首页> 图书频道> 政法> 法学

【主管部门】

2026年02月27日
版权
第六十条 【 主管部门】

国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作。

县级以上地方人民政府有关部门的个人信息保护和监督管理职责,按照国家有关规定确定。

前两款规定的部门统称为履行个人信息保护职责的部门。

【条文主旨】

本条是关于国家统筹协调和监督管理个人信息保护工作的主管部门的规定。

【条文理解】

“徒法不足以自行”,法律的实施是法律能够充分发挥作用的重要保障,而明确且合理的主管部门设置则是法律实施的根本基础,对于执法工作能否有效开展具有重要影响。

本条对我国个人信息保护的主管部门进行了规定,明确了履行个人信息保护职责部门的范围,形成了“1+N”的治理体系:由网信部门统筹协调,体现了国务院确定的“指导、协调、督促有关部门加强互联网信息内容管理”职责,与网络安全法第八条和数据安全法第六条所确立的网信部门的协调地位相一致;有关部门依职责范围管理,在赋权的法律规范位阶上与行政许可法第十四条保持一致,使得相关部门在个人信息保护领域的职责范围确定上更具灵活性,能够根据社会和产业的发展相应调整,但其所依据的法律法规限于法律和行政法规层级,即相关部门如需履行个人信息保护及监管职责,则需全国人大及其常委会制定的法律、国务院制定行政法规予以赋权,而无法自己通过部门规章予以创设。其中,从实践经验来看,涉及个人信息保护与监督管理的国务院部门包括但不限于市场监督、消费者保护、工信、教育、医疗、卫生、金融、交通等。根据全国人大常委会发布的关于《中华人民共和国个人信息保护法(草案)》的说明,个人信息保护涉及各个领域和多个部门的职责,本条是根据个人信息保护工作实际而设置,通过本条进一步明确其职能有助于建立集中统一高效的个人信息保护监管体系,亦兼顾了各部门和各行业的差异性。

在我国,网信部门长期统筹负责个人信息保护和相关监督管理工作,并与其他部门形成了较为成熟的合作机制体制,在个人信息保护领域已经积累了实践经验。在个人信息保护法立法方面,2013年,中央网信办制定《信息网络专项立法规划2014—2020》,提出了包括网络安全法、电子商务法、个人信息保护法在内的立法规划[1];2018年,全国人大法工委、中央网信办开始起草个人信息保护法草案,并逐步形成数次审议稿。在其他分散规制上,各部门或单独或联合,已出台多项部门规章、规范性文件以及部门工作文件,对各领域内的个人信息保护进行了大范围探索,积累了先行先试的宝贵经验,如《汽车数据安全管理若干规定(试行)》《儿童个人信息网络保护规定》《常见类型移动互联网应用程序必要个人信息范围规定》《互联网用户公众账号信息服务管理规定》《App违法违规收集使用个人信息行为认定方法》《工业和信息化部、国家互联网信息办公室、公安部关于印发网络产品安全漏洞管理规定的通知》《教育部等八部门关于引导规范教育移动互联网应用有序健康发展的意见》等。此外,网信、公安、工信、市场监管、金融等部门长期以来常态化开展个人信息保护执法活动,打击侵犯公民个人信息权益的违法行为,如中央网信办、工业和信息化部、公安部、市场监管总局联合开展的“App违法违规收集使用个人信息专项治理”,公安部门的“净网”专项行动、工信部门的App技术检测执法活动、国家市场监督管理总局部署开展的打击侵害消费者个人信息违法行为专项执法行动等。

在地方层面,地方政府部门的个人信息保护与监管职责需按照国家层级相关规定来确定,如法律、行政法规、部门规章或规范性文件,地方性法规或规章的位阶显然不足以规定,即国务院政府部门依据法律、行政法规履行相应职责,地方政府部门按照包括国务院部门规章在内的国家规定履行相应职责。从实践来看,县级以上地方人民政府有关部门的个人信息保护和监督管理职责主要是根据其对应的国家级有关部门职责来确定,例如各地通管局的职责根据工信部的职责范围来确定。这类做法目前在各地已经成为较为普遍的治理模式,如上海市各委办局根据其所负责的不同条块,负责对注册在上海的个人信息处理者进行日常管理,而上海市网信办负责对其进行协调、统筹和监督。

实际上,我国学界一直以来将这种“1+N”的治理体系形象地称为“九龙治水”,即虽然网信部门处于统筹协调的地位,但并不是领导地位,各主管部门之间地位平等,各自按照自身的原工作职责来分管职权范围内的个人信息保护工作。这就可能会导致监管空白与监管重叠问题,各部门之间执法的责任边界不明确,容易出现推卸责任的后果。尽管近年来关于个人信息保护的法律和规范性文件制定了很多,但是在实际的行政执法当中情况并不是特别理想。针对这一现象,虽然有学者呼吁成立独立的监管机构,但本法并没有采用。究其原因,首先,我国的一般立法通常不增加或者撤销国家机构,政府机构的职能配置问题主要由三定方案来解决;其次,近年来国家不断深化行政管理体制改革,避免行政机构庞大臃肿现象,因而增设独立监管机构难度较大。

在域外层面,欧盟设立了统一的“欧盟数据保护委员会”(EDPB),主要负责保证欧盟整体数据保护规则的统一适用,以及促进各成员国监管机构之间的合作,其主要政策工具包括出台指南(Guidelines)、建议(Recommendations)、意见(Opinions)、有约束力的决定(Binding decisions)。迄今为止,欧盟数据保护委员会已发布六份指南(含征求意见稿),涉及GDPR适用地域、第42条和第43条下的认证及其标准、行为准则及其监督、履行合同所必需的数据处理以及数据跨境的例外情形等;美国主要依靠行业自律,辅以政府监管的模式,以市场为主导、以行业自治为中心,政府只是适当介入,其至今仍没有全面的联邦数据隐私法,执法主要由联邦贸易委员会(FTC)以及联邦通信委员会(FCC)负责,卫生与公众服务部民权办公室负责《健康保险便利和责任法案》的执行,有权展开调查和提出诉讼,联邦银行机构和国家保险机构也被授权执行各种隐私法。

因此,我国当前所采取的监管模式是经过多方权衡后所得出来的最佳方案,也是最符合当下中国国情的方案。

【适用指南】

一、明确主管部门

企业应及时对自身业务进行全面梳理,按照自身所属领域来明确行业主管部门,并根据个人信息保护法以及全国人大及其常委会制定的其他法律、国务院制定的行政法规判断其是否行使个人信息保护与监督管理的职责。

二、主动关注相关法规政策

企业应及时关注主管部门发布的部门规章、规范性文件、工作文件以及合规指南等内容,做到积极主动合规。

【相关规定】

《中华人民共和国网络安全法》第八条;《中华人民共和国数据安全法》第六条;《中华人民共和国行政许可法》第十四条;《汽车数据安全管理若干规定(试行)》;《儿童个人信息网络保护规定》;《常见类型移动互联网应用程序必要个人信息范围规定》;《互联网用户公众账号信息服务管理规定》;《App违法违规收集使用个人信息行为认定方法》;《工业和信息化部、国家互联网信息办公室、公安部关于印发网络产品安全漏洞管理规定的通知》;《教育部等八部门关于引导规范教育移动互联网应用有序健康发展的意见》。