【主管部门职责】

第六十一条 【 主管部门职责】

【条文主旨】

本条是关于主管部门应履行的个人信息保护职责的规定。

【条文理解】

本条采用列举+兜底的方式，对履行个人信息保护职责部门的职责进行了全面规定，包括事前（第一项）、事中（第二项、第三项）以及事后（第四项），为个人合法权益保障和个人信息处理行为规制提供了全方位的保障。

本条第一项首先赋予了主管部门宣传教育的职责，按照中共中央办公厅、国务院办公厅于2017年5月印发的《关于实行国家机关“谁执法谁普法”普法责任制的意见》，国家机关是国家法律的制定和执行主体，同时肩负着普法的重要职责，党的十八届四中全会明确提出实行国家机关“谁执法谁普法”的普法责任制，国家机关要承担普法职责任务，健全工作制度，加强督促检查，不断推进国家机关普法工作深入开展，努力形成党委统一领导，部门分工负责、各司其职、齐抓共管的工作格局，为全面依法治国作出积极贡献。因此，本项规定主管部门要负责个人信息保护的宣传教育，坚持普法工作与法治实践相结合、坚持系统内普法与社会普法并重、坚持条块结合与密切协作、坚持从实际出发与注重实效，注重培养社会公众个人信息保护意识，促进个人信息保护法的落地实施，推动社会全体公民与组织知法、懂法、守法。

本条第一项同时赋予了主管部门指导、监督个人信息处理者开展个人信息保护工作的职责，从事前出发，规范个人信息处理者的处理行为，使之更加合规，从而避免违法行为的发生和相关主体的合法利益受到损害，节省执法与司法资源，提升产业和发展效率，对于主管部门、个人信息主体以及处理者而言，都能够减少无谓损失。

本条第二项主要是从事中层面履行个人信息保护与监督管理职责，当个人信息处理者未有效履行本法所规定的义务及其处理行为侵犯了个人信息主体合法权益时，相关主体可以向有关部门投诉、举报。

本条相较于本法草案二审稿增加了第三项即“组织对应用程序等个人信息保护情况进行测评，并公布测评结果”，主要与当前网信办、工信部和公安部等部门通过各自所委托的检测单位对App进行检测的监管新态势相衔接。实践中，相关履行个人信息保护职责部门在职责范围内积极履行个人信息保护及监管职责，中央网信办、市场监管总局联合推动建立了App个人信息安全认证制度，App运营商可自愿申请对其收集、存储、传输、使用等个人信息活动进行评估，对于符合国家标准的将颁发安全认证证书；工信部于2020年7月上线“全国APP技术检测平台”，大幅提升对单款App自动化测试项比例和App自动获取、批量处理能力，同时要实现部省联动，大幅提升全行业App监管标准化、自动化、智能化水平。在标准制定方面，工信部发布了《电信和互联网服务 用户个人信息保护 定义及分类》《APP用户权益保护测评规范》《APP收集使用个人信息最小必要评估规范》等标准，涉及通讯录、录音、人脸、位置等信息收集使用规范；公安部也高度重视App监管，持续开展“净网”专项行动，加强对相关领域App的安全整治和查处打击，依法清理下架了大批存在恶意程序的App，依法整改查处了一批违法违规的App。

本条第四项赋予了主管部门调查、处理违法个人信息处理活动的职责，这一职责与第二项的接受举报投诉之职责不尽相同，后者属于被动触发，当有相关主体投诉举报时主管部门才能接受和处理，对违反本法的个人信息处理行为进行规制，而前者则可以促使主管部门主动调查、处理违法个人信息处理活动，有效监督相关主体的个人信息处理活动，使其监管职责的履行具备可执行性，从而更加全面和有效地保障相关主体合法权益，促进个人信息保护法实施。

本条第五项是兜底性条款，呼应了第六十条第一款“依照本法和有关法律、行政法规的规定，在各自职责范围内负责个人信息保护和监督管理工作”的规定。

【适用指南】

平台要准备好应对多主管部门监管的行业生态。随着技术的进步和产业的发展，数据尤其是能够识别到特定个人的个人信息对于国家和企业而言将会越发重要，甚至关系到生死存亡，因而国家必将常态化地对个人信息加强保护，规制行业乱象。企业应从管理、技术、业务等多方面保证合规，建立内部自查自纠机制，对于本法禁止和打击的过度收集、模糊通知、隐瞒第三方SDK收集行为、地下交易等违规收集个人信息的行为逐一整改并避免再次发生，形成责任追究机制。

【相关规定】

《关于实行国家机关“谁执法谁普法”普法责任制的意见》；《电信和互联网服务 用户个人信息保护 定义及分类》；《关于开展纵深推进App侵害用户权益专项整治行动的通知》。