈处罚等监管措施的权力。根据《互联网信息内容管理行政执法程序规定》，网信办设有行政执法人员，可以实施监督检查、立案调查、听证、约谈、行政处罚等监管措施。在事中监管过程，网信办经常采取“行政约谈”手段，虽然不具有强制力，但约谈内容作为监管风向标，对企业而言具有强烈的警示和告诫作用。


二、工业和信息化部


工业和信息化部（“工信部”）属于国务院部委，下设的信息通信管理局（“信管局”）为电信管理机构，负责具体监管电信和互联网市场的用户个人信息保护。[6]各行政区域分设有地方信管局。


在互联网个人信息保护方面，法律法规赋予了工信部信管局更为明确的监管职权。不同于网信办对网络信息安全的统筹协调职能，《网络安全法》和《电信条例》明确信管局作为电信管理机构，具体负责电信与互联网领域的网络信息安全保护与监管。《电信和互联网用户个人信息保护规定》第三条也明确指定信管局依法对电信与互联网用户个人信息保护工作实施监督管理。


实务中，信管局对互联网企业实施更强有力的用户个人信息监管。立足于工信部发布的多项互联网行业信息保护相关规定[7]，工信部已组织地区信管局开展“电信和互联网行业提升网络数据安全保护能力专项行动”和“APP侵害用户权益专项整治行动”，监管对象包括APP（包括小程序等新应用形态）运营者、SDK提供者和应用分发平台等多类企业，尤为关注企业违规处理用户个人信息的情形。[8]


根据我们的实务经验，工信部信管局目前主要采取检测检查、下发整改通知书、通报曝光以及组织下架的监管举措，总结如下：


首先，信管局借助用户举报、专家评议、App专项治理工作组和App监管平台等渠道，持续监督检查互联网企业的个人信息安全违规问题。


其次，对首次检查发现问题的企业，信管局通常会下发整改通知书，责令企业限期整改。对于整改不彻底的企业，信管局将进行通报曝光，再次督促整改。截至2021年3月12日[9]，工信部已经发布12批违规App通报。


最后，对于通报后仍未按期整改的企业，信管局将对涉案App采取下架处理或停止接入服务，以及将受到行政处罚的违规主体纳入电信业务经营不良名单或失信名单。截至2021年3月3日，工信部已发布通报下架8批违规App。


三、公安机关


网络用户个人信息安全属于公安机关网络安全保卫部门的监管范围。从2019到2020年，公安部连续两年开展“净网”专项行动，2020年侦办的侵犯公民个人信息类案件达到6524起。


在行政处罚方面，公安机关主要针对未履行个人信息保护义务导致信息泄露，以及非法出售或向他人提供个人信息的情形，由公安机关没收违法所得、并处罚款。除此之外，公安机关有权依法对涉嫌犯罪的企业与工作人员进行刑事侦查。
近年来，公安机关侦办的数据黑产、流通非法数据等，最易受到法律制裁的罪名便是侵犯公民个人信息罪。根据《刑法》第253条之一，违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金;情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。


四、市场监督管理局


在企业与用户之间，App运营企业属于网络服务提供者，用户为网络服务消费者，根据《消费者权益保护法》，市场监督管理局有权保障消费者的个人信息安全，追究经营者的侵权责任。


2021年5月1日即将生效实施的《网络交易监督管理办法》进一步明确了网络交易经营者对消费者个人信息的保护义务。在网络交易活动中提供网络经营场所、交易撮合、信息发布等服务的企业，都属于网络交易经营者的范围。
在监管内容方面，市场监督管理局着重审查与消费者知情权、自主选择权、公平交易权相关的内容。比如，交易经营者是否通过“一次概括授权、默认授权、与其他授权捆绑和停止安装使用等方式强迫或者变相强迫消费者同意收集、使用与经营活动无直接关系的信息”。同时，交易经营者“收集、使用个人生物特征、医疗健康、金融账户、个人行踪等敏感信息也应当逐项取得消费者同意”。
市场监督管理局的监管措施主要包括约谈、责令限期改正、行政罚款，以及组织与其他部门联合执法。2019年，市场监管总局组织开展“守护消费”暨打击侵害消费者个人信息违法行为专项执法行动，全年共立案查处各类侵害消费者个人信息案件1474件，查获涉案信息369万余条，罚没款1946万余元；组织执法联动4225次，开展行政约谈3536次。


五、APP专项治理工作组


App专项治理工作组是受四部门委托成立的非政府机构，不具有行政职权，但其有权制定个人信息保护的技术规范和标准文本，所提出的意见为监管部门监测网络违规行为、界定违法收集情形提供了重要参考。


2019年1月，中央网信办、工信部、公安部、市场监管总局四部门联合发布了《关于开展App违法违规收集使用个人信息专项治理的公告》。受四部门委托，全国信息安全标准化技术委员会、中国消费者协会、中国互联网协会、中国网络空间安全协会联合成立App专项治理工作组，负责对用户数量大、与民众生活密切相关的App隐私政策和个人信息收集使用情况进行评估。
实务中，App专项治理工作组通过设立“App个人信息举报”微信公众号和举报专用邮箱（pip@tc260.org.cn），搜集并受理公众举报信息，同时组织专业机构，对App收集使用个人信息情况进行专业评估。
因此，App专项治理工作组可以被理解为四部门在App个人信息治理领域的“民间幕僚”，通过评估现状、搜集线索、提供建议，辅助行政机构对App合规治理和个人信息保护进行有效监管。

在数据合规和个人信息保护日趋重要的当下，企业应当意识到，多方监管不是九龙治水，而是握指成拳，最终形成执法合力。只有厘清不同监管机构的分工和职责，企业才能真正提高数据合规治理能力，实现从“被动整改”到“主动建设”的合规跨越。


来源：杨杰律师团队发布，（文章作者：冯清清、盛宇涵）联系方式：yj@wjngh.cn