?

?

第五十六條國家網(wǎng)信部門負責(zé)統(tǒng)籌協(xié)調(diào)個人信息保護工作和相關(guān)監(jiān)督管理工作。國務(wù)院有關(guān)部門依照本法和有關(guān)法律、行政法規(guī)的規(guī)定，在各自職責(zé)范圍內(nèi)負責(zé)個人信息保護和監(jiān)督管理工作。

?

縣級以上地方人民政府有關(guān)部門的個人信息保護和監(jiān)督管理職責(zé)，按照國家有關(guān)規(guī)定確定。

?

前兩款規(guī)定的部門統(tǒng)稱為履行個人信息保護職責(zé)的部門。

?

本條明確了履行個人信息保護職責(zé)的具體部門。

?

在中央層面，《個人信息保護法（草案）》明確了國家網(wǎng)信部門負責(zé)統(tǒng)籌協(xié)調(diào)個人信息保護工作和相關(guān)監(jiān)督管理工作。網(wǎng)信部門在個人信息保護和相關(guān)監(jiān)督管理方面已經(jīng)積累了相當(dāng)?shù)膶嵺`經(jīng)驗，通過本條進一步明確其職能有助于建立集中統(tǒng)一高效的個人信息保護監(jiān)管體系。同時，國務(wù)院各有關(guān)部門，包括工業(yè)和信息化部、公安部、中國人民銀行等在各自職權(quán)范圍內(nèi)負責(zé)個人信息保護和監(jiān)管工作，亦兼顧了各部門和各行業(yè)的差異性。在地方層面，《個人信息保護法（草案）》明確了由縣級以上地方人民政府有關(guān)部門履行個人信息保護和監(jiān)督管理職責(zé)。但實踐過程中，如何厘清各部門之間的職責(zé)界限，有待進一步探索和明確。

?

第五十七條??履行個人信息保護職責(zé)的部門履行下列個人信息保護職責(zé)：

?

（一）開展個人信息保護宣傳教育，指導(dǎo)、監(jiān)督個人信息處理者開展個人信息保護工作；

（二）接受、處理與個人信息保護有關(guān)的投訴、舉報；

（三）調(diào)查、處理違法個人信息處理活動；

（四）法律、行政法規(guī)規(guī)定的其他職責(zé)。

?

本條規(guī)定了履行個人信息保護職責(zé)的部門的基本職責(zé)。

?

履行個人信息保護職責(zé)的部門包括開展宣傳教育，指導(dǎo)監(jiān)督個人信息保護工作，接受處理個人信息相關(guān)投訴舉報，調(diào)查處理違法個人信息處理活動等。明確職責(zé)有利于后續(xù)個人信息保護工作的有序開展。

?

第五十八條國家網(wǎng)信部門和國務(wù)院有關(guān)部門按照職責(zé)權(quán)限組織制定個人信息保護相關(guān)規(guī)則、標準，推進個人信息保護社會化服務(wù)體系建設(shè)，支持有關(guān)機構(gòu)開展個人信息保護評估、認證服務(wù)。

?

本條明確了中央層面履行個人信息保護職責(zé)的部門的特殊職責(zé)。

?

除履行第五十七條規(guī)定的基本職責(zé)外，國家網(wǎng)信部門和國務(wù)院有關(guān)部門等于中央層面履行個人信息保護職責(zé)的部門還應(yīng)組織制定個人信息保護的相關(guān)規(guī)則和標準，推進個人信息保護社會化服務(wù)體系建設(shè)，并承擔(dān)支持有關(guān)機構(gòu)開展相關(guān)評估、認證服務(wù)的責(zé)任。

?

第五十九條履行個人信息保護職責(zé)的部門履行個人信息保護職責(zé)，可以采取下列措施：

?

（一）詢問有關(guān)當(dāng)事人，調(diào)查與個人信息處理活動有關(guān)的情況；

（二）查閱、復(fù)制當(dāng)事人與個人信息處理活動有關(guān)的合同、記錄、賬簿以及其他有關(guān)資料；

（三）實施現(xiàn)場檢查，對涉嫌違法個人信息處理活動進行調(diào)查；

（四）檢查與個人信息處理活動有關(guān)的設(shè)備、物品；對有證據(jù)證明是違法個人信息處理活動的設(shè)備、物品，可以查封或者扣押。

?

履行個人信息保護職責(zé)的部門依法履行職責(zé)，當(dāng)事人應(yīng)當(dāng)予以協(xié)助、配合，不得拒絕、阻撓。

?

本條規(guī)定了履行個人信息保護職責(zé)的部門履職時可以采取的措施。

?

明確相關(guān)部門可以采取的措施，一方面為相關(guān)部門實施的履職行為提供法律依據(jù)，使其在履職時有法可依，另一方面也有助于其履職過程中的行政相對人了解相關(guān)部門的職責(zé)范圍，實現(xiàn)對相關(guān)部門履職行為的有效監(jiān)督。

?

第六十條履行個人信息保護職責(zé)的部門在履行職責(zé)中，發(fā)現(xiàn)個人信息處理活動存在較大風(fēng)險或者發(fā)生個人信息安全事件的，可以按照規(guī)定的權(quán)限和程序?qū)υ搨€人信息處理者的法定代表人或者主要負責(zé)人進行約談。個人信息處理者應(yīng)當(dāng)按照要求采取措施，進行整改，消除隱患。

?

本條規(guī)定了個人信息保護監(jiān)管的約談制度。

?

與《網(wǎng)絡(luò)安全法》第五十六條及《數(shù)據(jù)安全法（草案）》第四十一條類似，個人信息保護監(jiān)管也將約談制度法定化。實踐中，在發(fā)現(xiàn)個人信息處理活動存在較大風(fēng)險或發(fā)生個人信息安全事件的情形下，對涉事個人信息處理者進行約談已經(jīng)較為常見。但過往該等約談的主要依據(jù)為《網(wǎng)絡(luò)安全法》第五十六條，而該條文僅適用于通過網(wǎng)絡(luò)開展的個人信息處理活動，無法觸及線下個人信息處理活動所造成的風(fēng)險或個人信息安全事件?！秱€人信息保護法（草案）》將約談制度法定化，為針對個人信息處理活動的約談提供了相應(yīng)的法律依據(jù)。

?

但區(qū)別于《網(wǎng)絡(luò)安全法》要求約談主體為"省級以上人民政府有關(guān)部門"，本條同《數(shù)據(jù)安全法（草案）》第四十一條的規(guī)定相似，未明確主管部門的層級要求，如不加以必要限制可能會造成約談制度的濫用。

?

第六十一條任何組織、個人有權(quán)對違法個人信息處理活動向履行個人信息保護職責(zé)的部門進行投訴、舉報。收到投訴、舉報的部門應(yīng)當(dāng)依法及時處理，并將處理結(jié)果告知投訴、舉報人。

?

履行個人信息保護職責(zé)的部門應(yīng)當(dāng)公布接受投訴、舉報的聯(lián)系方式。

?

本條明確了個人信息保護相關(guān)的投訴、舉報機制。

?

從舉報主體看，任何組織和個人都可以進行舉報，意味著用戶、非用戶、競爭對手、第三方測評機構(gòu)、自媒體等都可以作為舉報主體，有助于推動形成本法第十一條所稱的"共同參與個人信息保護的良好環(huán)境"。

?

從受理部門來看，無論中央或是地方，只要是履行個人信息保護職責(zé)的部門都可以受理舉報。

?

從舉報處理來看，收到投訴、舉報的部門應(yīng)當(dāng)依法及時處理并將處理結(jié)果告知投訴、舉報人。若相應(yīng)部門未能及時處理或未能將處理結(jié)果進行告知，可能需要承擔(dān)相應(yīng)的責(zé)任。

?

同時，本條亦強調(diào)履行個人信息保護職責(zé)的部門應(yīng)履行行政公開義務(wù)，公開接受投訴、舉報的聯(lián)系方式。

?

同《數(shù)據(jù)安全法（草案）》第十一條類似，可能有待進一步完善的是，參照《網(wǎng)絡(luò)安全法》第十四條，本條缺少了"不屬于本部門職責(zé)的，應(yīng)當(dāng)及時移送有權(quán)處理的部門。有關(guān)部門應(yīng)當(dāng)對舉報人的相關(guān)信息予以保密，保護舉報人的合法權(quán)益"的規(guī)定。建議增加該等規(guī)定，以更好地推動投訴、舉報處理流程的有序進行，保護投訴、舉報人的合法權(quán)益。

?

?

第六十二條?違反本法規(guī)定處理個人信息，或者處理個人信息未按照規(guī)定采取必要的安全保護措施的，由履行個人信息保護職責(zé)的部門責(zé)令改正，沒收違法所得，給予警告；拒不改正的，并處一百萬元以下罰款；對直接負責(zé)的主管人員和其他直接責(zé)任人員處一萬元以上十萬元以下罰款。

?

有前款規(guī)定的違法行為，情節(jié)嚴重的，由履行個人信息保護職責(zé)的部門責(zé)令改正，沒收違法所得，并處五千萬元以下或者上一年度營業(yè)額百分之五以下罰款，并可以責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、通報有關(guān)主管部門吊銷相關(guān)業(yè)務(wù)許可或者吊銷營業(yè)執(zhí)照；對直接負責(zé)的主管人員和其他直接責(zé)任人員處十萬元以上一百萬元以下罰款。

?

本條明確了個人信息違法的法律責(zé)任。

?

《個人信息保護法（草案）》的一大亮點即在于借鑒了GDPR第83條的監(jiān)管思路，通過較為嚴厲的處罰，大幅提高個人信息違法成本，體現(xiàn)了我國打擊個人信息違法行為的決心。

?

盡管《網(wǎng)絡(luò)安全法》第六十四條規(guī)定了針對個人信息違法行為的相關(guān)行政處罰，但就一般的個人信息侵權(quán)行為，其罰款金額上限為一百萬元，對于企業(yè)而言，違法成本相對較低，懲治力度相對有限，對企業(yè)的威懾也比較小。本條在第1款延續(xù)了《網(wǎng)絡(luò)安全法》第六十四條的規(guī)定的基礎(chǔ)上，于第2款大幅提高了罰款上限金額，對于情節(jié)嚴重的個人信息違法行為，規(guī)定了五千萬元以下或上一年度營業(yè)額百分之五以下罰款的罰款上限，并可以責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、通報有關(guān)主管部門吊銷相關(guān)業(yè)務(wù)許可或者吊銷營業(yè)執(zhí)照，且可對直接負責(zé)的主管人員和其他直接責(zé)任人員處十萬元以上一百萬元以下罰款。

?

需要注意的是，計算罰金上限金額的基數(shù)是企業(yè)的上一年度營業(yè)額而非利潤。違法成本的大幅提高，有利于更好地對企業(yè)起到警示作用，督促企業(yè)切實履行個人信息安全保護義務(wù)。

?

第六十三條有本法規(guī)定的違法行為的，依照有關(guān)法律、行政法規(guī)的規(guī)定記入信用檔案，并予以公示。

?

本條明確了對個人信息違法行為人的信用懲戒制度。

?

類似條文可見《網(wǎng)絡(luò)安全法》第七十一條及《電子商務(wù)法》第八十六條。對于企業(yè)而言，這意味著一旦發(fā)生個人信息違法行為，企業(yè)不僅將面臨相應(yīng)的索賠，可能亦將面臨對其聲譽的不利影響及潛在的輿情壓力。這無形中提高了個人信息違法成本，有利于在社會層面起到普遍的警示作用。

?

第六十四條國家機關(guān)不履行本法規(guī)定的個人信息保護義務(wù)的，由其上級機關(guān)或者履行個人信息保護職責(zé)的部門責(zé)令改正；對直接負責(zé)的主管人員和其他直接責(zé)任人員依法給予處分。

?

本條規(guī)定了國家機關(guān)不履行個人信息保護義務(wù)的法律責(zé)任。

?

盡管《個人信息保護法（草案）》第二章第三節(jié)對國家機關(guān)處理個人信息時應(yīng)履行的義務(wù)作出了特別規(guī)定，但本條并未將所指的個人信息保護義務(wù)限定于第三節(jié)中的相關(guān)條文。從文義理解，若國家機關(guān)作為個人信息處理者違反了本法第二章第三節(jié)和該節(jié)之外的其他條文規(guī)定的個人信息保護義務(wù)，均需要承擔(dān)本條規(guī)定的法律責(zé)任。

?

第六十五條因個人信息處理活動侵害個人信息權(quán)益的，按照個人因此受到的損失或者個人信息處理者因此獲得的利益承擔(dān)賠償責(zé)任；個人因此受到的損失和個人信息處理者因此獲得的利益難以確定的，由人民法院根據(jù)實際情況確定賠償數(shù)額。個人信息處理者能夠證明自己沒有過錯的，可以減輕或者免除責(zé)任。

?

本條規(guī)定了個人信息侵權(quán)行為的民事責(zé)任。

?

就侵權(quán)損害賠償?shù)挠嬎惴绞蕉裕?/strong>本條與《民法典》第一千一百八十二條規(guī)定的侵害人身權(quán)益情形下的侵權(quán)損害賠償計算方式基本一致，但刪去了"被侵權(quán)人和侵權(quán)人就賠償數(shù)額協(xié)商不一致，向人民法院提起訴訟的"的表述。